增强 AWS Managed Microsoft AD 网络安全配置 - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

增强 AWS Managed Microsoft AD 网络安全配置

对于为 AWS 目录预置的 AWS Managed Microsoft AD 安全组,为其配置了支持 AWS Managed Microsoft AD 目录的所有已知使用案例所需的最少入站网络端口数。有关预置的 AWS 安全组的更多信息,请参阅创建的 内容.

为进一步增强 AWS Managed Microsoft AD 目录的网络安全性,您可以根据下面列出的常见方案修改 AWS 安全组。

AWS 应用程序仅支持

所有用户账户仅在 AWS Managed Microsoft AD 中预置为与受支持的 AWS 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS Single Sign-On

  • Amazon WorkDocs

  • Amazon WorkMail

  • AWS 客户端 VPN

  • AWS 管理控制台

您可以使用以下 AWS 安全组配置来阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。

注意
  • 以下内容与此 AWS 安全组配置不兼容:

    • Amazon EC2 实例

    • Amazon FSx

    • Amazon RDS 适用于 MySQL

    • Amazon RDS for Oracle

    • Amazon RDS 适用于 PostgreSQL

    • Amazon RDS 适用于 SQL Server

    • Amazon WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

入站规则

无。

出站规则

无。

AWS 应用程序仅具有信任支持

所有用户账户都在 AWS Managed Microsoft AD 或受信任的 Active Directory 中预置为与受支持的 AWS 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS Single Sign-On

  • Amazon WorkDocs

  • Amazon WorkMail

  • AWS 客户端 VPN

  • AWS 管理控制台

您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。

注意
  • 以下内容与此 AWS 安全组配置不兼容:

    • Amazon EC2 实例

    • Amazon FSx

    • Amazon RDS 适用于 MySQL

    • Amazon RDS for Oracle

    • Amazon RDS 适用于 PostgreSQL

    • Amazon RDS 适用于 SQL Server

    • Amazon WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

  • 此配置要求您确保“本地 CIDR”网络是安全的。

  • TCP 445 仅用于创建信任,可在建立信任后删除。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 本地 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 本地 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 本地 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 本地 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 本地 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 本地 CIDR 复制 RPC、EPM
TCP 636 本地 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 本地 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 本地 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 本地 CIDR Windows 时间 Windows 时间、信任

出站规则

协议 端口范围 流量的类型 Active Directory 使用情况
全部 全部 本地 CIDR 所有流量

AWS 应用程序和本机 Active Directory 工作负载支持

用户账户仅在 AWS Managed Microsoft AD 中预置为与受支持的 AWS 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 实例

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS 适用于 MySQL

  • Amazon RDS for Oracle

  • Amazon RDS 适用于 PostgreSQL

  • Amazon RDS 适用于 SQL Server

  • AWS Single Sign-On

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • AWS 客户端 VPN

  • AWS 管理控制台

您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。

注意
  • 无法在 AWS Managed Microsoft AD 目录和本地域之间创建和维护 Active Directory 信任。

  • 它要求您确保“客户端 CIDR”网络是安全的。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 客户端 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户端 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户端 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户端 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户端 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户端 CIDR 复制 RPC、EPM
TCP 636 客户端 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户端 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户端 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户端 CIDR SOAP AD DS Web 服务
UDP 123 客户端 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户端 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

无。

具有信任支持的 AWS 应用程序和本机 Active Directory 工作负载支持

所有用户账户都在 AWS Managed Microsoft AD 或受信任的 Active Directory 中预置为与受支持的 AWS 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 实例

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS 适用于 MySQL

  • Amazon RDS for Oracle

  • Amazon RDS 适用于 PostgreSQL

  • Amazon RDS 适用于 SQL Server

  • AWS Single Sign-On

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • AWS 客户端 VPN

  • AWS 管理控制台

您可以修改预置的 AWS 安全组配置,以阻止指向 AWS Managed Microsoft AD 域控制器的所有非必要通信。

注意
  • 它要求您确保“本地 CIDR”和“客户端 CIDR”网络是安全的。

  • 带有“本地 CIDR” 的 TCP 445 仅用于创建信任,可在建立信任后删除。

  • 带有“客户端 CIDR”的 TCP 445 应保持打开状态,因为它是组策略处理所必需的。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 本地 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 本地 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 本地 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 本地 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 本地 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 本地 CIDR 复制 RPC、EPM
TCP 636 本地 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 本地 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 本地 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 本地 CIDR Windows 时间 Windows 时间、信任
TCP 和 UDP 53 客户端 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户端 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户端 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户端 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户端 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户端 CIDR 复制 RPC、EPM
TCP 636 客户端 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户端 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户端 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户端 CIDR SOAP AD DS Web 服务
UDP 123 客户端 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户端 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

协议 端口范围 流量的类型 Active Directory 使用情况
全部 全部 本地 CIDR 所有流量