Ужесточение управляемого домена доменных служб Microsoft Entra

  • Статья

По умолчанию доменные службы Microsoft Entra позволяют использовать шифры, такие как NTLM версии 1 и TLS версии 1. Эти шифры могут потребоваться для некоторых устаревших приложений, но они считаются ненадежными и их можно отключить за ненадобностью. Если у вас есть локальное гибридное подключение с помощью Microsoft Entra Подключение, можно также отключить синхронизацию хэшей паролей NTLM.

Эта статья содержит сведения о том, как зафиксировать управляемый домен с помощью следующих параметров.

  • Отключение шифров NTLM версии 1 и TLS версии 1
  • Отключение синхронизации хэша паролей NTLM
  • Отключение возможности смены паролей с помощью шифрования RC4
  • Включение защиты Kerberos
  • Подписывания LDAP.
  • Привязка канала LDAP

Необходимые компоненты

Для работы с этой статьей требуются следующие ресурсы:

Использование параметров безопасности для фиксирования домена

  1. Войдите на портал Azure.

  2. Найдите и выберите доменные службы Microsoft Entra.

  3. Выберите нужный управляемый домен, например aaddscontoso.com

  4. Слева выберите пункт Параметры безопасности.

  5. Нажмите кнопку Включить или Отключить для следующих параметров.

    • Только режим TLS 1.2
    • Проверка подлинности NTLM версии 1
    • Синхронизация паролей NTLM
    • Шифрование Kerberos RC4
    • Защита Kerberos
    • Добавление подписи LDAP
    • Привязка канала LDAP

    Screenshot of Security settings to disable weak ciphers and NTLM password hash sync

Назначение соответствия в Политике Azure для использования TLS 1.2

В дополнение к параметрам безопасности Политика Microsoft Azure имеет параметр Соответствие для принудительного использования TLS 1.2. Политика не оказывает влияния, пока не будет назначена. При назначении политика отображается в разделе Соответствие.

  • Если назначение является аудитом, соответствие будет сообщать о том, соответствует ли экземпляр доменных служб.
  • Если назначение запрещено, соответствие будет препятствовать созданию экземпляра доменных служб, если протокол TLS 1.2 не требуется, и предотвратит обновление экземпляра доменных служб до тех пор, пока не потребуется TLS 1.2.

Screenshot of Compliance settings

Аудит сбоев NTLM

Отключение синхронизации паролей NTLM позволяет повысить безопасность, и многим приложениям и службам она не требуется для работы. Например, в подключении к любому ресурсу по его IP-адресу, такому как управление DNS-сервером или RDP, будет отказано. Если синхронизация паролей NTLM отключена и ваше приложение или служба работают не так, как ожидалось, можно проверить наличие ошибок проверки подлинности NTLM, включив аудит безопасности для категории событий Вход в систему/выход из системы>Аудит входа в систему, где в сведениях для параметра Пакет проверки подлинности указано NTLM. Дополнительные сведения см. в разделе "Включение аудита безопасности" для доменных служб Microsoft Entra.

Использование PowerShell для фиксирования домена

При необходимости установите и настройте Azure PowerShell. Войдите в подписку Azure с помощью командлета Connect-AzAccount.

При необходимости установите пакет SDK Microsoft Graph PowerShell. Убедитесь, что вы войдите в клиент Microsoft Entra с помощью командлета Подключение-MgGraph.

Чтобы отключить слабые наборы шифров и синхронизацию хэша учетных данных NTLM, войдите в учетную запись Azure, а затем получите ресурс доменных служб с помощью командлета Get-AzResource :

Совет

Если при использовании команды Get-AzResource появляется сообщение о том, что ресурс Microsoft.AAD/DomainServices не существует, следует повысить уровень доступа до управления всеми подписками и группами управления Azure.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Затем определите параметр DomainSecuritySettings, чтобы настроить перечисленные ниже параметры безопасности.

  1. Отключение поддержки NTLM v1.
  2. отключить синхронизацию хэшей паролей NTLM в локальном экземпляре Active Directory;
  3. Отключение TLS v1.

Внимание

Пользователи и учетные записи служб не могут выполнять простые привязки LDAP, если отключить синхронизацию хэша паролей NTLM в управляемом домене доменных служб. Если необходимо выполнить простые привязки LDAP, не устанавливайте параметр настроек безопасности "SyncNtlmPasswords"="Disabled"; в следующей команде.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Наконец, примените установленные параметры безопасности к управляемому домену с помощью командлета Set-AzResource. Укажите ресурс доменных служб на первом шаге и параметры безопасности из предыдущего шага.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

Для применения параметров безопасности к управляемому домену потребуется несколько секунд.

Внимание

После отключения NTLM выполните полную синхронизацию хэша паролей в Microsoft Entra Подключение, чтобы удалить все хэши паролей из управляемого домена. Если отключить NTLM, но не выполнить принудительную синхронизацию хэша паролей, хэши паролей NTLM для учетной записи пользователя будут удалены только при следующей смене пароля. Из-за этого пользователь может продолжить вход, если учетные данные есть в кэше системы, использующей в качестве метода проверки подлинности NTLM.

Если хэш пароля NTLM отличается от хэша пароля Kerberos, откат к NTLM не будет работать. Кэшированные учетные данные также не работают, если виртуальная машина подключена к контроллеру управляемого домена.

Следующие шаги

Дополнительные сведения о синхронизации см. в статье Синхронизация объектов и учетных данных в управляемом домене.