Sicherheitseinstellungen für AWS verwaltete Microsoft AD-Verzeichnisse bearbeiten - AWS Directory Service
Sicherheitseinstellungen für Verzeichnisse bearbeitenFehlgeschlagene Sicherheitseinstellungen für VerzeichnisseListe der Verzeichnis-Sicherheitseinstellungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitseinstellungen für AWS verwaltete Microsoft AD-Verzeichnisse bearbeiten

Sie können detaillierte Verzeichniseinstellungen für Ihr AWS verwaltetes Microsoft AD konfigurieren, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne die betriebliche Arbeitslast zu erhöhen. In den Verzeichniseinstellungen können Sie die Secure-Channel-Konfiguration für die in Ihrem Verzeichnis verwendeten Protokolle und Codes aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne ältere Verschlüsselungen wie RC4 oder und Protokolle wie 2.0/3.0 und DES 1.0/1.1 zu deaktivieren. SSL TLS AWS Managed Microsoft AD stellt die Konfiguration dann auf allen Domänencontrollern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domänencontrollern und behält diese Konfiguration bei, wenn Sie sie skalieren oder weitere bereitstellen. AWS-Regionen Alle verfügbaren Einstellungen finden Sie unter Liste der Verzeichnis-Sicherheitseinstellungen.

Sicherheitseinstellungen für Verzeichnisse bearbeiten

Sie können die Einstellungen für jedes Ihrer Verzeichnisse konfigurieren und bearbeiten.

Um Verzeichniseinstellungen zu bearbeiten

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service Service-Konsole unterhttps://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

  3. Suchen Sie unter Netzwerk und Sicherheit nach Verzeichniseinstellungen und wählen Sie dann Einstellungen bearbeiten aus.

  4. Ändern Sie unter Einstellungen bearbeiten den Wert für die Einstellungen, die Sie bearbeiten möchten. Wenn Sie eine Einstellung bearbeiten, ändert sich ihr Status von Standard auf Bereit zur Aktualisierung. Wenn Sie die Einstellung bereits bearbeitet haben, ändert sich ihr Status von Aktualisiert in Bereit zur Aktualisierung. Wählen Sie dann Überprüfen aus.

  5. Unter Einstellungen überprüfen und aktualisieren sehen Sie sich den Abschnitt Verzeichniseinstellungen an und stellen Sie sicher, dass alle neuen Werte korrekt sind. Wenn Sie weitere Änderungen an Ihren Einstellungen vornehmen möchten, wählen Sie Einstellungen bearbeiten. Wenn Sie mit Ihren Änderungen zufrieden sind und bereit sind, die neuen Werte zu implementieren, wählen Sie Einstellungen aktualisieren. Anschließend kehren Sie zur Verzeichnis-ID-Seite zurück.

    Anmerkung

    Unter Verzeichniseinstellungen können Sie den Status Ihrer aktualisierten Einstellungen einsehen. Während die Einstellungen implementiert werden, wird im Status die Meldung Wird aktualisiert angezeigt. Sie können keine anderen Einstellungen bearbeiten, solange für eine Einstellung unter Status die Option Wird aktualisiert angezeigt wird. Der Status zeigt Aktualisiert an, wenn die Einstellung mit Ihrer Änderung erfolgreich aktualisiert wurde. Der Status zeigt Fehlgeschlagen an, wenn die Einstellung nicht mit Ihrer Änderung aktualisiert werden kann.

Fehlgeschlagene Sicherheitseinstellungen für Verzeichnisse

Wenn während einer Aktualisierung der Einstellungen ein Fehler auftritt, wird der Status als Fehlgeschlagen angezeigt. Bei einem fehlgeschlagenen Status werden die Einstellungen nicht auf die neuen Werte aktualisiert, und die ursprünglichen Werte bleiben implementiert. Sie können erneut versuchen, diese Einstellungen zu aktualisieren oder sie auf ihre vorherigen Werte zurückzusetzen.

So beheben Sie fehlgeschlagene Einstellungsaktualisierungen

  • Wählen Sie unter Verzeichniseinstellungen die Option Fehlgeschlagene Einstellungen beheben aus. Führen Sie dann einen der folgenden Schritte aus:

    • Um Ihre Einstellungen auf ihren ursprünglichen Wert vor dem Fehlerstatus zurückzusetzen, wählen Sie Fehlgeschlagene Einstellungen wiederherstellen aus. Wählen Sie dann im Popup-Modal die Option Wiederherstellen.

    • Um erneut zu versuchen, Ihre Verzeichniseinstellungen zu aktualisieren, wählen Sie Fehlgeschlagene Einstellungen erneut versuchen. Wenn Sie weitere Änderungen an Ihren Verzeichniseinstellungen vornehmen möchten, bevor Sie die fehlgeschlagenen Aktualisierungen erneut versuchen, wählen Sie Weiter bearbeiten. Wählen Sie unter Fehlgeschlagene Aktualisierungen überprüfen und erneut versuchen die Option Einstellungen aktualisieren aus.

Liste der Verzeichnis-Sicherheitseinstellungen

Die folgende Liste enthält den Typ, den Einstellungsnamen, den API Namen, mögliche Werte und die Einstellungsbeschreibung für alle verfügbaren Verzeichnissicherheitseinstellungen.

TLS1.2 und AES 256/256 sind die Standardsicherheitseinstellungen für Verzeichnisse, wenn alle anderen Sicherheitseinstellungen deaktiviert sind. Sie können nicht deaktiviert werden.

Typ Einstellungsname APIName Mögliche Werte Beschreibung der Einstellung
Zertifikatsbasierte Authentifizierung Certificate Backdating Compensation CERTIFICATE_BACKDATING_COMPENSATION

Jahre: 0 bis 50

Monate: 0 bis 11

Tage: 0 bis 30

Stunden: 0 bis 23

Minuten: 0 bis 59

Sekunden: 0 bis 59

Geben Sie einen Wert an, der angibt, wie lange ein Zertifikat einem Benutzer in Active Directory vorausgehen kann und noch für die Authentifizierung in Active Directory verwendet werden kann. Der Standardwert beträgt 10 Minuten. Sie können diesen Wert zwischen 1 Sekunde und 50 Jahren einstellen.

Um diese Einstellung zu konfigurieren, müssen Sie den Kompatibilitätstyp für Strong Certificate Binding Enforcement auswählen.

Weitere Informationen finden Sie unter KB5014754 — Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern in der Microsoft-Supportdokumentation.
Certificate Strong Enforcement CERTIFICATE_STRONG_ENFORCEMENT Kompatibilität, vollständige Durchsetzung

Geben Sie einen der folgenden Durchsetzungstypen an:

  • Kompatibilität (Standard): Authentifizierung ist zulässig, wenn ein Zertifikat nicht eindeutig einem Benutzer zugeordnet werden kann. Wenn das Zertifikat älter ist als das Benutzerkonto in Active Directory, müssen Sie auch die Certificate Backdating Compensation festlegen, da andernfalls die Authentifizierung fehlschlägt.

  • Vollständige Durchsetzung: Authentifizierung ist nicht zulässig, wenn ein Zertifikat nicht eindeutig einem Benutzer zugeordnet werden kann. Wenn Sie diesen Durchsetzungstyp wählen, kann die Certificate Backdating Compensation nicht konfiguriert werden.

Weitere Informationen finden Sie unter KB5014754 — Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern in der Microsoft-Supportdokumentation.
Sicherer Kanal: Code AES128/128 AES_128_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die AES 128/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
DES56/56 DES_56_56 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die DES 56/56-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC240/128 RC2_40_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC2 40/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC256/128 RC2_56_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC2 56/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC2128/128 RC2_128_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC2 128/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC440/128 RC4_40_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC4 40/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC456/128 RC4_56_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC4 56/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC464/128 RC4_64_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC4 64/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
RC4128/128 RC4_128_128 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die RC4 128/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
Dreifach 168/168 DES 3 _168_168 DES Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie die Triple DES 168/168-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
Sicherer Kanal: Protokoll PCT 1.0 PCT_1_0 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie das PCT 1.0-Protokoll für sichere Kanalkommunikation (Server und Client) auf den Domänencontrollern in Ihrem Verzeichnis.
SSL2.0 SSL_2_0 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie das SSL 2.0-Protokoll für sichere Kanalkommunikation (Server und Client) auf den Domänencontrollern in Ihrem Verzeichnis.
SSL3.0 SSL_3_0 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie das SSL 3.0-Protokoll für sichere Kanalkommunikation (Server und Client) auf den Domänencontrollern in Ihrem Verzeichnis.
TLS 1.0 TLS_1_0 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie das TLS 1.0-Protokoll für sichere Kanalkommunikation (Server und Client) auf den Domänencontrollern in Ihrem Verzeichnis.
TLS1.1 TLS_1_1 Aktivieren, Deaktivieren Aktivieren oder deaktivieren Sie das TLS 1.1-Protokoll für sichere Kanalkommunikation (Server und Client) auf den Domänencontrollern in Ihrem Verzeichnis.