Rafforzare la protezione avanzata di un dominio gestito di Microsoft Entra Domain Services

Per impostazione predefinita, Microsoft Entra Domain Services abilita l'uso di crittografie come NTLM v1 e TLS v1. Queste crittografie possono essere necessarie per alcune applicazioni legacy, ma sono considerate deboli e devono essere disabilitate se non sono necessarie. Se si dispone di connettività ibrida locale con Microsoft Entra Connect, è anche possibile disabilitare la sincronizzazione degli hash delle password NTLM.

Questo articolo illustra come rafforzare la protezione avanzata di un dominio gestito usando impostazioni come:

• Disabilitare le cifrature NTLM v1 e TLS v1
• Disabilitare la sincronizzazione dell'hash delle password NTLM
• Disabilitare la possibilità di modificare le password con la crittografia RC4
• Abilitare la blindatura Kerberos
• Firma LDAP
• Associazione canale LDAP

Prerequisiti

Per completare questo articolo, sono necessarie le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o con una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Usare impostazioni di sicurezza per rafforzare il dominio

1. Accedere al portale di Azure.

2. Cercare e selezionare Microsoft Entra Domain Services.

3. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

4. Sul lato sinistro selezionare Impostazioni di protezione.

5. Fare clic su Abilita o Disabilita per le impostazioni seguenti:

   • Modalità solo TLS 1.2
   • Autenticazione NTLM v1
   • Sincronizzazione password NTLM
   • Crittografia RC4 Kerberos
   • Blindatura Kerberos
   • Accesso LDAP
   • Collegamento canale LDAP

   

Assegnare la conformità ai criteri di Azure per l'utilizzo di TLS 1.2

Oltre alle Impostazioni di protezione, i Criteri di Microsoft Azure hanno un'impostazione di conformità per applicare l'utilizzo di TLS 1.2. La politica non ha alcun impatto finché non viene assegnata. Quando vengono assegnati i criteri, vengono visualizzati alla voce Conformità:

• Se l'assegnazione è Audit, la conformità segnala se l'istanza di Domain Services è conforme.
• Se l'assegnazione è Nega, la conformità impedirà la creazione di un'istanza di Domain Services se TLS 1.2 non è necessario e impedirà qualsiasi aggiornamento a un'istanza di Domain Services fino a quando non è necessario TLS 1.2.

Controllare gli errori NTLM

Anche se la disabilitazione della sincronizzazione delle password NTLM migliorerà la sicurezza, molte applicazioni e servizi non sono progettati per funzionare senza di questa. Ad esempio, la connessione a qualsiasi risorsa tramite l'indirizzo IP, come la gestione del server DNS o RDP, verrà negata con un messaggio di accesso negato. Se si disabilita la sincronizzazione delle password NTLM e l'applicazione o il servizio non funziona come previsto, è possibile verificare la presenza di errori di autenticazione NTLM abilitando il controllo di sicurezza per la categoria di eventi Accesso/Disconnessione>Controlla accesso, dove NTLM viene specificato come pacchetto di autenticazione nei dettagli dell'evento. Per altre informazioni, vedere Abilitare i controlli della sicurezza per Microsoft Entra Domain Services.

Usare PowerShell per rafforzare la protezione avanzata del dominio

Se necessario, installare e configurare Azure PowerShell. Assicurarsi di accedere alla sottoscrizione di Azure usando il cmdlet Connect-AzAccount.

Se è necessario, installare l'SDK di Microsoft Graph per PowerShell. Assicurarsi di accedere al tenant di Microsoft Entra usando il cmdlet Connect-MgGraph.

Per disabilitare i pacchetti di crittografia deboli e la sincronizzazione dell'hash delle credenziali NTLM, accedere all'account Azure e quindi ottenere la risorsa Domain Services usando il cmdlet Get-AzResource:

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Quindi definire DomainSecuritySettings per configurare le opzioni di sicurezza seguenti:

1. Disabilitare il supporto di NTLM v1.
2. Disabilitare la sincronizzazione degli hash delle password NTLM nel Active Directory locale.
3. Disabilitare TLS v1.
4. Disabilitare la crittografia RC4 Kerberos.
5. Abilitare la blindatura Kerberos.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Enabled"}}

Infine, applicare le impostazioni di sicurezza definite al dominio gestito usando il cmdlet Set-AzResource. Specificare la risorsa Domain Services del primo passaggio e le impostazioni di sicurezza del passaggio precedente.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion "2021-03-01" -Verbose -Force

L'applicazione delle impostazioni di sicurezza al dominio gestito richiede alcuni istanti.

Passaggi successivi

Per altre informazioni sul processo di sincronizzazione, vedere Modalità di sincronizzazione di oggetti e credenziali in un dominio gestito.