Establecimiento de la configuración de seguridad del directorio - AWS Directory Service
Editar la configuración de seguridad del directorioConfiguración de seguridad del directorio con erroresLista de la configuración de seguridad del directorio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Establecimiento de la configuración de seguridad del directorio

Puede configurar ajustes de directorio detallados para AWS Managed Microsoft AD a fin de cumplir con los requisitos de conformidad y seguridad sin aumentar la carga de trabajo operativa. En la configuración del directorio, puede actualizar la configuración del canal seguro para los protocolos y cifrados utilizados en él. Por ejemplo, tiene la flexibilidad de deshabilitar los cifrados heredados individuales, como RC4 o DES, y los protocolos, como SSL 2.0/3.0 y TLS 1.0/1.1. AWS Luego, Managed Microsoft AD implementa la configuración en todos los controladores de dominio del directorio, administra los reinicios de los controladores de dominio y mantiene esta configuración a medida que escala horizontalmente o implementa más Regiones de AWS. Para más información sobre la configuración disponible, consulte Lista de la configuración de seguridad del directorio.

Editar la configuración de seguridad del directorio

Puede configurar y editar los ajustes de cualquiera de los directorios.

Para editar la configuración del directorio

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Directory Service en https://console.aws.amazon.com/directoryservicev2/.

  2. En la página Directories (Directorios), elija el ID del directorio.

  3. En Redes y seguridad, busque Configuración del directorio y, a continuación, seleccione Editar configuración.

  4. En Editar configuración, cambie el valor de la configuración que quiera editar. Al editar una configuración, su estado cambia de Predeterminado a Listo para actualizarse. Si ha editado la configuración anteriormente, su estado cambia de Actualizado a Preparado para actualizarse. A continuación, seleccione Revisar.

  5. En Revisar y actualizar la configuración, consulte Configuración del directorio y asegúrese de que todos los nuevos valores sean correctos. Si quiere hacer cualquier otro cambio en la configuración, seleccione Editar configuración. Cuando esté satisfecho con los cambios y esté listo para implementar los nuevos valores, seleccione Actualizar configuración. A continuación, volverá a la página del ID del directorio.

    nota

    En Configuración del directorio, puede ver el estado de la configuración actualizada. Mientras se implementa la configuración, el estado muestra Actualización. No puede editar otros ajustes mientras uno muestre Actualización en Estado. El estado muestra Actualizado si la configuración se actualiza correctamente con su edición. El estado muestra Error si la configuración no se actualiza con la edición.

Configuración de seguridad del directorio con errores

Si se produce un error durante una actualización de la configuración, el estado se muestra como Con errores. En caso de error, la configuración no se actualiza a los nuevos valores y los valores originales permanecen implementados. Puede volver a intentar actualizar esta configuración o revertirla a sus valores anteriores.

Para resolver un error en la configuración actualizada

  • En Configuración del directorio, seleccione Resolver la configuración con errores. A continuación, lleve a cabo alguna de las operaciones siguientes:

    • Para restablecer la configuración a su valor original antes del estado de error, seleccione Revertir la configuración con errores. A continuación, selecciona Revertir en el modal emergente.

    • Para volver a intentar actualizar la configuración del directorio, seleccione Reintentar la configuración con errores. Si quiere hacer cambios adicionales en la configuración del directorio antes de volver a intentar las actualizaciones con errores, seleccione Continuar editando. En Revisar y volver a intentar las actualizaciones con errores, seleccione Actualizar configuración.

Lista de la configuración de seguridad del directorio

La siguiente lista muestra el tipo, el nombre de la configuración, el nombre de la API, los valores potenciales y la descripción de todas las configuraciones de seguridad del directorio disponibles.

TLS 1.2 y AES 256/256 son las configuraciones de seguridad del directorio predeterminadas si todas las demás configuraciones de seguridad están deshabilitadas. No es posible deshabilitarlas.

Tipo Nombre de la configuración Nombre de API Valores potenciales Descripción de la configuración
Autenticación basada en certificados Compensación por retroactividad del certificado CERTIFICATE_BACKDATING_COMPENSATION

Años: 0 a 50

Meses: 0 a 11

Días: 0 a 30

Horario: 0 a 23

Minutos: 0 a 59

Segundos: 0 a 59

Especifique un valor para indicar el tiempo durante el que un certificado puede ser anterior a un usuario de Active Directory y seguir utilizándose para la autenticación en Active Directory. El valor predeterminado es 10 minutos. Puede configurar este valor desde 1 segundo hasta 50 años.

Para configurar este ajuste, debe seleccionar el tipo de compatibilidad para un cumplimiento estricto de la vinculación de certificados.

Para obtener más información, consulte KB5014754: cambios en la autenticación basada en certificados en los controladores de dominio de Windows en la documentación de Microsoft Support.
Cumplimiento estricto del certificado CERTIFICATE_STRONG_ENFORCEMENT Compatibilidad, cumplimiento total

Especifique cualquiera de los siguientes tipos de cumplimiento:

  • Compatibilidad (predeterminada): se permite la autenticación si un certificado no se puede asignar de forma segura a un usuario. Si el certificado es anterior a la cuenta de usuario de Active Directory, también debe configurar la compensación por retroactividad del certificado o se producirá un error en la autenticación.

  • Cumplimiento total: no se permite la autenticación si un certificado no se puede asignar de forma estricta a un usuario. Si elige este tipo de cumplimiento, no se puede configurar la compensación por retroactividad del certificado.

Para obtener más información, consulte KB5014754: cambios en la autenticación basada en certificados en los controladores de dominio de Windows en la documentación de Microsoft Support.
Canal seguro: cifrado AES 128/128 AES_128_128 Habilitar, deshabilitar Active o desactive el cifrado AES 128/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
DES 56/56 DES_56_56 Habilitar, deshabilitar Active o desactive el cifrado DES 56/56 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC2 40/128 RC2_40_128 Habilitar, deshabilitar Active o desactive el cifrado RC2 40/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC2 56/128 RC2_56_128 Habilitar, deshabilitar Active o desactive el cifrado RC2 56/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC2 128/128 RC2_128_128 Habilitar, deshabilitar Active o desactive el cifrado RC2 128/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC4 40/128 RC4_40_128 Habilitar, deshabilitar Active o desactive el cifrado RC4 40/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC4 56/128 RC4_56_128 Habilitar, deshabilitar Active o desactive el cifrado RC4 56/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC4 64/128 RC4_64_128 Habilitar, deshabilitar Active o desactive el cifrado RC4 64/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
RC4 128/128 RC4_128_128 Habilitar, deshabilitar Active o desactive el cifrado RC4 128/128 para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
DES 168/168 triple 3DES_168_168 Habilitar, deshabilitar Active o desactive el cifrado DES 168/168 triple para garantizar la seguridad de las comunicaciones entre los controladores de dominio de su directorio.
Canal seguro: protocolo PCT 1.0 PCT_1_0 Habilitar, deshabilitar Active o desactive el protocolo PCT 1.0 para las comunicaciones de canal seguro (servidor y cliente) en los controladores de dominio de su directorio.
SSL 2.0 SSL_2_0 Habilitar, deshabilitar Active o desactive el protocolo SSL 2.0 para las comunicaciones de canal seguro (servidor y cliente) en los controladores de dominio de su directorio.
SSL 3.0 SSL_3_0 Habilitar, deshabilitar Active o desactive el protocolo SSL 3.0 para las comunicaciones de canal seguro (servidor y cliente) en los controladores de dominio de su directorio.
TLS 1.0 TLS_1_0 Habilitar, deshabilitar Active o desactive el protocolo TLS 1.0 para las comunicaciones de canal seguro (servidor y cliente) en los controladores de dominio de su directorio.
TLS 1.1 TLS_1_1 Habilitar, deshabilitar Active o desactive el protocolo TLS 1.1 para las comunicaciones de canal seguro (servidor y cliente) en los controladores de dominio de su directorio.