Een beheerd domein van Microsoft Entra Domain Services beperken
Artikel
Microsoft Entra Domain Services maakt standaard het gebruik van coderingen mogelijk, zoals NTLM v1 en TLS v1. Deze coderingen zijn mogelijk vereist voor sommige oudere toepassingen, maar worden als zwak beschouwd en kunnen worden uitgeschakeld als u ze niet nodig hebt. Als u on-premises hybride connectiviteit hebt met Microsoft Entra Connect, kunt u ook de synchronisatie van NTLM-wachtwoordhashes uitschakelen.
In dit artikel wordt beschreven hoe u een beheerd domein kunt beveiligen met behulp van instellingsinstelling zoals:
NTLM v1- en TLS v1-coderingen uitschakelen
NTLM-wachtwoord-hashsynchronisatie uitschakelen
De mogelijkheid om wachtwoorden te wijzigen met RC4-versleuteling uitschakelen
Kerberos-beveiliging inschakelen
LDAP-ondertekening
LDAP-kanaalbinding
Vereisten
U hebt de volgende resources nodig om dit artikel te voltooien:
Zoek en selecteer Microsoft Entra Domain Services.
Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
Selecteer aan de linkerkant beveiligingsinstellingen.
Klik op Inschakelen of Uitschakelen voor de volgende instellingen:
Alleen TLS 1.2-modus
NTLM v1-verificatie
NTLM-wachtwoordsynchronisatie
Kerberos RC4-versleuteling
Kerberos Armoring
LDAP-ondertekening
LDAP-kanaalbinding
Azure Policy-naleving toewijzen voor TLS 1.2-gebruik
Naast beveiligingsinstellingen heeft Microsoft Azure Policy een nalevingsinstelling om TLS 1.2-gebruik af te dwingen. Het beleid heeft geen invloed totdat het is toegewezen. Wanneer het beleid is toegewezen, wordt het weergegeven in Naleving:
Als de toewijzing Controle is, wordt de naleving rapporteren als het Domain Services-exemplaar compatibel is.
Als de toewijzing Weigeren is, voorkomt de naleving dat een Domain Services-exemplaar wordt gemaakt als TLS 1.2 niet vereist is en geen update naar een Domain Services-exemplaar vereist is tot TLS 1.2 is vereist.
NTLM-fouten controleren
Hoewel het uitschakelen van NTLM-wachtwoordsynchronisatie de beveiliging verbetert, zijn veel toepassingen en services niet ontworpen om er zonder te werken. Als u bijvoorbeeld verbinding maakt met een resource via het IP-adres, zoals DNS-serverbeheer of RDP, mislukt de toegang geweigerd. Als u NTLM-wachtwoordsynchronisatie uitschakelt en uw toepassing of service niet werkt zoals verwacht, kunt u controleren op NTLM-verificatiefouten door beveiligingscontrole in te schakelen voor de gebeurteniscategorie Aanmelding aanmelden/afmelden>, waarbij NTLM is opgegeven als verificatiepakket in de gebeurtenisdetails. Zie Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services voor meer informatie.
PowerShell gebruiken om uw domein te beveiligen
Installeer en configureer Zo nodig Azure PowerShell. Zorg ervoor dat u zich bij uw Azure-abonnement aanmeldt met behulp van de Connect-AzAccount-cmdlet.
Als u zwakke coderingssuites en hashsynchronisatie van NTLM-referenties wilt uitschakelen, meldt u zich aan bij uw Azure-account en haalt u vervolgens de Domain Services-resource op met behulp van de Cmdlet Get-AzResource :
Definieer vervolgens DomainSecuritySettings om de volgende beveiligingsopties te configureren:
Schakel ondersteuning voor NTLM v1 uit.
Schakel de synchronisatie van NTLM-wachtwoordhashes uit vanuit uw on-premises AD.
Schakel TLS v1 uit.
Kerberos RC4-versleuteling uitschakelen.
Kerberos Armoring inschakelen.
Belangrijk
Gebruikers en serviceaccounts kunnen geen eenvoudige LDAP-bindingen uitvoeren als u NTLM-wachtwoord-hashsynchronisatie uitschakelt in het beheerde domein van Domain Services. Als u eenvoudige LDAP-bindingen wilt uitvoeren, moet u de optie SyncNtlmPasswords"="Disabled" niet instellen; beveiligingsconfiguratieoptie in de volgende opdracht.
Pas ten slotte de gedefinieerde beveiligingsinstellingen toe op het beheerde domein met behulp van de cmdlet Set-AzResource . Geef de Domain Services-resource op uit de eerste stap en de beveiligingsinstellingen uit de vorige stap.
Het duurt even voordat de beveiligingsinstellingen worden toegepast op het beheerde domein.
Belangrijk
Nadat u NTLM hebt uitgeschakeld, voert u een volledige wachtwoord-hashsynchronisatie uit in Microsoft Entra Connect om alle wachtwoordhashes uit het beheerde domein te verwijderen. Als u NTLM uitschakelt, maar geen wachtwoordhashsynchronisatie afdwingen, worden NTLM-wachtwoordhashes voor een gebruikersaccount alleen verwijderd bij de volgende wachtwoordwijziging. Met dit gedrag kan een gebruiker zich blijven aanmelden als ze referenties in de cache hebben opgeslagen in een systeem waarin NTLM wordt gebruikt als verificatiemethode.
Zodra de hash van het NTLM-wachtwoord verschilt van de Kerberos-wachtwoord-hash, werkt terugval naar NTLM niet meer. Referenties in de cache werken ook niet meer als de VIRTUELE machine verbinding heeft met de beheerde domeincontroller.
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.
Meer informatie over hoe het synchronisatieproces werkt tussen Microsoft Entra ID of een on-premises omgeving naar een door Microsoft Entra Domain Services beheerd domein.
In deze zelfstudie leert u hoe u wachtwoord-hashsynchronisatie inschakelt met behulp van Microsoft Entra Verbinding maken naar een door Microsoft Entra Domain Services beheerd domein.
Meer informatie over het gebruik van het Microsoft Entra-beheercentrum voor het configureren van bereiksynchronisatie van Microsoft Entra ID naar een door Microsoft Entra Domain Services beheerd domein
In deze zelfstudie leert u hoe u een door Microsoft Entra Domain Services beheerd domein maakt en configureert met behulp van het Microsoft Entra-beheercentrum.
In dit overzicht leert u wat Microsoft Entra Domain Services biedt en hoe u deze in uw organisatie kunt gebruiken om identiteitsservices te bieden aan toepassingen en services in de cloud.
In deze zelfstudie leert u hoe u een virtuele Windows-machine maakt en configureert die u gebruikt voor het beheren van door Microsoft Entra Domain Services beheerd domein.