Härda en Azure Active Directory Domain Services-hanterad domän
Som standard Azure Active Directory Domain Services (Azure AD DS) användning av chiffer som NTLM v1 och TLS v1. Dessa chiffer kan krävas för vissa äldre program, men anses vara svaga och kan inaktiveras om du inte behöver dem. Om du har en lokal hybridanslutning med hjälp av Azure AD Anslut kan du även inaktivera synkronisering av NTLM-lösenordshashar.
Den här artikeln visar hur du härdar en hanterad domän med hjälp av inställningsinställningar som:
- Inaktivera NTLM v1- och TLS v1-chiffer
- Inaktivera synkronisering av NTLM-lösenordshashar
- Inaktivera möjligheten att ändra lösenord med RC4-kryptering
- Aktivera Kerberos-skydd
Förutsättningar
För att kunna slutföra den här artikeln behöver du följande resurser:
- En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
- En Azure Active Directory-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
- Om det behövs kan du skapa Azure Active Directory klientorganisation eller associera en Azure-prenumeration med ditt konto.
- En Azure Active Directory Domain Services-hanterad domän aktiverad och konfigurerad i din Azure AD-klientorganisation.
Använd säkerhetsinställningar för att härda din domän
Logga in på Azure-portalen.
Sök efter och välj Azure AD Domain Services.
Välj din hanterade domän, till exempel aaddscontoso.com.
Till vänster väljer du Säkerhetsinställningar.
Klicka på Aktivera eller Inaktivera för följande inställningar:
- Endast TLS 1.2-läge
- NTLM-autentisering
- Lösenordssynkronisering från lokal plats
- NTLM-lösenordssynkronisering från lokal plats
- RC4-kryptering
- Kerberos-skydd
Tilldela Azure Policy för TLS 1.2-användning
Förutom Säkerhetsinställningar har Microsoft Azure en efterlevnadsinställning för att framtvinga TLS 1.2-användning. Principen har ingen effekt förrän den har tilldelats. När principen har tilldelats visas den i Efterlevnad:
- Om tilldelningen är Granska kommer kompatibiliteten att rapportera om Azure AD DS-instansen är kompatibel.
- Om tilldelningen är Neka förhindrar kompatibiliteten att en Azure AD DS-instans skapas om TLS 1.2 inte krävs och förhindrar uppdatering av en Azure AD DS-instans tills TLS 1.2 krävs.
Granska NTLM-fel
Även om inaktivering av NTLM-lösenordssynkronisering förbättrar säkerheten, är många program och tjänster inte utformade att fungera utan den. Om du till exempel ansluter till en resurs via dess IP-adress, till exempel HANTERING av DNS-server eller RDP, misslyckas åtkomst nekad. Om du inaktiverar NTLM-lösenordssynkronisering och programmet eller tjänsten inte fungerar som förväntat kan du söka efter NTLM-autentiseringsfel genom att aktivera säkerhetsgranskning för händelsekategorin Inloggnings-/utloggningsgranskning, där NTLM anges som autentiseringspaket i > händelseinformationen. Mer information finns i Aktivera säkerhetsgranskningar för Azure Active Directory Domain Services.
Använd PowerShell för att härda din domän
Om det behövs installerar och konfigurerar du Azure PowerShell. Se till att du loggar in på din Azure-prenumeration med hjälp Anslut-AzAccount-cmdleten.
Installera och konfigurera Azure AD PowerShellom det behövs. Se till att du loggar in på din Azure AD-klientorganisation med hjälp Anslut-AzureAD-cmdleten.
Om du vill inaktivera svaga chiffersviter och SYNKRONISERING av NTLM-autentiseringshashar loggar du in på ditt Azure-konto och hämtar sedan Azure AD DS-resursen med hjälp av cmdleten Get-AzResource:
Tips
Om du får ett felmeddelande med kommandot Get-AzResource om att resursen Microsoft.AAD/DomainServices inte finns höjer du din behörighet för att hantera alla Azure-prenumerationer och hanteringsgrupper.
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
Definiera sedan DomainSecuritySettings för att konfigurera följande säkerhetsalternativ:
- Inaktivera stöd för NTLM v1.
- Inaktivera synkronisering av NTLM-lösenordshashar från din lokala AD.
- Inaktivera TLS v1.
Viktigt
Användare och tjänstkonton kan inte utföra enkla LDAP-bindningar om du inaktiverar SYNKRONISERING av NTLM-lösenordshashar i den Azure AD DS hanterade domänen. Om du behöver utföra enkla LDAP-bindningar ska du inte ange alternativet "SyncNtlmPasswords"="Disabled"; säkerhetskonfiguration i följande kommando.
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}
Tillämpa slutligen de definierade säkerhetsinställningarna på den hanterade domänen med hjälp av cmdleten Set-AzResource. Ange Azure AD DS resurs från det första steget och säkerhetsinställningarna från föregående steg.
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force
Det tar en stund innan säkerhetsinställningarna tillämpas på den hanterade domänen.
Viktigt
När du har inaktiverat NTLM utför du en fullständig synkronisering av lösenordshashar i Azure AD Anslut för att ta bort alla lösenordshashar från den hanterade domänen. Om du inaktiverar NTLM men inte tvingar fram en synkronisering av lösenordshashar tas NTLM-lösenordshashar för ett användarkonto bara bort vid nästa lösenordsändring. Det här beteendet kan göra att en användare kan fortsätta att logga in om de har cachelagrade autentiseringsuppgifter i ett system där NTLM används som autentiseringsmetod.
När NTLM-lösenordshashar skiljer sig från Kerberos-lösenordshashar fungerar inte återställning till NTLM. Cachelagrade autentiseringsuppgifter fungerar inte heller längre om den virtuella datorn har anslutning till den hanterade domänkontrollanten.
Nästa steg
Mer information om synkroniseringsprocessen finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.