AWS Dikelola Microsoft AD - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Dikelola Microsoft AD

AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD) adalah layanan terkelola AWS yang menyediakan solusi Direktori Aktif terkelola berdasarkan Microsoft Windows Server Active Directory Domain Services (AD DS). Pengendali domain yang berjalan di Availability Zone yang berbeda di Region pilihan Anda. Host pemantauan dan pemulihan, replikasi data, snapshot, dan pembaruan perangkat lunak yang secara otomatis dikonfigurasi dan dikelola untuk Anda. Anda dapat mengonfigurasi hubungan kepercayaan antara AWS Managed Microsoft AD di AWS Cloud dan Microsoft Active Directory lokal yang ada. Ini memberi pengguna dan grup akses ke sumber daya di kedua domain dengan menggunakan IAM Identity Center.

Untuk pembatasan akses yang ketat, Anda dapat membuat akun AWS terpisah atau unit organisasi AWS (OU) dalam organisasi Anda untuk layanan identitas seperti Active Directory, termasuk AWS Managed Microsoft AD, dan hanya memberikan akses kepada grup administrator yang sangat terbatas ke akun ini. Secara umum, kami menyarankan Anda memperlakukan Active Directory di AWS dengan cara yang sama seperti Active Directory lokal. Pastikan untuk membatasi akses administratif ke akun AWS, mirip dengan cara Anda membatasi akses ke pusat data fisik. Siapa pun yang memiliki akun AWS yang berisi Active Directory dapat memiliki Active Directory. Untuk informasi selengkapnya, lihat Pertimbangan desain untuk AWS Managed Microsoft AD di whitepaper Layanan Domain Direktori Aktif di AWS.

Saat Anda menggunakan AWS Managed Microsoft AD sharing menggunakan AWS Organizations, Anda harus menerapkan AWS Managed Microsoft AD ke akun Manajemen Org seperti yang ditunjukkan pada diagram berikut.

AWS Mengelola Microsoft AD di akun Manajemen Org

Jika Anda menggunakan berbagi dengan menggunakan metode jabat tangan, di mana akun konsumen menerima permintaan berbagi direktori, Anda dapat menerapkan AWS Managed Microsoft AD ke akun apa pun di dalam atau di luar organisasi Anda di AWS Organizations. Di AWS SRA, AWS Managed Microsoft AD diterapkan di akun Layanan Bersama, seperti yang ditunjukkan pada diagram berikut. Metode berbagi AWS Organizations ini memudahkan untuk berbagi direktori dalam organisasi Anda karena Anda dapat menelusuri dan memvalidasi akun konsumen Active Directory.

AWS Mengelola Microsoft AD di akun Layanan Bersama

Semua layanan AWS mengamati model tanggung jawab bersama. Model ini membagi tanggung jawab AWS Managed Microsoft AD antara AWS dan pelanggan.

Tanggung jawab AWS:

  • Ketersediaan direktori

  • Penambalan direktori dan peningkatan layanan

  • Keamanan infrastruktur direktori

  • Postur keamanan pengontrol domain melalui objek kebijakan grup (GPOs) dan metode lainnya

  • Meningkatkan postur keamanan saat diperlukan; misalnya, untuk depresiasi Server Message Block (SMB) versi 1

  • Manajemen dan pembuatan objek di luar OU pelanggan

Tanggung jawab pelanggan: 

  • Menyetel kebijakan kata sandi berbutir halus untuk pengguna

  • Keamanan objek dalam OU pelanggan

  • Menginisialisasi operasi pemulihan direktori

  • Pembuatan dan keamanan kepercayaan Active Directory

  • Protokol Akses Direktori Ringan (LDAP) sisi server dan sisi klien melalui implementasi SSL

  • Menerapkan otentikasi multi-faktor (MFA)

  • Menonaktifkan sandi dan protokol jaringan lama

Berdasarkan tanggung jawab ini, Anda memiliki pengaruh atas keamanan direktori Anda. Karena AWS menyediakan layanan terkelola, AWS tidak memberikan kontrol penuh kepada pelanggan. Dalam model ini, kontrol keamanan yang Anda kelola lebih kecil cakupannya daripada Active Directory yang dikelola sendiri.

Pertimbangan desain

  • Gunakan kebijakan kata sandi berbutir halus untuk menetapkan kebijakan kata sandi lanjutan. Kebijakan kata sandi default di AWS Managed Microsoft AD menawarkan kompatibilitas dengan praktik ini, tetapi relatif lemah karena panjang kata sandi yang pendek. Kami menyarankan Anda menggunakan kata sandi yang berisi 15 karakter atau lebih sehingga Active Directory tidak akan menyimpan hash LAN Manager (LM) untuk akun Anda. Untuk informasi selengkapnya, lihat dokumentasi Microsoft.

  • Nonaktifkan sandi jaringan dan protokol yang tidak digunakan di AWS Managed Microsoft AD. Untuk detailnya, lihat Mengonfigurasi setelan keamanan direktori dalam dokumentasi AWS Directory Service.

  • Untuk lebih meningkatkan keamanan AWS Managed AD Anda, Anda dapat membatasi port jaringan dan sumber grup keamanan AWS yang dilampirkan ke AWS Managed Microsoft AD Anda. Untuk informasi selengkapnya, lihat Meningkatkan konfigurasi keamanan jaringan AWS Managed Microsoft AD Anda di dokumentasi AWS Directory Service. 

  • Aktifkan penerusan log untuk AWS Managed Microsoft AD Anda. Hal ini memungkinkan AWS Managed Microsoft AD untuk meneruskan log peristiwa keamanan Windows mentah dari pengontrol domain AWS Managed Microsoft AD Anda ke grup CloudWatch log Amazon di akun Anda.

  • Buat objek kebijakan grup (GPO) yang menyangkal jaringan administrator domain dan perusahaan atau hak akses jarak jauh ke akun komputer yang bergabung dengan domain. Untuk informasi selengkapnya, lihat dokumentasi Microsoft untuk pengaturan kebijakan keamanan Tolak masuk secara lokal dan Tolak masuk melalui Layanan Desktop Jarak Jauh.

  • Menerapkan infrastruktur kunci publik (PKI) untuk menerbitkan sertifikat ke pengontrol domain mereka untuk mengenkripsi lalu lintas LDAP. Untuk informasi selengkapnya, lihat postingan blog AWS Cara mengaktifkan LDAPS sisi server untuk direktori AWS Managed Microsoft AD Anda.

  • Untuk membangun hubungan kepercayaan Active Directory dengan AWS Managed Microsoft AD, buat trust hutan. Jenis kepercayaan ini memungkinkan kompatibilitas Kerberos maksimum. Kami menyarankan Anda menggunakan kepercayaan satu arah bila memungkinkan, meskipun beberapa kasus penggunaan memerlukan kepercayaan dua arah. Pilihan lain untuk keamanan kepercayaan adalah mengaktifkan otentikasi selektif pada kepercayaan. Saat Anda mengaktifkan otentikasi selektif, Anda harus mengatur izin Diizinkan untuk Mengautentikasi pada setiap objek komputer yang akan diakses pengguna tepercaya selain izin lain yang diperlukan untuk mengakses objek komputer. Untuk detailnya, lihat postingan blog AWS Semua yang ingin Anda ketahui tentang trust dengan AWS Managed Microsoft AD

  • Setiap penerapan AWS Managed Microsoft AD memiliki akun Active Directory yang disediakan untuk mengelola direktori. Akun ini bernama Admin. Setelah Anda menyebarkan direktori, kami sarankan Anda membuat akun pengguna Active Directory individual untuk setiap orang yang ditinggikan yang perlu mengakses direktori. Setelah Anda membuat akun ini, kami sarankan Anda mengatur kredensyal akun untuk Admin ke kata sandi acak dan menyimpannya untuk skenario break-glass. Jangan gunakan akun bersama atau generik seperti akun Admin untuk administrasi standar. Jika tidak, akan sulit untuk mengaudit direktori.