Azure Active Directory etki alanı hizmetleri tarafından yönetilen etki alanını harden alma
varsayılan olarak, Azure Active Directory etki alanı hizmetleri (Azure AD DS), NTLM v1 ve TLS v1 gibi şifrelemelerin kullanımını mümkün değildir. Bu şifrelemeler bazı eski uygulamalar için gerekli olabilir, ancak zayıf kabul edilir ve gerek duymuyorsanız devre dışı bırakılabilir. Azure AD Connect kullanarak şirket içi karma bağlantınız varsa, NTLM parola karmalarının eşitlenmesini de devre dışı bırakabilirsiniz.
Bu makalede, aşağıdaki gibi ayar ayarlarını kullanarak yönetilen bir etki alanının nasıl zor yapılacağı gösterilmektedir:
- NTLM v1 ve TLS v1 şifrelemelerini devre dışı bırak
- NTLM parola karma eşitlemesini devre dışı bırak
- RC4 şifrelemesiyle parolaları değiştirme yeteneğini devre dışı bırakma
- Kerberos korumasını etkinleştirme
Önkoşullar
Bu makaleyi tamamlayabilmeniz için aşağıdaki kaynaklara ihtiyacınız vardır:
- Etkin bir Azure aboneliği.
- Azure aboneliğiniz yoksa bir hesap oluşturun.
- abonelikle ilişkili bir Azure Active Directory kiracısı, şirket içi bir dizinle veya yalnızca bulut diziniyle eşitlenir.
- Azure AD kiracınızda etkinleştirilmiş ve yapılandırılmış Azure Active Directory etki alanı hizmetleri tarafından yönetilen etki alanı.
Etki alanınızı sağlamlaştırmak için güvenlik ayarlarını kullanın
Azure Portal’ında oturum açın.
Arama yapın ve Azure AD Domain Services seçin.
Aaddscontoso.com gibi yönetilen etki alanınızı seçin.
Sol taraftaki güvenlik ayarları' nı seçin.
Aşağıdaki ayarlar için Etkinleştir veya devre dışı bırak ' a tıklayın:
- Yalnızca TLS 1,2 modu
- NTLM kimlik doğrulaması
- Şirket içinden parola eşitleme
- Şirket içinden NTLM parola eşitleme
- RC4 şifreleme
- Kerberos koruması
TLS 1,2 kullanımı için Azure Ilke uyumluluğunu atama
güvenlik ayarlarına ek olarak, Microsoft Azure ilkesi TLS 1,2 kullanımını zorlamak için bir uyumluluk ayarına sahiptir. İlke, atanana kadar hiçbir etkiye sahip değildir. İlke atandığında, Uyumluluk' de görünür:
- Atama denetse, Azure AD DS örneği uyumluysa uyumluluk rapor eder.
- Atama reddediliyorsa uyumluluk, TLS 1,2 gerekmiyorsa bir Azure AD DS örneğinin oluşturulmasını engeller ve TLS 1,2 gerekli olana kadar bir Azure AD DS örneğine yönelik herhangi bir güncelleştirmeyi engelleyebilir.
NTLM başarısızlıklarını denetleme
NTLM parola eşitlemesini devre dışı bırakmanın güvenliği iyileştireken birçok uygulama ve hizmet bu olmadan çalışmak üzere tasarlanmamıştır. Örneğin, DNS sunucusu yönetimi veya RDP gibi IP adresi ile herhangi bir kaynağa bağlanma, erişim engellendi hatasıyla başarısız olur. NTLM parola eşitlemesini devre dışı bırakırsanız ve uygulamanız veya hizmetiniz beklendiği gibi çalışmıyorsa, > olay ayrıntılarında kimlik doğrulama paketi olarak NTLM belirtildiğinde, oturum açma/kapatma Denetim oturum açma olay kategorisi için güvenlik denetimini etkinleştirerek NTLM kimlik doğrulama hatalarının olup olmadığını kontrol edebilirsiniz. daha fazla bilgi için bkz. Azure Active Directory etki alanı hizmetleri için güvenlik denetimlerini etkinleştirme.
Etki alanınızı kullanmak için PowerShell 'i kullanın
Gerekirse, Azure PowerShell yükleyip yapılandırın. Bağlan-azaccount cmdlet 'ini kullanarak Azure aboneliğinizde oturum açın.
Ayrıca gerekirse, Azure AD PowerShell 'i yükleyip yapılandırın. Bağlan-azuread cmdlet 'ini kullanarak Azure AD kiracınızda oturum açmanızı sağlayın.
Zayıf şifre paketlerini ve NTLM kimlik bilgisi karma eşitlemesini devre dışı bırakmak için Azure hesabınızda oturum açın, sonra Get-AzResource cmdlet 'Ini kullanarak Azure AD DS kaynağını alın:
İpucu
Microsoft. AAD/DomainServices kaynağının mevcut olmadığı Get-azresource komutunu kullanarak bir hata alırsanız, tüm Azure aboneliklerini ve Yönetim gruplarını yönetmek için erişiminiziyükseltin.
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
Ardından, aşağıdaki güvenlik seçeneklerini yapılandırmak için Domainsecuritysettings tanımlayın:
- NTLM v1 desteğini devre dışı bırakın.
- Şirket içi AD 'nizden NTLM parola karmalarının eşitlemesini devre dışı bırakın.
- TLS v1 'yi devre dışı bırakın.
Önemli
Azure AD DS yönetilen etki alanında NTLM parola karması eşitlemesini devre dışı bıraktığınızda kullanıcılar ve hizmet hesapları LDAP basit bağlamalar gerçekleştiremez. LDAP basit bağlamalar gerçekleştirmeniz gerekirse, aşağıdaki komutta "Syncntlmpasswords" = "devre dışı"; Güvenlik Yapılandırması seçeneğini ayarlayın.
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}
Son olarak, tanımlı güvenlik ayarlarını set-AzResource cmdlet 'ini kullanarak yönetilen etki alanına uygulayın. İlk adımdan Azure AD DS kaynağını ve önceki adımdaki güvenlik ayarlarını belirtin.
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force
Yönetilen etki alanına güvenlik ayarlarının uygulanması birkaç dakika sürer.
Önemli
NTLM 'yi devre dışı bıraktıktan sonra, yönetilen etki alanındaki tüm parola karmalarını kaldırmak için Azure AD Connect ' de tam parola karması eşitlemesi gerçekleştirin. NTLM 'yi devre dışı bırakırsanız ancak parola karması eşitlemesine zorlamazsanız, bir kullanıcı hesabı için NTLM parola karmaları yalnızca bir sonraki parola değişikliğine kaldırılır. Bu davranış, bir kullanıcının kimlik doğrulama yöntemi olarak NTLM 'nin kullanıldığı bir sistemde önbelleğe alınmış kimlik bilgileri varsa oturum açmaya devam etmesine izin verebilir.
NTLM parola karması Kerberos parola karmasından farklıysa, NTLM 'ye geri dönüş çalışmaz. VM 'nin yönetilen etki alanı denetleyicisiyle bağlantısı varsa, önbelleğe alınmış kimlik bilgileri de artık çalışmaz.
Sonraki adımlar
Eşitleme işlemi hakkında daha fazla bilgi edinmek için bkz. nesneleri ve kimlik bilgilerini yönetilen bir etki alanında eşitleme.