As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Aprimorando sua configuração de segurança de rede AWS gerenciada do Microsoft AD
O Grupo AWS de Segurança provisionado para o diretório Managed AWS Microsoft AD é configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos do seu diretório Managed AWS Microsoft AD. Para obter mais informações sobre o Grupo de AWS Segurança provisionado, consulte. O que é criado com o AWS Managed Microsoft AD
Para aprimorar ainda mais a segurança de rede do seu diretório AWS gerenciado do Microsoft AD, você pode modificar o Grupo de AWS Segurança com base nos seguintes cenários comuns.
Controladores de domínio do cliente CIDR - Esse bloco CIDR é onde residem os controladores de domínio locais do seu domínio.
CIDR do cliente - Esse bloco CIDR é onde seus clientes, como computadores ou usuários, se autenticam no seu AWS Microsoft AD gerenciado. Seus controladores de domínio AWS gerenciados do Microsoft AD também residem nesse bloco CIDR.
Cenários
AWS suporte somente para aplicativos
Todas as contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
Você pode usar a seguinte configuração AWS de grupo de segurança para bloquear todo o tráfego não essencial para seus controladores de domínio AWS gerenciados do Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
Regras de entrada
Nenhum.
Regras de saída
Nenhum.
AWS aplicativos somente com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
-
Essa configuração exige que você garanta que a rede de “controladores de domínio do cliente CIDR” esteja segura.
-
O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | Controladores de domínio do cliente CIDR | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | Controladores de domínio do cliente CIDR | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | Controladores de domínio do cliente CIDR | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | Controladores de domínio do cliente CIDR | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | Controladores de domínio do cliente CIDR | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | Controladores de domínio do cliente CIDR | Replicação | RPC, EPM |
| TCP | 636 | Controladores de domínio do cliente CIDR | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | Controladores de domínio do cliente CIDR | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | Controladores de domínio do cliente CIDR | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | Controladores de domínio do cliente CIDR | Horário do Windows | Horário do Windows, confianças |
Regras de saída
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de domínio do cliente CIDR | Todo o tráfego |
AWS aplicativos e suporte nativo à carga de trabalho do Active Directory
As contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
Active Directory relações de confiança não podem ser criadas e mantidas entre o diretório AWS gerenciado do Microsoft AD e os controladores de domínio do cliente CIDR.
-
Isso exige que você garanta que a rede “CIDR cliente-cliente” esteja segura.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR do cliente e do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR do cliente e do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR do cliente e do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR do cliente e do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR do cliente e do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR do cliente e do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR do cliente e do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR do cliente e do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR do cliente e do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR do cliente e do cliente | SOAP | Web services do AD DS |
| UDP | 123 | CIDR do cliente e do cliente | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR do cliente e do cliente | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
Nenhum.
AWS aplicativos e suporte nativo à carga de trabalho do Active Directory com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
Isso exige que você garanta que as redes “CIDR de controladores de domínio do cliente” e “CIDR do cliente” estejam seguras.
-
O TCP 445 com os “controladores de domínio do cliente CIDR” é usado somente para criação de confiança e pode ser removido após o estabelecimento da confiança.
-
O TCP 445 com o “CIDR do cliente” deve ser deixado aberto, pois é necessário para o processamento da Política de Grupo.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | Controladores de domínio do cliente CIDR | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | Controladores de domínio do cliente CIDR | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | Controladores de domínio do cliente CIDR | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | Controladores de domínio do cliente CIDR | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | Controladores de domínio do cliente CIDR | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | Controladores de domínio do cliente CIDR | Replicação | RPC, EPM |
| TCP | 636 | Controladores de domínio do cliente CIDR | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | Controladores de domínio do cliente CIDR | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | Controladores de domínio do cliente CIDR | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | Controladores de domínio do cliente CIDR | Horário do Windows | Horário do Windows, confianças |
| TCP e UDP | 53 | Controladores de domínio do cliente CIDR | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | Controladores de domínio do cliente CIDR | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | Controladores de domínio do cliente CIDR | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | Controladores de domínio do cliente CIDR | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | Controladores de domínio do cliente CIDR | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | Controladores de domínio do cliente CIDR | Replicação | RPC, EPM |
| TCP | 636 | Controladores de domínio do cliente CIDR | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | Controladores de domínio do cliente CIDR | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | Controladores de domínio do cliente CIDR | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | Controladores de domínio do cliente CIDR | SOAP | Web services do AD DS |
| UDP | 123 | Controladores de domínio do cliente CIDR | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | Controladores de domínio do cliente CIDR | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de domínio do cliente CIDR | Todo o tráfego |
