Deshabilitación de los cifrados poco seguros y de la sincronización de hash de contraseñas para proteger un dominio administrado de Azure Active Directory Domain ServicesDisable weak ciphers and password hash synchronization to secure an Azure Active Directory Domain Services managed domain
De forma predeterminada, Azure Active Directory Domain Services (Azure AD DS) permite el uso de cifrados tales como NTLM V1 y TLS v1.By default, Azure Active Directory Domain Services (Azure AD DS) enables the use of ciphers such as NTLM v1 and TLS v1. Aunque estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, se consideran poco seguros y se pueden deshabilitar si no se necesitan.These ciphers may be required for some legacy applications, but are considered weak and can be disabled if you don't need them. Si tiene conectividad híbrida local mediante Azure AD Connect, también puede deshabilitar la sincronización de los hash de contraseñas de NTLM.If you have on-premises hybrid connectivity using Azure AD Connect, you can also disable the synchronization of NTLM password hashes.
En este artículo se muestra cómo deshabilitar los cifrados NTLM V1 y TLS v1 y la sincronización de hash de contraseñas de NTLM.This article shows you how to disable NTLM v1 and TLS v1 ciphers and disable NTLM password hash synchronization.
Requisitos previosPrerequisites
Para completar este artículo, necesita los siguientes recursos:To complete this article, you need the following resources:
- Una suscripción de Azure activa.An active Azure subscription.
- Si no tiene una suscripción a Azure, cree una cuenta.If you don't have an Azure subscription, create an account.
- Un inquilino de Azure Active Directory asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
- Un dominio administrado de Azure Active Directory Domain Services habilitado y configurado en su inquilino de Azure AD.An Azure Active Directory Domain Services managed domain enabled and configured in your Azure AD tenant.
- Instale y configure Azure PowerShell.Install and configure Azure PowerShell.
- Si es necesario, siga las instrucciones para instalar el módulo de Azure PowerShell y conectarse a la suscripción de Azure.If needed, follow the instructions to install the Azure PowerShell module and connect to your Azure subscription.
- Asegúrese de que inicia sesión en su suscripción de Azure con el cmdlet Connect-AzAccount.Make sure that you sign in to your Azure subscription using the Connect-AzAccount cmdlet.
- Instale y configure Azure AD PowerShell.Install and configure Azure AD PowerShell.
- Si es necesario, siga las instrucciones para instalar el módulo de Azure AD PowerShell y conectarse a Azure AD.If needed, follow the instructions to install the Azure AD PowerShell module and connect to Azure AD.
- Asegúrese de iniciar sesión en el inquilino de Azure AD mediante el cmdlet Connect-AzureAD.Make sure that you sign in to your Azure AD tenant using the Connect-AzureAD cmdlet.
Deshabilitación de cifrados poco seguros y de la sincronización de hash de contraseña de NTLMDisable weak ciphers and NTLM password hash sync
Para deshabilitar los conjuntos de cifrados poco seguros y la sincronización de hash de credenciales de NTLM, inicie sesión en su cuenta de Azure y, luego, obtenga el recurso de Azure AD DS con el cmdlet Get-AzResource:To disable weak cipher suites and NTLM credential hash synchronization, sign in to your Azure account, then get the Azure AD DS resource using the Get-AzResource cmdlet:
Sugerencia
Si se produce un error al usar el comando Get-AzResource que se indica que el recurso Microsoft.AAD/DomainServices no existe, eleve los privilegios de acceso para administrar todas las suscripciones y grupos de administración de Azure.If you receive an error using the Get-AzResource command that the Microsoft.AAD/DomainServices resource doesn't exist, elevate your access to manage all Azure subscriptions and management groups.
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
Luego, defina DomainSecuritySettings para configurar las siguientes opciones de seguridad:Next, define DomainSecuritySettings to configure the following security options:
- Deshabilite la compatibilidad con NTLM v1.Disable NTLM v1 support.
- Deshabilitar la sincronización de códigos hash de contraseñas NTLM desde su instancia de Active Directory local.Disable the synchronization of NTLM password hashes from your on-premises AD.
- Deshabilite TLS v1.Disable TLS v1.
Importante
Si deshabilita la sincronización de hash de contraseñas de NTML en el dominio administrado de Azure AD DS, los usuarios y las cuentas de servicio no pueden realizar enlaces simples LDAP.Users and service accounts can't perform LDAP simple binds if you disable NTLM password hash synchronization in the Azure AD DS managed domain. Si necesita realizar enlaces simples LDAP, no establezca la opción de configuración de seguridad "SyncNtlmPasswords"="Disabled"; del siguiente comando.If you need to perform LDAP simple binds, don't set the "SyncNtlmPasswords"="Disabled"; security configuration option in the following command.
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled"}}
Por último, aplique la configuración de seguridad definida al dominio administrado con el cmdlet Set-AzResource.Finally, apply the defined security settings to the managed domain using the Set-AzResource cmdlet. Especifique el recurso de Azure AD DS del primer paso y la configuración de seguridad del paso anterior.Specify the Azure AD DS resource from the first step, and the security settings from the previous step.
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -Verbose -Force
La configuración de seguridad tarda unos minutos en aplicarse al dominio administrado.It takes a few moments for the security settings to be applied to the managed domain.
Importante
Después de desactivar NTLM, efectúe una sincronización completa de hash de contraseñas en Azure AD Connect para quitar todos los valores hash de contraseña del dominio administrado.After you disable NTLM, perform a full password hash synchronization in Azure AD Connect to remove all the password hashes from the managed domain. Si desactiva NTLM pero no fuerza la sincronización de hash de contraseñas, los valores hash de contraseña de NTLM para una cuenta de usuario solo se eliminarán en el siguiente cambio de contraseña.If you disable NTLM but don't force a password hash sync, NTLM password hashes for a user account are only removed on the next password change. Este comportamiento podría permitir a un usuario iniciar sesión si las credenciales están almacenadas en caché en un sistema que utiliza NTLM como método de autenticación.This behavior could allow a user to continue to sign in if they have cached credentials on a system where NTLM is used as the authentication method.
Cuando el hash de contraseña NTLM es diferente al hash de contraseña de Kerberos, recurrir a NTLM no será una alternativa.Once the NTLM password hash is different from the Kerberos password hash, fallback to NTLM won't work. Las credenciales almacenadas en caché tampoco funcionarán si la máquina virtual tiene conectividad con el controlador de dominio administrado.Cached credentials also no longer work if the VM has connectivity to the managed domain controller.
Pasos siguientesNext steps
Para más información sobre el proceso de sincronización, consulte Cómo sincronizar objetos y credenciales en un dominio administrado.To learn more about the synchronization process, see How objects and credentials are synchronized in a managed domain.