Mejora de la configuración de seguridad de red del AWS Managed Microsoft AD
El grupo de seguridad de AWS que se aprovisiona para el directorio de AWS Managed Microsoft AD se configura con los puertos de red entrantes mínimos necesarios para admitir todos los casos de uso conocidos del directorio de AWS Managed Microsoft AD. Para obtener más información sobre el grupo de seguridad de AWS aprovisionado, consulte ¿Qué se crea con AWS Managed Microsoft AD?.
Para mejorar aún más la seguridad de red del directorio de AWS Managed Microsoft AD, puede modificar el grupo de seguridad de AWS en función de las situaciones comunes que se muestran a continuación.
CIDR de controladores de dominio del cliente: este bloque de CIDR es donde residen los controladores de dominio en las instalaciones de su dominio.
CIDR del cliente: este bloque sw CIDR es el lugar donde sus clientes, como ordenadores o usuarios, se autentican en su AWS Managed Microsoft AD. Los controladores de dominio AWS Managed Microsoft AD también residen en este bloque de CIDR.
Escenarios
Compatibilidad solo con aplicaciones de AWS
Todas las cuentas de usuario se aprovisionan solo en AWS Managed Microsoft AD para utilizarse con aplicaciones de AWS compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
Consola de administración de AWS
Puede utilizar la siguiente configuración de grupo de seguridad de AWS para bloquear todo el tráfico no esencial a los controladores de dominio de AWS Managed Microsoft AD.
nota
-
Lo que se muestra a continuación no es compatible con la configuración de este grupo de seguridad de AWS:
-
Instancias de Amazon EC2
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
Reglas de entrada
Ninguna.
Reglas salientes
Ninguna.
Solo aplicaciones de AWS con compatibilidad con relaciones de confianza
Todas las cuentas de usuario se aprovisionan en AWS Managed Microsoft AD o Active Directory de confianza para utilizarlas con aplicaciones de AWS compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de seguridad de AWS aprovisionado para bloquear todo el tráfico no esencial en los controladores de dominio de AWS Managed Microsoft AD.
nota
-
Lo que se muestra a continuación no es compatible con la configuración de este grupo de seguridad de AWS:
-
Instancias de Amazon EC2
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
-
Esta configuración requiere que se asegure de que la red “CIDR de controladores de dominio de cliente” sea segura.
-
TCP 445 se utiliza solo para la creación de relaciones de confianza y se puede eliminar una vez establecida la relación de confianza.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
Reglas de entrada
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
Compatibilidad de cargas de trabajo de Active Directory nativas y de aplicaciones de AWS
Las cuentas de usuario se aprovisionan solo en AWS Managed Microsoft AD para utilizarse con aplicaciones de AWS compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Instancias de Amazon EC2
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de seguridad de AWS aprovisionado para bloquear todo el tráfico no esencial en los controladores de dominio de AWS Managed Microsoft AD.
nota
-
Las relaciones de confianza de Active Directory no se pueden crear ni mantener entre el directorio de AWS Managed Microsoft AD y el CIDR de controladores de dominio de cliente.
-
Requiere asegurarse de que la red “CIDR del cliente” es segura.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas de entrada
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | CIDR de cliente | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | CIDR de cliente | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | CIDR de cliente | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | CIDR de cliente | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | CIDR de cliente | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | CIDR de cliente | Replicación | RPC, EPM |
| TCP | 636 | CIDR de cliente | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | CIDR de cliente | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | CIDR de cliente | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | CIDR de cliente | SOAP | Servicios web de AD DS |
| UDP | 123 | CIDR de cliente | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | CIDR de cliente | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
Ninguna.
Compatibilidad de cargas de trabajo de Active Directory nativas y de aplicaciones de AWS que admiten relaciones de confianza
Todas las cuentas de usuario se aprovisionan en AWS Managed Microsoft AD o Active Directory de confianza para utilizarlas con aplicaciones de AWS compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Instancias de Amazon EC2
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de seguridad de AWS aprovisionado para bloquear todo el tráfico no esencial en los controladores de dominio de AWS Managed Microsoft AD.
nota
-
Requiere que se asegure de que las redes “CIDR de controladores de dominio de cliente” y “CIDR de cliente” sean seguras.
-
TCP 445 con “CIDR de controladores de dominio de cliente” se utiliza solo para la creación de relaciones de confianza y se puede eliminar después de que se haya establecido la relación de confianza.
-
TCP 445 con “CIDR cliente” debe dejarse abierto ya que es necesario para el procesamiento de la política de grupo.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas de entrada
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Controladores de dominio del cliente (CIDR) | SOAP | Servicios web de AD DS |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Controladores de dominio del cliente (CIDR) | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
