Härda en hanterad Domän för Microsoft Entra Domain Services

Som standard möjliggör Microsoft Entra Domain Services användning av chiffer som NTLM v1 och TLS v1. Dessa chiffer kan krävas för vissa äldre program, men anses vara svaga och kan inaktiveras om du inte behöver dem. Om du har en lokal hybridanslutning med Microsoft Entra Anslut kan du också inaktivera synkroniseringen av NTLM-lösenordshashvärden.

Den här artikeln visar hur du härdar en hanterad domän med hjälp av inställningsinställningar som:

  • Inaktivera chiffer för NTLM v1 och TLS v1
  • Inaktivera synkronisering av NTLM-lösenordshash
  • Inaktivera möjligheten att ändra lösenord med RC4-kryptering
  • Aktivera Kerberos-bepansring
  • LDAP-signering
  • LDAP-kanalbindning

Förutsättningar

För att slutföra den här artikeln behöver du följande resurser:

Använda säkerhetsinställningar för att härda din domän

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Microsoft Entra Domain Services.

  3. Välj din hanterade domän, till exempel aaddscontoso.com.

  4. Välj Säkerhetsinställningar till vänster.

  5. Klicka på Aktivera eller Inaktivera för följande inställningar:

    • Endast TLS 1.2-läge
    • NTLM v1-autentisering
    • NTLM-lösenordssynkronisering
    • Kerberos RC4-kryptering
    • Kerberos Armoring
    • LDAP-signering
    • LDAP-kanalbindning

    Screenshot of Security settings to disable weak ciphers and NTLM password hash sync

Tilldela Azure Policy-efterlevnad för TLS 1.2-användning

Förutom säkerhetsinställningar har Microsoft Azure Policy en efterlevnadsinställning för att framtvinga TLS 1.2-användning. Principen har ingen inverkan förrän den har tilldelats. När principen har tilldelats visas den i Efterlevnad:

  • Om tilldelningen är Granskning rapporterar efterlevnaden om Domain Services-instansen är kompatibel.
  • Om tilldelningen nekas förhindrar efterlevnaden att en Domain Services-instans skapas om TLS 1.2 inte krävs och förhindrar alla uppdateringar av en Domain Services-instans tills TLS 1.2 krävs.

Screenshot of Compliance settings

Granska NTLM-fel

Om du inaktiverar NTLM-lösenordssynkronisering förbättras säkerheten, men många program och tjänster är inte utformade för att fungera utan det. Om du till exempel ansluter till en resurs med dess IP-adress, till exempel DNS Server-hantering eller RDP, misslyckas åtkomst nekad. Om du inaktiverar NTLM-lösenordssynkronisering och programmet eller tjänsten inte fungerar som förväntat kan du söka efter NTLM-autentiseringsfel genom att aktivera säkerhetsgranskning för händelsekategorin Inloggning/utloggningsgranskning>, där NTLM anges som autentiseringspaket i händelseinformationen. Mer information finns i Aktivera säkerhetsgranskningar för Microsoft Entra Domain Services.

Använda PowerShell för att härda din domän

Installera och konfigurera Azure PowerShell om det behövs. Kontrollera att du loggar in på din Azure-prenumeration med cmdleten Anslut-AzAccount.

Installera även Microsoft Graph PowerShell SDK om det behövs. Kontrollera att du loggar in på din Microsoft Entra-klientorganisation med hjälp av cmdleten Anslut-MgGraph.

Om du vill inaktivera svaga chiffersviter och hashsynkronisering för NTLM-autentiseringsuppgifter loggar du in på ditt Azure-konto och hämtar sedan Domain Services-resursen med cmdleten Get-AzResource :

Dricks

Om du får ett fel med kommandot Get-AzResource som resursen Microsoft.AAD/DomainServices inte finns, ökar du din åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Definiera sedan DomainSecurity Inställningar för att konfigurera följande säkerhetsalternativ:

  1. Inaktivera stöd för NTLM v1.
  2. Inaktivera synkroniseringen av NTLM-lösenordshashvärden från din lokala AD.
  3. Inaktivera TLS v1.

Viktigt!

Användare och tjänstkonton kan inte utföra enkla LDAP-bindningar om du inaktiverar synkronisering av NTLM-lösenordshash i domäntjänsternas hanterade domän. Om du behöver utföra enkla LDAP-bindningar ska du inte ange alternativet "SyncNtlmPasswords"="Disabled"; security configuration i följande kommando.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Tillämpa slutligen de definierade säkerhetsinställningarna på den hanterade domänen med hjälp av cmdleten Set-AzResource . Ange domäntjänstresursen från det första steget och säkerhetsinställningarna från föregående steg.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

Det tar en stund innan säkerhetsinställningarna tillämpas på den hanterade domänen.

Viktigt!

När du har inaktiverat NTLM utför du en fullständig synkronisering av lösenordshash i Microsoft Entra Anslut för att ta bort alla lösenordshashvärden från den hanterade domänen. Om du inaktiverar NTLM men inte framtvingar en synkronisering av lösenordshash tas NTLM-lösenordshashvärden för ett användarkonto bara bort vid nästa lösenordsändring. Det här beteendet kan göra det möjligt för en användare att fortsätta logga in om de har cachelagrade autentiseringsuppgifter i ett system där NTLM används som autentiseringsmetod.

När NTLM-lösenordshash skiljer sig från Kerberos-lösenordshash fungerar inte återställning till NTLM. Cachelagrade autentiseringsuppgifter fungerar inte längre om den virtuella datorn har anslutning till den hanterade domänkontrollanten.

Nästa steg

Mer information om synkroniseringsprocessen finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.