本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
增强你的 Microsoft AD AWS 托管网络安全配置
为 AWS 托管 Microsoft AD 目录配置 AWS 的安全组配置了支持托管 Microsoft AD 目录的所有已知用例所需的最小入站网络端口。 AWS 有关已配置 AWS 安全组的更多信息,请参阅随 AWS Managed Microsoft AD 创建的内容。
要进一步增强 AWS 托管 Microsoft AD 目录的网络 AWS 安全,您可以根据以下常见情况修改安全组。
客户域控制器 CIDR-此 CIDR 块是您的域本地域控制器所在的地方。
客户客户端 CIDR-此 CIDR 块是您的客户端(例如计算机或用户)向您的托管 AWS Microsoft AD 进行身份验证的地方。你的 AWS 托管 Microsoft AD 域控制器也位于此 CIDR 块中。
AWS 仅支持应用程序
所有用户帐户仅在您的 AWS 托管 Microsoft AD 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
您可以使用以下 AWS 安全组配置来阻止所有流向 AWS 托管 Microsoft AD 域控制器的非必要流量。
注意
-
以下内容与此 AWS 安全组配置不兼容:
-
亚马逊 EC2 实例
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 信任
-
加入域的客户端或服务器
-
入站规则
无。
出站规则
无。
AWS 仅支持信任的应用程序
所有用户帐户均在您的 AWS 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
-
以下内容与此 AWS 安全组配置不兼容:
-
亚马逊 EC2 实例
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 信任
-
加入域的客户端或服务器
-
-
此配置要求您确保 “客户域控制器 CIDR” 网络是安全的。
-
TCP 445 仅用于创建信任,可在建立信任后删除。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
出站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 客户域控制器 CIDR | 所有流量 |
AWS 应用程序和原生活动目录工作负载支持
仅在您的 AWS 托管 Microsoft AD 中配置用户帐户,以便与支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
亚马逊 EC2 实例
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
-
Active Directory 无法在您的 AWS 托管 Microsoft AD 目录和客户域控制器 CIDR 之间创建和维护信任。
-
它要求您确保 “客户客户端 CIDR” 网络的安全。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
-
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户客户端 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户客户端 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户客户端 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则
无。
AWS 应用程序和本机 Active Directory 工作负载支持,
所有用户帐户均在您的 AWS 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
亚马逊 EC2 实例
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
-
它要求您确保 “客户域控制器 CIDR” 和 “客户客户端 CIDR” 网络是安全的。
-
带有 “客户域控制器 CIDR” 的 TCP 445 仅用于创建信任,建立信任后可以将其删除。
-
带有 “客户客户端 CIDR” 的 TCP 445 应保持打开状态,因为这是处理组策略所必需的。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
-
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户域控制器 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户域控制器 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 客户域控制器 CIDR | 所有流量 |
