Felügyelt Microsoft Entra Domain Services-tartomány megkeményítése

A Microsoft Entra Domain Services alapértelmezés szerint engedélyezi az olyan titkosítások használatát, mint az NTLM v1 és a TLS v1. Előfordulhat, hogy ezek a titkosítások néhány régebbi alkalmazáshoz szükségesek, de gyengenek minősülnek, és letilthatók, ha nincs rájuk szüksége. Ha helyszíni hibrid kapcsolattal rendelkezik a Microsoft Entra Csatlakozás használatával, letilthatja az NTLM-jelszókivonatok szinkronizálását is.

Ez a cikk bemutatja, hogyan lehet megkeményíteni egy felügyelt tartományt olyan beállításokkal, mint például:

• NTLM v1 és TLS v1 titkosítások letiltása
• Az NTLM jelszókivonat-szinkronizálásának letiltása
• Jelszavak módosításának letiltása RC4-titkosítással
• Kerberos-páncélozás engedélyezése
• LDAP-aláírás
• LDAP-csatornakötés

Előfeltételek

A cikk elvégzéséhez a következő erőforrásokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén hozzon létre és konfiguráljon egy Felügyelt Microsoft Entra Domain Services-tartományt.

A biztonsági beállítások használata a tartomány megkeményítéséhez

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Microsoft Entra Domain Services szolgáltatást.

3. Válassza ki a felügyelt tartományt, például aaddscontoso.com.

4. A bal oldalon válassza a Biztonsági beállítások lehetőséget.

5. Kattintson az Engedélyezés vagy Letiltás gombra a következő beállításokhoz:

   • Csak TLS 1.2 mód
   • NTLM v1-hitelesítés
   • NTLM-jelszószinkronizálás
   • Kerberos RC4-titkosítás
   • Kerberos Armoring
   • LDAP-aláírás
   • LDAP-csatornakötés

   

Azure Policy-megfelelőség hozzárendelése TLS 1.2-használathoz

A biztonsági beállítások mellett a Microsoft Azure Policy megfelelőségi beállítással is rendelkezik a TLS 1.2-használat kényszerítéséhez. A szabályzatnak nincs hatása, amíg ki nem rendeli. A szabályzat hozzárendelésekor a megfelelőségben jelenik meg:

• Ha a hozzárendelés naplózás, akkor a megfelelőség jelenti, hogy a Domain Services-példány megfelelő-e.
• Ha a hozzárendelés Megtagadva, a megfelelőség megakadályozza a Domain Services-példány létrehozását, ha a TLS 1.2 nem szükséges, és megakadályozza a tartományi szolgáltatások példányának frissítését mindaddig, amíg a TLS 1.2 nem szükséges.

NTLM-hibák naplózása

Bár az NTLM-jelszó-szinkronizálás letiltása javítja a biztonságot, számos alkalmazás és szolgáltatás nem úgy van kialakítva, hogy nélküle működjön. Ha például az IP-címével (például DNS-kiszolgálókezeléssel vagy RDP-vel) csatlakozik bármely erőforráshoz, a hozzáférés megtagadva lesz. Ha letiltja az NTLM-jelszószinkronizálást, és az alkalmazás vagy szolgáltatás nem a várt módon működik, ellenőrizheti az NTLM hitelesítési hibáit, ha engedélyezi a biztonsági naplózást a Bejelentkezési/Logoff>auditnaplózási eseménykategória esetében, ahol az NTLM hitelesítési csomagként van megadva az esemény részletei között. További információt a Microsoft Entra Domain Services biztonsági naplózásának engedélyezése című témakörben talál.

Tartománya megerősítése a PowerShell használatával

Szükség esetén telepítse és konfigurálja az Azure PowerShellt. Győződjön meg arról, hogy az Csatlakozás-AzAccount parancsmaggal jelentkezik be az Azure-előfizetésbe.

Szükség esetén telepítse a Microsoft Graph PowerShell SDK-t is. Győződjön meg arról, hogy a Csatlakozás-MgGraph parancsmaggal jelentkezik be a Microsoft Entra-bérlőbe.

A gyenge titkosítási csomagok és az NTLM hitelesítőadat-kivonat szinkronizálásának letiltásához jelentkezzen be az Azure-fiókjába, majd kérje le a Domain Services-erőforrást a Get-AzResource parancsmaggal:

Tipp.

Ha a Get-AzResource paranccsal hibaüzenetet kap arról, hogy a Microsoft.AAD/DomainServices erőforrás nem létezik, emelje fel a hozzáférést az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Ezután adja meg a DomainSecurity Gépház a következő biztonsági beállítások konfigurálásához:

1. Tiltsa le az NTLM v1 támogatását.
2. Tiltsa le az NTLM-jelszókivonatok szinkronizálását a helyszíni AD-ből.
3. Tiltsa le a TLS v1-et.

Fontos

A felhasználók és a szolgáltatásfiókok nem hajthatnak végre egyszerű LDAP-kötéseket, ha letiltja az NTLM jelszókivonat-szinkronizálását a domain Services által felügyelt tartományban. Ha egyszerű LDAP-kötéseket kell végrehajtania, ne állítsa be a "SyncNtlmPasswords"="Disabled"; biztonsági konfigurációs beállítást a következő parancsban.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Végül alkalmazza a megadott biztonsági beállításokat a felügyelt tartományra a Set-AzResource parancsmag használatával. Adja meg a Domain Services-erőforrást az első lépésben, valamint az előző lépés biztonsági beállításait.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

A biztonsági beállítások a felügyelt tartományra való alkalmazása néhány percet vesz igénybe.

Fontos

Az NTLM letiltása után végezzen teljes jelszókivonat-szinkronizálást a Microsoft Entra Csatlakozás az összes jelszókivonat eltávolításához a felügyelt tartományból. Ha letiltja az NTLM-et, de nem kényszeríti a jelszókivonat-szinkronizálást, a felhasználói fiókokhoz tartozó NTLM-jelszókivonatok csak a következő jelszómódosításkor lesznek eltávolítva. Ez a viselkedés lehetővé teheti, hogy a felhasználók továbbra is bejelentkezhessenek, ha gyorsítótárazott hitelesítő adataik vannak egy olyan rendszeren, amelyben az NTLM-et használják hitelesítési módszerként.

Ha az NTLM jelszókivonata eltér a Kerberos-jelszókivonattól, az NTLM-be való visszalépés nem fog működni. A gyorsítótárazott hitelesítő adatok akkor sem működnek, ha a virtuális gép rendelkezik kapcsolattal a felügyelt tartományvezérlővel.

Következő lépések

A szinkronizálási folyamatról további információt az objektumok és a hitelesítő adatok felügyelt tartományban való szinkronizálásával kapcsolatban talál.