Proteção do diretório Simple AD - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção do diretório Simple AD

Esta seção descreve considerações para proteger o ambiente do Simple AD.

Como redefinir a senha de uma conta krbtgt do Simple AD

A conta krbtgt desempenha um papel importante nas trocas de tíquetes do Kerberos. A conta do krbtgt é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. No Samba AD, o krbtgt é representado como uma conta de usuário (desabilitada). A senha dessa conta é gerada aleatoriamente no momento em que o domínio é provisionado. O acesso a esse segredo pode resultar em comprometimento total indetectável do domínio, pois novos tíquetes do Kerberos podem ser impressos sem auditoria. Para obter mais informações, consulte a documentação do Samba.

É recomendável alterar essa senha regularmente a cada 90 dias. Você pode redefinir a senha da conta krbtgt de uma EC2 Windows instância da Amazon associada ao seu Simple AD.

nota

AWS O Simple AD é desenvolvido com o Samba-AD. O Samba-AD não armazena o hash N-1 para a conta krbtgt. Portanto, quando a senha da conta krbtgt for redefinida, o cliente Kerberos deverá negociar um novo tíquete de concessão de tíquetes (TGT) durante a próxima solicitação de tíquete de serviço (ST). Para minimizar possíveis interrupções no serviço, você deve programar a redefinição de senha da conta krbtgt fora do horário comercial. Essa abordagem reduz os impactos nas operações contínuas e garante uma continuidade tranquila da autenticação.

Os procedimentos a seguir mostram como você pode redefinir a senha da conta krbtgt a partir de uma instância da Amazon EC2Windows.

Pré-requisitos
  • Antes de iniciar este procedimento, complete o seguinte:

    • Você associou um domínio a uma EC2 instância ao seu diretório Simple AD.

    • Você tem as credenciais de administrador do diretório Simple AD. Você entrará como administrador do diretório Simple AD para esse procedimento.

nota

Alguns, Serviços da AWS como Amazon WorkDocs e Amazon WorkSpaces, criarão um Simple AD em seu nome.

Redefinição de senha da conta krbtgt do Simple AD
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No EC2 console da Amazon, escolha Instâncias e selecione a instância Windows do servidor. Depois, escolha Conectar.

  3. Na página Conectar a instância, escolha Cliente RDP.

  4. Na caixa de diálogo Segurança do Windows, copie suas credenciais de administrador local no computador do Windows Server para fazer login. O nome de usuário pode estar nos seguintes formatos: NetBIOS-Name\administrator ou DNS-Name\administrator. Por exemplo, corp\administrator seria o nome de usuário se você seguisse o procedimento em Criação do Simple AD.

  5. Depois de fazer login no computador com Windows Server, abra as Ferramentas administrativas do Windows no menu Iniciar, escolhendo a pasta Ferramentas administrativas do Windows.

    Windows Server start menu showing administrative tools and system management options.
  6. No painel Ferramentas Windows Administrativas, abra Usuários e Computadores do Active Directory escolhendo Usuários e Computadores do Active Directory.

    Windows Administrative Tools dashboard showing various system management shortcuts.
  7. Na janela Usuários e Computadores do Active Directory, selecione Exibir e escolha Habilitar recursos avançados.

    View menu options in a software interface, with "Advanced Features" selected.
  8. Na janela Usuários e computadores do Active Directory, selecione Usuários no painel esquerdo.

    Active Directory Users and Computers folder structure with Users folder highlighted.
  9. Encontre o usuário chamado krbtgt, clique com o botão direito nele e selecione Redefinir senha.

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.
  10. Na janela que se abre, digite a nova senha, insira-a novamente e escolha OK para redefinir a senha da conta krbtgt.

    Password reset dialog with fields for new password, confirmation, and account options.
  11. No painel de ferramentas Windows administrativas, escolha Serviços e sites do Active Directory.

    Windows Administrative Tools folder showing various Active Directory management shortcuts.
  12. Na janela Sites e Serviços do Active Directory, expanda Site, Nome do Primeiro Site Padrão e Servidores.

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.
  13. Na janela Configurações de NTDS, clique com o botão direito do mouse no servidor e selecione Replicar agora.

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.
  14. Repita as etapas de 13 a 14 para os outros servidores.