本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
增強 AWS Managed Microsoft AD 網路安全組態
為 AWS Managed Microsoft AD 目錄佈建 AWS 的安全群組已設定為支援 AWS Managed Microsoft AD 目錄所有已知使用案例所需的最低傳入網路連接埠。如需佈建 AWS 安全群組的詳細資訊,請參閱 使用 AWS Managed Microsoft AD 建立的內容。
若要進一步增強 AWS Managed Microsoft AD 目錄的網路安全,您可以根據下列常見案例修改 AWS 安全群組。
案例
AWS 僅應用程式支援
所有使用者帳戶只會在您的 AWS Managed Microsoft AD 中佈建,以便與支援 AWS 的應用程式搭配使用,例如:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
您可以使用下列 AWS 安全群組組態來封鎖所有非必要流量至 AWS Managed Microsoft AD 網域控制站。
注意
下列項目與此 AWS 安全群組組態不相容:
Amazon EC2執行個體
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入網域的用戶端或伺服器
傳入規則
無。
傳出規則
無。
AWS 僅具有信任支援的應用程式
所有使用者帳戶都會在您的 AWS Managed Microsoft AD 或受信任的 Active Directory 中佈建,以便與支援 AWS 的應用程式搭配使用,例如:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改佈建 AWS 的安全群組組態,以封鎖所有非必要流量至 AWS Managed Microsoft AD 網域控制站。
注意
下列項目與此 AWS 安全群組組態不相容:
Amazon EC2執行個體
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入網域的用戶端或伺服器
-
此組態需要您確保「內部部署CIDR」網路是安全的。
-
TCP 445 僅用於建立信任,且可在建立信任後移除。
-
TCP 636 只有在使用LDAP超過 SSL 時才需要。
傳入規則
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
|---|---|---|---|---|
| TCP & UDP | 53 | 內部部署 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP & UDP | 88 | 內部部署 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP & UDP | 389 | 內部部署 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 464 | 內部部署 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 445 | 內部部署 CIDR | SMB / CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 135 | 內部部署 CIDR | 複寫 | RPC, EPM |
| TCP | 636 | 內部部署 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 內部部署 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 內部部署 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| UDP | 123 | 內部部署 CIDR | Windows 時間 | Windows 時間、信任 |
傳出規則
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
|---|---|---|---|---|
| 全部 | 全部 | 內部部署 CIDR | 所有流量 |
AWS 應用程式和原生 Active Directory 工作負載支援
使用者帳戶只會在您的 AWS Managed Microsoft AD 中佈建,以便與支援 AWS 的應用程式搭配使用,例如:
Amazon Chime
Amazon Connect
Amazon EC2執行個體
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改佈建 AWS 的安全群組組態,以封鎖所有非必要流量至 AWS Managed Microsoft AD 網域控制站。
注意
無法在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立和維護 Active Directory 信任。
它要求您確保「用戶端CIDR」網路是安全的。
TCP 636 只有在使用LDAP超過 SSL 時才需要。
如果您想要搭配此組態使用企業 CA,則需要建立傳出規則 “TCP, 443, CA CIDR”。
傳入規則
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
|---|---|---|---|---|
| TCP & UDP | 53 | 用戶端 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP & UDP | 88 | 用戶端 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP & UDP | 389 | 用戶端 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 445 | 用戶端 CIDR | SMB / CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 464 | 用戶端 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 135 | 用戶端 CIDR | 複寫 | RPC, EPM |
| TCP | 636 | 用戶端 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 用戶端 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 用戶端 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 9389 | 用戶端 CIDR | SOAP | AD DS 網路服務 |
| UDP | 123 | 用戶端 CIDR | Windows 時間 | Windows 時間、信任 |
| UDP | 138 | 用戶端 CIDR | DFSN & NetLogon | DFS,群組政策 |
傳出規則
無。
AWS 應用程式和原生 Active Directory 工作負載支援,以及信任支援
所有使用者帳戶都會在您的 AWS Managed Microsoft AD 或受信任的 Active Directory 中佈建,以便與支援 AWS 的應用程式搭配使用,例如:
Amazon Chime
Amazon Connect
Amazon EC2執行個體
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
您可以修改佈建 AWS 的安全群組組態,以封鎖所有非必要流量至 AWS Managed Microsoft AD 網域控制站。
注意
它要求您確保「內部部署CIDR」和「用戶端CIDR」網路是安全的。
TCP 具有「內部部署CIDR」的 445 僅用於建立信任,而且可以在建立信任之後移除。
TCP 具有「用戶端CIDR」的 445 應保持開啟狀態,因為群組政策處理需要。
TCP 636 只有在使用LDAP超過 SSL 時才需要。
如果您想要搭配此組態使用企業 CA,則需要建立傳出規則 “TCP, 443, CA CIDR”。
傳入規則
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
|---|---|---|---|---|
| TCP & UDP | 53 | 內部部署 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP & UDP | 88 | 內部部署 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP & UDP | 389 | 內部部署 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 464 | 內部部署 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 445 | 內部部署 CIDR | SMB / CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 135 | 內部部署 CIDR | 複寫 | RPC, EPM |
| TCP | 636 | 內部部署 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 內部部署 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 內部部署 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| UDP | 123 | 內部部署 CIDR | Windows 時間 | Windows 時間、信任 |
| TCP & UDP | 53 | 用戶端 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP & UDP | 88 | 用戶端 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP & UDP | 389 | 用戶端 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 445 | 用戶端 CIDR | SMB / CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP & UDP | 464 | 用戶端 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 135 | 用戶端 CIDR | 複寫 | RPC, EPM |
| TCP | 636 | 用戶端 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 用戶端 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 用戶端 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 9389 | 用戶端 CIDR | SOAP | AD DS 網路服務 |
| UDP | 123 | 用戶端 CIDR | Windows 時間 | Windows 時間、信任 |
| UDP | 138 | 用戶端 CIDR | DFSN & NetLogon | DFS,群組政策 |
傳出規則
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
|---|---|---|---|---|
| 全部 | 全部 | 內部部署 CIDR | 所有流量 |
