本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
增强你的 Microsoft AD AWS 托管网络安全配置
为 AWS 托管 Microsoft AD 目录配置 AWS 的安全组配置了支持托管 Microsoft AD 目录的所有已知用例所需的最小入站网络端口。 AWS 有关已配置 AWS 安全组的更多信息,请参阅用你的 AWS 托管 Microsoft AD 创建了什么。
要进一步增强 AWS 托管 Microsoft AD 目录的网络 AWS 安全,您可以根据以下常见情况修改安全组。
AWS 仅支持应用程序
所有用户帐户仅在您的 AWS 托管 Microsoft AD 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
您可以使用以下 AWS 安全组配置来阻止所有流向 AWS 托管 Microsoft AD 域控制器的非必要流量。
注意
以下内容与此 AWS 安全组配置不兼容:
亚马逊EC2实例
Amazon FSx
Amazon RDS for My SQL
RDS适用于甲骨文的亚马逊
适用于 Post RDS gre 的亚马逊 SQL
Amaz RDS on SQL 服务器版
WorkSpaces
Active Directory 信任
加入域的客户端或服务器
入站规则
无。
出站规则
无。
AWS 仅支持信任的应用程序
所有用户帐户均在您的 AWS 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
以下内容与此 AWS 安全组配置不兼容:
亚马逊EC2实例
Amazon FSx
Amazon RDS for My SQL
RDS适用于甲骨文的亚马逊
适用于 Post RDS gre 的亚马逊 SQL
Amaz RDS on SQL 服务器版
WorkSpaces
Active Directory 信任
加入域的客户端或服务器
-
此配置要求您确保 “本地CIDR” 网络的安全。
-
TCP445 仅用于创建信任,可在信任建立后删除。
-
TCP只有在使用LDAP过SSL载时才需要 636。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP & UDP | 53 | 本地部署 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP & UDP | 88 | 本地部署 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP & UDP | 389 | 本地部署 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP & UDP | 464 | 本地部署 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 本地部署 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 本地部署 CIDR | 复制 | RPC, EPM |
| TCP | 636 | 本地部署 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 本地部署 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 本地部署 CIDR | LDAPGC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 本地部署 CIDR | Windows 时间 | Windows 时间、信任 |
出站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 本地部署 CIDR | 所有流量 |
AWS 应用程序和原生活动目录工作负载支持
仅在您的 AWS 托管 Microsoft AD 中配置用户帐户,以便与支持的 AWS 应用程序一起使用,例如:
Amazon Chime
Amazon Connect
亚马逊EC2实例
Amazon FSx
Amazon QuickSight
Amazon RDS for My SQL
RDS适用于甲骨文的亚马逊
适用于 Post RDS gre 的亚马逊 SQL
Amaz RDS on SQL 服务器版
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
无法在您的 AWS 托管 Microsoft AD 目录和本地域之间创建和维护 Active Directory 信任。
它要求您确保 “客户端CIDR” 网络的安全。
TCP只有在使用LDAP过SSL载时才需要 636。
如果要使用具有此配置的企业 CA,则需要创建出站规则 “TCP,443,CACIDR”。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP & UDP | 53 | 客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP & UDP | 88 | 客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP & UDP | 389 | 客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP & UDP | 445 | 客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP & UDP | 464 | 客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户端 CIDR | 复制 | RPC, EPM |
| TCP | 636 | 客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户端 CIDR | LDAPGC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户端 CIDR | DFSN & NetLogon | DFS,组策略 |
出站规则
无。
AWS 应用程序和本地活动目录工作负载支持,支持信任支持
所有用户帐户均在您的 AWS 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 AWS 应用程序一起使用,例如:
Amazon Chime
Amazon Connect
亚马逊EC2实例
Amazon FSx
Amazon QuickSight
Amazon RDS for My SQL
RDS适用于甲骨文的亚马逊
适用于 Post RDS gre 的亚马逊 SQL
Amaz RDS on SQL 服务器版
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改已配置 AWS 的安全组配置,以阻止所有流向托管 AWS Microsoft AD 域控制器的非必要流量。
注意
它要求您确保 “本地CIDR” 和 “客户端CIDR” 网络的安全。
TCP带有 “本地CIDR” 的 445 仅用于创建信任,可以在信任建立后删除。
TCP带有 “客户端CIDR” 的 445 应保持打开状态,因为这是处理组策略所必需的。
TCP只有在使用LDAP过SSL载时才需要 636。
如果要使用具有此配置的企业 CA,则需要创建出站规则 “TCP,443,CACIDR”。
入站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP & UDP | 53 | 本地部署 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP & UDP | 88 | 本地部署 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP & UDP | 389 | 本地部署 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP & UDP | 464 | 本地部署 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 本地部署 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 本地部署 CIDR | 复制 | RPC, EPM |
| TCP | 636 | 本地部署 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 本地部署 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 本地部署 CIDR | LDAPGC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 本地部署 CIDR | Windows 时间 | Windows 时间、信任 |
| TCP & UDP | 53 | 客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP & UDP | 88 | 客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP & UDP | 389 | 客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP & UDP | 445 | 客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP & UDP | 464 | 客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户端 CIDR | 复制 | RPC, EPM |
| TCP | 636 | 客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户端 CIDR | LDAPGC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户端 CIDR | DFSN & NetLogon | DFS,组策略 |
出站规则
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 本地部署 CIDR | 所有流量 |
