Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheitseinstellungen für AWS verwaltete Microsoft AD-Verzeichnisse bearbeiten
Sie können detaillierte Verzeichniseinstellungen für Ihr AWS verwaltetes Microsoft AD konfigurieren, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne die betriebliche Arbeitslast zu erhöhen. In den Verzeichniseinstellungen können Sie die Secure-Channel-Konfiguration für die in Ihrem Verzeichnis verwendeten Protokolle und Codes aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne ältere Verschlüsselungen wie RC4 oder DES und Protokolle wie SSL 2.0/3.0 und TLS 1.0/1.1 zu deaktivieren. AWS Managed Microsoft AD stellt die Konfiguration dann auf allen Domänencontrollern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domänencontrollern und behält diese Konfiguration bei, wenn Sie sie skalieren oder weitere bereitstellen. AWS-Regionen Alle verfügbaren Einstellungen finden Sie unter [Liste der Verzeichnis-Sicherheitseinstellungen](#list-ds-settings).
## Sicherheitseinstellungen für Verzeichnisse bearbeiten
Sie können die Einstellungen für jedes Ihrer Verzeichnisse konfigurieren und bearbeiten.
**Um Verzeichniseinstellungen zu bearbeiten**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Directory Service Konsole unter. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Suchen Sie unter **Netzwerk und Sicherheit** nach **Verzeichniseinstellungen** und wählen Sie dann **Einstellungen bearbeiten** aus.
1. Ändern Sie unter **Einstellungen bearbeiten** den **Wert** für die Einstellungen, die Sie bearbeiten möchten. Wenn Sie eine Einstellung bearbeiten, ändert sich ihr Status von **Standard** auf **Bereit zur Aktualisierung**. Wenn Sie die Einstellung bereits bearbeitet haben, ändert sich ihr Status von **Aktualisiert** in **Bereit zur Aktualisierung**. Wählen Sie dann **Überprüfen** aus.
1. Unter **Einstellungen überprüfen und aktualisieren** sehen Sie sich den Abschnitt **Verzeichniseinstellungen** an und stellen Sie sicher, dass alle neuen Werte korrekt sind. Wenn Sie weitere Änderungen an Ihren Einstellungen vornehmen möchten, wählen Sie **Einstellungen bearbeiten**. Wenn Sie mit Ihren Änderungen zufrieden sind und bereit sind, die neuen Werte zu implementieren, wählen Sie **Einstellungen aktualisieren**. Anschließend kehren Sie zur Verzeichnis-ID-Seite zurück.
**Anmerkung**
Unter **Verzeichniseinstellungen** können Sie den **Status** Ihrer aktualisierten Einstellungen einsehen. Während die Einstellungen implementiert werden, wird im **Status** die Meldung **Wird aktualisiert** angezeigt. Sie können keine anderen Einstellungen bearbeiten, solange für eine Einstellung unter **Status** die Option **Wird aktualisiert** angezeigt wird. Der **Status** zeigt **Aktualisiert** an, wenn die Einstellung mit Ihrer Änderung erfolgreich aktualisiert wurde. Der **Status** zeigt **Fehlgeschlagen** an, wenn die Einstellung nicht mit Ihrer Änderung aktualisiert werden kann.
## Fehlgeschlagene Sicherheitseinstellungen für Verzeichnisse
Wenn während einer Aktualisierung der Einstellungen ein Fehler auftritt, wird der **Status** als **Fehlgeschlagen** angezeigt. Bei einem fehlgeschlagenen Status werden die Einstellungen nicht auf die neuen Werte aktualisiert, und die ursprünglichen Werte bleiben implementiert. Sie können erneut versuchen, diese Einstellungen zu aktualisieren oder sie auf ihre vorherigen Werte zurückzusetzen.
**So beheben Sie fehlgeschlagene Einstellungsaktualisierungen**
+ Wählen Sie unter **Verzeichniseinstellungen** die Option **Fehlgeschlagene Einstellungen beheben** aus. Führen Sie dann einen der folgenden Schritte aus:
+ Um Ihre Einstellungen auf ihren ursprünglichen Wert vor dem Fehlerstatus zurückzusetzen, wählen Sie **Fehlgeschlagene Einstellungen wiederherstellen** aus. Wählen Sie dann im Popup-Modal die Option **Wiederherstellen**.
+ Um erneut zu versuchen, Ihre Verzeichniseinstellungen zu aktualisieren, wählen Sie **Fehlgeschlagene Einstellungen erneut versuchen**. Wenn Sie weitere Änderungen an Ihren Verzeichniseinstellungen vornehmen möchten, bevor Sie die fehlgeschlagenen Aktualisierungen erneut versuchen, wählen Sie **Weiter bearbeiten**. Wählen Sie unter **Fehlgeschlagene Aktualisierungen überprüfen und erneut versuchen** die Option **Einstellungen aktualisieren** aus.
## Liste der Verzeichnis-Sicherheitseinstellungen
Die folgende Liste enthält den Typ, den Einstellungsnamen, den API-Namen, mögliche Werte und die Einstellungsbeschreibung für alle verfügbaren Verzeichnissicherheitseinstellungen.
TLS 1.2 und AES 256/256 sind die Standardsicherheitseinstellungen für Verzeichnisse, wenn alle anderen Sicherheitseinstellungen deaktiviert sind. Sie können nicht deaktiviert werden.
****
- **Authentifizierungsprotokoll**
- **Einstellungsname:** NTLM V1 / **API-Name:** NTLM\_V1 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die NTLM V1-Authentifizierung für Clients Ihrer Active Directory-Domänencontroller.
- **Einstellungsname:** NTLM Security Support Provider (SSP) -Sitzungssicherheit / **API-Name:** NTLM\_SSP\_SESSION\_SECURITY / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die NTLM-SSP-Sitzungssicherheit, um Verschlüsselung und Signierung für NTLM-Authentifizierungssitzungen auf Ihren Active Directory-Domänencontrollern zu erzwingen.
- **Verschlüsselung**
- **Einstellungsname:** Richtlinie für den FIPS-Algorithmus
- **API-Name:** FIPS\_ALGORITHM\_POLICY
- **Mögliche Werte:** Aktivieren, Deaktivieren
- **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die FIPS-Algorithmusrichtlinie, um FIPS-konforme kryptografische Algorithmen für den Datenschutz in Ihrem Active Directory durchzusetzen.
- **Netzwerkgeschützter Pfad**
- **Einstellungsname:** Gesicherte UNC-Pfade: Netlogon / **API-Name:** UNC\_HARDENED\_PATHS\_NETLOGON / **Mögliche Werte:** Maximale Sicherheit, Nur Identitätsprüfung, Nur Manipulationsschutz, Nur Verschlüsselung, Authentifizierung mit Integrität, Authentifizierung mit Verschlüsselung, Sichere Daten, kein Schutz / **Beschreibung der Einstellung:** Konfigurieren Sie die Sicherheitsanforderungen für UNC-Verbindungen zur NETLOGON-Freigabe.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **Einstellungsname:** UNC-geschützte Pfade: SYSVOL / **API-Name:** UNC\_HARDENED\_PATHS\_SYSVOL / **Mögliche Werte:** Maximale Sicherheit, Nur Identitätsprüfung, Nur Manipulationsschutz, Nur Verschlüsselung, Authentifizierung mit Integrität, Authentifizierung mit Verschlüsselung, Sichere Daten, kein Schutz / **Beschreibung der Einstellung:** Konfigurieren Sie die Sicherheitsanforderungen für UNC-Verbindungen zur SYSVOL-Freigabe.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **Zertifikatsbasierte Authentifizierung**
- **Einstellungsname:** Certificate Backdating Compensation / **API-Name:** CERTIFICATE\_BACKDATING\_COMPENSATION / **Mögliche Werte:** Jahre: 0 bis 50
Monate: 0 bis 11
Tage: 0 bis 30
Stunden: 0 bis 23
Minuten: 0 bis 59
Sekunden: 0 bis 59 / **Beschreibung der Einstellung:** Geben Sie einen Wert an, der angibt, wie lange ein Zertifikat einem Benutzer in Active Directory vorausgehen kann und noch für die Authentifizierung in Active Directory verwendet werden kann. Der Standardwert beträgt 10 Minuten. Sie können diesen Wert zwischen 1 Sekunde und 50 Jahren einstellen.
Um diese Einstellung zu konfigurieren, müssen Sie den **Kompatibilitätstyp** für **Strong Certificate Binding Enforcement** auswählen.
Weitere Informationen finden Sie unter [KB5014754—Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) in der Microsoft-Support-Dokumentation.
- **Einstellungsname:** Certificate Strong Enforcement / **API-Name:** CERTIFICATE\_STRONG\_ENFORCEMENT / **Mögliche Werte:** Kompatibilität, vollständige Durchsetzung / **Beschreibung der Einstellung:** Geben Sie einen der folgenden Durchsetzungstypen an:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
Weitere Informationen finden Sie unter [KB5014754—Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) in der Microsoft-Support-Dokumentation.
- **Sicherer Kanal: Code**
- **Einstellungsname:** AES 128/128 / **API-Name:** AES\_128\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie den AES-128/128-Verschlüsselungscode für die Secure-Channel-Kommunikation zwischen Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** DES 56/56 / **API-Name:** DES\_56\_56 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie den DES-56/56-Verschlüsselungscode für die Secure-Channel-Kommunikation zwischen Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** RC2 40/128 / **API-Name:** RC2\_40\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC2 40/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC2 56/128 / **API-Name:** RC2\_56\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC2 56/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC2 128/128 / **API-Name:** RC2\_128\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC2 128/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC4 40/128 / **API-Name:** RC4\_40\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC4 40/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC4 56/128 / **API-Name:** RC4\_56\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC4 56/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC4 64/128 / **API-Name:** RC4\_64\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC4 64/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** RC4 128/128 / **API-Name:** RC4\_128\_128 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie die RC4 128/128-Verschlüsselungschiffre für die sichere Kanalkommunikation zwischen Domänencontrollern in Ihrem Verzeichnis.
- **Einstellungsname:** Triple DES 168/168 / **API-Name:** 3DES\_168\_168 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie den Triple-DES-168/168-Verschlüsselungscode für die Secure-Channel-Kommunikation zwischen Domain-Controllern in Ihrem Verzeichnis.
- **Sicherer Kanal: Protokoll**
- **Einstellungsname:** PCT 1.0 / **API-Name:** PCT\_1\_0 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie das PCT-1.0-Protokoll für die Secure-Channel-Kommunikation (Server und Client) auf den Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** SSL 2.0 / **API-Name:** SSL\_2\_0 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie das SSL-2.0-Protokoll für die Secure-Channel-Kommunikation (Server und Client) auf den Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** SSL 3.0 / **API-Name:** SSL\_3\_0 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie das SSL-3.0-Protokoll für die Secure-Channel-Kommunikation (Server und Client) auf den Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** TLS 1.0 / **API-Name:** TLS\_1\_0 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie das TLS-1.0-Protokoll für die Secure-Channel-Kommunikation (Server und Client) auf den Domain-Controllern in Ihrem Verzeichnis.
- **Einstellungsname:** TLS 1.1 / **API-Name:** TLS\_1\_1 / **Mögliche Werte:** Aktivieren, Deaktivieren / **Beschreibung der Einstellung:** Aktivieren oder deaktivieren Sie das TLS-1.1-Protokoll für die Secure-Channel-Kommunikation (Server und Client) auf den Domain-Controllern in Ihrem Verzeichnis.