Deshabilitación de los cifrados poco seguros y de la sincronización de hash de contraseñas para proteger un dominio administrado de Azure Active Directory Domain ServicesDisable weak ciphers and password hash synchronization to secure an Azure Active Directory Domain Services managed domain

De forma predeterminada, Azure Active Directory Domain Services (Azure AD DS) permite el uso de cifrados tales como NTLM V1 y TLS v1.By default, Azure Active Directory Domain Services (Azure AD DS) enables the use of ciphers such as NTLM v1 and TLS v1. Aunque estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, se consideran poco seguros y se pueden deshabilitar si no se necesitan.These ciphers may be required for some legacy applications, but are considered weak and can be disabled if you don't need them. Si tiene conectividad híbrida local mediante Azure AD Connect, también puede deshabilitar la sincronización de los hash de contraseñas de NTLM.If you have on-premises hybrid connectivity using Azure AD Connect, you can also disable the synchronization of NTLM password hashes.

En este artículo se muestra cómo deshabilitar los cifrados NTLM V1 y TLS v1 y la sincronización de hash de contraseñas de NTLM.This article shows you how to disable NTLM v1 and TLS v1 ciphers and disable NTLM password hash synchronization.

Requisitos previosPrerequisites

Para completar este artículo, necesita los siguientes recursos:To complete this article, you need the following resources:

Deshabilitación de cifrados poco seguros y de la sincronización de hash de contraseña de NTLMDisable weak ciphers and NTLM password hash sync

Para deshabilitar los conjuntos de cifrados poco seguros y la sincronización de hash de credenciales de NTLM, inicie sesión en su cuenta de Azure y, luego, obtenga el recurso de Azure AD DS con el cmdlet Get-AzResource:To disable weak cipher suites and NTLM credential hash synchronization, sign in to your Azure account, then get the Azure AD DS resource using the Get-AzResource cmdlet:

Sugerencia

Si se produce un error al usar el comando Get-AzResource que se indica que el recurso Microsoft.AAD/DomainServices no existe, eleve los privilegios de acceso para administrar todas las suscripciones y grupos de administración de Azure.If you receive an error using the Get-AzResource command that the Microsoft.AAD/DomainServices resource doesn't exist, elevate your access to manage all Azure subscriptions and management groups.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Luego, defina DomainSecuritySettings para configurar las siguientes opciones de seguridad:Next, define DomainSecuritySettings to configure the following security options:

  1. Deshabilite la compatibilidad con NTLM v1.Disable NTLM v1 support.
  2. Deshabilitar la sincronización de códigos hash de contraseñas NTLM desde su instancia de Active Directory local.Disable the synchronization of NTLM password hashes from your on-premises AD.
  3. Deshabilite TLS v1.Disable TLS v1.

Importante

Si deshabilita la sincronización de hash de contraseñas de NTML en el dominio administrado de Azure AD DS, los usuarios y las cuentas de servicio no pueden realizar enlaces simples LDAP.Users and service accounts can't perform LDAP simple binds if you disable NTLM password hash synchronization in the Azure AD DS managed domain. Si necesita realizar enlaces simples LDAP, no establezca la opción de configuración de seguridad "SyncNtlmPasswords"="Disabled"; del siguiente comando.If you need to perform LDAP simple binds, don't set the "SyncNtlmPasswords"="Disabled"; security configuration option in the following command.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled"}}

Por último, aplique la configuración de seguridad definida al dominio administrado con el cmdlet Set-AzResource.Finally, apply the defined security settings to the managed domain using the Set-AzResource cmdlet. Especifique el recurso de Azure AD DS del primer paso y la configuración de seguridad del paso anterior.Specify the Azure AD DS resource from the first step, and the security settings from the previous step.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -Verbose -Force

La configuración de seguridad tarda unos minutos en aplicarse al dominio administrado.It takes a few moments for the security settings to be applied to the managed domain.

Importante

Después de desactivar NTLM, efectúe una sincronización completa de hash de contraseñas en Azure AD Connect para quitar todos los valores hash de contraseña del dominio administrado.After you disable NTLM, perform a full password hash synchronization in Azure AD Connect to remove all the password hashes from the managed domain. Si desactiva NTLM pero no fuerza la sincronización de hash de contraseñas, los valores hash de contraseña de NTLM para una cuenta de usuario solo se eliminarán en el siguiente cambio de contraseña.If you disable NTLM but don't force a password hash sync, NTLM password hashes for a user account are only removed on the next password change. Este comportamiento podría permitir a un usuario iniciar sesión si las credenciales están almacenadas en caché en un sistema que utiliza NTLM como método de autenticación.This behavior could allow a user to continue to sign in if they have cached credentials on a system where NTLM is used as the authentication method.

Cuando el hash de contraseña NTLM es diferente al hash de contraseña de Kerberos, recurrir a NTLM no será una alternativa.Once the NTLM password hash is different from the Kerberos password hash, fallback to NTLM won't work. Las credenciales almacenadas en caché tampoco funcionarán si la máquina virtual tiene conectividad con el controlador de dominio administrado.Cached credentials also no longer work if the VM has connectivity to the managed domain controller.

Pasos siguientesNext steps

Para más información sobre el proceso de sincronización, consulte Cómo sincronizar objetos y credenciales en un dominio administrado.To learn more about the synchronization process, see How objects and credentials are synchronized in a managed domain.