Melhorar a configuração de segurança de rede do AWS Managed Microsoft AD - AWS Directory Service
Suporte somente a aplicações da AWSSomente aplicações da AWS com suporte de confiançaSuporte a aplicações da AWS e a workloads nativas do Active DirectorySuporte a aplicações da AWS e a workloads nativas do Active Directory compatíveis com relações de confiança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhorar a configuração de segurança de rede do AWS Managed Microsoft AD

O grupo de segurança da AWS que é provisionado para o diretório do AWS Managed Microsoft AD está configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos para o diretório do AWS Managed Microsoft AD. Para obter mais informações sobre o grupo de segurança provisionado da AWS, consulte O que é criado com o seu AWS Microsoft AD gerenciado.

Para melhorar ainda mais a segurança de rede do diretório do AWS Managed Microsoft AD, é possível modificar o grupo de segurança da AWS com base em cenários comuns indicados a seguir.

Suporte somente a aplicações da AWS

Todas as contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • AWS Client VPN

  • AWS Management Console

É possível usar a configuração do grupo de segurança da AWS a seguir para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.

nota

  • Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:

    • Instâncias do Amazon EC2

    • Amazon FSx

    • Amazon RDS para MySQL

    • Amazon RDS para Oracle

    • Amazon RDS para PostgreSQL

    • Amazon RDS para SQL Server

    • WorkSpaces

    • Confianças do Active Directory

    • Clientes ou servidores associados ao domínio

Regras de entrada

Nenhum.

Regras de saída

Nenhum.

Somente aplicações da AWS com suporte de confiança

Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • AWS Client VPN

  • AWS Management Console

É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.

nota

  • Os itens a seguir não são compatíveis com essa configuração do grupo de segurança da AWS:

    • Instâncias do Amazon EC2

    • Amazon FSx

    • Amazon RDS para MySQL

    • Amazon RDS para Oracle

    • Amazon RDS para PostgreSQL

    • Amazon RDS para SQL Server

    • WorkSpaces

    • Confianças do Active Directory

    • Clientes ou servidores associados ao domínio

  • Essa configuração exige que a rede "CIDR on-premises" esteja segura.

  • O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.

  • O TCP 636 só é necessário quando o LDAP por SSL está em uso.

Regras de entrada

Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
TCP e UDP 53 CIDR on-premises DNS Autenticação de usuário e computador, resolução de nome, confianças
TCP e UDP 88 CIDR on-premises Kerberos Autenticação de usuário e computador, confianças do nível floresta
TCP e UDP 389 CIDR on-premises LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP e UDP 464 CIDR on-premises Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
TCP 445 CIDR on-premises SMB/CIFS Replicação, autenticação de usuário e computador, confianças de política de grupo
TCP 135 CIDR on-premises Replicação RPC, EPM
TCP 636 CIDR on-premises LDAP SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 49152 – 65535 CIDR on-premises RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP 3268 - 3269 CIDR on-premises LDAP GC e LDAP GC SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
UDP 123 CIDR on-premises Horário do Windows Horário do Windows, confianças

Regras de saída

Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
Tudo Tudo CIDR on-premises Todo o tráfego

Suporte a aplicações da AWS e a workloads nativas do Active Directory

As contas de usuário são provisionadas somente no AWS Managed Microsoft AD para serem usadas com aplicações compatíveis da AWS, como os seguintes:

  • Amazon Chime

  • Amazon Connect

  • Instâncias do Amazon EC2

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS para MySQL

  • Amazon RDS para Oracle

  • Amazon RDS para PostgreSQL

  • Amazon RDS para SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.

nota

  • As relações de confiança no Active Directory não podem ser criadas e mantidas entre o diretório do AWS Managed Microsoft AD e o domínio on-premises.

  • Você deve garantir que a rede "CIDR do cliente" seja segura.

  • O TCP 636 só é necessário quando o LDAP por SSL está em uso.

  • Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".

Regras de entrada

Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
TCP e UDP 53 CIDR do cliente DNS Autenticação de usuário e computador, resolução de nome, confianças
TCP e UDP 88 CIDR do cliente Kerberos Autenticação de usuário e computador, confianças do nível floresta
TCP e UDP 389 CIDR do cliente LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP e UDP 445 CIDR do cliente SMB/CIFS Replicação, autenticação de usuário e computador, confianças de política de grupo
TCP e UDP 464 CIDR do cliente Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
TCP 135 CIDR do cliente Replicação RPC, EPM
TCP 636 CIDR do cliente LDAP SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 49152 – 65535 CIDR do cliente RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP 3268 - 3269 CIDR do cliente LDAP GC e LDAP GC SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 9389 CIDR do cliente SOAP Web services do AD DS
UDP 123 CIDR do cliente Horário do Windows Horário do Windows, confianças
UDP 138 CIDR do cliente DFSN e NetLogon DFS, política de grupo

Regras de saída

Nenhum.

Suporte a aplicações da AWS e a workloads nativas do Active Directory compatíveis com relações de confiança

Todas as contas de usuário são provisionadas no AWS Managed Microsoft AD ou no Active Directory confiável para serem usadas com aplicativos da AWS compatíveis, como os seguintes:

  • Amazon Chime

  • Amazon Connect

  • Instâncias do Amazon EC2

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS para MySQL

  • Amazon RDS para Oracle

  • Amazon RDS para PostgreSQL

  • Amazon RDS para SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

É possível modificar a configuração do grupo de segurança provisionado da AWS para bloquear todo o tráfego não essencial para os controladores de domínio do AWS Managed Microsoft AD.

nota

  • As redes "CIDR on-premises" e "CIDR do cliente" devem estar seguras.

  • O TCP 445 com "CIDR on-premises" é usado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.

  • O TCP 445 com "CIDR do cliente" deve ser deixado aberto, uma vez que é necessário para o processamento da política de grupo.

  • O TCP 636 só é necessário quando o LDAP por SSL está em uso.

  • Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída "TCP, 443, CA CIDR".

Regras de entrada

Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
TCP e UDP 53 CIDR on-premises DNS Autenticação de usuário e computador, resolução de nome, confianças
TCP e UDP 88 CIDR on-premises Kerberos Autenticação de usuário e computador, confianças do nível floresta
TCP e UDP 389 CIDR on-premises LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP e UDP 464 CIDR on-premises Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
TCP 445 CIDR on-premises SMB/CIFS Replicação, autenticação de usuário e computador, confianças de política de grupo
TCP 135 CIDR on-premises Replicação RPC, EPM
TCP 636 CIDR on-premises LDAP SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 49152 – 65535 CIDR on-premises RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP 3268 - 3269 CIDR on-premises LDAP GC e LDAP GC SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
UDP 123 CIDR on-premises Horário do Windows Horário do Windows, confianças
TCP e UDP 53 CIDR do cliente DNS Autenticação de usuário e computador, resolução de nome, confianças
TCP e UDP 88 CIDR do cliente Kerberos Autenticação de usuário e computador, confianças do nível floresta
TCP e UDP 389 CIDR do cliente LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP e UDP 445 CIDR do cliente SMB/CIFS Replicação, autenticação de usuário e computador, confianças de política de grupo
TCP e UDP 464 CIDR do cliente Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
TCP 135 CIDR do cliente Replicação RPC, EPM
TCP 636 CIDR do cliente LDAP SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 49152 – 65535 CIDR do cliente RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP 3268 - 3269 CIDR do cliente LDAP GC e LDAP GC SSL Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP 9389 CIDR do cliente SOAP Web services do AD DS
UDP 123 CIDR do cliente Horário do Windows Horário do Windows, confianças
UDP 138 CIDR do cliente DFSN e NetLogon DFS, política de grupo

Regras de saída

Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
Tudo Tudo CIDR on-premises Todo o tráfego