本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
編輯 AWS Managed Microsoft AD 目錄安全設定
您可以為 AWS Managed Microsoft AD 設定精細目錄設定,以符合您的合規和安全性需求,而不會增加操作工作負載。在目錄設定中,您可以更新目錄中使用的協定和加密方式的安全通道組態。例如,您可以靈活地停用個別舊版密碼,例如 RC4 或 DES,以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。 AWS 受管 Microsoft AD 接著會將組態部署到目錄中的所有網域控制站,管理網域控制站重新啟動,並在橫向擴展或部署其他 時維護此組態 AWS 區域。如需所有可用設定的詳細資訊,請參閱 目錄安全設定清單。
編輯目錄安全設定
您可以設定和編輯任何目錄的設定。
編輯目錄設定
登入 AWS 管理主控台,並在 開啟 Directory Service 主控台https://console.aws.amazon.com/directoryservicev2/
。 在 Directories (目錄) 頁面中,選擇目錄 ID。
在聯網和安全下,找到目錄設定,然後選擇編輯設定。
在編輯設定中,變更要編輯的設定的值。當您編輯設定時,其狀態將從預設變更為準備更新。如果您之前編輯過設定,其狀態將從已更新變更為準備更新。接著選擇檢閱。
在檢閱和更新設定中,請檢查目錄設定並確認新的值均正確無誤。如果您想對設定進行任何其他變更,請選擇編輯設定。當您對變更感到滿意並準備好實作新值時,請選擇更新設定。然後,您會回到目錄 ID 頁面。
注意
在目錄設定下,您可以檢視更新設定的狀態。實作設定時,狀態顯示正在更新。當某項設定的狀態顯示為正在更新時,您無法編輯其他設定。如果設定編輯成功並更新,其狀態將顯示已更新。如果設定無法按照編輯成功更新,其狀態將顯示失敗。
目錄安全設定失敗
如果設定更新期間發生錯誤,狀態將顯示為失敗。在失敗狀態下,設定不會更新為新值,仍保留原始值。您可以重試更新這些設定,或將它們還原為先前的值。
解決更新設定失敗的問題
在目錄設定下,選擇解決失敗的設定。然後執行下列其中一項:
若要將設定還原為失敗狀態之前的原始值,請選擇還原失敗的設定。然後,在彈出的視窗中選擇還原。
若要重試更新目錄設定,請選擇重試失敗的設定。如果您想在重試失敗的更新之前,對目錄設定進行其他變更,請選擇繼續編輯。在檢閱和重試失敗的更新上,選擇更新設定。
目錄安全設定清單
以下清單顯示所有可用目錄安全設定的類型、設定名稱、API 名稱、可能的值和設定描述。
如果停用所有其他安全設定,則 TLS 1.2 和 AES 256/256 是預設目錄安全設定。它們不能被停用。
| Type | 設定名稱 | API 名稱 | 可能的值 | 設定說明 |
|---|---|---|---|---|
| 身分驗證通訊協定 | NTLM V1 | NTLM_V1 | 啟用、停用 | 啟用或停用 Active Directory 網域控制站用戶端的 NTLM V1 身分驗證。 |
| NTLM 安全支援提供者 (SSP) 工作階段安全性 | NTLM_SSP_SESSION_SECURITY | 啟用、停用 | 啟用或停用 NTLM SSP 工作階段安全性,以強制執行 Active Directory 網域控制站中 NTLM 身分驗證工作階段的加密和簽署。 | |
| 加密 | FIPS 演算法政策 | FIPS_ALGORITHM_POLICY | 啟用、停用 | 啟用或停用 FIPS 演算法政策,以強制執行符合 FIPS 規範的密碼編譯演算法,以便在 Active Directory 中進行資料保護。 |
| 網路強化路徑 | UNC 強化路徑:Netlogon | UNC_HARDENED_PATHS_NETLOGON | 最高安全性、僅限身分驗證、僅限竄改保護、僅限加密、完整性驗證、加密身分驗證、安全資料、無保護 | 設定 UNC 連線至 NETLOGON 共用的安全需求。
|
| UNC 強化路徑:SYSVOL | UNC_HARDENED_PATHS_SYSVOL | 最高安全性、僅限身分驗證、僅限竄改保護、僅限加密、完整性驗證、加密身分驗證、安全資料、無保護 | 設定 UNC 連線至 SYSVOL 共用的安全需求。
|
|
| 憑證型身分驗證 | 憑證回溯認證 | CERTIFICATE_BACKDATING_COMPENSATION |
年:0 至 50 月:0 至 11 天:0 至 30 時:0 至 23 分:0 至 59 秒:0 到 59 |
指定一個值來指示憑證可以早於 Active Directory 中的使用者存取時間並且仍可用於 Active Directory 中的身分驗證的時間長度。預設值為 10 分鐘。您可以將此值設定為 1 秒到 50 年。 若要進行此設定,您必須為強式憑證繫結強制執行選取相容性類型。 如需詳細資訊,請參閱 Microsoft 支援文件中的 KB5014754 – Windows 域控制站上的憑證式驗證變更 |
| 憑證強式強制執行 | CERTIFICATE_STRONG_ENFORCEMENT | 相容性、完整強制執行 | 指定下列任一強制執行類型:
如需詳細資訊,請參閱 Microsoft 支援文件中的 KB5014754 – Windows 域控制站上的憑證式驗證變更 |
|
| 安全通道:加密方式 | AES 128/128 | AES_128_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 AES 128/128 加密方式。 |
| DES 56/56 | DES_56_56 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 DES 56/56 加密方式。 | |
| RC2 40/128 | RC2_40_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 40/128 加密方式。 | |
| RC2 56/128 | RC2_56_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 56/128 加密方式。 | |
| RC2 128/128 | RC2_128_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 128/128 加密方式。 | |
| RC4 40/128 | RC4_40_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 40/128 加密方式。 | |
| RC4 56/128 | RC4_56_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 56/128 加密方式。 | |
| RC4 64/128 | RC4_64_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 64/128 加密方式。 | |
| RC4 128/128 | RC4_128_128 | 啟用、停用 | 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 128/128 加密方式。 | |
| 三重 DES 168/168 | 3DES_168_168 | 啟用、停用 | 啟用或停用三重 DES 168/168 加密方式,以確保目錄中域控制站之間的安全通道通訊。 | |
| 安全通道:協定 | PCT 1.0 | PCT_1_0 | 啟用、停用 | 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 PCT 1.0 協定。 |
| SSL 2.0 | SSL_2_0 | 啟用、停用 | 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 2.0 協定。 | |
| SSL 3.0 | SSL_3_0 | 啟用、停用 | 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 3.0 協定。 | |
| TLS 1.0 | TLS_1_0 | 啟用、停用 | 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.0 協定。 | |
| TLS 1.1 | TLS_1_1 | 啟用、停用 | 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.1 協定。 |
