AWS Managed Microsoft AD - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Managed Microsoft AD

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) ist ein von AWS verwalteter Service, der eine verwaltete Active Directory-Lösung bietet, die auf Microsoft Windows Server Active Directory Domain Services (AD DS) basiert. Die Domain-Controller werden in verschiedenen Availability Zones einer Region Ihrer Wahl ausgeführt. Host-Überwachung und Wiederherstellung, Datenreplikation, Snapshots und Software-Updates werden automatisch für Sie konfiguriert und verwaltet. Sie können eine Vertrauensbeziehung zwischen AWS Managed Microsoft AD in der AWS-Cloud und Ihrem vorhandenen lokalen Microsoft Active Directory konfigurieren. Dadurch erhalten Benutzer und Gruppen mithilfe von IAM Identity Center Zugriff auf Ressourcen in beiden Domänen.

Für strikte Zugriffsbeschränkungen können Sie innerhalb Ihrer Organisation ein separates AWS-Konto oder eine AWS-Organisationseinheit (OU) für Identitätsdienste wie Active Directory, einschließlich AWS Managed Microsoft AD, einrichten und nur einer sehr begrenzten Gruppe von Administratoren Zugriff auf dieses Konto gewähren. Im Allgemeinen empfehlen wir, Active Directory auf AWS genauso zu behandeln wie das lokale Active Directory. Achten Sie darauf, den administrativen Zugriff auf das AWS-Konto zu beschränken, ähnlich wie Sie den Zugriff auf ein physisches Rechenzentrum einschränken würden. Wer das AWS-Konto besitzt, das Active Directory enthält, kann das Active Directory besitzen. Weitere Informationen finden Sie unter Überlegungen zum Design für AWS Managed Microsoft AD im Whitepaper Active Directory Domain Services on AWS.

Wenn Sie AWS Managed Microsoft AD Sharing mithilfe von AWS Organizations verwenden, müssen Sie AWS Managed Microsoft AD für das Org Management-Konto bereitstellen, wie in der folgenden Abbildung dargestellt.

AWS-verwaltetes Microsoft AD im Org Management-Konto

Wenn Sie das Teilen mithilfe der Handshake-Methode verwenden, bei der Verbraucherkonten die Anfrage zur gemeinsamen Nutzung von Verzeichnissen akzeptieren, können Sie AWS Managed Microsoft AD für jedes Konto innerhalb oder außerhalb Ihrer Organisation in AWS Organizations bereitstellen. In der AWS-SRA wird AWS Managed Microsoft AD im Shared Services-Konto bereitgestellt, wie in der folgenden Abbildung dargestellt. Diese Methode zur gemeinsamen Nutzung von AWS Organizations erleichtert die gemeinsame Nutzung des Verzeichnisses innerhalb Ihrer Organisation, da Sie die Active Directory-Benutzerkonten durchsuchen und überprüfen können.

AWS-verwaltetes Microsoft AD im Shared Services-Konto

Alle AWS-Services folgen einem Modell der gemeinsamen Verantwortung. Dieses Modell verteilt die Verantwortlichkeiten für AWS Managed Microsoft AD zwischen AWS und Kunden.

AWS-Verantwortung:

  • Verfügbarkeit von Verzeichnissen

  • Verzeichnis-Patching und Serviceverbesserungen

  • Sicherheit der Verzeichnisinfrastruktur

  • Sicherheitsstatus von Domänencontrollern mithilfe von Gruppenrichtlinienobjekten (GPOs) und anderen Methoden

  • Verbesserung der Sicherheitslage bei Bedarf, z. B. bei Abschreibung von Server Message Block (SMB) Version 1

  • Verwaltung und Erstellung von Objekten außerhalb der Organisationseinheit des Kunden

Verantwortung des Kunden: 

  • Festlegung detaillierter Passwortrichtlinien für Benutzer

  • Sicherheit von Objekten innerhalb der Organisationseinheit des Kunden

  • Initialisierung eines Verzeichniswiederherstellungsvorgangs

  • Schaffung und Sicherheit von Active Directory-Vertrauen

  • Serverseitige und clientseitige Implementierung des Lightweight Directory Access Protocol (LDAP) über SSL

  • Implementierung der Multi-Faktor-Authentifizierung (MFA)

  • Deaktivierung älterer Netzwerkchiffren und -protokolle

Aufgrund dieser Verantwortlichkeiten haben Sie einen gewissen Einfluss auf die Sicherheit Ihres Verzeichnisses. Da AWS verwaltete Services anbietet, gibt es den Kunden nicht die volle Kontrolle. Bei diesem Modell haben die von Ihnen verwalteten Sicherheitskontrollen einen geringeren Umfang als bei einem selbstverwalteten Active Directory.

Designüberlegungen

  • Verwenden Sie detaillierte Kennwortrichtlinien, um erweiterte Kennwortrichtlinien festzulegen. Die Standard-Passwortrichtlinie in AWS Managed Microsoft AD bietet Kompatibilität mit dieser Methode, ist aber aufgrund der kurzen Passwortlänge relativ schwach. Wir empfehlen, Passwörter zu verwenden, die 15 oder mehr Zeichen enthalten, damit Active Directory keine LAN Manager (LM) -Hashes für Ihr Konto speichert. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

  • Deaktivieren Sie alle ungenutzten Netzwerk- und Protokollchiffren auf AWS Managed Microsoft AD. Einzelheiten finden Sie unter Konfiguration der Verzeichnissicherheitseinstellungen in der Dokumentation zu AWS Directory Service.

  • Um die Sicherheit Ihres AWS Managed AD weiter zu verbessern, können Sie die Netzwerkports und Quellen der AWS-Sicherheitsgruppe einschränken, die mit Ihrem AWS Managed Microsoft AD verbunden ist. Weitere Informationen finden Sie unter Verbessern Sie Ihre Netzwerksicherheitskonfiguration für AWS Managed Microsoft AD in der Dokumentation zu AWS Directory Service. 

  • Aktivieren Sie die Protokollweiterleitung für Ihr AWS Managed Microsoft AD. Auf diese Weise kann AWS Managed Microsoft AD die unformatierten Windows-Sicherheitsereignisprotokolle Ihrer AWS Managed Microsoft AD-Domänencontroller an eine CloudWatch Amazon-Protokollgruppe in Ihrem Konto weiterleiten.

  • Erstellen Sie ein Gruppenrichtlinienobjekt (GPO), das Domänen- und Unternehmensadministratoren Netzwerk- oder Fernzugriffsrechte auf domänengebundene Computerkonten verweigert. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu den Sicherheitsrichtlinieneinstellungen Lokale Anmeldung verweigern und Anmeldung über Remotedesktopdienste verweigern.

  • Implementieren Sie eine Public-Key-Infrastruktur (PKI), um Zertifikate für ihre Domänencontroller auszustellen, um den LDAP-Verkehr zu verschlüsseln. Weitere Informationen finden Sie im AWS-Blogbeitrag So aktivieren Sie serverseitiges LDAPS für Ihr AWS Managed Microsoft AD-Verzeichnis.

  • Um Active Directory-Vertrauensbeziehungen mit AWS Managed Microsoft AD aufzubauen, erstellen Sie eine Gesamtvertrauensstellung. Diese Art von Vertrauen ermöglicht maximale Kerberos-Kompatibilität. Wir empfehlen, wann immer möglich eine unidirektionale Vertrauensstellung zu verwenden, obwohl in einigen Anwendungsfällen eine bidirektionale Vertrauensstellung erforderlich ist. Eine weitere Option für die Vertrauenssicherheit besteht darin, die selektive Authentifizierung für den Trust zu aktivieren. Wenn Sie die selektive Authentifizierung aktivieren, müssen Sie für jedes Computerobjekt, auf das der vertrauenswürdige Benutzer zugreifen kann, zusätzlich zu allen anderen Berechtigungen, die für den Zugriff auf das Computerobjekt erforderlich sind, die Berechtigung zur Authentifizierung zulassen festlegen. Weitere Informationen finden Sie im AWS-Blogbeitrag Alles, was Sie über Trusts mit AWS Managed Microsoft AD wissen wollten

  • Jede AWS Managed Microsoft AD-Bereitstellung verfügt über ein Active Directory-Konto, das für die Verwaltung des Verzeichnisses bereitgestellt wird. Dieses Konto trägt den Namen Admin. Nach der Bereitstellung des Verzeichnisses empfehlen wir, für jede Person, die Zugriff auf das Verzeichnis benötigt, individuelle Active Directory-Benutzerkonten zu erstellen. Nachdem Sie diese Konten erstellt haben, empfehlen wir Ihnen, die Kontoanmeldedaten für den Administrator auf ein zufälliges Passwort festzulegen und dieses für unvorhergesehene Situationen zu speichern. Verwenden Sie keine gemeinsamen oder generischen Konten wie das Administratorkonto für die Standardadministration. Andernfalls wird es schwierig sein, das Verzeichnis zu überprüfen.