Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
De forma predeterminada, Microsoft Entra Domain Services habilita el uso de cifrados como NTLM v1 y TLS v1. Estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, pero se consideran débiles y deben deshabilitarse si no los necesita. Si tiene conectividad híbrida local mediante Microsoft Entra Connect, también puede deshabilitar la sincronización de hashes de contraseña NTLM.
En este artículo se muestra cómo proteger un dominio administrado mediante la configuración como:
- Deshabilitar cifrados NTLM v1 y TLS v1
- Deshabilitar la sincronización de hash de contraseña NTLM
- Deshabilitar el cifrado Kerberos RC4 (en proceso de desuso)
- Habilitar el reforzamiento de Kerberos
- Firma LDAP
- Vinculación de canal LDAP
Requisitos previos
Para completar este artículo, necesita los siguientes recursos:
- Una suscripción de Azure activa.
- Si no tiene una suscripción de Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure con su cuenta.
- Un dominio gestionado de los servicios de dominio de Microsoft Entra habilitado y configurado en tu entorno de Microsoft Entra.
- Si es necesario, cree y configure un dominio administrado Microsoft Entra Domain Services.
- Necesita los roles de Microsoft Entra Administrador de aplicaciones y Administrador de grupos en su tenant para modificar la configuración de seguridad de un dominio administrado.
- Necesita el rol Colaborador de Domain Services Azure para modificar la configuración de seguridad de un dominio administrado.
Uso de la configuración de seguridad para reforzar el dominio
Inicie sesión en el portal Azure.
Busque y seleccione Microsoft Entra Domain Services.
Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
En el lado izquierdo, seleccione Configuración de seguridad.
Haga clic en Habilitar o Deshabilitar en las siguientes opciones:
- Modo solo TLS 1.2
- Autenticación NTLM v1
- Sincronización de contraseñas de NTLM
- Cifrado RC4 de Kerberos
- Blindaje de Kerberos
- Firma LDAP
- Vinculación de canal LDAP
Deshabilitación del cifrado Kerberos RC4
La encriptación RC4 para Kerberos está en proceso de quedar obsoleta. Las actualizaciones de seguridad de Windows relacionadas con CVE-2026-20833 desplazan el comportamiento predeterminado de Kerberos KDC a primero AES y reducen el uso de RC4 en fases. A menos que tenga cargas de trabajo, dispositivos o servicios que dependen explícitamente de RC4, debe deshabilitar RC4 de la configuración de seguridad del dominio administrado.
Escala de tiempo de desuso
| Phase | Date | Behavior |
|---|---|---|
| Implementación inicial | martes, 13 de enero de 2026 | Las actualizaciones presentan señales de auditoría y controles de preparación. |
| Aplicación (reversión manual disponible) | Abril de 2026 | El comportamiento predeterminado del KDC de Kerberos cambia a AES primero. Los escenarios dependientes de RC4 pueden iniciar errores a menos que se configuren explícitamente. |
| Aplicación (final) | Julio de 2026 | Las actualizaciones eliminan la compatibilidad con la reversión y mantienen habilitada la aplicación. |
Para obtener más detalles, consulte Cómo gestionar el uso de RC4 por parte del KDC de Kerberos para los cambios en la emisión de tickets de cuentas de servicio relacionados con CVE-2026-20833.
Desactivar RC4 en el portal de Azure
- Inicie sesión en el portal Azure.
- Busque y seleccione Microsoft Entra Domain Services.
- Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
- En el lado izquierdo, seleccione Configuración de seguridad.
- Establezca Cifrado Kerberos RC4 a Deshabilitado.
- Haga clic en Guardar.
Desactivar RC4 con PowerShell
Para deshabilitar RC4 mediante PowerShell, establezca la propiedad KerberosRc4Encryption en Disabled:
$securitySettings = @{"DomainSecuritySettings"=@{"KerberosRc4Encryption"="Disabled"}}
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion "2021-03-01" -Verbose -Force
Advertencia
Antes de deshabilitar RC4, compruebe que ninguna carga de trabajo, dispositivos o cuentas de servicio dependa del cifrado RC4. Puede identificar las dependencias de RC4 habilitando auditorías de seguridad y supervisando los identificadores de eventos de ticket de Kerberos 4768 y 4769. En el caso de las cargas de trabajo que requieren RC4 temporalmente, configure el valor msDS-SupportedEncryptionTypes de la cuenta de servicio afectada para incluir RC4 como se documenta en el artículo de soporte técnico CVE-2026-20833.
Asignar el cumplimiento de la Política de Azure para el uso de TLS 1.2
Además de Configuración de seguridad, Microsoft Azure Policy tiene una configuración Compliance para aplicar el uso de TLS 1.2. La directiva no tiene ningún efecto hasta que se asigna. Cuando se asigna la directiva, aparece en Cumplimiento:
- Si la asignación es Auditar, el cumplimiento notificará si la instancia de Domain Services es compatible.
- Si la asignación es Denegar, el cumplimiento impedirá que se cree una instancia de Domain Services si no se requiere TLS 1.2 e impedirá las actualizaciones a dicha instancia hasta que se exija este protocolo.
Auditoría de errores de NTLM
Aunque deshabilitar la sincronización de contraseñas de NTLM mejorará la seguridad, muchas aplicaciones y servicios no están diseñados para funcionar sin ella. Por ejemplo, al conectarse a cualquier recurso mediante su dirección IP, como la administración de servidores DNS o RDP, se mostrará "Acceso denegado". Si deshabilita la sincronización de contraseñas de NTLM y la aplicación o el servicio no funcionan según lo esperado, puede comprobar los errores de autenticación de NTLM; para ello, habilite la auditoría de seguridad para la categoría de eventos Inicio y cierre de sesión>Auditar inicio de sesión, en la que se especifica NTLM como el Paquete de autenticación en los detalles del evento. Para obtener más información, consulte Habilitar auditorías de seguridad para Microsoft Entra Domain Services.
Uso de PowerShell para reforzar el dominio
Si es necesario, instale y configure Azure PowerShell. Asegúrese de iniciar sesión en la suscripción de Azure mediante el cmdlet Connect-AzAccount.
Además, si es necesario, instale el SDK de PowerShell en Microsoft Graph. Asegúrese de iniciar sesión en el inquilino de Microsoft Entra mediante el cmdlet Connect-MgGraph.
Para deshabilitar los conjuntos de cifrado débiles y la sincronización de hash de credenciales NTLM, inicie sesión en la cuenta de Azure y, a continuación, obtenga el recurso de Domain Services mediante el cmdlet Get-AzResource:
Sugerencia
Si recibe un error con el comando Get-AzResource de que el recurso Microsoft.AAD/DomainServices no existe, eleve su acceso para administrar todas las suscripciones y grupos de administración de Azure.
Login-AzAccount
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"
Luego, defina DomainSecuritySettings para configurar las siguientes opciones de seguridad:
- Deshabilite la compatibilidad con NTLM v1.
- Deshabilitar la sincronización de códigos hash de contraseñas NTLM desde su instancia de Active Directory local.
- Deshabilite TLS v1.
- Deshabilite el cifrado Kerberos RC4.
- Habilite el blindaje de Kerberos.
Importante
Si deshabilita la sincronización de hash de contraseñas de NTML en el dominio administrado de Domain Services, los usuarios y las cuentas de servicio no pueden realizar enlaces simples LDAP. Si necesita realizar vinculaciones simples LDAP, no establezca la opción de configuración de seguridad "SyncNtlmPasswords"="Disabled"; en el siguiente comando.
$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Enabled"}}
Por último, aplique la configuración de seguridad definida al dominio administrado con el cmdlet Set-AzResource. Especifique el recurso de Domain Services del primer paso y la configuración de seguridad del paso anterior.
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion "2021-03-01" -Verbose -Force
La configuración de seguridad tarda unos minutos en aplicarse al dominio administrado.
Importante
Después de deshabilitar NTLM, realice una sincronización de hash de contraseña completa en Microsoft Entra Conectar para quitar todos los hash de contraseña del dominio administrado. Si desactiva NTLM pero no fuerza la sincronización de hash de contraseñas, los valores hash de contraseña de NTLM para una cuenta de usuario solo se eliminarán en el siguiente cambio de contraseña. Este comportamiento podría permitir a un usuario iniciar sesión si las credenciales están almacenadas en caché en un sistema que utiliza NTLM como método de autenticación.
Cuando el hash de contraseña NTLM es diferente al hash de contraseña de Kerberos, recurrir a NTLM no será una alternativa. Las credenciales almacenadas en caché tampoco funcionarán si la máquina virtual tiene conectividad con el controlador de dominio administrado.
Pasos siguientes
Para más información sobre el proceso de sincronización, consulte Cómo sincronizar objetos y credenciales en un dominio administrado.