Configurazione delle impostazioni di sicurezza della directory - AWS Directory Service
Modifica delle impostazioni di sicurezza della directoryImpostazioni di sicurezza della directory non riusciteElenco delle impostazioni di sicurezza della directory

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle impostazioni di sicurezza della directory

Puoi configurare impostazioni di directory granulari per Microsoft AD gestito da AWS per soddisfare i requisiti di conformità e sicurezza senza alcun aumento del carico di lavoro operativo. Nelle impostazioni della directory, puoi aggiornare la configurazione del canale sicuro per i protocolli e i codici utilizzati nella tua directory. Ad esempio, puoi disabilitare singole crittografie legacy, come RC4 o DES, e protocolli come SSL 2.0/3.0 e TLS 1.0/1.1. AWS Microsoft AD gestito implementa quindi la configurazione su tutti i controller di dominio nella directory, gestisce i loro riavvii e mantiene questa configurazione man mano che si impiega la scalabilità orizzontale o vengono implementate altre Regioni AWS. Per tutte le impostazioni disponibili, consulta Elenco delle impostazioni di sicurezza della directory.

Modifica delle impostazioni di sicurezza della directory

Puoi configurare e modificare le impostazioni per tutte le tue directory.

Per modificare le impostazioni delle directory

  1. Accedi alla console di gestione AWS e apri la console di AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. In Rete e sicurezza, trova Impostazioni della directory, quindi scegli Modifica impostazioni.

  4. In Modifica impostazioni, modifica Valore nelle impostazioni che desideri modificare. Quando modifichi un'impostazione, il suo stato cambia da Predefinito a Pronto per l'aggiornamento. Se l'impostazione è stata modificata in precedenza, il suo stato cambia da Aggiornato a Pronto per l'aggiornamento. Scegli quindi Rivedi.

  5. In Rivedi e aggiorna le impostazioni, consulta Impostazioni della directory e assicurati che i nuovi valori siano tutti corretti. Se desideri apportare altre modifiche alle impostazioni, scegli Modifica impostazioni. Quando hai completato le modifiche e vuoi implementare i nuovi valori, scegli Aggiorna impostazioni. Verrà eseguito il reindirizzamento alla pagina della directory.

    Nota

    In Impostazioni della directory, puoi visualizzare lo Stato delle impostazioni aggiornate. Mentre le impostazioni vengono implementate, lo Stato è su Aggiornamento in corso. Non è possibile modificare altre impostazioni se ce n'è una con Aggiornamento in corso come Stato. Lo Stato diventa Aggiornato se l'impostazione viene aggiornata correttamente con la modifica. Lo Stato diventa Non riuscito se l'impostazione non viene aggiornata con la modifica.

Impostazioni di sicurezza della directory non riuscite

Se si verifica un errore durante l'aggiornamento delle impostazioni, lo Stato visualizzato è Non riuscito. In questo caso, le impostazioni non vengono aggiornate ai nuovi valori e vengono mantenuti i valori originali. Puoi riprovare ad aggiornare queste impostazioni o ripristinarle ai valori precedenti.

Per risolvere le impostazioni di aggiornamento non riuscite

  • In Impostazioni della directory, scegli Risolvi impostazioni non riuscite. Effettua quindi una delle seguenti operazioni:

    • Per ripristinare le impostazioni al valore originale precedente all'errore, scegli Ripristina impostazioni non riuscite. Quindi, scegli Ripristina nel pop-up.

    • Per riprovare ad aggiornare le impostazioni della directory, scegli Riprova impostazioni non riuscite. Se desideri apportare ulteriori modifiche alle impostazioni della directory prima di riprovare gli aggiornamenti non riusciti, scegli Continua a modificare. In Verifica e riprova gli aggiornamenti non riusciti, scegli Aggiorna impostazioni.

Elenco delle impostazioni di sicurezza della directory

L'elenco seguente mostra il tipo, il nome, il nome API, i valori potenziali e la descrizione delle impostazioni per tutte le impostazioni di sicurezza delle directory disponibili.

TLS 1.2 e AES 256/256 sono le impostazioni di sicurezza delle directory predefinite se tutte le altre impostazioni di sicurezza sono disabilitate. Queste impostazioni non possono essere disabilitate.

Tipo Nome dell'impostazione Nome API Valori potenziali Descrizione impostazione
Autenticazione basata su certificati Compensazione del backdating del certificato COMPENSAZIONE_BACKDATING_CERTIFICATO

Anni: da 0 a 50

Mesi: da 0 a 11

Giorni: da 0 a 30

Ore: da 0 a 23

Minuti: da 0 a 59

Secondi: da 0 a 59

Specifica un valore per indicare per quanto tempo un certificato può essere anteriore a un utente in Active Directory e continuare a essere utilizzato per l'autenticazione in Active Directory. Il valore predefinito è di 10 minuti. Puoi configurare questo valore da 1 secondo a 50 anni.

Per configurare questa impostazione, devi selezionare il tipo di Compatibilità per Strong Certificate Binding Enforcement.

Per ulteriori informazioni, consulta KB5014754—Certificate-based authentication changes on Windows domain controllers nella documentazione di Microsoft Support.
Applicazione avanzata del certificato APPLICAZIONE_AVANZATA_CERTIFICATO Compatibilità, applicazione avanzata

Specifica uno dei seguenti tipi di applicazione:

  • Compatibilità (impostazione predefinita): l'autenticazione è consentita se un certificato non può essere mappato in modo sicuro a un utente. Se il certificato è precedente all'account utente in Active Directory, devi anche impostare Compensazione del backdating del certificato, altrimenti l'autenticazione avrà esito negativo.

  • Applicazione avanzata: l'autenticazione è consentita se un certificato non può essere mappato in modo sicuro a un utente. Se scegli questo tipo di applicazione, Compensazione del backdating del certificato non può essere configurato.

Per ulteriori informazioni, consulta KB5014754—Certificate-based authentication changes on Windows domain controllers nella documentazione di Microsoft Support.
Canale sicuro: crittografia AES 128/128 AES_128_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia AES 128/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
DES 56/56 DES_56_56 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia DES 56/56 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC2 40/128 RC2_40_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC2 40/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC2 56/128 RC2_56_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC2 56/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC2 128/128 RC2_128_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC2 128/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC4 40/128 RC4_40_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC4 40/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC4 56/128 RC4_56_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC4 56/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC4 64/128 RC4_64_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC4 64/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
RC4 128/128 RC4_128_128 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia RC4 128/128 per comunicazioni sicure tra i controller di dominio nella tua directory.
Triple DES 168/168 3DES_168_168 Abilita, disabilita Abilita o disabilita l'algoritmo di crittografia Triple DES 168/168 per comunicazioni sicure tra i controller di dominio nella tua directory.
Canale sicuro: protocollo PCT 1.0 PCT_1_0 Abilita, disabilita Abilita o disabilita il protocollo PCT 1.0 per comunicazioni sicure tra canali (server e client) sui controller di dominio nella tua directory.
SSL 2.0 SSL_2_0 Abilita, disabilita Abilita o disabilita il protocollo SSL 2.0 per comunicazioni sicure tra canali (server e client) sui controller di dominio nella tua directory.
SSL 3.0 SSL_3_0 Abilita, disabilita Abilita o disabilita il protocollo SSL 3.0 per comunicazioni sicure tra canali (server e client) sui controller di dominio nella tua directory.
TLS 1.0 TLS_1_0 Abilita, disabilita Abilita o disabilita il protocollo TLS 1.0 per comunicazioni sicure tra canali (server e client) sui controller di dominio nella tua directory.
TLS 1.1 TLS_1_1 Abilita, disabilita Abilita o disabilita il protocollo TLS 1.1 per comunicazioni sicure tra canali (server e client) sui controller di dominio nella tua directory.