配置目录安全设置 - Amazon Directory Service
编辑目录安全设置目录安全设置失败目录安全设置列表
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置目录安全设置

您可以为托管 Amazon Microsoft AD 配置精细的目录设置,以满足您的合规性和安全要求,而不会增加运营工作量。在目录设置中,您可以更新目录中使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个传统密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。 Amazon然后,Managed Microsoft AD 会将配置部署到目录中的所有域控制器,管理域控制器的重新启动,并在您扩展或部署更多域控制器时保持此配置。Amazon Web Services 区域有关所有可用设置,请参阅目录安全设置列表

编辑目录安全设置

您可以配置和编辑任何目录的设置。

编辑目录设置

  1. 登录Amazon管理控制台并打开Amazon目录服务控制台,网址为https://console.amazonaws.cn/directoryservicev2/

  2. Directories 页面上,选择您的目录 ID。

  3. 在 “网络和安全” 下,找到 “目录设置”,然后选择 “编辑设置”

  4. 编辑设置中,更改要编辑的设置的。编辑设置时,其状态会从 “默认” 更改为 “准备更新”。如果您之前编辑过该设置,则其状态将从 “已更新” 更改为 “准备更新”。然后,选择 “查看”。

  5. 在 “查看和更新设置” 中,参见 “目录设置”,并确保新值全部正确。如果要对设置进行任何其他更改,请选择 “编辑设置”。当您对更改感到满意并准备实施新值时,请选择更新设置。然后,您将返回到目录 ID 页面。

    注意

    “目录设置” 下,您可以查看已更新设置的状态。实施设置后,状态显示正在更新。当设置在 “状态” 下显示 “正在更新” 时,您无法编辑其他设置。如果您的编辑成功更新了设置,则状态将显示已更新。如果您的编辑无法更新设置,则状态将显示失败。

目录安全设置失败

如果在设置更新过程中出现错误,则状态将显示为失败。在失败状态下,设置不会更新为新值,并且原始值仍保持可用。您可以重试更新这些设置或将其恢复到以前的值。

解决更新设置失败的问题

  • “目录设置” 下,选择 “解决失败的设置”。然后,执行以下任一操作:

    • 要将设置恢复到失败状态之前的原始值,请选择 “恢复失败设置”。然后,在弹出模式中选择 “还原”。

    • 要重试更新目录设置,请选择 “重试失败设置”。如果要在重试失败的更新之前对目录设置进行其他更改,请选择 “继续编辑”。在 “查看并重试失败的更新” 中,选择 “更新设置”

目录安全设置列表

以下列表显示了所有可用目录安全设置的类型、设置名称、API 名称、潜在值和设置描述。

如果禁用了所有其他安全设置,则默认目录安全设置为 TLS 1.2 和 AES 256/256。它们不能被禁用。

类型 设置名称 API 名称 潜在值 设置说明
基于证书的身份验证 证书回溯补偿 证书_BACKDATING_补偿

年龄:0 到 50

月:0 到 11

天数:0 到 30

时间:0 到 23

分钟:0 到 59

秒:0 到 59

指定一个值以指示证书可以早于 Active Directory 中的用户并且仍可用于 Active Directory 中的身份验证的时间长度。默认值为 10 分钟。您可以将此值设置为 1 秒到 50 年。

要配置此设置,必须为 “强证书绑定强制执行” 选择 “兼容性类型”。

有关更多信息,请参阅 Microsoft Support 文档中的 kb5014754 — Windows 域控制器上基于证书的身份验证更改
证书强有力的执法 证书强力执法 兼容性,全面执行

指定以下任一强制执行类型:

  • 兼容性(默认):如果无法将证书强映射到用户,则允许进行身份验证。如果证书早于 Active Directory 中的用户帐户,则还必须设置证书回溯补偿,否则身份验证将失败。

  • 全面执行:如果无法将证书强映射到用户,则不允许进行身份验证。如果您选择此强制类型,则无法配置证书回溯补偿

有关更多信息,请参阅 Microsoft Support 文档中的 kb5014754 — Windows 域控制器上基于证书的身份验证更改
安全通道:Cipher AES 128/128 AES_128_128 启用、禁用 启用或禁用 AES 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
DES 56/56 DES_56_56 启用、禁用 启用或禁用 DES 56/56 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 40/128 RC2_40_128 启用、禁用 启用或禁用 RC2 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 56/128 RC2_56_128 启用、禁用 启用或禁用 RC2 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC2 128/128 RC2_128_128 启用、禁用 启用或禁用 RC2 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 40/128 RC4_40_128 启用、禁用 启用或禁用 RC4 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 56/128 RC4_56_128 启用、禁用 启用或禁用 RC4 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 64/128 RC4_64_128 启用、禁用 启用或禁用 RC4 64/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
RC4 128/128 RC4_128_128 启用、禁用 启用或禁用 RC4 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
Triple DES 168/168 3DES_168_168 启用、禁用 启用或禁用 Triple DES 168/168 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
安全通道:协议 PCT 1.0 PCT_1_0 启用、禁用 启用或禁用 PCT 1.0 协议,以便在目录中的域控制器上进行安全信道通信(服务器和客户端)。
SSL 2.0 SSL_2_0 启用、禁用 在目录中的域控制器上启用或禁用 SSL 2.0 协议,以实现安全信道通信(服务器和客户端)。
SSL 3.0 SSL_3_0 启用、禁用 在目录中的域控制器上启用或禁用 SSL 3.0 协议,以实现安全信道通信(服务器和客户端)。
TLS 1.0 TLS_1_0 启用、禁用 启用或禁用 TLS 1.0 协议,以便在目录中的域控制器上进行安全通道通信(服务器和客户端)。
TLS 1.1 TLS_1_1 启用、禁用 启用或禁用 TLS 1.1 协议,以便在目录中的域控制器上进行安全通道通信(服务器和客户端)。