As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhorar a configuração de segurança de rede do AWS Managed Microsoft AD
O grupo de segurança da AWS que é provisionado para o diretório do AWS Managed Microsoft AD está configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos para o diretório do AWS Managed Microsoft AD. Para obter mais informações sobre o grupo de segurança provisionado da AWS, consulte O que é criado com o seu AWS Microsoft AD gerenciado.
Para melhorar ainda mais a segurança de rede do diretório do AWS Managed Microsoft AD, é possível modificar o grupo de segurança da AWS com base em cenários comuns indicados a seguir.
Tópicos
Suporte somente a aplicações da AWS
Todas as contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
É possível usar a configuração do grupo de segurança da AWS a seguir para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:
Instâncias do Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Confianças do Active Directory
Clientes ou servidores associados ao domínio
Regras de entrada
Nenhum.
Regras de saída
Nenhum.
Somente aplicações da AWS com suporte de confiança
Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:
Instâncias do Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Confianças do Active Directory
Clientes ou servidores associados ao domínio
-
Essa configuração exige que a rede "CIDR on-premises" esteja segura.
-
O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
-
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Regras de entrada
Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR on-premises | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
TCP e UDP | 88 | CIDR on-premises | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
TCP e UDP | 389 | CIDR on-premises | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP e UDP | 464 | CIDR on-premises | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
TCP | 445 | CIDR on-premises | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
TCP | 135 | CIDR on-premises | Replicação | RPC, EPM |
TCP | 636 | CIDR on-premises | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 49152 – 65535 | CIDR on-premises | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
TCP | 3268 - 3269 | CIDR on-premises | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
UDP | 123 | CIDR on-premises | Horário do Windows | Horário do Windows, confianças |
Regras de saída
Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
---|---|---|---|---|
Tudo | Tudo | CIDR on-premises | Todo o tráfego |
Suporte a aplicações da AWS e a workloads nativas do Active Directory
As contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:
Amazon Chime
Amazon Connect
Instâncias do Amazon EC2
Amazon FSx
Amazon QuickSight
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
As relações de confiança no Active Directory não podem ser criadas e mantidas entre o diretório do AWS Managed Microsoft AD e o domínio on-premises.
Você deve garantir que a rede "CIDR do cliente" seja segura.
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".
Regras de entrada
Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
TCP e UDP | 88 | CIDR do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
TCP e UDP | 389 | CIDR do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP e UDP | 445 | CIDR do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
TCP e UDP | 464 | CIDR do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
TCP | 135 | CIDR do cliente | Replicação | RPC, EPM |
TCP | 636 | CIDR do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 49152 – 65535 | CIDR do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
TCP | 3268 - 3269 | CIDR do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 9389 | CIDR do cliente | SOAP | Web services do AD DS |
UDP | 123 | CIDR do cliente | Horário do Windows | Horário do Windows, confianças |
UDP | 138 | CIDR do cliente | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
Nenhum.
Suporte a aplicações da AWS e a workloads nativas do Active Directory compatíveis com relações de confiança
Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:
Amazon Chime
Amazon Connect
Instâncias do Amazon EC2
Amazon FSx
Amazon QuickSight
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.
nota
As redes "CIDR on-premises" e "CIDR do cliente" devem estar seguras.
O TCP 445 com "CIDR on-premises" é usado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
O TCP 445 com "CIDR do cliente" deve ser deixado aberto, uma vez que é necessário para o processamento da política de grupo.
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".
Regras de entrada
Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR on-premises | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
TCP e UDP | 88 | CIDR on-premises | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
TCP e UDP | 389 | CIDR on-premises | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP e UDP | 464 | CIDR on-premises | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
TCP | 445 | CIDR on-premises | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
TCP | 135 | CIDR on-premises | Replicação | RPC, EPM |
TCP | 636 | CIDR on-premises | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 49152 – 65535 | CIDR on-premises | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
TCP | 3268 - 3269 | CIDR on-premises | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
UDP | 123 | CIDR on-premises | Horário do Windows | Horário do Windows, confianças |
TCP e UDP | 53 | CIDR do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
TCP e UDP | 88 | CIDR do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
TCP e UDP | 389 | CIDR do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP e UDP | 445 | CIDR do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
TCP e UDP | 464 | CIDR do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
TCP | 135 | CIDR do cliente | Replicação | RPC, EPM |
TCP | 636 | CIDR do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 49152 – 65535 | CIDR do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
TCP | 3268 - 3269 | CIDR do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
TCP | 9389 | CIDR do cliente | SOAP | Web services do AD DS |
UDP | 123 | CIDR do cliente | Horário do Windows | Horário do Windows, confianças |
UDP | 138 | CIDR do cliente | DFSN e NetLogon | DFS, política de grupo |
Regras de saída
Protocolo | Intervalo de portas | Origem | Tipo de tráfego | Uso do Active Directory |
---|---|---|---|---|
Tudo | Tudo | CIDR on-premises | Todo o tráfego |