Megosztás a következőn keresztül:


Felügyelt Microsoft Entra Domain Services-tartomány megkeményítése

A Microsoft Entra Domain Services alapértelmezés szerint engedélyezi az olyan titkosítások használatát, mint az NTLM v1 és a TLS v1. Előfordulhat, hogy ezek a titkosítások néhány régebbi alkalmazáshoz szükségesek, de gyengenek minősülnek, és letilthatók, ha nincs rájuk szüksége. Ha helyszíni hibrid kapcsolattal rendelkezik a Microsoft Entra Csatlakozás használatával, letilthatja az NTLM-jelszókivonatok szinkronizálását is.

Ez a cikk bemutatja, hogyan lehet megkeményíteni egy felügyelt tartományt olyan beállításokkal, mint például:

  • NTLM v1 és TLS v1 titkosítások letiltása
  • Az NTLM jelszókivonat-szinkronizálásának letiltása
  • Jelszavak módosításának letiltása RC4-titkosítással
  • Kerberos-páncélozás engedélyezése
  • LDAP-aláírás
  • LDAP-csatornakötés

Előfeltételek

A cikk elvégzéséhez a következő erőforrásokra van szüksége:

A biztonsági beállítások használata a tartomány megkeményítéséhez

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Microsoft Entra Domain Services szolgáltatást.

  3. Válassza ki a felügyelt tartományt, például aaddscontoso.com.

  4. A bal oldalon válassza a Biztonsági beállítások lehetőséget.

  5. Kattintson az Engedélyezés vagy Letiltás gombra a következő beállításokhoz:

    • Csak TLS 1.2 mód
    • NTLM v1-hitelesítés
    • NTLM-jelszószinkronizálás
    • Kerberos RC4-titkosítás
    • Kerberos Armoring
    • LDAP-aláírás
    • LDAP-csatornakötés

    Screenshot of Security settings to disable weak ciphers and NTLM password hash sync

Azure Policy-megfelelőség hozzárendelése TLS 1.2-használathoz

A biztonsági beállítások mellett a Microsoft Azure Policy megfelelőségi beállítással is rendelkezik a TLS 1.2-használat kényszerítéséhez. A szabályzatnak nincs hatása, amíg ki nem rendeli. A szabályzat hozzárendelésekor a megfelelőségben jelenik meg:

  • Ha a hozzárendelés naplózás, akkor a megfelelőség jelenti, hogy a Domain Services-példány megfelelő-e.
  • Ha a hozzárendelés Megtagadva, a megfelelőség megakadályozza a Domain Services-példány létrehozását, ha a TLS 1.2 nem szükséges, és megakadályozza a tartományi szolgáltatások példányának frissítését mindaddig, amíg a TLS 1.2 nem szükséges.

Screenshot of Compliance settings

NTLM-hibák naplózása

Bár az NTLM-jelszó-szinkronizálás letiltása javítja a biztonságot, számos alkalmazás és szolgáltatás nem úgy van kialakítva, hogy nélküle működjön. Ha például az IP-címével (például DNS-kiszolgálókezeléssel vagy RDP-vel) csatlakozik bármely erőforráshoz, a hozzáférés megtagadva lesz. Ha letiltja az NTLM-jelszószinkronizálást, és az alkalmazás vagy szolgáltatás nem a várt módon működik, ellenőrizheti az NTLM hitelesítési hibáit, ha engedélyezi a biztonsági naplózást a Bejelentkezési/Logoff>auditnaplózási eseménykategória esetében, ahol az NTLM hitelesítési csomagként van megadva az esemény részletei között. További információt a Microsoft Entra Domain Services biztonsági naplózásának engedélyezése című témakörben talál.

Tartománya megerősítése a PowerShell használatával

Szükség esetén telepítse és konfigurálja az Azure PowerShellt. Győződjön meg arról, hogy az Csatlakozás-AzAccount parancsmaggal jelentkezik be az Azure-előfizetésbe.

Szükség esetén telepítse a Microsoft Graph PowerShell SDK-t is. Győződjön meg arról, hogy a Csatlakozás-MgGraph parancsmaggal jelentkezik be a Microsoft Entra-bérlőbe.

A gyenge titkosítási csomagok és az NTLM hitelesítőadat-kivonat szinkronizálásának letiltásához jelentkezzen be az Azure-fiókjába, majd kérje le a Domain Services-erőforrást a Get-AzResource parancsmaggal:

Tipp.

Ha a Get-AzResource paranccsal hibaüzenetet kap arról, hogy a Microsoft.AAD/DomainServices erőforrás nem létezik, emelje fel a hozzáférést az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Ezután adja meg a DomainSecurity Gépház a következő biztonsági beállítások konfigurálásához:

  1. Tiltsa le az NTLM v1 támogatását.
  2. Tiltsa le az NTLM-jelszókivonatok szinkronizálását a helyszíni AD-ből.
  3. Tiltsa le a TLS v1-et.

Fontos

A felhasználók és a szolgáltatásfiókok nem hajthatnak végre egyszerű LDAP-kötéseket, ha letiltja az NTLM jelszókivonat-szinkronizálását a domain Services által felügyelt tartományban. Ha egyszerű LDAP-kötéseket kell végrehajtania, ne állítsa be a "SyncNtlmPasswords"="Disabled"; biztonsági konfigurációs beállítást a következő parancsban.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Végül alkalmazza a megadott biztonsági beállításokat a felügyelt tartományra a Set-AzResource parancsmag használatával. Adja meg a Domain Services-erőforrást az első lépésben, valamint az előző lépés biztonsági beállításait.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

A biztonsági beállítások a felügyelt tartományra való alkalmazása néhány percet vesz igénybe.

Fontos

Az NTLM letiltása után végezzen teljes jelszókivonat-szinkronizálást a Microsoft Entra Csatlakozás az összes jelszókivonat eltávolításához a felügyelt tartományból. Ha letiltja az NTLM-et, de nem kényszeríti a jelszókivonat-szinkronizálást, a felhasználói fiókokhoz tartozó NTLM-jelszókivonatok csak a következő jelszómódosításkor lesznek eltávolítva. Ez a viselkedés lehetővé teheti, hogy a felhasználók továbbra is bejelentkezhessenek, ha gyorsítótárazott hitelesítő adataik vannak egy olyan rendszeren, amelyben az NTLM-et használják hitelesítési módszerként.

Ha az NTLM jelszókivonata eltér a Kerberos-jelszókivonattól, az NTLM-be való visszalépés nem fog működni. A gyorsítótárazott hitelesítő adatok akkor sem működnek, ha a virtuális gép rendelkezik kapcsolattal a felügyelt tartományvezérlővel.

Következő lépések

A szinkronizálási folyamatról további információt az objektumok és a hitelesítő adatok felügyelt tartományban való szinkronizálásával kapcsolatban talál.