Desabilitar codificações fracas e a sincronização de hash de senha para proteger um Azure AD Domain Services domínio gerenciadoDisable weak ciphers and password hash synchronization to secure an Azure AD Domain Services managed domain

Por padrão, Azure Active Directory Domain Services (Azure AD DS) permite o uso de codificações como NTLM v1 e TLS v1.By default, Azure Active Directory Domain Services (Azure AD DS) enables the use of ciphers such as NTLM v1 and TLS v1. Essas codificações podem ser necessárias para alguns aplicativos herdados, mas são consideradas fracas e podem ser desabilitadas se você não precisar delas.These ciphers may be required for some legacy applications, but are considered weak and can be disabled if you don't need them. Se você tiver conectividade híbrida local usando Azure AD Connect, também poderá desabilitar a sincronização de hashes de senha NTLM.If you have on-premises hybrid connectivity using Azure AD Connect, you can also disable the synchronization of NTLM password hashes.

Este artigo mostra como desabilitar as codificações NTLM v1 e TLS v1 e desabilitar a sincronização de hash de senha NTLM.This article shows you how to disable NTLM v1 and TLS v1 ciphers and disable NTLM password hash synchronization.

Pré-requisitosPrerequisites

Para concluir este artigo, você precisa dos seguintes recursos:To complete this article, you need the following resources:

Desabilitar codificações fracas e sincronização de hash de senha NTLMDisable weak ciphers and NTLM password hash sync

Para desabilitar conjuntos de criptografia de baixa segurança e sincronização de hash de credencial NTLM, entre em sua conta do Azure e obtenha o recurso de AD DS do Azure usando o cmdlet Get-AzResource :To disable weak cipher suites and NTLM credential hash synchronization, sign in to your Azure account, then get the Azure AD DS resource using the Get-AzResource cmdlet:

Dica

Se você receber um erro usando o comando Get-AzResource que o recurso Microsoft. AAD/DomainServices não existe, eleve seu acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.If you receive an error using the Get-AzResource command that the Microsoft.AAD/DomainServices resource doesn't exist, elevate your access to manage all Azure subscriptions and management groups.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Em seguida, defina DomainSecuritySettings para configurar as seguintes opções de segurança:Next, define DomainSecuritySettings to configure the following security options:

  1. Desabilite o suporte a NTLM v1.Disable NTLM v1 support.
  2. Desabilitar a sincronização de hashes de senha de NTLM do AD local.Disable the synchronization of NTLM password hashes from your on-premises AD.
  3. Desabilite o TLS v1.Disable TLS v1.

Importante

Os usuários e as contas de serviço não poderão executar associações LDAP simples se você desabilitar a sincronização de hash de senha NTLM no domínio gerenciado AD DS do Azure.Users and service accounts can't perform LDAP simple binds if you disable NTLM password hash synchronization in the Azure AD DS managed domain. Se você precisar executar associações LDAP simples, não defina a opção de configuração de segurança "SyncNtlmPasswords" = "Disabled"; no comando a seguir.If you need to perform LDAP simple binds, don't set the "SyncNtlmPasswords"="Disabled"; security configuration option in the following command.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled"}}

Por fim, aplique as configurações de segurança definidas ao domínio gerenciado AD DS do Azure usando o cmdlet set-AzResource .Finally, apply the defined security settings to the Azure AD DS managed domain using the Set-AzResource cmdlet. Especifique o recurso de AD DS do Azure na primeira etapa e as configurações de segurança da etapa anterior.Specify the Azure AD DS resource from the first step, and the security settings from the previous step.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -Verbose -Force

Leva alguns minutos para que as configurações de segurança sejam aplicadas ao domínio gerenciado AD DS do Azure.It takes a few moments for the security settings to be applied to the Azure AD DS managed domain.

Próximas etapasNext steps

Para saber mais sobre o processo de sincronização, confira como os objetos e as credenciais são sincronizados em um domínio gerenciado do Azure AD DS.To learn more about the synchronization process, see How objects and credentials are synchronized in an Azure AD DS managed domain.