配置目录安全设置 - Amazon Directory Service
编辑目录安全设置目录安全设置失败目录安全设置列表
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置目录安全设置

您可以为托管 Amazon Managed Microsoft AD 配置精细的目录设置,以在不增加运行工作负载的情况下满足您的合规性和安全要求。在目录设置中,您可以更新目录使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个传统密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。Amazon然后,Managed Microsoft AD 会将配置部署到目录中的所有域控制器,管理域控制器的重新启动,并在您横向扩展或部署更多 Amazon Web Services 区域 时保持此配置。有关所有可用设置的详细信息,请参阅 目录安全设置列表

编辑目录安全设置

您可以配置和编辑任何目录的设置。

编辑目录设置

  1. 前往 https://console.amazonaws.cn/directoryservicev2/,登录到 Amazon 管理控制台,打开 Amazon Directory Service 控制台。

  2. 目录页面上,选择您的目录 ID。

  3. 网络与安全下,找到目录设置,然后选择编辑设置

  4. 编辑设置中,更改要编辑的设置的。编辑设置时,其状态会从默认更改为更新准备就绪。如果您之前编辑过该设置,则其状态将从已更新更改为更新准备就绪。然后选择查看

  5. 查看和更新设置中,查看目录设置并确保新值全部正确。如果要对设置进行任何其他更改,请选择编辑设置。当您对更改感到满意并准备实施新值时,请选择更新设置。然后,您将返回到目录 ID 页面。

    注意

    目录设置下,您可以查看已更新设置的状态。实施设置后,状态将显示为正在更新。当设置在状态下显示为正在更新时,您无法编辑其他设置。如果您的编辑成功更新了设置,则状态将显示为已更新。如果您的编辑无法更新设置,则状态将显示为失败

目录安全设置失败

如果在设置更新过程中出现错误,则状态将显示为失败。在失败状态下,设置不会更新为新值,且原始值继续实施。您可以重试更新这些设置或将其恢复到以前的值。

解决更新设置失败的问题

  • 目录设置下,选择解决失败的设置。然后,执行以下操作之一:

    • 要将设置恢复到失败状态之前的原始值,请选择恢复失败的设置。然后,在弹出模式中选择恢复

    • 要重试更新目录设置,请选择重试失败的设置。如果要在重试失败的更新之前对目录设置进行其他更改,请选择继续编辑。在查看并重试失败的更新中,选择更新设置

目录安全设置列表

以下列表显示了所有可用目录安全设置的类型、设置名称、API 名称、潜在值和设置描述。

如果禁用了所有其他安全设置,则默认目录安全设置为 TLS 1.2 和 AES 256/256。无法禁用它们。

类型 设置名称 API 名称 潜在值 设置说明
基于证书的身份验证 证书回溯补偿 CERTIFICATE_BACKDATING_COMPENSATION

年数:0 到 50

月数:0 到 11

天数:0 到 30

小时数:0 到 23

分钟数:0 到 59

秒数:0 到 59

指定一个值,以指示证书可以早于 Active Directory 中的用户并且仍可用于 Active Directory 中的身份验证的时间长度。默认值为 10 分钟。您可以将此值设置为 1 秒到 50 年。

要配置此设置,必须为强证书绑定执行选择兼容性类型。

有关更多信息,请参阅 Microsoft Support 文档中的 KB5014754 - Windows 域控制器上基于证书的身份验证更改
证书强制执行 CERTIFICATE_STRONG_ENFORCEMENT 兼容性,全面执行

指定以下任一种执行类型:

  • 兼容性(默认):如果无法将证书强映射到用户,则允许进行身份验证。如果证书早于 Active Directory 中的用户账户,则还必须设置证书回溯补偿,否则身份验证将失败。

  • 全面执行(默认):如果无法将证书强映射到用户,则不允许进行身份验证。如果您选择此执行类型,则无法配置证书回溯补偿

有关更多信息,请参阅 Microsoft Support 文档中的 KB5014754 - Windows 域控制器上基于证书的身份验证更改
安全通道:密码 AES 128/128 AES_128_128 启用,禁用 启用或禁用 AES 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
DES 56/56 DES_56_56 启用,禁用 启用或禁用 DES 56/56 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 40/128 RC2_40_128 启用,禁用 启用或禁用 RC2 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 56/128 RC2_56_128 启用,禁用 启用或禁用 RC2 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 128/128 RC2_128_128 启用,禁用 启用或禁用 RC2 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 40/128 RC4_40_128 启用,禁用 启用或禁用 RC4 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 56/128 RC4_56_128 启用,禁用 启用或禁用 RC4 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 64/128 RC4_64_128 启用,禁用 启用或禁用 RC4 64/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 128/128 RC4_128_128 启用,禁用 启用或禁用 RC4 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
Triple DES 168/168 3DES_168_168 启用,禁用 启用或禁用 Triple DES 168/168 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
安全通道:协议 PCT 1.0 PCT_1_0 启用,禁用 启用或禁用 PCT 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
SSL 2.0 SSL_2_0 启用,禁用 启用或禁用 SSL 2.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
SSL 3.0 SSL_3_0 启用,禁用 启用或禁用 SSL 3.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
TLS 1.0 TLS_1_0 启用,禁用 启用或禁用 TLS 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
TLS 1.1 TLS_1_1 启用,禁用 启用或禁用 TLS 1.1 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。