As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Aprimorando sua configuração de segurança de rede AWS gerenciada do Microsoft AD
O Grupo AWS de Segurança provisionado para o diretório Managed AWS Microsoft AD é configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos do seu diretório Managed AWS Microsoft AD. Para obter mais informações sobre o Grupo de AWS Segurança provisionado, consulte. O que é criado com o AWS Managed Microsoft AD
Para aprimorar ainda mais a segurança de rede do seu diretório AWS gerenciado do Microsoft AD, você pode modificar o Grupo de AWS Segurança com base nos seguintes cenários comuns.
CIDR de controladores de domínio do cliente — Esse bloco CIDR é onde residem os controladores de domínio on-premises do domínio.
CIDR do cliente - Esse bloco CIDR é onde seus clientes, como computadores ou usuários, se autenticam no seu AWS Microsoft AD gerenciado. Seus controladores de domínio AWS gerenciados do Microsoft AD também residem nesse bloco CIDR.
Cenários
AWS suporte somente para aplicativos
Todas as contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
Centro de Identidade do AWS IAM
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
Console de gerenciamento da AWS
Você pode usar a seguinte configuração AWS de grupo de segurança para bloquear todo o tráfego não essencial para seus controladores de domínio AWS gerenciados do Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
Regras de entrada
Nenhum.
Regras de saída
Nenhum.
AWS aplicativos somente com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
Centro de Identidade do AWS IAM
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
-
Essa configuração exige garantir que a rede “CIDR de controladores de domínio do cliente” esteja segura.
-
O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Regras de entrada
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
Regras de saída
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego |
AWS aplicativos e suporte nativo à carga de trabalho do Active Directory
As contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
Centro de Identidade do AWS IAM
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
As relações de confiança do Active Directory não podem ser criadas e mantidas entre o diretório AWS gerenciado do Microsoft AD e os controladores de domínio do cliente CIDR.
-
Você deve garantir que a rede “CIDR do cliente consumidor” seja segura.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
Regras de entrada
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de cliente consumidor | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de cliente consumidor | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de cliente consumidor | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de cliente consumidor | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de cliente consumidor | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de cliente consumidor | Replicação | RPC, EPM |
| TCP | 636 | CIDR de cliente consumidor | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de cliente consumidor | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de cliente consumidor | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de cliente consumidor | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de cliente consumidor | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de cliente consumidor | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
Nenhum.
AWS aplicativos e suporte nativo à carga de trabalho do Active Directory com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instâncias da Amazon
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
Centro de Identidade do AWS IAM
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
nota
-
As redes “CIDR de controladores de domínio do cliente” e “CIDR de cliente de consumidor” devem estar seguras.
-
O TCP 445 com "CIDR de controladores de domínio do cliente" é usado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 445 com "CIDR de cliente consumidor" deve ser deixado aberto, uma vez que é necessário para o processamento da política de grupo.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
Regras de entrada
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de controladores de domínio do cliente | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de controladores de domínio do cliente | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego |
