Como melhorar a configuração de segurança de rede do AWS Managed Microsoft AD
O grupo de segurança da AWS que é provisionado para o diretório do AWS Managed Microsoft AD está configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos para o diretório do AWS Managed Microsoft AD. Para obter mais informações sobre o grupo de segurança provisionado da AWS, consulte O que é criado com o AWS Managed Microsoft AD.
Para melhorar ainda mais a segurança de rede do diretório do AWS Managed Microsoft AD, é possível modificar o grupo de segurança da AWS com base em cenários comuns indicados a seguir.
CIDR de controladores de domínio do cliente — Esse bloco CIDR é onde residem os controladores de domínio on-premises do domínio.
CIDR do cliente — Esse bloco CIDR é onde os clientes, como computadores ou usuários, se autenticam no AWS Managed Microsoft AD. Os controladores de domínio do AWS Managed Microsoft AD também residem nesse bloco CIDR.
Cenários
Suporte somente a aplicações da AWS
Todas as contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
Console de gerenciamento da AWS
É possível usar a configuração do grupo de segurança da AWS a seguir para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:
-
Instâncias do Amazon EC2
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
Regras de entrada
Nenhum.
Regras de saída
Nenhum.
Somente aplicações da AWS com suporte de confiança
Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
-
Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:
-
Instâncias do Amazon EC2
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Confianças do Active Directory
-
Clientes ou servidores associados ao domínio
-
-
Essa configuração exige garantir que a rede “CIDR de controladores de domínio do cliente” esteja segura.
-
O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
Regras de saída
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego |
Suporte a aplicações da AWS e a workloads nativas do Active Directory
As contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Instâncias do Amazon EC2
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
-
As relações de confiança no Active Directory não podem ser criadas e mantidas entre o diretório do AWS Managed Microsoft AD e a CIDR de controladores de domínio do cliente.
-
Você deve garantir que a rede “CIDR do cliente consumidor” seja segura.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de cliente consumidor | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de cliente consumidor | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de cliente consumidor | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de cliente consumidor | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de cliente consumidor | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de cliente consumidor | Replicação | RPC, EPM |
| TCP | 636 | CIDR de cliente consumidor | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de cliente consumidor | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de cliente consumidor | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de cliente consumidor | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de cliente consumidor | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de cliente consumidor | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
Nenhum.
Suporte a aplicações da AWS e a workloads nativas do Active Directory compatíveis com relações de confiança
Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:
-
Amazon Chime
-
Amazon Connect
-
Instâncias do Amazon EC2
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Console de gerenciamento da AWS
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
-
As redes “CIDR de controladores de domínio do cliente” e “CIDR de cliente de consumidor” devem estar seguras.
-
O TCP 445 com "CIDR de controladores de domínio do cliente" é usado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 445 com "CIDR de cliente consumidor" deve ser deixado aberto, uma vez que é necessário para o processamento da política de grupo.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
-
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
Regras de entrada
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de controladores de domínio do cliente | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de controladores de domínio do cliente | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
| Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
|---|---|---|---|---|
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego |
