共用方式為

強化 Microsoft Entra Domain Services 受控網域

  • 發行項

根據預設,Microsoft Entra Domain Services 可讓您使用 NTLM v1 和 TLS v1 等加密。 某些舊版應用程式可能需要這些加密,但它們強度較弱,而如果您不需這些加密,則也可以加以停用。 如果您有使用 Microsoft Entra Connect 的內部部署混合式連線,您也可以停用 NTLM 密碼雜湊的同步處理。

本文說明如何使用下列設定來強化受控網域,例如:

  • 停用 NTLM v1 和 TLS v1 加密
  • 停用 NTLM 密碼雜湊同步
  • 停用透過 RC4 加密變更密碼的能力
  • 啟用 Kerberos 保護
  • LDAP 簽署
  • LDAP 通道繫結

必要條件

若要完成本文,您需要下列資源:

使用安全性設定來強化您的網域

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [Microsoft Entra Domain Services]

  3. 選擇您的受控網域,例如 aaddscontoso.com

  4. 選取左邊的 [安全性設定]

  5. 針對下列設定,按一下 [啟用] 或 [停用]

    • 僅限 TLS 1.2 模式
    • NTLM v1 驗證
    • NTLM 密碼同步處理
    • Kerberos RC4 加密
    • Kerberos 保護
    • LDAP 簽署
    • LDAP 通道繫結

    停用弱式加密和 NTLM 密碼雜湊同步的安全性設定螢幕擷取畫面

為 TLS 1.2 使用量指派 Azure 原則合規性

除了安全性設定以外,Microsoft Azure 原則合規性設定以強制使用 TLS 1.2 使用量。 原則在指派之前不會有任何影響。 指派原則時,它會出現在 [合規性] 中:

  • 如果指派為稽核,則合規性會報告 Domain Services 執行個體是否符合規範。
  • 如果指派為拒絕,則合規性會防止在不需要 TLS 1.2 時建立 Domain Services 執行個體,並防止更新 Domain Services 執行個體,直到需要 TLS 1.2 為止。

合規性設定的螢幕擷取畫面

稽核 NTLM 失敗

雖然停用 NTLM 密碼同步處理可改善安全性,但許多應用程式和服務的設計並不適合在沒有它的情況下運作。 例如,透過其 IP 位址連線到任何資源,如 DNS 伺服器管理或 RDP,將會失敗並拒絕存取。 如果您停用 NTLM 密碼同步處理,而且您的應用程式或服務未如預期運作,您可以藉由啟用 [登入/登出]>[稽核登入] 事件類別的安全性稽核,其中 NTLM 會在事件詳細資料中指定為驗證套件,以檢查 NTLM 驗證失敗。 如需詳細資訊,請參閱啟用 Microsoft Entra Domain Services 的安全性稽核

使用 PowerShell 以強化您的網域

如有需要,請安裝和設定 Azure PowerShell。 務必使用 Connect-AzAccount Cmdlet 登入您的 Azure 訂用帳戶。

此外,安裝 Microsoft Graph PowerShell SDK。 確保使用 Connect-MgGraph Cmdlet 登入您的 Microsoft Entra 租用戶。

若要停用弱式加密套件和 NTLM 認證雜湊同步處理,請登入您的 Azure 帳戶,然後使用 Get-AzResource Cmdlet,取得 Domain Services 資源:

提示

如果您使用 Microsoft.AAD/DomainServices 資源不存在的 Get-AzResource Command,請提高管理所有 Azure 訂閱和管理群組的存取權

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

接著,定義 DomainSecuritySettings,以設定下列安全性選項:

  1. 停用 NTLM v1 支援。
  2. 從您的內部部署 AD 停用 NTLM 密碼雜湊同步處理。
  3. 停用 TLS v1。
  4. 停用 Kerberos RC4 加密。
  5. 啟用 Kerberos 防護。

重要

如果您在 Domain Services 受控網域中停用 NTLM 密碼雜湊同步處理,使用者和服務帳戶就無法執行 LDAP 簡單繫結。 如果您需要執行 LDAP 簡單繫結,請勿在下列命令中設定 "SyncNtlmPasswords"="Disabled"; 安全性設定選項。

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Enabled"}}

最後,使用 Set-AzResource Cmdlet,將定義的安全性設定套用至受控網域。 從第一個步驟指定 Domain Services 資源,以及上一個步驟的安全性設定。

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

將安全性設定套用至受控網域需要一些時間。

重要

停用 NTLM 之後,請在 Microsoft Entra Connect 中執行完整密碼雜湊同步處理,以從受控網域移除所有密碼雜湊。 如果您停用 NTLM,但不強制密碼雜湊同步處理,則只會在下一個密碼變更時,移除使用者帳戶的 NTLM 密碼雜湊。 如果使用者已在使用 NTLM 做為驗證方法的系統上快取認證,此行為可讓使用者繼續登入。

一旦 NTLM 密碼雜湊與 Kerberos 密碼雜湊不同,遞補至 NTLM 將無法運作。 如果 VM 已連線到受控網域控制站,快取的認證也不會再運作。

下一步

若要深入了解同步處理程序,請參閱受控網域中的物件和認證如何同步