Härda en Azure Active Directory 域服务 hanterad domän

Som standard möjliggör Azure Active Directory 域服务 (Azure AD DS) användning av chiffer som NTLM v1 och TLS v1. Dessa chiffer kan krävas för vissa äldre program, men de anses vara svaga och kan inaktiveras om du inte behöver dem. Om du har en lokal hybridanslutning med Azure AD Connect kan du också inaktivera synkroniseringen av NTLM-lösenordshashvärden.

Den här artikeln visar hur du härdar en hanterad domän med hjälp av inställningsinställningar som:

  • Inaktivera chiffer för NTLM v1 och TLS v1
  • Inaktivera synkronisering av NTLM-lösenordshash
  • Inaktivera möjligheten att ändra lösenord med RC4-kryptering
  • Aktivera Kerberos-skydd

Krav

För att slutföra den här artikeln behöver du följande resurser:

Använda säkerhetsinställningar för att härda din domän

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Azure AD Domain Services.

  3. Välj din hanterade domän, till exempel aaddscontoso.com.

  4. Välj Säkerhetsinställningar till vänster.

  5. Klicka på Aktivera eller Inaktivera för följande inställningar:

    • Endast TLS 1.2-läge
    • NTLM-autentisering
    • Lösenordssynkronisering från lokal plats
    • NTLM-lösenordssynkronisering från lokal plats
    • RC4-kryptering
    • Kerberos-skydd

    Skärmbild av säkerhetsinställningar för att inaktivera svaga chiffer och synkronisering av NTLM-lösenordshash

Tilldela Azure Policy efterlevnad för TLS 1.2-användning

Förutom säkerhetsinställningar har Microsoft Azure Policy en efterlevnadsinställning för att framtvinga TLS 1.2-användning. Principen har ingen inverkan förrän den har tilldelats. När principen har tilldelats visas den i Efterlevnad:

  • Om tilldelningen är Granskning rapporterar efterlevnaden om Azure AD DS-instansen är kompatibel.
  • Om tilldelningen nekas förhindrar efterlevnaden att en Azure AD DS-instans skapas om TLS 1.2 inte krävs och förhindrar uppdateringar av en Azure AD DS-instans tills TLS 1.2 krävs.

Skärmbild av kompatibilitetsinställningar

Granska NTLM-fel

Även om inaktivering av NTLM-lösenordssynkronisering förbättrar säkerheten, är många program och tjänster inte utformade för att fungera utan det. Om du till exempel ansluter till en resurs med dess IP-adress, till exempel DNS-serverhantering eller RDP, misslyckas åtkomst nekad. Om du inaktiverar NTLM-lösenordssynkronisering och programmet eller tjänsten inte fungerar som förväntat kan du söka efter NTLM-autentiseringsfel genom att aktivera säkerhetsgranskning för händelsekategorin Inloggning/utloggningsgranskning>, där NTLM anges som autentiseringspaket i händelseinformationen. Mer information finns i Aktivera säkerhetsgranskningar för Azure Active Directory 域服务.

Använda PowerShell för att härda din domän

Installera och konfigurera Azure PowerShell om det behövs. Se till att du loggar in på din Azure-prenumeration med cmdleten Connect-AzAccount .

Installera och konfigurera även Azure AD PowerShell om det behövs. Se till att du loggar in på din Azure AD klientorganisation med hjälp av cmdleten Connect-AzureAD.

Om du vill inaktivera svaga chiffersviter och hashsynkronisering av NTLM-autentiseringsuppgifter loggar du in på ditt Azure-konto och hämtar sedan Azure AD DS-resursen med cmdleten Get-AzResource:

Tips

Om du får ett fel med kommandot Get-AzResource som Microsoft. AAD/DomainServices-resursen finns inte, öka din åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Definiera sedan DomainSecuritySettings för att konfigurera följande säkerhetsalternativ:

  1. Inaktivera stöd för NTLM v1.
  2. Inaktivera synkroniseringen av NTLM-lösenordshasher från din lokala AD.
  3. Inaktivera TLS v1.

Viktigt

Användare och tjänstkonton kan inte utföra enkla LDAP-bindningar om du inaktiverar synkronisering av NTLM-lösenordshash i den Azure AD DS-hanterade domänen. Om du behöver utföra enkla LDAP-bindningar ska du inte ange alternativet "SyncNtlmPasswords"="Disabled"; security configuration i följande kommando.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Tillämpa slutligen de definierade säkerhetsinställningarna på den hanterade domänen med hjälp av cmdleten Set-AzResource . Ange den Azure AD DS-resursen från det första steget och säkerhetsinställningarna från föregående steg.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

Det tar en stund innan säkerhetsinställningarna tillämpas på den hanterade domänen.

Viktigt

När du har inaktiverat NTLM utför du en fullständig synkronisering av lösenordshash i Azure AD Anslut för att ta bort alla lösenordshashvärden från den hanterade domänen. Om du inaktiverar NTLM men inte framtvingar synkronisering av lösenordshash tas NTLM-lösenordshashvärden för ett användarkonto bara bort vid nästa lösenordsändring. Det här beteendet kan göra det möjligt för en användare att fortsätta logga in om de har cachelagrade autentiseringsuppgifter i ett system där NTLM används som autentiseringsmetod.

När NTLM-lösenordshash skiljer sig från Kerberos-lösenordshash fungerar inte återställning till NTLM. Cachelagrade autentiseringsuppgifter fungerar inte längre om den virtuella datorn har anslutning till den hanterade domänkontrollanten.

Nästa steg

Mer information om synkroniseringsprocessen finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.