Definir configurações de segurança do diretório - AWS Directory Service
Editar configurações de segurança do diretórioFalha na configurações de segurança do diretórioLista de configurações de segurança do diretório

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definir configurações de segurança do diretório

Você pode definir configurações de diretório refinadas para seu AWS Managed Microsoft AD para atender aos seus requisitos de conformidade e segurança sem nenhum aumento na workload operacional. Nas configurações do diretório, é possível atualizar a configuração do canal seguro para protocolos e cifras usados em seu diretório. Por exemplo, você tem a flexibilidade de desativar cifras herdadas individuais, como RC4 ou DES, e protocolos, como SSL 2.0/3.0 e TLS 1.0/1.1. AWS Em seguida, o Managed Microsoft AD implanta a configuração em todos os controladores de domínio em seu diretório, gerencia as reinicializações do controlador de domínio e mantém essa configuração à medida que você aumenta a escala horizontalmente ou implanta outras Regiões da AWS. Para obter detalhes sobre todas as configurações disponíveis, consulte Lista de configurações de segurança do diretório.

Editar configurações de segurança do diretório

Você pode definir e editar as configurações de qualquer um dos seus diretórios.

Para editar configurações do diretório

  1. Faça login no Console de Gerenciamento da AWS e abra o console do AWS Directory Service em https://console.aws.amazon.com/directoryservicev2/.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Em Rede e segurança, encontre Configurações do diretório e escolha Editar configurações.

  4. Em Editar configurações, altere o Valor das configurações que deseja editar. Quando você edita uma configuração, seu status muda de Padrão para Pronto para atualizar. Se você editou a configuração anteriormente, seu status muda de Atualizado para Pronto para atualizar. Em seguida, escolha Revisar.

  5. Em Revisar e atualizar configurações, consulte Configurações do diretório e verifique se os novos valores estão todos corretos. Se você quiser fazer outras alterações em suas configurações, escolha Editar configurações. Quando estiver satisfeito com suas alterações e pronto para implementar os novos valores, escolha Atualizar configurações. Em seguida, você será levado de volta à página de ID do diretório.

    nota

    Em Configurações do diretório, é possível visualizar o Status das configurações atualizadas. Enquanto as configurações são implementadas, o Status exibe Atualizando. Você não pode editar outras configurações enquanto uma configuração exibe Atualizando em Status. O Status mostrará Atualizada se a configuração for atualizada com êxito com sua edição. O Status mostrará Falha se a atualização da sua configuração com sua edição falhar.

Falha na configurações de segurança do diretório

Se um erro ocorrer durante uma atualização de configurações, o Status será exibido como Falha. Em um status de falha, as configurações não são atualizadas para os novos valores e os valores originais permanecem implementados. Você pode tentar atualizar novamente essas configurações ou revertê-las para os valores anteriores.

Para resolver falhas nas configurações atualizadas

  • Em Configurações do diretório, escolha Resolver configurações com falha. Depois, siga um destes procedimentos:

    • Para reverter suas configurações de volta ao valor original antes do estado de falha, escolha Reverter configurações com falha. Em seguida, escolha Reverter no modal pop-up.

    • Para tentar atualizar novamente as configurações do diretório, escolha Tentar novamente configurações com falha. Se desejar fazer alterações adicionais nas configurações do diretório antes de tentar novamente as atualizações que falharam, escolha Continuar editando. Em Analisar e tentar novamente atualizações com falha, escolha Atualizar configurações.

Lista de configurações de segurança do diretório

A lista a seguir mostra o tipo, o nome da configuração, o nome da API, os valores potenciais e a descrição da configuração para todas as configurações de segurança de diretório disponíveis.

TLS 1.2 e AES 256/256 são as configurações de segurança de diretório padrão quando todas as outras configurações de segurança estão desativadas. Essas opções não podem ser desabilitadas.

Tipo Nome da configuração Nome da API Valores potenciais Descrição da configuração
Autenticação baseada em certificado Compensação retroativa do certificado CERTIFICATE_BACKDATING_COMPENSATION

Anos: 0 a 50

Meses: 0 a 11

Dias: 0 a 30

Horas: 0 a 23

Minutos: 0 a 59)

Segundos 0 a 59

Especifique um valor para indicar por quanto tempo um certificado pode ser anterior a um usuário no Active Directory e ainda ser usado para autenticação no Active Directory. O valor padrão é 10 minutos. Esse valor pode ser definido de 1 segundo a 50 anos.

Para definir essa configuração, você deve selecionar o tipo de Compatibilidade para a Imposição de vinculação de certificado forte.

Para obter mais informações, consulte KB5014754: Alterações na autenticação baseada em certificado em controladores de domínio do Windows na documentação do Suporte Microsoft.
Imposição de certificado forte CERTIFICATE_STRONG_ENFORCEMENT Compatibilidade, Imposição plena

Especifique um dos seguintes tipos de imposição:

  • Compatibilidade (padrão): a autenticação será permitida se um certificado não puder ser fortemente mapeado para um usuário. Se o certificado for anterior à conta do usuário no Active Directory, também será necessário definir a Compensação de retroatividade do certificado. Caso contrário, a autenticação falhará.

  • Imposição plena: a autenticação não será permitida se um certificado não puder ser fortemente mapeado para um usuário. Se você escolher esse tipo de imposição, a compensação retroativa do certificado não poderá ser configurada.

Para obter mais informações, consulte KB5014754: Alterações na autenticação baseada em certificado em controladores de domínio do Windows na documentação do Suporte Microsoft.
Canal seguro: Cifra AES 128/128 AES_128_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia AES 128/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
DES 56/56 DES_56_56 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia DES 56/56 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC2 40/128 RC2_40_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC2 40/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC2 56/128 RC2_56_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC2 56/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC2 128/128 RC2_128_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC2 128/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC4 40/128 RC4_40_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC4 40/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC4 56/128 RC4_56_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC4 56/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC4 64/128 RC4_64_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC4 64/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
RC4 128/128 RC4_128_128 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia RC4 128/128 para comunicações de canal seguras entre controladores de domínio em seu diretório.
Triple DES 168/168 3DES_168_168 Habilitar, Desabilitar Habilite ou desabilite a cifra de criptografia Triple DES 168/168 para comunicações de canal seguras entre controladores de domínio em seu diretório.
Canal seguro: Protocolo PCT 1.0 PCT_1_0 Habilitar, Desabilitar Habilite ou desabilite o protocolo PCT 1.0 para comunicações de canal seguras (servidor e cliente) nos controladores de domínio em seu diretório.
SSL 2.0 SSL_2_0 Habilitar, Desabilitar Habilite ou desabilite o protocolo SSL 2.0 para comunicações de canal seguras (servidor e cliente) nos controladores de domínio em seu diretório.
SSL 3.0 SSL_3_0 Habilitar, Desabilitar Habilite ou desabilite o protocolo SSL 3.0 para comunicações de canal seguras (servidor e cliente) nos controladores de domínio em seu diretório.
TLS 1.0 TLS_1_0 Habilitar, Desabilitar Habilite ou desabilite o protocolo TLS 1.0 para comunicações de canal seguras (servidor e cliente) nos controladores de domínio em seu diretório.
TLS 1.1 TLS_1_1 Habilitar, Desabilitar Habilite ou desabilite o protocolo TLS 1.1 para comunicações de canal seguras (servidor e cliente) nos controladores de domínio em seu diretório.