Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Meningkatkan konfigurasi keamanan jaringan Microsoft AD AWS Terkelola
Grup AWS Keamanan yang disediakan untuk direktori AWS Microsoft AD Terkelola dikonfigurasi dengan port jaringan masuk minimum yang diperlukan untuk mendukung semua kasus penggunaan yang diketahui untuk direktori AWS Microsoft AD Terkelola Anda. Untuk informasi selengkapnya tentang Grup AWS Keamanan yang disediakan, lihat. Apa yang dibuat dengan Microsoft AD yang AWS Dikelola
Untuk lebih meningkatkan keamanan jaringan direktori Microsoft AD AWS Terkelola, Anda dapat memodifikasi Grup AWS Keamanan berdasarkan skenario umum berikut.
Pengontrol domain pelanggan CIDR - Blok CIDR ini adalah tempat pengontrol domain lokal Anda berada.
Klien pelanggan CIDR - Blok CIDR ini adalah tempat klien Anda seperti komputer atau pengguna mengautentikasi ke AWS Microsoft AD Terkelola Anda. Pengontrol domain Microsoft AD AWS Terkelola Anda juga berada di blok CIDR ini.
Skenario
AWS aplikasi hanya mendukung
Semua akun pengguna hanya disediakan di AWS Microsoft AD Terkelola untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
Anda dapat menggunakan konfigurasi Grup AWS Keamanan berikut untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain Microsoft AD yang AWS Dikelola.
catatan
-
Berikut ini tidak kompatibel dengan konfigurasi Grup AWS Keamanan ini:
-
EC2 Contoh Amazon
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Kepercayaan Direktori Aktif
-
Domain bergabung klien atau server
-
Aturan Masuk
Tidak ada.
Aturan Keluar
Tidak ada.
AWS aplikasi hanya dengan dukungan kepercayaan
Semua akun pengguna disediakan di AWS Microsoft AD yang Dikelola atau Direktori Aktif tepercaya untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
catatan
-
Berikut ini tidak kompatibel dengan konfigurasi Grup AWS Keamanan ini:
-
EC2 Contoh Amazon
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Kepercayaan Direktori Aktif
-
Domain bergabung klien atau server
-
-
Konfigurasi ini mengharuskan Anda untuk memastikan jaringan “pengontrol domain pelanggan CIDR” aman.
-
TCP 445 digunakan untuk pembuatan kepercayaan saja dan dapat dihapus setelah kepercayaan telah ditetapkan.
-
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
Aturan Masuk
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
|---|---|---|---|---|
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
Aturan Keluar
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
|---|---|---|---|---|
| Semua | Semua | Pengontrol domain pelanggan CIDR | Semua Lalu lintas |
AWS aplikasi dan dukungan beban kerja Active Directory asli
Akun pengguna hanya disediakan di AWS Microsoft AD Terkelola untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
-
Amazon Chime
-
Amazon Connect
-
EC2 Contoh Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
catatan
-
Active Directory trust tidak dapat dibuat dan dipertahankan antara direktori Microsoft AD AWS Terkelola dan CIDR pengontrol domain pelanggan.
-
Ini mengharuskan Anda untuk memastikan jaringan “pelanggan klien CIDR” aman.
-
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
-
Jika Anda ingin menggunakan Enterprise CA dengan konfigurasi ini Anda perlu membuat aturan keluar “TCP, 443, CA CIDR”.
Aturan Masuk
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
|---|---|---|---|---|
| TCP & UDP | 53 | Klien pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Klien pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Klien pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 445 | Klien pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP & UDP | 464 | Klien pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 135 | Klien pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Klien pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Klien pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Klien pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 9389 | Klien pelanggan CIDR | SOAP | Layanan web AD DS |
| UDP | 123 | Klien pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| UDP | 138 | Klien pelanggan CIDR | DFSN & NetLogon | DFS, kebijakan grup |
Aturan Keluar
Tidak ada.
AWS aplikasi dan dukungan beban kerja Active Directory asli dengan dukungan kepercayaan
Semua akun pengguna disediakan di AWS Microsoft AD yang Dikelola atau Direktori Aktif tepercaya untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
-
Amazon Chime
-
Amazon Connect
-
EC2 Contoh Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
catatan
-
Ini mengharuskan Anda untuk memastikan jaringan “pengontrol domain pelanggan CIDR” dan “klien pelanggan CIDR” aman.
-
TCP 445 dengan “pengontrol domain pelanggan CIDR” digunakan hanya untuk pembuatan kepercayaan dan dapat dihapus setelah kepercayaan ditetapkan.
-
TCP 445 dengan “klien pelanggan CIDR” harus dibiarkan terbuka karena diperlukan untuk pemrosesan Kebijakan Grup.
-
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
-
Jika Anda ingin menggunakan Enterprise CA dengan konfigurasi ini Anda perlu membuat aturan keluar “TCP, 443, CA CIDR”.
Aturan Masuk
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
|---|---|---|---|---|
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 9389 | Pengontrol domain pelanggan CIDR | SOAP | Layanan web AD DS |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| UDP | 138 | Pengontrol domain pelanggan CIDR | DFSN & NetLogon | DFS, kebijakan grup |
Aturan Keluar
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
|---|---|---|---|---|
| Semua | Semua | Pengontrol domain pelanggan CIDR | Semua Lalu lintas |
