Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD
Il gruppo AWS di sicurezza fornito per la directory AWS Managed Microsoft AD è configurato con le porte di rete in entrata minime necessarie per supportare tutti i casi d'uso noti per la directory Managed AWS Microsoft AD. Per ulteriori informazioni sul gruppo di AWS sicurezza fornito, vedere. Cosa viene creato con AWS Managed Microsoft AD
Per migliorare ulteriormente la sicurezza di rete della directory AWS Managed Microsoft AD, è possibile modificare il gruppo AWS di sicurezza in base ai seguenti scenari comuni.
Controller di dominio del cliente CIDR: in questo blocco CIDR risiedono i controller di dominio locali del dominio.
Client cliente CIDR: questo blocco CIDR è il luogo in cui i tuoi client, come computer o utenti, si autenticano sul tuo Managed AWS Microsoft AD. Anche i controller di dominio Microsoft AD AWS gestiti risiedono in questo blocco CIDR.
Scenari
AWS le applicazioni supportano solo
Tutti gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
-
Amazon Chime
-
Amazon Connect
-
QuickSight
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
È possibile utilizzare la seguente configurazione del gruppo AWS di sicurezza per bloccare tutto il traffico non essenziale verso i controller di dominio Microsoft AD AWS gestiti.
Nota
-
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
-
EC2 Istanze Amazon
-
Amazon FSx
-
Amazon RDS per MySQL
-
Amazon RDS per Oracle
-
Amazon RDS per PostgreSQL
-
Amazon RDS per SQL Server
-
WorkSpaces
-
Trust di Active Directory
-
Client o server aggiunti al dominio
-
Regole in entrata
Nessuna.
Regole in uscita
Nessuna.
AWS applicazioni solo con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
-
Amazon Chime
-
Amazon Connect
-
QuickSight
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
-
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
-
EC2 Istanze Amazon
-
Amazon FSx
-
Amazon RDS per MySQL
-
Amazon RDS per Oracle
-
Amazon RDS per PostgreSQL
-
Amazon RDS per SQL Server
-
WorkSpaces
-
Trust di Active Directory
-
Client o server aggiunti al dominio
-
-
Questa configurazione richiede che la rete CIDR dei «controller di dominio del cliente» sia sicura.
-
TCP 445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è stato stabilito.
-
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
Regole in uscita
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico |
AWS applicazioni e supporto nativo per i carichi di lavoro di Active Directory
Gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
-
Amazon Chime
-
Amazon Connect
-
EC2 Istanze Amazon
-
Amazon FSx
-
QuickSight
-
Amazon RDS per MySQL
-
Amazon RDS per Oracle
-
Amazon RDS per PostgreSQL
-
Amazon RDS per SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
-
Active Directorynon è possibile creare e gestire trust tra la directory AWS Managed Microsoft AD e i controller di dominio del cliente CIDR.
-
Richiede che tu assicuri che la rete «customer client CIDR» sia sicura.
-
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
-
Se desideri utilizzare una CA Enterprise con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | Cliente cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Cliente cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Cliente cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Cliente cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Cliente cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Cliente cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Cliente cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Cliente cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Cliente cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Cliente cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Cliente cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Cliente cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
Regole in uscita
Nessuna.
AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
-
Amazon Chime
-
Amazon Connect
-
EC2 Istanze Amazon
-
Amazon FSx
-
QuickSight
-
Amazon RDS per MySQL
-
Amazon RDS per Oracle
-
Amazon RDS per PostgreSQL
-
Amazon RDS per SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
-
È necessario garantire che le reti «customer domain controllers CIDR» e «customer client CIDR» siano sicure.
-
Il protocollo TCP 445 con i «controller di dominio del cliente CIDR» viene utilizzato solo per creare fiducia e può essere rimosso dopo che la fiducia è stata stabilita.
-
Il protocollo TCP 445 con il «client-client CIDR» deve essere lasciato aperto in quanto è necessario per l'elaborazione dei criteri di gruppo.
-
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
-
Se desideri utilizzare una CA aziendale con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| TCP e UDP | 53 | Controller di dominio del cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Controller di dominio del cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Controller di dominio del cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
Regole in uscita
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico |
