Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré - AWS Directory Service
Modifier les paramètres de sécurité de l'annuaireÉchec des paramètres de sécurité de l'annuaireListe des paramètres de sécurité de l'annuaire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré

Vous pouvez configurer des paramètres d'annuaire précis pour votre AWS Microsoft AD géré afin de répondre à vos exigences de conformité et de sécurité sans augmenter la charge de travail opérationnelle. Dans les paramètres de l'annuaire, vous pouvez mettre à jour la configuration des canaux sécurisés pour les protocoles et les chiffrements utilisés dans votre annuaire. Par exemple, vous avez la possibilité de désactiver les anciens chiffrements individuels, tels que RC4 ou, et les protocolesDES, tels que SSL 2.0/3.0 et 1.0/1.1. TLS AWS Managed Microsoft AD déploie ensuite la configuration sur tous les contrôleurs de domaine de votre annuaire, gère les redémarrages des contrôleurs de domaine et maintient cette configuration à mesure que vous augmentez ou que vous en déployez d'autres. Régions AWS Pour plus d'informations sur tous les paramètres disponibles, veuillez consulter Liste des paramètres de sécurité de l'annuaire.

Modifier les paramètres de sécurité de l'annuaire

Vous pouvez configurer et modifier les paramètres de n'importe lequel de vos annuaires.

Pour modifier les paramètres de l'annuaire

  1. Connectez-vous à la console AWS de gestion et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Sous Networking & security (Réseau et sécurité), recherchez Directory settings (Paramètres de l'annuaire), puis choisissez Edit settings (Modifier les paramètres).

  4. Dans Edit settings (Modifier les paramètres), modifiez la valeur des paramètres que vous souhaitez modifier. Lorsque vous modifiez un paramètre, son statut passe de Default (Par défaut) à Ready to Update (Prêt pour la mise à jour). Si vous avez déjà modifié le paramètre, son statut passe de Updated (Mis à jour) à Ready to Update (Prêt pour la mise à jour). Choisissez ensuite Review (Examiner).

  5. Dans Review and update setting (Examen et mise à jour des paramètres), veuillez consulter Directory settings (Paramètres de l'annuaire) et assurez-vous que les nouvelles valeurs sont toutes correctes. Si vous souhaitez apporter d'autres modifications à vos paramètres, choisissez Edit settings (Modifier les paramètres). Lorsque vous êtes satisfait de vos modifications et que vous êtes prêt à implémenter les nouvelles valeurs, choisissez Update settings (Mettre à jour les paramètres). Vous êtes ensuite renvoyé à la page d'ID de l'annuaire.

    Note

    Sous Directory settings (Paramètres de l'annuaire), vous pouvez consulter le statut de vos paramètres mis à jour. Lorsque les paramètres sont implémentés, le statut affiche Updating(Mise à jour). Vous ne pouvez pas modifier d'autres paramètres lorsqu'un paramètre affiche la mention Updating (Mise à jour) sous Status (Statut). Le statut affiche la mention Updated (Mis à jour) si le paramètre est correctement mis à jour avec votre modification. Le statut affiche la mention Failed (Échec) si le paramètre ne se met pas à jour avec votre modification.

Échec des paramètres de sécurité de l'annuaire

Si une erreur se produit lors d'une mise à jour des paramètres, le statut affiche la mention Failed (Échec). En cas d'échec, les paramètres ne sont pas mis à jour avec les nouvelles valeurs et les valeurs d'origine restent implémentées. Vous pouvez réessayer de mettre à jour ces paramètres ou rétablir leurs valeurs précédentes.

Pour résoudre l'échec de la mise à jour des paramètres

  • Sous Directory settings (Paramètres de l'annuaire), choisissez Resolve failed settings (Résoudre l'échec de mise à jour des paramètres). Ensuite, effectuez l'une des actions suivantes :

    • Pour rétablir vos paramètres à leur valeur d'origine avant l'échec de mise à jour, choisissez Revert failed settings (Rétablir les paramètres qui n'ont pas pu être mis à jour). Choisissez ensuite Revert (Rétablir) dans la fenêtre contextuelle.

    • Pour réessayer de mettre à jour les paramètres de votre annuaire, choisissez Retry failed settings (Réessayer les paramètres qui n'ont pas pu être mis à jour). Si vous souhaitez apporter des modifications supplémentaires aux paramètres de votre annuaire avant de réessayer les mises à jour qui ont échoué, choisissez Continue editing (Continuer les modifications). Sous Review and retry failed updates (Examiner et réessayer les mises à jour qui ont échoué), choisissez Update settings (Mettre à jour les paramètres).

Liste des paramètres de sécurité de l'annuaire

La liste suivante indique le type, le nom du paramètre, le API nom, les valeurs potentielles et la description du paramètre pour tous les paramètres de sécurité de répertoire disponibles.

TLS1.2 et AES 256/256 sont les paramètres de sécurité de répertoire par défaut si tous les autres paramètres de sécurité sont désactivés. Ils ne peuvent pas être désactivés.

Type Nom du paramètre APInom Valeurs potentielles Description du paramètre
Authentification basée sur des certificats Compensation de l'antidatage des certificats CERTIFICATE_BACKDATING_COMPENSATION

Années : 0 à 50

Mois : 0 à 11

Jours : 0 à 30

Heures : 0 à 23

Minutes : 0 à 59

Secondes : 0 à 59

Spécifiez une valeur indiquant la durée pendant laquelle un certificat peut être antérieur à un utilisateur dans Active Directory et continuer à être utilisé pour l'authentification dans Active Directory. La valeur par défaut est de 10 minutes. Vous pouvez définir cette valeur entre 1 seconde et 50 ans.

Pour configurer ce paramètre, vous devez sélectionner le type de compatibilité pour Strong Certificate Binding Enforce.

Pour plus d'informations, consultez la section KB5014754—Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows dans la documentation Microsoft Support.
Application stricte des certificats CERTIFICATE_STRONG_ENFORCEMENT Compatibilité, Application complète

Spécifiez l'un des types d'application suivants :

  • Compatibilité (par défaut) : l'authentification est autorisée si un certificat ne peut pas être clairement mappé à un utilisateur. Si le certificat est antérieur au compte utilisateur dans Active Directory, vous devez également définir la compensation de l'antidatage des certificats, sinon l'authentification échouera.

  • Application complète : l'authentification n'est pas autorisée si un certificat ne peut pas être clairement mappé à un utilisateur. Si vous choisissez ce type d'application, la compensation de l'antidatage des certificats ne peut pas être configurée.

Pour plus d'informations, consultez la section KB5014754—Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows dans la documentation Microsoft Support.
Canal sécurisé : chiffrement AES128/128 AES_128_128 Activer, Désactiver Activez ou désactivez le chiffrement AES 128/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
DES56/56 DES_56_56 Activer, Désactiver Activez ou désactivez le chiffrement DES 56/56 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC240/128 RC2_40_128 Activer, Désactiver Activez ou désactivez le chiffrement RC2 40/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC256/128 RC2_56_128 Activer, Désactiver Activez ou désactivez le chiffrement RC2 56/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC2128/128 RC2_128_128 Activer, Désactiver Activez ou désactivez le chiffrement RC2 128/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC440/128 RC4_40_128 Activer, Désactiver Activez ou désactivez le chiffrement RC4 40/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC456/128 RC4_56_128 Activer, Désactiver Activez ou désactivez le chiffrement RC4 56/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC464/128 RC4_64_128 Activer, Désactiver Activez ou désactivez le chiffrement RC4 64/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
RC4128/128 RC4_128_128 Activer, Désactiver Activez ou désactivez le chiffrement RC4 128/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
Triple DES 168/168 3 DES _168_168 Activer, Désactiver Activez ou désactivez le chiffrement triple DES 168/168 pour sécuriser les communications entre les contrôleurs de domaine de votre annuaire.
Canal sécurisé : protocole PCT 1.0 PCT_1_0 Activer, Désactiver Activez ou désactivez le protocole PCT 1.0 pour les communications par canal sécurisé (serveur et client) sur les contrôleurs de domaine de votre annuaire.
SSL2,0 SSL_2_0 Activer, Désactiver Activez ou désactivez le protocole SSL 2.0 pour les communications par canal sécurisé (serveur et client) sur les contrôleurs de domaine de votre annuaire.
SSL3,0 SSL_3_0 Activer, Désactiver Activez ou désactivez le protocole SSL 3.0 pour les communications par canal sécurisé (serveur et client) sur les contrôleurs de domaine de votre annuaire.
TLS 1.0 TLS_1_0 Activer, Désactiver Activez ou désactivez le protocole TLS 1.0 pour les communications par canal sécurisé (serveur et client) sur les contrôleurs de domaine de votre annuaire.
TLS1.1 TLS_1_1 Activer, Désactiver Activez ou désactivez le protocole TLS 1.1 pour les communications par canal sécurisé (serveur et client) sur les contrôleurs de domaine de votre annuaire.