Een beheerd domein van Microsoft Entra Domain Services beperken

  • Artikel

Microsoft Entra Domain Services maakt standaard het gebruik van coderingen mogelijk, zoals NTLM v1 en TLS v1. Deze coderingen zijn mogelijk vereist voor sommige oudere toepassingen, maar worden als zwak beschouwd en kunnen worden uitgeschakeld als u ze niet nodig hebt. Als u on-premises hybride connectiviteit hebt met Microsoft Entra Verbinding maken, kunt u ook de synchronisatie van NTLM-wachtwoordhashes uitschakelen.

In dit artikel wordt beschreven hoe u een beheerd domein kunt beveiligen met behulp van instellingsinstelling zoals:

  • NTLM v1- en TLS v1-coderingen uitschakelen
  • NTLM-wachtwoord-hashsynchronisatie uitschakelen
  • De mogelijkheid om wachtwoorden te wijzigen met RC4-versleuteling uitschakelen
  • Kerberos-beveiliging inschakelen
  • LDAP-ondertekening
  • LDAP-kanaalbinding

Vereisten

U hebt de volgende resources nodig om dit artikel te voltooien:

Beveiligingsinstellingen gebruiken om uw domein te beveiligen

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer Microsoft Entra Domain Services.

  3. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.

  4. Selecteer aan de linkerkant beveiligingsinstellingen.

  5. Klik op Inschakelen of Uitschakelen voor de volgende instellingen:

    • Alleen TLS 1.2-modus
    • NTLM v1-verificatie
    • NTLM-wachtwoordsynchronisatie
    • Kerberos RC4-versleuteling
    • Kerberos Armoring
    • LDAP-ondertekening
    • LDAP-kanaalbinding

    Screenshot of Security settings to disable weak ciphers and NTLM password hash sync

Azure Policy-naleving toewijzen voor TLS 1.2-gebruik

Naast beveiligingsinstellingen heeft Microsoft Azure Policy een nalevingsinstelling om TLS 1.2-gebruik af te dwingen. Het beleid heeft geen invloed totdat het is toegewezen. Wanneer het beleid is toegewezen, wordt het weergegeven in Naleving:

  • Als de toewijzing Controle is, wordt de naleving rapporteren als het Domain Services-exemplaar compatibel is.
  • Als de toewijzing Weigeren is, voorkomt de naleving dat een Domain Services-exemplaar wordt gemaakt als TLS 1.2 niet vereist is en geen update naar een Domain Services-exemplaar vereist is tot TLS 1.2 is vereist.

Screenshot of Compliance settings

NTLM-fouten controleren

Hoewel het uitschakelen van NTLM-wachtwoordsynchronisatie de beveiliging verbetert, zijn veel toepassingen en services niet ontworpen om er zonder te werken. Als u bijvoorbeeld verbinding maakt met een resource via het IP-adres, zoals DNS-serverbeheer of RDP, mislukt de toegang geweigerd. Als u NTLM-wachtwoordsynchronisatie uitschakelt en uw toepassing of service niet werkt zoals verwacht, kunt u controleren op NTLM-verificatiefouten door beveiligingscontrole in te schakelen voor de gebeurteniscategorie Aanmelding aanmelden/afmelden>, waarbij NTLM is opgegeven als verificatiepakket in de gebeurtenisdetails. Zie Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services voor meer informatie.

PowerShell gebruiken om uw domein te beveiligen

Installeer en configureer Zo nodig Azure PowerShell. Zorg ervoor dat u zich bij uw Azure-abonnement aanmeldt met behulp van de Connect-AzAccount-cmdlet.

Installeer indien nodig ook de Microsoft Graph PowerShell SDK. Zorg ervoor dat u zich aanmeldt bij uw Microsoft Entra-tenant met behulp van de cmdlet Verbinding maken-MgGraph.

Als u zwakke coderingssuites en hashsynchronisatie van NTLM-referenties wilt uitschakelen, meldt u zich aan bij uw Azure-account en haalt u vervolgens de Domain Services-resource op met behulp van de Cmdlet Get-AzResource :

Tip

Als u een foutmelding krijgt met de opdracht Get-AzResource dat de Resource Microsoft.AAD/DomainServices niet bestaat, verhoogt u uw toegang tot het beheren van alle Azure-abonnementen en -beheergroepen.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Definieer vervolgens DomainSecurity Instellingen om de volgende beveiligingsopties te configureren:

  1. Schakel ondersteuning voor NTLM v1 uit.
  2. Schakel de synchronisatie van NTLM-wachtwoordhashes uit vanuit uw on-premises AD.
  3. Schakel TLS v1 uit.

Belangrijk

Gebruikers en serviceaccounts kunnen geen eenvoudige LDAP-bindingen uitvoeren als u NTLM-wachtwoord-hashsynchronisatie uitschakelt in het beheerde domein van Domain Services. Als u eenvoudige LDAP-bindingen wilt uitvoeren, moet u de optie SyncNtlmPasswords"="Disabled" niet instellen; beveiligingsconfiguratieoptie in de volgende opdracht.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Pas ten slotte de gedefinieerde beveiligingsinstellingen toe op het beheerde domein met behulp van de cmdlet Set-AzResource . Geef de Domain Services-resource op uit de eerste stap en de beveiligingsinstellingen uit de vorige stap.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

Het duurt even voordat de beveiligingsinstellingen worden toegepast op het beheerde domein.

Belangrijk

Nadat u NTLM hebt uitgeschakeld, voert u een volledige wachtwoord-hashsynchronisatie uit in Microsoft Entra Verbinding maken om alle wachtwoordhashes uit het beheerde domein te verwijderen. Als u NTLM uitschakelt, maar geen wachtwoordhashsynchronisatie afdwingen, worden NTLM-wachtwoordhashes voor een gebruikersaccount alleen verwijderd bij de volgende wachtwoordwijziging. Met dit gedrag kan een gebruiker zich blijven aanmelden als ze referenties in de cache hebben opgeslagen in een systeem waarin NTLM wordt gebruikt als verificatiemethode.

Zodra de hash van het NTLM-wachtwoord verschilt van de Kerberos-wachtwoord-hash, werkt terugval naar NTLM niet meer. Referenties in de cache werken ook niet meer als de VIRTUELE machine verbinding heeft met de beheerde domeincontroller.

Volgende stappen

Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domein voor meer informatie over het synchronisatieproces.