設定目錄安全設定 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定目錄安全設定

您可以為 AWS Managed Microsoft AD 設定精細的目錄設定,以滿足合規和安全要求,而無需增加任何操作工作負載。在目錄設定中,您可以更新目錄中使用的協定和加密方式的安全通道組態。例如,您可以靈活地分別停用舊式加密方式 (例如 RC4 或 DES) 以及協定 (例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。AWS然後,Managed Microsoft AD 會將組態部署到目錄中的所有域控制站,管理域控制站會重新啟動,並在您橫向擴展或部署更多 AWS 區域 時維護此組態。如需所有可用設定的詳細資訊,請參閱 目錄安全設定清單

編輯目錄安全設定

您可以設定和編輯任何目錄的設定。

編輯目錄設定
  1. 登入 AWS 管理主控台,然後在 https://console.aws.amazon.com/directoryservicev2/ 開啟 AWS Directory Service 主控台。

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 聯網和安全下,找到目錄設定,然後選擇編輯設定

  4. 編輯設定中,變更要編輯的設定的。當您編輯設定時,其狀態將從預設變更為準備更新。如果您之前編輯過設定,其狀態將從已更新變更為準備更新。接著選擇檢閱

  5. 檢閱和更新設定中,請檢查目錄設定並確認新的值均正確無誤。如果您想對設定進行任何其他變更,請選擇編輯設定。完成所需並確認變更後,請選擇更新設定。然後,您將返回目錄 ID 頁面。

    注意

    目錄設定下,您可以檢視更新設定的狀態。實作設定時,狀態顯示正在更新。當某項設定的狀態顯示為正在更新時,您無法編輯其他設定。如果設定編輯成功並更新,其狀態將顯示已更新。如果設定無法按照編輯成功更新,其狀態將顯示失敗

目錄安全設定失敗

如果設定更新期間發生錯誤,狀態將顯示為失敗。在失敗狀態下,設定不會更新為新值,仍保留原始值。您可以重試更新這些設定,或將它們還原為先前的值。

解決更新設定失敗的問題
  • 目錄設定下,選擇解決失敗的設定。然後執行下列其中一項:

    • 若要將設定還原為失敗狀態之前的原始值,請選擇還原失敗的設定。然後,在彈出的視窗中選擇還原

    • 若要重試更新目錄設定,請選擇重試失敗的設定。如果您想在重試失敗的更新之前,對目錄設定進行其他變更,請選擇繼續編輯。在檢閱和重試失敗的更新上,選擇更新設定

目錄安全設定清單

以下清單顯示所有可用目錄安全設定的類型、設定名稱、API 名稱、可能的值和設定描述。

如果停用所有其他安全設定,則 TLS 1.2 和 AES 256/256 是預設目錄安全設定。它們不能被停用。

類型 設定名稱 API 名稱 可能的值 設定說明
憑證型身分驗證 憑證回溯認證 CERTIFICATE_BACKDATING_COMPENSATION

年:0 至 50

月:0 至 11

天:0 至 30

時:0 至 23

分:0 至 59

秒:0 到 59

指定一個值來指示憑證可以早於 Active Directory 中的使用者存取時間並且仍可用於 Active Directory 中的身分驗證的時間長度。預設值為 10 分鐘。您可以將此值設定為 1 秒到 50 年。

若要進行此設定,您必須為強式憑證繫結強制執行選取相容性類型。

如需詳細資訊,請參閱 Microsoft 支援文件中的 KB5014754 – Windows 域控制站上的憑證式驗證變更一文。

憑證強式強制執行 CERTIFICATE_STRONG_ENFORCEMENT 相容性、完整強制執行

指定下列任一強制執行類型:

  • 相容性 (預設):即便憑證無法強式地對應到使用者,亦允許進行身分驗證。如果憑證早於 Active Directory 中的使用者帳戶,則還必須設定憑證回溯認證,否則身分驗證會失敗。

  • 完整強制執行:如果憑證無法強式地對應到使用者,則不允許進行身分驗證。如果您選擇此強制執行類型,則無法設定憑證回溯認證

如需詳細資訊,請參閱 Microsoft 支援文件中的 KB5014754 – Windows 域控制站上的憑證式驗證變更一文。

安全通道:加密方式 AES 128/128 AES_128_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 AES 128/128 加密方式。
DES 56/56 DES_56_56 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 DES 56/56 加密方式。
RC2 40/128 RC2_40_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 40/128 加密方式。
RC2 56/128 RC2_56_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 56/128 加密方式。
RC2 128/128 RC2_128_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 128/128 加密方式。
RC4 40/128 RC4_40_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 40/128 加密方式。
RC4 56/128 RC4_56_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 56/128 加密方式。
RC4 64/128 RC4_64_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 64/128 加密方式。
RC4 128/128 RC4_128_128 啟用、停用 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 128/128 加密方式。
三重 DES 168/168 3DES_168_168 啟用、停用 啟用或停用三重 DES 168/168 加密方式,以確保目錄中域控制站之間的安全通道通訊。
安全通道:協定 PCT 1.0 PCT_1_0 啟用、停用 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 PCT 1.0 協定。
SSL 2.0 SSL_2_0 啟用、停用 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 2.0 協定。
SSL 3.0 SSL_3_0 啟用、停用 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 3.0 協定。
TLS 1.0 TLS_1_0 啟用、停用 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.0 協定。
TLS 1.1 TLS_1_1 啟用、停用 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.1 協定。