強化 Microsoft Entra Domain Services 受控網域
根據預設,Microsoft Entra Domain Services 可讓您使用 NTLM v1 和 TLS v1 等加密。 某些舊版應用程式可能需要這些加密,但被視為弱式,如果您不需要這些密碼,則可以加以停用。 如果您有使用 Microsoft Entra 連線 的內部部署混合式連線,您也可以停用 NTLM 密碼哈希的同步處理。
本文說明如何使用下列設定來強化受控網域:
- 停用 NTLM v1 和 TLS v1 加密
- 停用 NTLM 密碼哈希同步處理
- 停用使用 RC4 加密變更密碼的能力
- 啟用 Kerberos 防護
- LDAP 簽署
- LDAP 通道繫結
必要條件
若要完成本文,您需要下列資源:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者,會與內部部署目錄或僅限雲端目錄同步。
- 如有需要, 請建立 Microsoft Entra 租使用者 ,或 建立 Azure 訂用帳戶與您的帳戶的關聯。
- 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
使用安全性設定來強化網域
登入 Azure 入口網站。
搜尋並選取 [Microsoft Entra Domain Services]。
選擇您的受控網域,例如 aaddscontoso.com。
在左側,選取 [安全性設定]。
針對下列設定,按兩下列設定,按兩下列設定,按下列設定,按兩
- 僅限 TLS 1.2 模式
- NTLM v1 驗證
- NTLM 密碼同步處理
- Kerberos RC4 加密
- Kerberos 保護
- LDAP 簽署
- LDAP 通道繫結
為 TLS 1.2 使用量指派 Azure 原則 合規性
除了安全性設定之外,Microsoft Azure 原則 還有合規性設定,可強制執行 TLS 1.2 使用方式。 在指派原則之前,此原則不會有任何影響。 指派原則時,其會出現在 [合規性] 中:
- 如果指派為 稽核,則合規性會報告網域服務實例是否符合規範。
- 如果指派為 Deny,則如果不需要 TLS 1.2,合規性會防止建立 Domain Services 實例,並防止任何更新 Domain Services 實例,直到需要 TLS 1.2 為止。
稽核 NTLM 失敗
停用 NTLM 密碼同步處理可改善安全性,但許多應用程式和服務並非設計為在沒有它的情況下運作。 例如,透過IP位址連線到任何資源,例如 DNS 伺服器管理或 RDP,將會因為拒絕存取而失敗。 如果您停用 NTLM 密碼同步處理,且應用程式或服務未如預期般運作,您可以啟用登入/註銷>稽核登入事件類別的安全性稽核,以檢查 NTLM 驗證失敗,其中 NTLM 會在事件詳細數據中指定為驗證套件。 如需詳細資訊,請參閱 啟用 Microsoft Entra Domain Services 的安全性稽核。
使用 PowerShell 強化網域
如有需要, 請安裝和設定 Azure PowerShell。 務必使用 Connect-AzAccount Cmdlet 登入您的 Azure 訂用帳戶。
此外,如有需要, 請安裝 Microsoft Graph PowerShell SDK。 請務必使用 連線-MgGraph Cmdlet 登入 Microsoft Entra 租使用者。
若要停用弱式加密套件和 NTLM 認證哈希同步處理,請登入您的 Azure 帳戶,然後使用 Get-AzResource Cmdlet 取得 Domain Services 資源:
提示
如果您使用 Get-AzResource 命令收到錯誤,指出 Microsoft.AAD/DomainServices 資源不存在,請提高存取權來管理所有 Azure 訂用帳戶和管理群組。
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
接下來,定義 DomainSecurity 設定 以設定下列安全性選項:
- 停用 NTLM v1 支援。
- 停用從內部部署 AD 同步處理 NTLM 密碼哈希。
- 停用 TLS v1。
重要
如果您在 Domain Services 受控網域中停用 NTLM 密碼哈希同步處理,則使用者和服務帳戶無法執行 LDAP 簡單系結。 如果您需要執行 LDAP 簡單系結,請勿在下列命令中設定 「SyncNtlmPasswords」=“Disabled”; 安全性組態選項。
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}
最後,使用 Set-AzResource Cmdlet 將定義的安全性設定套用至受控網域。 從第一個步驟指定 Domain Services 資源,以及上一個步驟的安全性設定。
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force
將安全性設定套用至受控網域需要一些時間。
重要
停用 NTLM 之後,請在 Microsoft Entra 連線 中執行完整密碼哈希同步處理,以從受控網域移除所有密碼哈希。 如果您停用 NTLM 但未強制密碼哈希同步,則只會在下一個密碼變更時移除用戶帳戶的 NTLM 密碼哈希。 如果使用者已在NTLM做為驗證方法的系統上快取認證,則此行為可讓用戶繼續登入。
一旦 NTLM 密碼哈希與 Kerberos 密碼哈希不同,則後援 NTLM 將無法運作。 如果 VM 已連線到受控域控制器,則快取認證也無法再運作。
下一步
若要深入瞭解同步處理程式,請參閱 如何在受控網域中同步處理對象和認證。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應