增强 AWS Managed Microsoft AD 网络安全配置
对于为 AWS Managed Microsoft AD 目录预置的 AWS 安全组,为其配置了支持 AWS Managed Microsoft AD 目录的所有已知使用案例所需的最少入站网络端口数。有关预置的 AWS 安全组的更多信息,请参阅随 AWS Managed Microsoft AD 创建的内容。
为进一步增强 AWS Managed Microsoft AD 目录的网络安全性,您可以根据以下常见方案修改 AWS 安全组。
客户域控制器 CIDR:此 CIDR 数据块是本地域控制器所在的地方。
客户端 CIDR:此 CIDR 数据块是客户端(例如计算机或用户)向 AWS Managed Microsoft AD 进行身份验证的地方。AWS Managed Microsoft AD 域控制器也位于此 CIDR 数据块中。
场景
仅支持 AWS 应用程序
所有用户账户仅在 AWS Managed Microsoft AD 中预置为与受支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS 管理控制台
您可以使用以下 AWS 安全组配置来阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。
注意
-
以下内容与此 AWS 安全组配置不兼容:
-
Amazon EC2 实例
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 信任
-
加入域的客户端或服务器
-
入站规则:
无。
出站规则:
无。
仅支持具有信任的 AWS 应用程序
所有用户账户都在 AWS Managed Microsoft AD 或受信任的 Active Directory 中预置为与受支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS 管理控制台
您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。
注意
-
以下内容与此 AWS 安全组配置不兼容:
-
Amazon EC2 实例
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 信任
-
加入域的客户端或服务器
-
-
此配置要求您确保“客户域控制器 CIDR”网络是安全的。
-
TCP 445 仅用于创建信任,可在建立信任后删除。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
入站规则:
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
出站规则:
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 客户域控制器 CIDR | 所有流量 |
AWS 应用程序和本机 Active Directory 工作负载支持
用户账户仅在 AWS Managed Microsoft AD 中预置为与受支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 实例
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS 管理控制台
您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。
注意
-
无法在 AWS Managed Microsoft AD 目录和客户域控制器 CIDR 之间创建和维护 Active Directory 信任。
-
它要求您确保“客户端 CIDR”网络是安全的。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
-
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则:
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户端 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户端 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户端 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则:
无。
AWS 应用程序和本机 Active Directory 工作负载支持以及信任支持
所有用户账户都在 AWS Managed Microsoft AD 或受信任的 Active Directory 中预置为与受支持的 AWS 应用程序一起使用,例如:
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 实例
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS 管理控制台
您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。
注意
-
这要求确保“客户域控制器 CIDR”和“客户端 CIDR”网络是安全的。
-
带有“客户域控制器 CIDR”的 TCP 445 仅用于创建信任,可在建立信任后删除。
-
带有“客户端 CIDR”的 TCP 445 应保持打开状态,因为它是组策略处理所必需的。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
-
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则:
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
| TCP 和 UDP | 53 | 客户域控制器 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户域控制器 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户域控制器 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户域控制器 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户域控制器 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户域控制器 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户域控制器 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户域控制器 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户域控制器 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户域控制器 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户域控制器 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户域控制器 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则:
| 协议 | 端口范围 | 来源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 全部 | 全部 | 客户域控制器 CIDR | 所有流量 |
