Microsoft 通过禁用 TLS 版本 1.0 和 1.1 来增强安全性,此举已在 2023 年 11 月 10 日宣布。 虽然尚不清楚 TLS 1.0 和 TLS 1.1 版本的 Microsoft 的实现是否存在漏洞,但 TLS 1.2 或更高版本提供了增强的安全功能,包括完美前向保密和更强的密码套件。 此更改有助于保护客户数据并确保符合行业标准。
Microsoft Entra 域服务支持 TLS 版本 1.0 和 1.1,但它们默认处于禁用状态。 域服务将为 TLS 版本 1.0 和 1.1 使用以下停用路径:
- 域服务将删除禁用仅 TLS 1.2 模式的功能。 仅禁用 TLS 1.2 模式的客户可以启用它。
- 域服务删除禁用仅 TLS 1.2 模式的功能后,客户无法启用或禁用仅 TLS 1.2 模式。
如何在域服务中迁移到仅 TLS 1.2 模式
使用 Azure 门户:
- 在 Azure 门户中,转到域服务实例。
- 转到“安全”设置。
- 如果仅 TLS 1.2 模式设置为 “禁用”,则实例将启用 TLS 版本 1.0 和 1.1。
- 将 TLS 1.2 仅模式设置为 “启用”,然后单击“ 保存”。
这可能需要大约 10 分钟才能完成,因为强制执行域安全更新。
使用 PowerShell:
安装 Az.ADDomainServices 模块:
Install-Module -Name Az.ADDomainServices连接到 Azure 订阅:
Connect-AzAccount -Environment AzureChinaCloud -Subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e检查仅 TLS 1.2 模式的值:
Get-AzADDomainService -DomainSecuritySettingTlsV1如果值为 “已禁用”,则实例符合要求。 如果值为 “已启用”,请继续执行下一步。
若要将值从 “已启用” 更改为 “已禁用”,请获取域服务实例的名称:
Get-AzADDomainService -Name获取域实例所在的资源组名称:
Get-AzADDomainService -ResourceGroupName更新仅 TLS 1.2 模式的值:
Update-AzADDomainService -Name "name" -ResourceGroupName "resourceGroupName" -DomainSecuritySettingTlsV1 Disabled执行域安全更新后,此命令可能需要大约 10 分钟才能完成。
如果上述步骤失败,请打开 Azure 支持请求 以获取更多故障排除帮助。