本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
编辑 AWS Managed Microsoft AD 目录安全设置
您可以为托管 AWS Managed Microsoft AD 配置精细的目录设置,以在不增加运行工作负载的情况下满足您的合规性和安全要求。在目录设置中,您可以更新目录使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个传统密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。AWS然后,Managed Microsoft AD 会将配置部署到目录中的所有域控制器,管理域控制器的重新启动,并在您横向扩展或部署更多 AWS 区域 时保持此配置。有关所有可用设置的详细信息,请参阅 目录安全设置列表。
编辑目录安全设置
您可以配置和编辑任何目录的设置。
编辑目录设置
前往 https://console.aws.amazon.com/directoryservicev2/
,登录到 AWS 管理控制台,打开 AWS Directory Service 控制台。 在目录页面上,选择您的目录 ID。
在网络与安全下,找到目录设置,然后选择编辑设置。
在编辑设置中,更改要编辑的设置的值。编辑设置时,其状态会从默认更改为更新准备就绪。如果您之前编辑过该设置,则其状态将从已更新更改为更新准备就绪。然后选择查看。
在查看和更新设置中,查看目录设置并确保新值全部正确。如果要对设置进行任何其他更改,请选择编辑设置。当您对更改感到满意并准备实施新值时,请选择更新设置。然后,您将返回到目录 ID 页面。
注意
在目录设置下,您可以查看已更新设置的状态。实施设置后,状态将显示为正在更新。当设置在状态下显示为正在更新时,您无法编辑其他设置。如果您的编辑成功更新了设置,则状态将显示为已更新。如果您的编辑无法更新设置,则状态将显示为失败。
目录安全设置失败
如果在设置更新过程中出现错误,则状态将显示为失败。在失败状态下,设置不会更新为新值,且原始值继续实施。您可以重试更新这些设置或将其恢复到以前的值。
解决更新设置失败的问题
在目录设置下,选择解决失败的设置。然后,执行以下操作之一:
要将设置恢复到失败状态之前的原始值,请选择恢复失败的设置。然后,在弹出模式中选择恢复。
要重试更新目录设置,请选择重试失败的设置。如果要在重试失败的更新之前对目录设置进行其他更改,请选择继续编辑。在查看并重试失败的更新中,选择更新设置。
目录安全设置列表
以下列表显示了所有可用目录安全设置的类型、设置名称、API 名称、潜在值和设置描述。
如果禁用了所有其他安全设置,则默认目录安全设置为 TLS 1.2 和 AES 256/256。无法禁用它们。
| 类型 | 设置名称 | API 名称 | 潜在值 | 设置说明 |
|---|---|---|---|---|
| 基于证书的身份验证 | 证书回溯补偿 | CERTIFICATE_BACKDATING_COMPENSATION |
年数:0 到 50 月数:0 到 11 天数:0 到 30 小时数:0 到 23 分钟数:0 到 59 秒数:0 到 59 |
指定一个值,以指示证书可以早于 Active Directory 中的用户并且仍可用于 Active Directory 中的身份验证的时间长度。默认值为 10 分钟。您可以将此值设置为 1 秒到 50 年。 要配置此设置,必须为强证书绑定执行选择兼容性类型。 有关更多信息,请参阅 Microsoft Support 文档中的 KB5014754 - Windows 域控制器上基于证书的身份验证更改 |
| 证书强制执行 | CERTIFICATE_STRONG_ENFORCEMENT | 兼容性,全面执行 | 指定以下任一种执行类型:
有关更多信息,请参阅 Microsoft Support 文档中的 KB5014754 - Windows 域控制器上基于证书的身份验证更改 |
|
| 安全通道:密码 | AES 128/128 | AES_128_128 | 启用,禁用 | 启用或禁用 AES 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 |
| DES 56/56 | DES_56_56 | 启用,禁用 | 启用或禁用 DES 56/56 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC2 40/128 | RC2_40_128 | 启用,禁用 | 启用或禁用 RC2 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC2 56/128 | RC2_56_128 | 启用,禁用 | 启用或禁用 RC2 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC2 128/128 | RC2_128_128 | 启用,禁用 | 启用或禁用 RC2 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC4 40/128 | RC4_40_128 | 启用,禁用 | 启用或禁用 RC4 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC4 56/128 | RC4_56_128 | 启用,禁用 | 启用或禁用 RC4 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC4 64/128 | RC4_64_128 | 启用,禁用 | 启用或禁用 RC4 64/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| RC4 128/128 | RC4_128_128 | 启用,禁用 | 启用或禁用 RC4 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| Triple DES 168/168 | 3DES_168_168 | 启用,禁用 | 启用或禁用 Triple DES 168/168 加密密码,以便在目录中的域控制器之间进行安全的信道通信。 | |
| 安全通道:协议 | PCT 1.0 | PCT_1_0 | 启用,禁用 | 启用或禁用 PCT 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。 |
| SSL 2.0 | SSL_2_0 | 启用,禁用 | 启用或禁用 SSL 2.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。 | |
| SSL 3.0 | SSL_3_0 | 启用,禁用 | 启用或禁用 SSL 3.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。 | |
| TLS 1.0 | TLS_1_0 | 启用,禁用 | 启用或禁用 TLS 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。 | |
| TLS 1.1 | TLS_1_1 | 启用,禁用 | 启用或禁用 TLS 1.1 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。 |
