Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD
Il gruppo AWS di sicurezza fornito per la directory AWS Managed Microsoft AD è configurato con le porte di rete in entrata minime necessarie per supportare tutti i casi d'uso noti per la directory Managed AWS Microsoft AD. Per ulteriori informazioni sul gruppo di AWS sicurezza fornito, vedere. [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
Per migliorare ulteriormente la sicurezza di rete della directory AWS Managed Microsoft AD, è possibile modificare il gruppo AWS di sicurezza in base ai seguenti scenari comuni.
**Controller di dominio del cliente CIDR**: in questo blocco CIDR risiedono i controller di dominio locali del dominio.
**Client cliente CIDR**: questo blocco CIDR è il luogo in cui i tuoi client, come computer o utenti, si autenticano sul tuo Managed AWS Microsoft AD. Anche i controller di dominio Microsoft AD AWS gestiti risiedono in questo blocco CIDR.
**Topics**
+ [AWS le applicazioni supportano solo](#aws_apps_support)
+ [AWS applicazioni solo con supporto affidabile](#aws_apps_trust_support)
+ [AWS applicazioni e supporto nativo per i carichi di lavoro di Active Directory](#aws_apps_native_ad_support)
+ [AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile](#aws_apps_native_ad_trust_support)
## AWS le applicazioni supportano solo
Tutti gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Rapido
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ Console di gestione AWS
È possibile utilizzare la seguente configurazione del gruppo AWS di sicurezza per bloccare tutto il traffico non essenziale verso i controller di dominio Microsoft AD AWS gestiti.
**Nota**
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
**Regole in entrata**
Nessuna.
**Regole in uscita**
Nessuna.
## AWS applicazioni solo con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Rapido
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
Questa configurazione richiede che la rete CIDR dei «controller di dominio del cliente» sia sicura.
TCP 445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è stato stabilito.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
**Regole in uscita**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico | |
## AWS applicazioni e supporto nativo per i carichi di lavoro di Active Directory
Gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Istanze Amazon EC2
+ Amazon FSx
+ Veloce
+ Amazon RDS per MySQL
+ Amazon RDS per Oracle
+ Amazon RDS per PostgreSQL
+ Amazon RDS per SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
I trust di Active Directory non possono essere creati e AWS gestiti tra la directory gestita di Microsoft AD e i controller di dominio del cliente CIDR.
Richiede che tu assicuri che la rete CIDR del «client cliente cliente» sia sicura.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se desideri utilizzare una CA Enterprise con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Cliente cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Cliente cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Cliente cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Cliente cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Cliente cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Cliente cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Cliente cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Cliente cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Cliente cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Cliente cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Cliente cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Cliente cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
**Regole in uscita**
Nessuna.
## AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Istanze Amazon EC2
+ Amazon FSx
+ Veloce
+ Amazon RDS per MySQL
+ Amazon RDS per Oracle
+ Amazon RDS per PostgreSQL
+ Amazon RDS per SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
È necessario garantire che le reti «customer domain controllers CIDR» e «customer client CIDR» siano sicure.
Il protocollo TCP 445 con i «controller di dominio del cliente CIDR» viene utilizzato solo per creare fiducia e può essere rimosso dopo che la fiducia è stata stabilita.
Il protocollo TCP 445 con il «client-client CIDR» deve essere lasciato aperto in quanto è necessario per l'elaborazione dei criteri di gruppo.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se desideri utilizzare una CA aziendale con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| TCP e UDP | 53 | Controller di dominio del cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Controller di dominio del cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Controller di dominio del cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
**Regole in uscita**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico | |