Een door Domain Services Azure Active Directory beheerd domein harden
Standaard schakelt Azure Active Directory Domain Services (Azure AD DS) het gebruik van coderingen zoals NTLM v1 en TLS v1 in. Deze coderingen zijn mogelijk vereist voor sommige oudere toepassingen, maar worden als zwak beschouwd en kunnen worden uitgeschakeld als u ze niet nodig hebt. Als u on-premises hybride connectiviteit hebt met behulp van Azure AD Verbinding maken, kunt u ook de synchronisatie van NTLM-wachtwoordhashes uitschakelen.
In dit artikel wordt beschreven hoe u een beheerd domein kunt harden met behulp van instelling zoals:
- NTLM v1- en TLS v1-codering uitschakelen
- NTLM-wachtwoordhashsynchronisatie uitschakelen
- De mogelijkheid om wachtwoorden te wijzigen met RC4-versleuteling uitschakelen
- Kerberos-armoring inschakelen
Vereisten
U hebt de volgende resources nodig om dit artikel te voltooien:
- Een actief Azure-abonnement.
- Als u nog geen Azure-abonnement hebt, maakt u een account.
- Een Azure Active Directory-tenant die aan uw abonnement is gekoppeld, gesynchroniseerd met een on-premises map of een cloudmap.
- Een door Azure Active Directory Domain Services beheerd domein dat in uw Azure AD-tenant is ingeschakeld en geconfigureerd.
Beveiligingsinstellingen gebruiken om uw domein te harden
Meld u aan bij de Azure-portal.
Zoek en selecteer Azure AD Domain Services.
Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
Selecteer aan de linkerkant Beveiligingsinstellingen.
Klik op Inschakelen of Uitschakelen voor de volgende instellingen:
- Alleen TLS 1.2-modus
- NTLM-verificatie
- Wachtwoordsynchronisatie vanaf on-premises
- NTLM-wachtwoordsynchronisatie vanuit on-premises
- RC4-versleuteling
- Kerberos-armoring
Naleving Azure Policy TLS 1.2 toewijzen
Naast beveiligingsinstellingen heeft Microsoft Azure een nalevingsinstelling om TLS 1.2-gebruik af te dwingen. Het beleid heeft geen invloed totdat het is toegewezen. Wanneer het beleid is toegewezen, wordt het weergegeven in Naleving:
- Als de toewijzing Controle is, wordt door de nalevingsrapportage Azure AD DS-exemplaar compatibel is.
- Als de toewijzing Weigeren is, voorkomt de naleving dat er een Azure AD DS-exemplaar wordt gemaakt als TLS 1.2 niet vereist is en wordt voorkomen dat een Azure AD DS-exemplaar wordt bijgewerkt totdat TLS 1.2 is vereist.
NTLM-fouten controleren
Hoewel het uitschakelen van NTLM-wachtwoordsynchronisatie de beveiliging verbetert, zijn veel toepassingen en services niet ontworpen om zonder deze synchronisatie te werken. Als u bijvoorbeeld via het IP-adres verbinding maakt met een resource, zoals DNS-serverbeheer of RDP, mislukt de toegang geweigerd. Als u NTLM-wachtwoordsynchronisatie uit schakelen en uw toepassing of service werkt niet zoals verwacht, kunt u controleren op NTLM-verificatiefouten door beveiligingscontrole in te schakelen voor de categorie Aanmelding/aanmelding controleren, waarbij NTLM is opgegeven als het verificatiepakket in de > gebeurtenisdetails. Zie Beveiligingscontroles inschakelen voor Azure Active Directory Domain Services voor meer informatie.
PowerShell gebruiken om uw domein te schalen
Installeer en configureer zo nodig Azure PowerShell. Zorg ervoor dat u zich bij uw Azure-abonnement aanmeldt met behulp van de Connect-AzAccount-cmdlet.
Installeer en configureer zo nodig ook Azure AD PowerShell. Zorg ervoor dat u zich bij de Azure-tenant aanmeldt met behulp van de Connect-AzureAD-cmdlet.
Als u zwakke coderingssuites en NTLM-referentiehashsynchronisatie wilt uitschakelen, meldt u zich aan bij uw Azure-account en krijgt u vervolgens de Azure AD DS-resource met behulp van de cmdlet Get-AzResource:
Tip
Als u met de opdracht Get-AzResource een foutbericht ontvangt dat de resource Microsoft.AAD/DomainServices niet bestaat, kunt u uw toegangsbeheer verhogen om alle Azure-abonnementen en -beheergroepen te beheren.
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
Definieer vervolgens DomainSecuritySettings om de volgende beveiligingsopties te configureren:
- Schakel NTLM v1-ondersteuning uit.
- Schakel de synchronisatie van NTLM-wachtwoordhashes uit vanuit uw on-premises AD.
- Schakel TLS v1 uit.
Belangrijk
Gebruikers en serviceaccounts kunnen geen eenvoudige LDAP-bindingen uitvoeren als u NTLM-wachtwoordhashsynchronisatie uit Azure AD DS beheerd domein. Als u eenvoudige LDAP-bindingen wilt uitvoeren, moet u de optie SyncNtlmPasswords="Disabled"; voor de beveiligingsconfiguratie niet instellen in de volgende opdracht.
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}
Pas ten slotte de gedefinieerde beveiligingsinstellingen toe op het beheerde domein met behulp van de cmdlet Set-AzResource. Geef de Azure AD DS resource uit de eerste stap en de beveiligingsinstellingen uit de vorige stap op.
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force
Het duurt even voordat de beveiligingsinstellingen zijn toegepast op het beheerde domein.
Belangrijk
Nadat u NTLM hebt uitgeschakeld, voert u een volledige wachtwoordhashsynchronisatie uit in Azure AD Verbinding maken alle wachtwoordhashes uit het beheerde domein te verwijderen. Als u NTLM uit schakelen maar geen wachtwoordhashsynchronisatie forceer, NTLM-wachtwoordhashes voor een gebruikersaccount worden alleen verwijderd bij de volgende wachtwoordwijziging. Door dit gedrag kan een gebruiker zich blijven aanmelden als deze referenties in de cache heeft opgeslagen in een systeem waarin NTLM wordt gebruikt als verificatiemethode.
Zodra de NTLM-wachtwoordhash verschilt van de Kerberos-wachtwoordhash, werkt terugval naar NTLM niet meer. Referenties in de cache werken ook niet meer als de VM verbinding heeft met de beheerde domeincontroller.
Volgende stappen
Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domein voor meer informatie over het synchronisatieproces.