Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schützen Sie Ihr AWS verwaltetes Microsoft AD
Sie können Kennwortrichtlinien, Funktionen wie Multi-Faktor-Authentifizierung (MFA) und Einstellungen verwenden, um Ihr AWS Managed Microsoft AD zu schützen. Zu den Möglichkeiten, Ihr Verzeichnis zu schützen, gehören:
+ [Erfahren Sie, wie die Kennwortrichtlinien in Active Directory funktionieren](ms_ad_password_policies.md), sodass sie auf AWS verwaltete Microsoft AD-Benutzer angewendet werden können. Sie können auch delegieren, welcher Benutzer Ihre AWS verwalteten Microsoft AD-Passwortrichtlinien verwalten kann.
+ [Aktivieren Sie MFA](ms_ad_mfa.md), was Ihre AWS Managed Microsoft AD-Sicherheit erhöht.
+ [>Aktivieren Sie das Lightweight Directory Access Protocol über Secure Socket Layer (SSL) /Transport Layer Security (TLS) (LDAPS)](ms_ad_ldap.md), sodass die Kommunikation über LDAP verschlüsselt wird und die Sicherheit verbessert wird.
+ [Verwalten Sie Ihre AWS Managed Microsoft AD-Konformität](ms_ad_compliance.md) mit Standards wie dem Federal Risk and Authorization Management Program (FedRAMP) und dem Payment Card Industry (PCI) Data Security Standard (DSS).
+ [Verbessern Sie Ihre AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration>](ms_ad_network_security.md), indem Sie die AWS Sicherheitsgruppe an Ihre Umgebungsanforderungen anpassen.
+ [Bearbeiten Sie die Sicherheitseinstellungen Ihres AWS verwalteten Microsoft AD-Verzeichnisses](ms_ad_directory_settings.md) wie Certificate Base Authentication, Secure Channel Cipher und Protocol ganz nach Ihren Bedürfnissen.
+ [Richten Sie AWS Private Certificate Authority Connector für AD](ms_ad_pca_connector.md) ein, damit Sie Zertifikate für Ihr AWS verwaltetes Microsoft AD mit ausstellen und verwalten können AWS Private CA.
# Grundlegendes zu AWS verwalteten Microsoft AD-Kennwortrichtlinien
AWS Mit Managed Microsoft AD können Sie verschiedene Passwort- und Kontosperrrichtlinien (auch als [differenzierte Kennwortrichtlinien](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) bezeichnet) für Benutzergruppen definieren und zuweisen, die Sie in Ihrer AWS verwalteten Microsoft AD-Domäne verwalten. Wenn Sie ein AWS verwaltetes Microsoft AD-Verzeichnis erstellen, wird eine Standard-Domänenrichtlinie erstellt und auf das Active Directory angewendet. Diese Richtlinie enthält folgende Einstellungen:
****
| Richtlinie | Einstellung |
| --- | --- |
| Passwortverlauf erzwingen | 24 gespeicherte Passwörter |
| Maximales Passwortalter | 42 Tage \$1 |
| Minimales Passwortalter | 1 Tag |
| Mindestlänge für Passwörter | 7 Zeichen |
| Das Passwort muss Komplexitätsanforderungen entsprechen | Aktiviert |
| Passwörter unter Verwendung umkehrbarer Verschlüsselung speichern | Disabled |
**Anmerkung**
\$1 Das maximale Kennwortalter von 42 Tagen beinhaltet das Admin-Passwort.
Sie können z. B. eine weniger strenge Richtlinieneinstellung für Mitarbeiter festlegen, die nur Zugriff auf Informationen mit niedriger Empfindlichkeit haben. Für leitende Angestellte, die regelmäßig auf vertrauliche Informationen zugreifen, können Sie strengere Einstellungen festlegen.
Die folgenden Ressourcen bieten weitere Informationen zu den detaillierten Kennwortrichtlinien und Sicherheitsrichtlinien von Microsoft Active Directory:
+ [Konfigurieren Sie die Einstellungen für Sicherheitsrichtlinien](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Anforderungen an die Komplexität von Passwörtern](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Sicherheitsüberlegungen zur Komplexität von Passwörtern](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS bietet eine Reihe detaillierter Kennwortrichtlinien in AWS Managed Microsoft AD, die Sie konfigurieren und Ihren Gruppen zuweisen können. Um die Richtlinien zu konfigurieren, können Sie Microsoft Standardrichtlinientools wie das [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) verwenden. Informationen zu den ersten Schritten mit den Microsoft Richtlinientools finden Sie unter[Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).
## Wie werden Passwortrichtlinien angewendet
Je nachdem, ob das Passwort zurückgesetzt oder geändert wurde, gibt es Unterschiede bei der Anwendung der detaillierten Passwortrichtlinien. Domänenbenutzer können ihr eigenes Passwort ändern. Ein Active Directory-Administrator oder ein Benutzer mit den erforderlichen Berechtigungen kann [Benutzerkennwörter zurücksetzen](ms_ad_manage_users_groups_reset_password.md). Weitere Informationen finden Sie in der folgenden Tabelle.
****
| Richtlinie | Passwort zurückgesetzt | Passwort ändern |
| --- | --- | --- |
| Passwortverlauf erzwingen | ![\[No\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Maximales Passwortalter | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Minimales Passwortalter | ![\[No\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Mindestlänge für Passwörter | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Das Passwort muss Komplexitätsanforderungen entsprechen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
Diese Unterschiede haben Auswirkungen auf die Sicherheit. Wenn beispielsweise das Passwort eines Benutzers zurückgesetzt wird, werden die Richtlinien „Kennwortverlauf durchsetzen“ und „Mindestalter für Kennwörter“ nicht durchgesetzt. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu den Sicherheitsüberlegungen im Zusammenhang mit der [Durchsetzung von Richtlinien für den Kennwortverlauf](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) und [das Mindestalter](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations) für Kennwörter.
## Unterstützte Richtlinieneinstellungen
AWS Managed Microsoft AD umfasst fünf detaillierte Richtlinien mit einem nicht bearbeitbaren Prioritätswert. Die Richtlinien umfassen verschiedene Eigenschaften, die Sie konfigurieren können, um die Stärke von Passwörtern und Kontosperrmaßnahmen bei Anmeldefehlern zu verstärken. Sie können die Richtlinien auf null oder mehr Active Directory-Gruppen zuweisen. Wenn ein Endbenutzer Mitglied mehrerer Gruppen ist und mehr als eine Kennwortrichtlinie erhält, erzwingt Active Directory die Richtlinie mit dem niedrigsten Prioritätswert.
### AWS vordefinierte Kennwortrichtlinien
In der folgenden Tabelle sind die fünf Richtlinien aufgeführt, die in Ihrem AWS verwalteten Microsoft AD-Verzeichnis enthalten sind, sowie deren zugewiesener Prioritätswert. Weitere Informationen finden Sie unter [Precedence](#precedence).
****
| Richtlinienname | Precedence |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Eigenschaften der Passwortrichtlinie
Sie können die folgenden Eigenschaften in Ihren Passwortrichtlinien bearbeiten, um konform zu den Compliance-Standards für Ihre geschäftlichen Anforderungen zu arbeiten.
+ Richtlinienname
+ [Passwortverlauf erzwingen](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Mindestlänge für Passwörter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Minimales Passwortalter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Maximales Passwortalter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Passwörter unter Verwendung umkehrbarer Verschlüsselung speichern](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Das Passwort muss Komplexitätsanforderungen entsprechen](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Sie können die Prioritätswerte für diese Richtlinien nicht ändern. Weitere Informationen dazu, wie sich diese Einstellungen auf die Kennwortdurchsetzung auswirken, finden Sie unter [AD DS: Detaillierte Kennwortrichtlinien](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) auf der * TechNetMicrosoft-Website*. Allgemeine Informationen zu diesen Richtlinien finden Sie unter [Passwortrichtlinie](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) auf der * TechNetMicrosoft-Website*.
### Kontosperrungsrichtlinien
Sie können auch die folgenden Eigenschaften Ihrer Passwortrichtlinien ändern, um anzugeben, ob und wie Active Directory ein Konto sperren soll, wenn es fehlgeschlagene Anmeldeversuche gab:
+ Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche
+ Dauer der Kontosperrung
+ Zurücksetzen der fehlgeschlagene Anmeldeversuche nach einer bestimmten Zeitdauer
Allgemeine Informationen zu diesen Richtlinien finden Sie unter [Kontosperrungsrichtlinie](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) auf der * TechNetMicrosoft-Website*.
### Precedence
Richtlinien mit einem niedrigeren Prioritätswert haben höhere Priorität. Sie weisen Passwortrichtlinien Active Directory-Sicherheitsgruppen zu. Sie sollten einer Sicherheitsgruppe nur eine einzelne Richtlinie zuordnen, während ein einzelner Benutzer mehrere Passwortrichtlinien erhalten kann. Angenommen, `jsmith` ist ein Mitglied der HR-Gruppe und auch ein Mitglied der MANAGERS-Gruppe. Wenn Sie **CustomerPSO-05** (mit einer Priorität von 50) der HR-Gruppe zuordnen, und **CustomerPSO-04** (mit einer Priorität von 40) der MANAGERS-Gruppe, hat **CustomerPSO-04** die höhere Priorität und Active Directory wendet diese Richtlinie auf `jsmith` an.
Wenn Sie einem Benutzer oder einer Gruppe mehrere Richtlinien zuweisen, bestimmt Active Directory die resultierenden Richtlinie wie folgt:
1. Es gilt eine Richtlinie, die Sie direkt dem Benutzerobjekt zuweisen.
1. Wenn dem Benutzerobjekt nicht direkt eine Richtlinie zugewiesen wird, gilt die Richtlinie mit dem niedrigsten Wert aller Prioritäten, die der Benutzer aufgrund einer Gruppenmitgliedschaft erhalten hat.
Weitere Informationen finden Sie unter [AD DS: Detaillierte Kennwortrichtlinien](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) auf der * TechNetMicrosoft-Website*.
**Topics**
+ [Wie werden Passwortrichtlinien angewendet](#how_password_policies_applied)
+ [Unterstützte Richtlinieneinstellungen](#supportedpolicysettings)
+ [Zuweisen von Kennwortrichtlinien zu Ihren AWS verwalteten Microsoft AD-Benutzern](assignpasswordpolicies.md)
+ [Delegieren, wer Ihre AWS verwalteten Microsoft AD-Passwortrichtlinien verwalten kann](delegatepasswordpolicies.md)
**Verwandter Blogartikel zum Thema AWS Sicherheit**
+ [So konfigurieren Sie mit AWS Managed Microsoft AD noch strengere Kennwortrichtlinien, um Ihre Sicherheitsstandards zu erfüllen Directory Service](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Zuweisen von Kennwortrichtlinien zu Ihren AWS verwalteten Microsoft AD-Benutzern
Benutzerkonten, die Mitglied der Sicherheitsgruppe **AWS Delegated Fine Grained Password Policy Administrators** sind, können das folgende Verfahren verwenden, um Benutzern und Sicherheitsgruppen Richtlinien zuzuweisen.
**So weisen Sie Ihren Benutzern Passwortrichtlinien zu**
1. Starten Sie [das Active Directory-Verwaltungscenter (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) von jeder verwalteten EC2-Instance aus, die Sie Ihrer AWS verwalteten Microsoft AD-Domäne hinzugefügt haben.
1. Wechseln Sie in die **Tree View** und öffnen Sie **System\$1Password Settings Container**.
1. Doppelklicken Sie auf die differenzierte Richtlinie, die Sie bearbeiten möchten. Klicken Sie auf **Add**, um die Richtlinieneigenschaften zu bearbeiten und der Richtlinie Benutzer oder Sicherheitsgruppen hinzuzufügen. Weitere Informationen über die standardmäßigen differenzierten Richtlinien in AWS Managed Microsoft AD finden Sie unter [AWS vordefinierte Kennwortrichtlinien](ms_ad_password_policies.md#supportedpwdpolicies).
1. Führen Sie den folgenden PowerShell Befehl aus, um zu überprüfen, ob die Kennwortrichtlinie angewendet wurde:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Anmerkung**
Vermeiden Sie die Verwendung des Befehls `net user`, da seine Ergebnisse ungenau sein könnten.
Wenn Sie keine der fünf Kennwortrichtlinien in Ihrem AWS verwalteten Microsoft AD-Verzeichnis konfigurieren, verwendet Active Directory die Standard-Domänengruppenrichtlinie. Weitere Informationen über die Verwendung von **Password Settings Container** finden Sie in diesem [Microsoft Blog Post](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegieren, wer Ihre AWS verwalteten Microsoft AD-Passwortrichtlinien verwalten kann
Sie können Berechtigungen zur Verwaltung von Kennwortrichtlinien an bestimmte Benutzerkonten delegieren, die Sie in Ihrem AWS verwalteten Microsoft AD erstellt haben, indem Sie die Konten der Sicherheitsgruppe **AWS Delegated Fine Grained Password Policy Administrators** hinzufügen. Wenn ein Konto Mitglied dieser Gruppe wird, hat das Konto die Berechtigungen, die [zuvor](ms_ad_password_policies.md#supportedpwdpolicies) aufgelisteten Passwortrichtlinien zu bearbeiten und zu konfigurieren.
**So delegieren Sie, wer Passwortrichtlinien verwalten kann**
1. Starten Sie [das Active Directory-Verwaltungscenter (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) von jeder verwalteten EC2-Instance aus, die Sie Ihrer AWS verwalteten Microsoft AD-Domäne hinzugefügt haben.
1. Wechseln Sie zur **Baumansicht** und gehen Sie zur OU **AWS Delegated Groups**. Weitere Informationen über diese OU finden Sie unter [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md).
1. Suchen Sie die Benutzergruppe **AWS Delegated Fine Grained Password Policy Administrators**. Fügen Sie dieser Gruppe Benutzer oder Gruppen aus Ihrer Domain hinzu.
# Aktivierung der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD
Sie können die Multi-Faktor-Authentifizierung (MFA) für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, um die Sicherheit zu erhöhen, wenn Ihre Benutzer ihre AD-Anmeldeinformationen für den Zugriff auf unterstützte Amazon Enterprise-Anwendungen angeben. Wenn Sie die MFA aktivieren, geben Ihre Benutzer wie gewöhnlich ihren Benutzernamen und ihr Passwort (erster Faktor) ein. Darüber hinaus müssen sie jedoch einen Authentifizierungscode eingeben (zweiter Faktor), der von Ihrer virtuellen oder Hardware-MFA-Lösung bereitgestellt wird. Diese Faktoren zusammen erhöhen die Sicherheit, indem Sie Zugriffe auf Ihre Amazon Enterprise-Anwendungen verhindern, es sei denn, Benutzer geben gültige Anmeldeinformationen und einen gültigen MFA-Code ein.
Zum Aktivieren der MFA müssen Sie entweder über eine MFA-Lösung in Form eines [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS)-Servers verfügen oder über ein MFA-Plugin für einen RADIUS-Server, der bereits in Ihrer On-Premises-Infrastruktur vorhanden ist. Ihre MFA-Lösung sollte einmalige Sicherheitscodes (OTPs, One Time Passcodes) implementieren, die Benutzer von einem Hardwaregerät oder einer Software erhalten, die auf einem Gerät, beispielsweise einem Mobiltelefon, ausgeführt wird.
RADIUS ist ein client/server Industriestandardprotokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, damit Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Managed Microsoft AD umfasst einen RADIUS-Client, der eine Verbindung zu dem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Der RADIUS-Server überprüft den Benutzernamen und den OTP-Code. Wenn Ihr RADIUS-Server den Benutzer erfolgreich validiert, authentifiziert AWS Managed Microsoft AD den Benutzer dann gegenüber Active Directory. Nach erfolgreicher Active Directory-Authentifizierung können Benutzer dann auf die AWS Anwendung zugreifen. Für die Kommunikation zwischen dem AWS verwalteten Microsoft AD RADIUS-Client und Ihrem RADIUS-Server müssen Sie AWS Sicherheitsgruppen konfigurieren, die die Kommunikation über Port 1812 ermöglichen.
Sie können die Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, indem Sie das folgende Verfahren ausführen. Weitere Informationen zum Konfigurieren Ihres RADIUS-Servers für Directory Service und MFA finden Sie unter [Voraussetzungen für Multifaktor-Authentifizierung](ms_ad_getting_started.md#prereq_mfa_ad).
## Überlegungen
Im Folgenden finden Sie einige Überlegungen zur Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD:
+ Die Multifaktor-Authentifizierung ist für Simple AD nicht verfügbar. MFA kann jedoch für Ihr AD-Connector-Verzeichnis aktiviert werden. Weitere Informationen finden Sie unter [Multi-Faktor-Authentifizierung für AD Connector aktivieren](ad_connector_mfa.md).
+ MFA ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie die [Multi-Region-Replikation](ms_ad_configure_multi_region_replication.md) verwenden, können Sie MFA nur in der primären Region Ihres AWS verwalteten Microsoft AD verwenden.
+ Wenn Sie AWS Managed Microsoft AD für die externe Kommunikation verwenden möchten, empfehlen wir Ihnen, für diese Kommunikation ein Network Address Translation (NAT) -Internet-Gateway oder ein Internet Gateway außerhalb des AWS Netzwerks zu konfigurieren.
+ Wenn Sie die externe Kommunikation zwischen Ihrem AWS Managed Microsoft AD und Ihrem im AWS Netzwerk gehosteten RADIUS-Server unterstützen möchten, wenden Sie sich bitte an [Support](https://console.aws.amazon.com/support/home#/).
+ Alle Amazon Enterprise IT-Anwendungen WorkSpaces, einschließlich Amazon WorkDocs WorkMail, Amazon Quick und Zugriff auf AWS IAM Identity Center und AWS-Managementkonsole werden unterstützt, wenn AWS Managed Microsoft AD und AD Connector mit MFA verwendet werden. Diese AWS Anwendungen, die MFA verwenden, werden in mehreren Regionen nicht unterstützt.
Weitere Informationen finden Sie unter [So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS verwaltetem Microsoft AD und lokalen Anmeldeinformationen](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Informationen zur Konfiguration des grundlegenden Benutzerzugriffs auf Amazon Enterprise-Anwendungen, AWS Single Sign-On und deren AWS-Managementkonsole Verwendung Directory Service finden Sie unter [Zugriff auf AWS Anwendungen und Dienste von Ihrem AWS Managed Microsoft AD](ms_ad_manage_apps_services.md) und[AWS-Managementkonsole Zugriff mit AWS verwalteten Microsoft AD-Anmeldeinformationen aktivieren](ms_ad_management_console_access.md).
+ Im folgenden AWS Sicherheits-Blogbeitrag erfahren Sie, wie Sie MFA für WorkSpaces Amazon-Benutzer in Ihrem AWS Managed Microsoft AD aktivieren, [So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS Managed Microsoft AD und lokalen Anmeldeinformationen](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
## Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD
Das folgende Verfahren zeigt Ihnen, wie Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD aktivieren.
1. Identifizieren Sie die IP-Adresse Ihres RADIUS-MFA-Servers und Ihres AWS verwalteten Microsoft AD-Verzeichnisses.
1. Bearbeiten Sie Ihre Virtual Private Cloud (VPC) -Sicherheitsgruppen, um die Kommunikation über Port 1812 zwischen Ihren AWS verwalteten Microsoft AD-IP-Endpunkten und Ihrem RADIUS-MFA-Server zu ermöglichen.
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Wählen Sie den Verzeichnis-ID-Link für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn unter **Multi-Region-Replikation** mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie MFA aktivieren möchten, und wählen Sie dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Multi-factor authentication (Mehrfaktoren-Authentifizierung)** die Option **Actions (Aktionen)** und dann **Enable (Aktivieren)** aus.
1. Geben Sie auf der Seite **Multi-Faktor-Authentifizierung (MFA) aktivieren** die folgenden Werte ein:
**Label anzeigen**
Geben Sie einen Labelnamen an.
**DNS-Name oder IP-Adressen des RADIUS-Servers**
Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load Balancer. Sie können mehrere IP-Adressen getrennt durch ein Komma eingeben (z. B. `192.0.0.0,192.0.0.12`).
RADIUS MFA gilt nur für die Authentifizierung des Zugriffs auf die AWS-Managementkonsole oder auf Amazon Enterprise-Anwendungen und -Services wie WorkSpaces Amazon Quick oder Amazon Chime. Amazon Enterprise-Anwendungen und -Services werden in der primären Region nur unterstützt, wenn die Multi-Region-Replikation für Ihr AWS Managed Microsoft AD konfiguriert ist. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für die Anmeldung bei einer EC2-Instance. Directory Service unterstützt die RADIUS Challenge/Response-Authentifizierung nicht.
Benutzer müssen ihren MFA-Code bei der Eingabe ihres Benutzernamens und Passworts zur Hand haben. Alternativ müssen Sie eine Lösung verwenden, die MFA out-of-band wie Push-Benachrichtigungen oder Authentifikator-Einmalkennwörter (OTP) für den Benutzer ausführt. In out-of-band MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeoutwert entsprechend Ihrer Lösung festlegen. Wenn Sie eine out-of-band MFA-Lösung verwenden, fordert die Anmeldeseite den Benutzer auf, einen MFA-Code einzugeben. In diesem Fall müssen Benutzer ihr Passwort sowohl in das Passwortfeld als auch in das MFA-Feld eingeben.
**Port**
Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk muss eingehenden Datenverkehr über den standardmäßigen RADIUS-Serverport (UDP:1812) von den Servern zulassen. Directory Service
**Shared secret code** (Gemeinsamer geheimer Code)
Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.
**Confirm shared secret code** (Gemeinsamen geheimen Code bestätigen)
Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.
**Protocol** (Protokoll)
Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.
**Server-Timeout (in Sekunden)**
Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss ein Wert zwischen 1 und 50 sein.
Wir empfehlen, Ihr RADIUS-Server-Timeout auf 20 Sekunden oder weniger zu konfigurieren. Wenn das Timeout 20 Sekunden überschreitet, kann das System es nicht erneut mit einem anderen RADIUS-Server versuchen, was zu einem Timeout-Fehler führen kann.
**Maximale Wiederholungen von RADIUS-Anfragen**
Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen 0 und 10 sein.
Die Multifaktor-Authentifizierung ist verfügbar, wenn sich der **RADIUS-Status** in **Enabled** ändert.
1. Wählen Sie **Enable (Aktivieren)** aus.
# Secure LDAP oder LDAPS aktivieren
Lightweight Directory Access Protocol (LDAP) ist ein Standard-Kommunikationsprotokoll zum Lesen und Schreiben von Daten in und aus Active Directory. Einige Anwendungen verwenden LDAP, um Benutzer und Gruppen in Active Directory hinzuzufügen, zu entfernen oder zu suchen, oder um Anmeldeinformationen zur Authentifizierung von Benutzern in Active Directory zu transportieren. Jede LDAP-Kommunikation umfasst einen Client (z. B. eine Anwendung) und einen Server (z. B. Active Directory).
Standardmäßig ist die Kommunikation über LDAP nicht verschlüsselt. Auf diese Weise ist es für einen böswilligen Benutzer möglich, eine Software zur Netzwerk-Überwachung zu verwenden, um über das Kabel übertragenen Datenpakete einzusehen. Aus diesem Grund fordern viele Unternehmenssicherheitsrichtlinien, dass Organisationen die gesamte LDAP-Kommunikation verschlüsseln.
Um diese Form der Datenexposition zu minimieren, bietet AWS Managed Microsoft AD eine Option: Sie können LDAP über Secure Sockets Layer (SSL) /Transport Layer Security (TLS), auch bekannt als LDAPS, aktivieren. Mit LDAPS können Sie die Sicherheit über das Kabel hinweg verbessern. Sie können Compliance-Anforderungen auch erfüllen, indem Sie die gesamte Kommunikation zwischen Ihren LDAP-fähigen Anwendungen und AWS Managed Microsoft AD verschlüsseln.
AWS Managed Microsoft AD bietet Unterstützung für LDAPS in den folgenden Bereitstellungsszenarien:
+ **Serverseitiges LDAPS** verschlüsselt die LDAP-Kommunikation zwischen kommerziellen oder eigenen LDAP-fähigen Anwendungen (fungieren als LDAP-Clients) und AWS Managed Microsoft AD (fungiert als LDAP-Server). Weitere Informationen finden Sie unter [Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren](ms_ad_ldap_server_side.md).
+ Das **clientseitige LDAPS** verschlüsselt die LDAP-Kommunikation zwischen AWS Anwendungen wie WorkSpaces (als LDAP-Clients) und Ihrem selbstverwalteten (lokalen) Active Directory (das als LDAP-Server fungiert). Weitere Informationen finden Sie unter [Aktivierung von clientseitigem LDAPS mit AWS Managed Microsoft AD](ms_ad_ldap_client_side.md).
[Weitere Informationen zu bewährten Methoden zur Sicherung Ihrer Active Directory-Implementierung finden Sie in der Dokumentation. MicrosoftCertificate ServicesMicrosoft](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)
**Topics**
+ [Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren](ms_ad_ldap_server_side.md)
+ [Aktivierung von clientseitigem LDAPS mit AWS Managed Microsoft AD](ms_ad_ldap_client_side.md)
# Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren
Die serverseitige Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) Unterstützung verschlüsselt die LDAP Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten Anwendungen und Ihrem LDAP AWS verwalteten Microsoft AD-Verzeichnis. Dies trägt dazu bei, die Sicherheit im gesamten Netzwerk zu verbessern und die Compliance-Anforderungen mithilfe des kryptografischen Protokolls zu erfüllen. Secure Sockets Layer (SSL)
## Aktivieren Sie serverseitiges LDAPS mit AWS Private Certificate Authority
Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres CA-Servers (Certificate Authority) finden Sie unter AWS Private CA. [AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten](ms_ad_pca_connector.md)
## Aktivieren Sie serverseitiges LDAPS mithilfe von CA Microsoft
Ausführliche Anweisungen zur Einrichtung und Konfiguration serverseitiger LDAPS und Ihres Zertifizierungsstellenservers (CA) finden Sie unter [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) im Sicherheitsblog. AWS
Ein Großteil der Einrichtung erfolgt über die Amazon-EC2-Instance, die Sie für die Verwaltung Ihrer Domain-Controller in AWS Managed Microsoft AD verwenden. Die folgenden Schritte führen Sie durch die Aktivierung von LDAPS für Ihre Domain in der. AWS Cloud
Wenn Sie Ihre PKI Infrastruktur mithilfe von Automatisierung einrichten möchten, können Sie die [MicrosoftPublic Key Infrastructure auf AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/) verwenden. Insbesondere sollten Sie den Anweisungen in der Anleitung folgen, um die Vorlage für [Deploy MicrosoftPKI in eine bestehende VPC zu](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps) laden AWS. Stellen Sie nach dem Laden der Vorlage sicher, dass Sie **`AWSManaged`** auswählen, wenn Sie zur Option **Typ der Active-Directory-Domainservices** gelangen. Wenn Sie die QuickStart Anleitung verwendet haben, können Sie direkt zu dieser wechseln[Schritt 3: Eine Zertifikatvorlage erstellen](#createcustomcert).
**Topics**
+ [Schritt 1: Delegieren, wer LDAPS aktivieren kann](#grantpermsldaps)
+ [Schritt 2: Ihre Zertifizierungsstelle einrichten](#setupca)
+ [Schritt 3: Eine Zertifikatvorlage erstellen](#createcustomcert)
+ [Schritt 4: Sicherheitsgruppenregeln hinzufügen](#addgrouprules)
### Schritt 1: Delegieren, wer LDAPS aktivieren kann
Um serverseitiges LDAPS zu aktivieren, müssen Sie Mitglied der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS verwalteten Microsoft AD-Verzeichnis sein. Alternativ können Sie der standardmäßige Administratorbenutzer sein (Admin-Konto). Wenn Sie möchten, können Sie einen anderen Benutzer als das Admin-Konto dazu veranlassen, LDAPS einzurichten. In diesem Fall fügen Sie diesen Benutzer der Gruppe Admins oder AWS Delegated Enterprise Certificate Authority Administrators in Ihrem AWS Managed Microsoft AD-Verzeichnis hinzu.
### Schritt 2: Ihre Zertifizierungsstelle einrichten
Bevor Sie serverseitiges LDAPS aktivieren können, müssen Sie ein Zertifikat erstellen. Dieses Zertifikat muss von einem Microsoft Enterprise CA Server ausgestellt werden, der mit Ihrer AWS verwalteten Microsoft AD-Domäne verbunden ist. Nachdem das Zertifikat erstellt wurde, muss es auf jedem Ihrer Domain-Controller in dieser Domain installiert werden. Mit diesem Zertifikat kann der LDAP Dienst auf den Domänencontrollern auf SSL Verbindungen von LDAP Clients warten und diese automatisch akzeptieren.
**Anmerkung**
Serverseitiges LDAPS mit AWS Managed Microsoft AD unterstützt keine Zertifikate, die von einer eigenständigen Zertifizierungsstelle ausgestellt wurden. Darüber hinaus unterstützt es keine Zertifikate von einer Drittanbieter-Zertifizierungsstelle.
Abhängig von Ihren geschäftlichen Anforderungen können Sie die folgenden Optionen für das Einrichten oder Herstellen einer Verbindung mit einer Zertifizierungsstelle in Ihrer Domain haben:
+ **Einen untergeordneten Server erstellen Microsoft Enterprise CA** — (empfohlen) Mit dieser Option können Sie einen untergeordneten Microsoft Enterprise CA Server in der Cloud bereitstellen. AWS Der Server kann Amazon EC2 verwenden, sodass er mit Ihrer vorhandenen Microsoft Root-CA funktioniert. Weitere Informationen zum Einrichten eines untergeordneten Microsoft Enterprise CA Verzeichnisses finden Sie unter **Schritt 4: Hinzufügen eines Microsoft Enterprise CA zu Ihrem AWS Microsoft AD Verzeichnis** in [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD-Verzeichnis.
+ **Root erstellen Microsoft Enterprise CA** — Mit dieser Option können Sie mithilfe von Amazon EC2 ein Root Microsoft Enterprise CA in der AWS Cloud erstellen und es mit Ihrer AWS verwalteten Microsoft AD-Domain verbinden. Diese Root-Zertifizierungsstelle kann das Zertifikat für Ihren Domain-Controller ausstellen. Weitere Informationen zum Einrichten einer neuen Stammzertifizierungsstelle finden Sie unter **Schritt 3: Installieren und Konfigurieren einer Offline-Zertifizierungsstelle** unter [So aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Weitere Informationen darüber, wie Sie Ihre EC2-Instance mit der Domain verbinden, finden Sie unter [Möglichkeiten, eine Amazon EC2 EC2-Instance mit Ihrem AWS Managed Microsoft AD zu verbinden](ms_ad_join_instance.md).
### Schritt 3: Eine Zertifikatvorlage erstellen
Nachdem Sie Ihre Enterprise CA eingerichtet haben, können Sie die Vorlage für das Kerberos Authentifizierungszertifikat konfigurieren.
**Erstellen einer Zertifikatvorlage**
1. Starten Sie **Microsoft Windows Server Manager**. Wählen Sie **Tools > Zertifizierungsstelle** aus.
1. Erweitern Sie im Fenster **Zertifizierungsstelle** die **Zertifizierungsstellenstruktur** im linken Fensterbereich. Klicken Sie mit der rechten Maustaste auf **Zertifikatsvorlagen** und wählen Sie **Verwalten**.
1. Klicken Sie im Fenster **Konsole für Zertifikatsvorlagen** mit der rechten Maustaste auf **Kerberos-Authentifizierung** und wählen Sie **Vorlage duplizieren**.
1. Das Fenster **Eigenschaften der neuen Vorlage** wird geöffnet.
1. Gehen Sie im Fenster **Eigenschaften der neuen Vorlage** zur Registerkarte **Kompatibilität** und gehen Sie dann wie folgt vor:
1. Ändern Sie die **Zertifizierungsstelle** auf die ZertifizierungsstelleOS, die Ihrer Zertifizierungsstelle entspricht.
1. Wenn ein Fenster mit den **resultierenden Änderungen** angezeigt wird, wählen Sie **OK** aus.
1. Ändern Sie den **Zertifizierungsempfänger** auf **Windows 10/Windows Server 2016**.
**Anmerkung**
AWS Managed Microsoft AD wird unterstützt vonWindows Server 2019.
1. Wenn Fenster mit den **resultierenden Änderungen** angezeigt werden, wählen Sie **OK** aus.
1. Klicken Sie auf die Registerkarte **Allgemein** und ändern Sie den **Anzeigenamen der Vorlage** in **LDAPOverSSL** oder einen anderen Namen, den Sie bevorzugen.
1. Klicken Sie auf die Registerkarte **Sicherheit** und wählen Sie **Domain-Controller** im Abschnitt **Gruppen- oder Benutzernamen**. Vergewissern Sie sich im Abschnitt **Berechtigungen für Domain-Controller**, dass die **Kontrollkästchen** **Lesen**, **Registrieren** und **Auto-Registrierung** aktiviert sind.
1. Wählen Sie **OK**, um die **LDAPOverSSL-Zertifikatsvorlage** (oder den oben angegebenen Namen) zu erstellen. Schließen Sie das Fenster der **Zertifikatsvorlagen-Konsole**.
1. Klicken Sie im Fenster **Zertifizierungsstelle** mit der rechten Maustaste auf **Zertifikatsvorlagen** und wählen Sie **Neu > Zertifikatsvorlage zum Ausstellen**.
1. Wählen Sie im Fenster **Zertifikatsvorlagen aktivieren** die Option **LDAPOverSSL** (oder den Namen, den Sie oben angegeben haben) und dann **OK** aus.
### Schritt 4: Sicherheitsgruppenregeln hinzufügen
Im letzten Schritt müssen Sie die Amazon-EC2-Konsole öffnen und Sicherheitsgruppenregeln hinzufügen. Diese Regeln ermöglichen es Ihren Domain-Controllern, eine Verbindung zu Ihrem herzustellenEnterprise CA, um ein Zertifikat anzufordern. Dazu fügen Sie Regeln für eingehenden Datenverkehr hinzu, sodass Sie eingehenden Datenverkehr von Ihren Domänencontrollern akzeptieren Enterprise CA können. Anschließend fügen Sie Regeln für ausgehenden Datenverkehr hinzu, um den Datenverkehr von Ihren Domänencontrollern zum zuzulassen. Enterprise CA
Sobald beide Regeln konfiguriert wurden, fordern Ihre Domänencontroller Enterprise CA automatisch ein Zertifikat von Ihnen an und aktivieren LDAPS für Ihr Verzeichnis. Der LDAP Dienst auf Ihren Domänencontrollern ist jetzt bereit, LDAPS-Verbindungen zu akzeptieren.
**Konfigurieren von Sicherheitsgruppenregeln**
1. Navigieren Sie zu Ihrer Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) und melden Sie sich mit Administratoranmeldedaten an.
1. Wählen Sie links die Option **Security Groups** unter **Network & Security**.
1. Wählen Sie im Hauptbereich die AWS Sicherheitsgruppe für Ihre CA aus.
1. Wählen Sie die Registerkarte **Inbound (Eingehend)** und anschließend **Edit (Bearbeiten)** aus.
1. Führen Sie im Dialogfeld **Edit inbound rules** die folgenden Schritte aus:
+ Klicken Sie auf **Add Rule (Regel hinzufügen)**.
+ Wählen Sie **All traffic** für **Type** und **Custom** für **Source**.
+ Geben Sie die AWS Sicherheitsgruppe (z. B.`sg-123456789`) für Ihr Verzeichnis in das Feld neben **Quelle** ein.
+ Wählen Sie **Speichern**.
1. Wählen Sie nun die AWS Sicherheitsgruppe Ihres AWS Managed Microsoft AD-Verzeichnisses aus. Wählen Sie die Registerkarte **Outbound ** und anschließend **Edit**.
1. Führen Sie im Dialogfeld **Edit outbound rules** die folgenden Schritte aus:
+ Klicken Sie auf **Add Rule (Regel hinzufügen)**.
+ Wählen Sie **All traffic** für **Type** und **Custom** für **Destination**.
+ Geben Sie die AWS Sicherheitsgruppe für Ihre CA in das Feld neben **Ziel** ein.
+ Wählen Sie **Speichern**.
Mit dem LDP Tool können Sie die LDAPS-Verbindung zum AWS Managed Microsoft AD-Verzeichnis testen. Das LDP Tool wird mit dem Active Directory Administrative Tools geliefert. Weitere Informationen finden Sie unter [Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).
**Anmerkung**
Bevor Sie die LDAPS-Verbindung testen, müssen Sie bis zu 30 Minuten warten, bis die untergeordnete Zertifizierungsstelle ein Zertifikat für Ihre Domain-Controller ausgestellt hat.
Weitere Informationen zu serverseitigen LDAPS und ein Anwendungsbeispiel für die Einrichtung finden Sie unter So [aktivieren Sie serverseitiges LDAPS für Ihr AWS verwaltetes Microsoft AD-Verzeichnis](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) im Sicherheitsblog. AWS
# Aktivierung von clientseitigem LDAPS mit AWS Managed Microsoft AD
Die clientseitige Unterstützung des Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) in AWS Managed Microsoft AD verschlüsselt die Kommunikation zwischen selbstverwaltetem (lokalem) Microsoft Active Directory (AD) und Anwendungen. AWS Beispiele für solche Anwendungen sind WorkSpaces, AWS IAM Identity Center, Quick und Amazon Chime. Diese Verschlüsselung hilft Ihnen, die Identitätsdaten Ihres Unternehmens besser zu schützen und Ihre Sicherheitsanforderungen zu erfüllen.
## Voraussetzungen
Bevor Sie clientseitiges LDAPS aktivieren, müssen Sie die folgenden Anforderungen erfüllen.
**Topics**
+ [Schaffen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und dem selbstverwalteten Microsoft Active Directory](#trust_relationship_MAD_and_self_managed)
+ [Serverzertifikate in Active Directory bereitstellen](#ldap_client_side_deploy_server_certs)
+ [Zertifikatsanforderungen der Zertifizierungsstelle](#ldap_client_side_get_certs_ready)
+ [Netzwerkanforderungen](#ldap_client_side_considerations_enabling)
### Schaffen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und dem selbstverwalteten Microsoft Active Directory
Zunächst müssen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und dem selbstverwalteten Microsoft Active Directory einrichten, um clientseitiges LDAPS zu aktivieren. Weitere Informationen finden Sie unter [Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD](ms_ad_setup_trust.md).
### Serverzertifikate in Active Directory bereitstellen
Um clientseitiges LDAPS aktivieren zu können, müssen Sie Serverzertifikate für jeden Domain-Controller in Ihrem Active Directory abrufen und installieren. Diese Zertifikate werden vom LDAP-Service verwendet, um SSL-Verbindungen von LDAP-Clients zu überwachen und automatisch zu akzeptieren. Sie können SSL-Zertifikate verwenden, die entweder von einer internen Active Directory Certificate Services (ADCS)-Bereitstellung ausgestellt oder von einem kommerziellen Aussteller erworben werden. Weitere Informationen zu Active Directory-Serverzertifikatanforderungen finden Sie unter [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) auf der Microsoft-Website.
### Zertifikatsanforderungen der Zertifizierungsstelle
Ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den Aussteller Ihrer Serverzertifikate darstellt, ist für den clientseitigen LDAPS-Betrieb erforderlich. Zertifizierungsstellenzertifikate (CA-Zertifikate) werden mit den Serverzertifikaten abgeglichen, die von den Active-Directory-Domain-Controllern zur Verschlüsselung der LDAP-Kommunikation bereitgestellt werden. Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:
+ Die Enterprise Certification Authority (CA) ist erforderlich, um clientseitiges LDAPS zu aktivieren. Sie können entweder den Active Directory-Zertifikatsdienst, eine kommerzielle Zertifizierungsstelle eines Drittanbieters oder verwenden. [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) Weitere Informationen zur Microsoft Enterprise Certificate Authority finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.
+ Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie Zertifizierungsstellenzertifikate aus Active Directory exportieren, wählen Sie base64-codiertes X.509 (.CER) als Exportdateiformat aus.
+ Pro AWS verwaltetem Microsoft AD-Verzeichnis können maximal fünf (5) CA-Zertifikate gespeichert werden.
+ Zertifikate, die den RSASSA-PSS-Signaturalgorithmus verwenden, werden nicht unterstützt.
+ Zertifizierungsstellenzertifikate, die mit jedem Serverzertifikat in jeder vertrauenswürdigen Domain verbunden sind, müssen registriert werden.
### Netzwerkanforderungen
AWS Der LDAP-Verkehr von Anwendungen wird ausschließlich auf TCP-Port 636 ausgeführt, ohne dass ein Fallback auf den LDAP-Port 389 erfolgt. Für die Windows LDAP-Kommunikation, die Replikation, Vertrauensstellungen und mehr unterstützt, wird jedoch weiterhin LDAP-Port 389 mit Windows-nativer Sicherheit verwendet. Konfigurieren Sie AWS Sicherheitsgruppen und Netzwerkfirewalls, um TCP-Kommunikation auf Port 636 in AWS Managed Microsoft AD (ausgehend) und selbstverwaltetem Active Directory (eingehend) zu ermöglichen. Lassen Sie den LDAP-Port 389 zwischen AWS Managed Microsoft AD und selbstverwaltetem Active Directory geöffnet.
## Clientseitiges LDAPS aktivieren
Um clientseitiges LDAPS zu aktivieren, importieren Sie das Zertifikat der Zertifizierungsstelle (CA) in AWS Managed Microsoft AD und aktivieren Sie dann LDAPS in Ihrem Verzeichnis. Nach der Aktivierung fließt der gesamte LDAP-Verkehr zwischen AWS -Anwendungen und Ihrem selbstverwalteten Active Directory mit SSL-Kanalverschlüsselung (Secure Sockets Layer).
Sie können zwei verschiedene Verfahren nutzen, um client-seitiges LDAPS für Ihr Verzeichnis zu aktivieren. Sie können entweder die Methode oder die AWS-Managementkonsole Methode verwenden. AWS CLI
**Anmerkung**
Clientseitiges LDAPS ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie die [regionsübergreifende Replikation verwenden, müssen die folgenden Verfahren in jeder Region](ms_ad_configure_multi_region_replication.md) separat angewendet werden. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md).
**Topics**
+ [Schritt 1: Registrieren Sie ein Zertifikat in Directory Service](#ms_ad_registercert)
+ [Schritt 2: Den Registrierungsstatus überprüfen](#ms_ad_check-registration-status)
+ [Schritt 3: Clientseitiges LDAPS aktivieren](#ms_ad_enableclientsideldapssteps)
+ [Schritt 4: Den LDAPS-Status überprüfen](#ms_ad_check-ldaps-status)
### Schritt 1: Registrieren Sie ein Zertifikat in Directory Service
Verwenden Sie eine der folgenden Methoden, um ein Zertifikat in zu registrieren Directory Service.
**Methode 1: Um Ihr Zertifikat in Directory Service (AWS-Managementkonsole) zu registrieren**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn unter **Multi-Region-Replikation** mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie das Zertifikat registrieren möchten, und wählen Sie dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Client-side LDAPS (clientseitiges LDAPS)** das Menü **Actions (Aktionen)** aus und klicken Sie dann auf **Register certificate (Zertifikat registrieren)**.
1. Klicken Sie im Dialogfeld **Register a CA certificate (Registrieren eines CA-Zertifikats)** auf die Option **Browse (Durchsuchen)**, wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf die Option **Open (Öffnen)**.
1. Wählen Sie die Option **Register certificate (Zertifikat registrieren)** aus.
**Methode 2: Um Ihr Zertifikat in Directory Service (AWS CLI) zu registrieren**
+ Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort der Zertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Schritt 2: Den Registrierungsstatus überprüfen
Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zu lassen, nutzen Sie eines der folgenden Verfahren.
**Methode 1: Um den Registrierungsstatus des Zertifikats in Directory Service (AWS-Managementkonsole) zu überprüfen**
1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.
1. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte **Registration status (Registrierungsstatus)** angezeigt wird. Wenn sich der Wert des Registrierungsstatus in **Registered (Registriert)** ändert, ist Ihr Zertifikat erfolgreich registriert worden.
**Methode 2: Um den Status der Zertifikatsregistrierung in Directory Service (AWS CLI) zu überprüfen**
+ Führen Sie den folgenden Befehl aus. Wenn der Statuswert `Registered` zurückgegeben wird, wurde Ihr Zertifikat erfolgreich registriert.
```
aws ds list-certificates --directory-id your_directory_id
```
### Schritt 3: Clientseitiges LDAPS aktivieren
Verwenden Sie eine der folgenden Methoden, um clientseitiges LDAPS in zu aktivieren. Directory Service
**Anmerkung**
Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie das clientseitige LDAPS aktivieren können.
**Methode 1: Um clientseitiges LDAPS in () zu aktivieren Directory Service AWS-Managementkonsole**
1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.
1. Wählen Sie **Enable (Aktivieren)** aus. Steht diese Option nicht zur Verfügung, überprüfen Sie, ob ein gültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.
1. Wählen Sie im Dialogfeld **Enable client-side LDAPS (Client-seitiges LDAPS aktivieren)** die Option **Enable (Aktivieren)**.
**Methode 2: Um clientseitiges LDAPS in () zu aktivieren Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Schritt 4: Den LDAPS-Status überprüfen
Verwenden Sie eine der folgenden Methoden, um den LDAPS-Status in zu überprüfen. Directory Service
**Methode 1: Um den LDAPS-Status in Directory Service () zu überprüfen AWS-Managementkonsole**
1. Gehen Sie zum Abschnitt **Clientseitiges LDAPS** auf der Seite **Verzeichnisdetails**.
1. Wenn der Statuswert als **Enabled (Aktiviert)** angezeigt wird, wurde das LDAPS erfolgreich konfiguriert.
**Methode 2: Um den LDAPS-Status in Directory Service () zu überprüfen AWS CLI**
+ Führen Sie den folgenden Befehl aus. Wenn der Statuswert `Enabled` zurückgibt, wurde das LDAPS erfolgreich konfiguriert.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Clientseitiges LDAPS überprüfen
Verwenden Sie diese Befehle, um Ihre LDAPS-Konfiguration zu verwalten.
Sie können zwei verschiedene Verfahren nutzen, um client-seitige LDAPS-Einstellungen zu verwalten. Sie können entweder die AWS-Managementkonsole Methode oder die AWS CLI Methode verwenden.
### Zertifikatsdetails anzeigen
Nutzen Sie eines der folgenden Verfahren, um zu sehen, wann ein Zertifikat abläuft.
**Methode 1: Um die Zertifikatsdetails in Directory Service (AWS-Managementkonsole) anzuzeigen**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn unter **Multi-Region-Replikation** mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie das Zertifikat anzeigen möchten, und wählen Sie dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** werden unter **CA certificates (CA-Zertifikate)** Informationen zum Zertifikat angezeigt.
**Methode 2: So zeigen Sie die Zertifikatsdetails in Directory Service (AWS CLI) an**
+ Führen Sie den folgenden Befehl aus. Verwenden Sie für die Zertifikat-ID den von `register-certificate` oder `list-certificates` zurückgegebenen Bezeichner.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Ein Zertifikat abmelden
Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat abzumelden.
**Anmerkung**
Wenn nur ein Zertifikat registriert ist, müssen Sie zuerst LDAPS deaktivieren, bevor Sie das Zertifikat abmelden können.
**Methode 1: Um die Registrierung eines Zertifikats in Directory Service () aufzuheben AWS-Managementkonsole**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn unter **Multi-Region-Replikation** mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie das Zertifikat deregistrieren möchten, und wählen Sie dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** die Option **Actions (Aktionen)** und klicken Sie dann auf **Deregister certificate (Zertifikat abmelden)**.
1. Wählen Sie im Dialogfeld **Deregister a CA certificate (Ein CA-Zertifikat abmelden)** die Option **Deregister (Abmelden)**.
**Methode 2: Um die Registrierung eines Zertifikats in () aufzuheben Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus. Verwenden Sie für die Zertifikat-ID den von `register-certificate` oder `list-certificates` zurückgegebenen Bezeichner.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Clientseitiges LDAPS deaktivieren
Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS zu deaktivieren.
**Methode 1: Um das clientseitige LDAPS in () zu deaktivieren Directory Service AWS-Managementkonsole**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn unter **Multi-Region-Replikation** mehrere Regionen angezeigt werden, wählen Sie die Region, in der Sie das clientseitige LDAPS deaktivieren möchten, und wählen Sie dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Client-side LDAPS (Clientseitiges LDAPS)** die Option **Disable (Deaktivieren)** aus.
1. Klicken Sie im Dialogfeld **Disable client-side LDAPS (Clientseitiges LDAPS deaktivieren)** auf **Disable (Deaktivieren)**.
**Methode 2: Um clientseitiges LDAPS in () zu deaktivieren Directory Service AWS CLI**
+ Führen Sie den folgenden Befehl aus.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Probleme bei der Zertifikatsregistrierung
Die Registrierung Ihrer AWS verwalteten Microsoft AD-Domänencontroller mit den CA-Zertifikaten kann bis zu 30 Minuten dauern. Wenn Sie Probleme mit der Zertifikatsregistrierung haben und Ihre AWS verwalteten Microsoft AD-Domänencontroller neu starten möchten, können Sie sich an uns wenden. Support Informationen zum Erstellen eines Supportfalls finden Sie unter [Erstellen von Supportanfragen und Fallmanagement](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Compliance für AWS Managed Microsoft AD verwalten
Sie können AWS Managed Microsoft AD verwenden, um Ihre Active Directory-fähigen Anwendungen in der AWS Cloud zu unterstützen, die den folgenden Compliance-Anforderungen unterliegen. Ihre Anwendungen genügen jedoch den Compliance-Anforderungen nicht, wenn Sie Simple AD verwenden.
## Unterstützte Compliance-Standards
AWS Managed Microsoft AD wurde nach den folgenden Standards geprüft und kann als Teil von Lösungen verwendet werden, für die Sie eine Konformitätszertifizierung benötigen.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD erfüllt die Sicherheitsanforderungen des Federal Risk and Authorization Management Program (FedRAMP) und wurde vom FedRAMP Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) für die FedRAMP Moderate and High Baseline ausgezeichnet. Weitere Informationen zu FedRAMP finden Sie unter [FedRAMP-Compliance](https://aws.amazon.com/compliance/fedramp/). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD verfügt über eine Konformitätsbescheinigung für den Payment Card Industry (PCI) Data Security Standard (DSS) Version 3.2 auf Service Provider Level 1. Kunden, die AWS Produkte und Dienste zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten verwenden, können AWS Managed Microsoft AD verwenden, um ihre eigene PCI-DSS-Konformitätszertifizierung zu verwalten. Weitere Informationen zu PCI DSS, einschließlich der Möglichkeit, eine Kopie des AWS PCI Compliance Package anzufordern, finden Sie unter [PCI DSS Level 1.](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) Wichtig ist, dass Sie in AWS Managed Microsoft AD detaillierte Kennwortrichtlinien konfigurieren müssen, damit sie den PCI-DSS-Standards der Version 3.2 entsprechen. Einzelheiten dazu, welche Richtlinien durchgesetzt werden müssen, finden Sie im folgenden Abschnitt mit dem Titel Aktivieren der PCI-Konformität für Ihr AWS verwaltetes Microsoft AD-Verzeichnis. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS hat sein Compliance-Programm nach dem Health Insurance Portability and Accountability Act (HIPAA) um AWS Managed Microsoft AD als [HIPAA-fähigen](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/) Service erweitert. Wenn Sie ein Business Associate Agreement (BAA) mit abgeschlossen haben AWS, können Sie AWS Managed Microsoft AD verwenden, um Ihre HIPAA-konformen Anwendungen zu erstellen. AWS bietet ein [Whitepaper mit Fokus auf HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) für Kunden, die mehr darüber erfahren möchten, wie sie Gesundheitsinformationen verarbeiten und speichern können AWS . Weitere Informationen finden Sie unter [HIPAA-Compliance](https://aws.amazon.com/compliance/hipaa-compliance/). |
## Gemeinsame Verantwortlichkeit
Sicherheit, einschließlich FedRAMP-, HIPAA- und PCI-Compliance, ist eine [gemeinsame Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/). Es ist wichtig zu verstehen, dass der Compliance-Status von AWS Managed Microsoft AD nicht automatisch für Anwendungen gilt, die Sie in der AWS Cloud ausführen. Sie müssen sicherstellen, dass Ihre Nutzung der AWS Dienste den Standards entspricht.
Eine vollständige Liste der verschiedenen AWS Compliance-Programme, die AWS Managed Microsoft AD unterstützt, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
## Aktivieren Sie die PCI-Konformität für Ihr AWS verwaltetes Microsoft AD-Verzeichnis
Um die PCI-Konformität für Ihr AWS verwaltetes Microsoft AD-Verzeichnis zu aktivieren, müssen Sie detaillierte Kennwortrichtlinien konfigurieren, wie sie in der PCI-DSS-Konformitätsbescheinigung (AOC) und der Haftungsübersicht von beschrieben sind. AWS Artifact
Weitere Informationen über differenzierte Passwortrichtlinien finden Sie unter [Grundlegendes zu AWS verwalteten Microsoft AD-Kennwortrichtlinien](ms_ad_password_policies.md).
# Verbesserung Ihrer AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration
Die AWS Sicherheitsgruppe, die für das AWS verwaltete Microsoft AD-Verzeichnis bereitgestellt wird, ist mit den minimalen eingehenden Netzwerkports konfiguriert, die erforderlich sind, um alle bekannten Anwendungsfälle für Ihr AWS verwaltetes Microsoft AD-Verzeichnis zu unterstützen. Weitere Informationen zur bereitgestellten AWS Sicherheitsgruppe finden Sie unter. [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md)
Um die Netzwerksicherheit Ihres AWS verwalteten Microsoft AD-Verzeichnisses weiter zu verbessern, können Sie die AWS Sicherheitsgruppe auf der Grundlage der folgenden häufigen Szenarien ändern.
**Kundendomänencontroller CIDR** — In diesem CIDR-Block befinden sich Ihre lokalen Domänencontroller.
**Kunden-Client-CIDR** — In diesem CIDR-Block authentifizieren sich Ihre Clients wie Computer oder Benutzer bei Ihrem AWS verwalteten Microsoft AD. Ihre AWS verwalteten Microsoft AD-Domänencontroller befinden sich ebenfalls in diesem CIDR-Block.
**Topics**
+ [AWS Es werden nur Anwendungen unterstützt](#aws_apps_support)
+ [AWS Anwendungen nur mit Trust-Support](#aws_apps_trust_support)
+ [AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads](#aws_apps_native_ad_support)
+ [AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads mit Vertrauensunterstützung](#aws_apps_native_ad_trust_support)
## AWS Es werden nur Anwendungen unterstützt
Alle Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. mit den folgenden:
+ Amazon Chime
+ Amazon Connect
+ Schnell
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS-Managementkonsole
Sie können die folgende AWS Sicherheitsgruppenkonfiguration verwenden, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
**Anmerkung**
Folgendes ist mit dieser AWS Sicherheitsgruppenkonfiguration nicht kompatibel:
Amazon EC2-Instances
Amazon FSx
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
**Regeln für eingehenden Datenverkehr**
Keine.
**Regeln für ausgehenden Datenverkehr**
Keine.
## AWS Anwendungen nur mit Trust-Support
Alle Benutzerkonten werden in Ihrem AWS verwalteten Microsoft AD oder Ihrem vertrauenswürdigen Active Directory bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. den folgenden:
+ Amazon Chime
+ Amazon Connect
+ Schnell
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS-Managementkonsole
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
**Anmerkung**
Folgendes ist mit dieser AWS Sicherheitsgruppenkonfiguration nicht kompatibel:
Amazon EC2-Instances
Amazon FSx
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
Bei dieser Konfiguration müssen Sie sicherstellen, dass das CIDR-Netzwerk der Kundendomänencontroller sicher ist.
TCP 445 wird nur für die Vertrauensstellung verwendet und kann entfernt werden, nachdem die Vertrauensstellung eingerichtet wurde.
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
**Regeln für eingehenden Datenverkehr**
****
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
| --- | --- | --- | --- | --- |
| TCP und UDP | 53 | Kundendomänencontroller (CIDR) | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Kundendomänencontroller CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Kundendomänencontroller CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 464 | Kundendomänencontroller CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | Kundendomänencontroller CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | Kundendomänencontroller CIDR | Replikation | RPC, EPM |
| TCP | 636 | Kundendomänencontroller CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Kundendomänencontroller CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Kundendomänencontroller CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | Kundendomänencontroller CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
**Regeln für ausgehenden Datenverkehr**
****
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
| --- | --- | --- | --- | --- |
| Alle | Alle | Kundendomänencontroller CIDR | Gesamter Datenverkehr | |
## AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads
Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt, um sie mit unterstützten AWS Anwendungen wie den folgenden zu verwenden:
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2-Instances
+ Amazon FSx
+ Schnell
+ Amazon RDS für MySQL
+ Amazon RDS für Oracle
+ Amazon RDS für PostgreSQL
+ Amazon RDS für SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS-Managementkonsole
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
**Anmerkung**
Active Directory-Vertrauensstellungen können nicht zwischen Ihrem AWS verwalteten Microsoft AD-Verzeichnis und den Kundendomänencontrollern CIDR erstellt und verwaltet werden.
Sie müssen sicherstellen, dass das CIDR-Netzwerk für den Kundenclient sicher ist.
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
Wenn Sie eine Enterprise-CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CA CIDR“ erstellen.
**Regeln für eingehenden Datenverkehr**
****
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
| --- | --- | --- | --- | --- |
| TCP und UDP | 53 | CIDR für Kunden | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Kunde Kunde CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Kunde Kunde CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 445 | Kunde Kunde CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP und UDP | 464 | Kunde Kunde CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Kunde Kunde CIDR | Replikation | RPC, EPM |
| TCP | 636 | Kunde Kunde CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Kunde Kunde CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Kunde Kunde CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Kunde Kunde CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Kunde Kunde CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Kunde Kunde CIDR | DFSN und NetLogon | DFS, Gruppenrichtlinie |
**Regeln für ausgehenden Datenverkehr**
Keine.
## AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads mit Vertrauensunterstützung
Alle Benutzerkonten werden in Ihrem AWS verwalteten Microsoft AD oder Ihrem vertrauenswürdigen Active Directory bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. den folgenden:
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2-Instances
+ Amazon FSx
+ Schnell
+ Amazon RDS für MySQL
+ Amazon RDS für Oracle
+ Amazon RDS für PostgreSQL
+ Amazon RDS für SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS-Managementkonsole
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
**Anmerkung**
Dazu müssen Sie sicherstellen, dass die Netzwerke „Customer Domain Controller CIDR“ und „Customer Client CIDR“ sicher sind.
TCP 445 mit den „Kundendomänencontrollern CIDR“ wird nur zur Vertrauensbildung verwendet und kann entfernt werden, nachdem die Vertrauensstellung hergestellt wurde.
TCP 445 mit dem „Kunden-Client-CIDR“ sollte geöffnet bleiben, da es für die Gruppenrichtlinien-Verarbeitung erforderlich ist.
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
Wenn Sie eine Enterprise-CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CA CIDR“ erstellen.
**Regeln für eingehenden Datenverkehr**
****
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
| --- | --- | --- | --- | --- |
| TCP und UDP | 53 | Domänencontroller des Kunden (CIDR) | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Kundendomänencontroller CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Kundendomänencontroller CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 464 | Kundendomänencontroller CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | Kundendomänencontroller CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | Kundendomänencontroller CIDR | Replikation | RPC, EPM |
| TCP | 636 | Kundendomänencontroller CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Kundendomänencontroller CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Kundendomänencontroller CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | Kundendomänencontroller CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| TCP und UDP | 53 | Kundendomänencontroller CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Kundendomänencontroller CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Kundendomänencontroller CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 445 | Kundendomänencontroller CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP und UDP | 464 | Kundendomänencontroller CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Kundendomänencontroller CIDR | Replikation | RPC, EPM |
| TCP | 636 | Kundendomänencontroller CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Kundendomänencontroller CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Kundendomänencontroller CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Kunden-Domänencontroller CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Kundendomänencontroller CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Kundendomänencontroller CIDR | DFSN und NetLogon | DFS, Gruppenrichtlinie |
**Regeln für ausgehenden Datenverkehr**
****
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
| --- | --- | --- | --- | --- |
| Alle | Alle | Domänencontroller des Kunden (CIDR) | Gesamter Datenverkehr | |
# Sicherheitseinstellungen für AWS verwaltete Microsoft AD-Verzeichnisse bearbeiten
Sie können detaillierte Verzeichniseinstellungen für Ihr AWS verwaltetes Microsoft AD konfigurieren, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne die betriebliche Arbeitslast zu erhöhen. In den Verzeichniseinstellungen können Sie die Secure-Channel-Konfiguration für die in Ihrem Verzeichnis verwendeten Protokolle und Codes aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne ältere Verschlüsselungen wie RC4 oder DES und Protokolle wie SSL 2.0/3.0 und TLS 1.0/1.1 zu deaktivieren. AWS Managed Microsoft AD stellt die Konfiguration dann auf allen Domänencontrollern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domänencontrollern und behält diese Konfiguration bei, wenn Sie sie skalieren oder weitere bereitstellen. AWS-Regionen Alle verfügbaren Einstellungen finden Sie unter [Liste der Verzeichnis-Sicherheitseinstellungen](#list-ds-settings).
## Sicherheitseinstellungen für Verzeichnisse bearbeiten
Sie können die Einstellungen für jedes Ihrer Verzeichnisse konfigurieren und bearbeiten.
**Um Verzeichniseinstellungen zu bearbeiten**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Directory Service Konsole unter. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Suchen Sie unter **Netzwerk und Sicherheit** nach **Verzeichniseinstellungen** und wählen Sie dann **Einstellungen bearbeiten** aus.
1. Ändern Sie unter **Einstellungen bearbeiten** den **Wert** für die Einstellungen, die Sie bearbeiten möchten. Wenn Sie eine Einstellung bearbeiten, ändert sich ihr Status von **Standard** auf **Bereit zur Aktualisierung**. Wenn Sie die Einstellung bereits bearbeitet haben, ändert sich ihr Status von **Aktualisiert** in **Bereit zur Aktualisierung**. Wählen Sie dann **Überprüfen** aus.
1. Unter **Einstellungen überprüfen und aktualisieren** sehen Sie sich den Abschnitt **Verzeichniseinstellungen** an und stellen Sie sicher, dass alle neuen Werte korrekt sind. Wenn Sie weitere Änderungen an Ihren Einstellungen vornehmen möchten, wählen Sie **Einstellungen bearbeiten**. Wenn Sie mit Ihren Änderungen zufrieden sind und bereit sind, die neuen Werte zu implementieren, wählen Sie **Einstellungen aktualisieren**. Anschließend kehren Sie zur Verzeichnis-ID-Seite zurück.
**Anmerkung**
Unter **Verzeichniseinstellungen** können Sie den **Status** Ihrer aktualisierten Einstellungen einsehen. Während die Einstellungen implementiert werden, wird im **Status** die Meldung **Wird aktualisiert** angezeigt. Sie können keine anderen Einstellungen bearbeiten, solange für eine Einstellung unter **Status** die Option **Wird aktualisiert** angezeigt wird. Der **Status** zeigt **Aktualisiert** an, wenn die Einstellung mit Ihrer Änderung erfolgreich aktualisiert wurde. Der **Status** zeigt **Fehlgeschlagen** an, wenn die Einstellung nicht mit Ihrer Änderung aktualisiert werden kann.
## Fehlgeschlagene Sicherheitseinstellungen für Verzeichnisse
Wenn während einer Aktualisierung der Einstellungen ein Fehler auftritt, wird der **Status** als **Fehlgeschlagen** angezeigt. Bei einem fehlgeschlagenen Status werden die Einstellungen nicht auf die neuen Werte aktualisiert, und die ursprünglichen Werte bleiben implementiert. Sie können erneut versuchen, diese Einstellungen zu aktualisieren oder sie auf ihre vorherigen Werte zurückzusetzen.
**So beheben Sie fehlgeschlagene Einstellungsaktualisierungen**
+ Wählen Sie unter **Verzeichniseinstellungen** die Option **Fehlgeschlagene Einstellungen beheben** aus. Führen Sie dann einen der folgenden Schritte aus:
+ Um Ihre Einstellungen auf ihren ursprünglichen Wert vor dem Fehlerstatus zurückzusetzen, wählen Sie **Fehlgeschlagene Einstellungen wiederherstellen** aus. Wählen Sie dann im Popup-Modal die Option **Wiederherstellen**.
+ Um erneut zu versuchen, Ihre Verzeichniseinstellungen zu aktualisieren, wählen Sie **Fehlgeschlagene Einstellungen erneut versuchen**. Wenn Sie weitere Änderungen an Ihren Verzeichniseinstellungen vornehmen möchten, bevor Sie die fehlgeschlagenen Aktualisierungen erneut versuchen, wählen Sie **Weiter bearbeiten**. Wählen Sie unter **Fehlgeschlagene Aktualisierungen überprüfen und erneut versuchen** die Option **Einstellungen aktualisieren** aus.
## Liste der Verzeichnis-Sicherheitseinstellungen
Die folgende Liste enthält den Typ, den Einstellungsnamen, den API-Namen, mögliche Werte und die Einstellungsbeschreibung für alle verfügbaren Verzeichnissicherheitseinstellungen.
TLS 1.2 und AES 256/256 sind die Standardsicherheitseinstellungen für Verzeichnisse, wenn alle anderen Sicherheitseinstellungen deaktiviert sind. Sie können nicht deaktiviert werden.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Aktivieren Sie Public Key Cryptography for Initial Authentication (PKINIT) für Ihre AWS verwalteten Microsoft AD-Benutzer
AWS Verwaltete Microsoft AD-Verzeichnisse verwenden standardmäßig eine starke Zertifikatsbindung, was eine explizite Zuordnung zwischen Zertifikaten und AD-Objekten erfordert. Die folgenden Zuordnungen werden für AWS Managed Microsoft AD als stark angesehen:
+ `altSecurityIdentities`Emittent und Seriennummer
+ `altSecurityIdentities`Schlüssel-ID für den Betreff
+ `altSecurityIdentities` SHA1 Hash des öffentlichen Schlüssels
Diese Attribute ermöglichen eine sichere Zertifikatszuweisung, die mehr Sicherheit für die zertifikatsbasierte Authentifizierung bietet, da explizite certificate-to-user Beziehungen erforderlich sind, die in Active Directory definiert werden müssen. Dies trägt dazu bei, zertifikatsbasierte Angriffe mit Rechteeskalation zu verhindern
Sie können dieses Verfahren verwenden, um starke Zertifikatsbindungen zu konfigurieren, um Angriffe mit Rechteeskalation zu verhindern und gleichzeitig die Funktionalität der Zertifikatsauthentifizierung aufrechtzuerhalten.
Weitere Informationen finden Sie unter [Microsoft KB5014754: Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)
## Voraussetzungen
+ Ein AWS verwaltetes Microsoft AD-Verzeichnis mit konfigurierter Zertifizierungsstelle
+ Administratorzugriff auf Ihre Active Directory-Umgebung
+ PowerShell mit installiertem Active Directory-Modul
+ Das Zertifikat, das Sie dem AD-Objekt zuordnen möchten
## AltSecurityIdentity Attribut zuordnen
1. Wählen Sie basierend auf Ihren Zertifikatsinformationen eine der folgenden `AltSecurityIdentity` Zuordnungsmethoden:
+ **SHA1 Hash** — Verwendet den SHA1 Hash des öffentlichen Schlüssels des Zertifikats
Extrahieren Sie für die SHA1 Hash-Zuordnung den Zertifikat-Hash und wenden Sie ihn auf das Benutzerobjekt an:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Aussteller und Seriennummer** — Verwendet den Namen und die Seriennummer des Zertifikats
Verwenden Sie für die Zuordnung von Aussteller und Seriennummer den Aussteller und die Seriennummer des Zertifikats:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Schlüssel-ID für den Betreff** — Verwendet die Erweiterung der Schlüssel-ID für den Betreff des Zertifikats
Verwenden Sie für die Zuordnung der Schlüssel-ID für den Betreff die Schlüssel-ID für den Betreff des Zertifikats:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Stellen Sie sicher, dass die Zuordnung erfolgreich angewendet wurde:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Warten Sie, bis die Active Directory-Replikation abgeschlossen ist (normalerweise 15-30 Sekunden), bevor Sie die Zertifikatsauthentifizierung testen.
## Beispiel: Massenzertifikat, das das Attribut zuordnet AltSecurityIdentity
Das folgende Beispiel zeigt, wie `AltSecurityIdentity` Attribute für mehrere Benutzerzertifikate von einer Zertifizierungsstelle zugeordnet werden:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Nächste Schritte
+ Testen Sie die zertifikatsbasierte Authentifizierung mit Ihren zugewiesenen Zertifikaten
+ Konfigurieren Sie Ihre Anwendungen so, dass sie die zugewiesenen Zertifikate für die Authentifizierung verwenden
+ [Überwachen Sie Ihr AWS verwaltetes Microsoft AD](ms_ad_monitor.md)für Authentifizierungsereignisse
# AWS Private CA Connector für AD für AWS Managed Microsoft AD einrichten
Sie können Ihr AWS verwaltetes Microsoft AD mit [AWS Private Certificate Authority (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) integrieren, um Zertifikate für Ihre Active Directory-Domänencontroller, domänengebundenen Benutzer, Gruppen und Maschinen auszustellen und zu verwalten. AWS Private CA Connector for Active Directory ermöglicht es Ihnen, einen vollständig verwalteten AWS Private CA Drop-In-Ersatz für Ihr selbstverwaltetes Unternehmen zu verwenden, CAs ohne lokale Agenten oder Proxyserver bereitstellen, patchen oder aktualisieren zu müssen.
Sie können die AWS Private CA Integration mit Ihrem Verzeichnis über die Directory Service Konsole, die AWS Private CA Connector for Active Directory-Konsole oder durch Aufrufen der [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API einrichten. Informationen zum Einrichten der Private CA-Integration über die AWS Private CA Connector for Active Directory-Konsole finden Sie unter [Connector-Vorlage erstellen](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). In den folgenden Schritten erfahren Sie, wie Sie diese Integration von der Directory Service Konsole aus einrichten.
## AWS Private CA Connector für AD einrichten
**Um einen privaten CA-Connector für Active Directory zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Wählen Sie auf der Registerkarte **Anwendungsverwaltung** und im Bereich **AWS Apps und Dienste** die Option **AWS Private CA Connector for AD** aus.
1. Führen **Sie auf der Seite Privates CA-Zertifikat für Active Directory** erstellen die Schritte aus, um Ihren privaten CA for Active Directory-Connector zu erstellen.
Weitere Informationen finden Sie unter [Einen Konnektor erstellen](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## AWS Private CA Connector für AD anzeigen
**So zeigen Sie Details zum privaten CA-Connector an**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Sehen Sie sich auf der Registerkarte **Anwendungsverwaltung** und im Bereich **AWS Apps und Dienste** Ihre Private CA-Connectors und die zugehörige private CA an. Die folgenden Felder werden angezeigt:
1. **AWS Private CA Connector-ID** — Die eindeutige Kennung für einen AWS Private CA Connector. Wählen Sie es aus, um die Detailseite anzuzeigen.
1. **AWS Private CA Betreff** — Informationen zum eindeutigen Namen der CA. Wählen Sie es aus, um die Detailseite aufzurufen.
1. **Status** — Ergebnisse der Statusprüfung für den AWS Private CA Connector und AWS Private CA:
+ **Aktiv** — Beide Prüfungen bestehen
+ **1/2 Prüfungen fehlgeschlagen** — Eine Prüfung schlägt fehl
+ **Fehlgeschlagen** — Beide Prüfungen schlagen fehl
Einzelheiten zum Status „Fehlgeschlagen“ erhalten Sie, wenn Sie mit der Maus auf den Hyperlink zeigen, um zu sehen, welche Prüfung fehlgeschlagen ist.
1. **Registrierungsstatus für DC-Zertifikate — Statusüberprüfung für den Status des Domänencontroller-Zertifikats**:
+ **Aktiviert** — Die Zertifikatsregistrierung ist aktiviert
+ **Deaktiviert** — Die Zertifikatsregistrierung ist deaktiviert
1. **Erstellungsdatum — Wann der AWS Private CA Connector erstellt** wurde.
Weitere Informationen finden Sie unter [Konnektor-Details anzeigen](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
Die folgende Tabelle zeigt die verschiedenen Status für die Registrierung von Domänencontroller-Zertifikaten für AWS Managed Microsoft AD mit. AWS Private CA
| DC-Registrierungsstatus | Description | Maßnahme erforderlich |
| --- | --- | --- |
| Aktiviert | Domänencontroller-Zertifikate wurden erfolgreich in Ihrem Verzeichnis registriert. | Es ist keine Aktion erforderlich. |
| Fehlgeschlagen | Die Aktivierung oder Deaktivierung der Registrierung von Domänencontroller-Zertifikaten ist für Ihr Verzeichnis fehlgeschlagen. | Wenn Ihre Aktivierungsaktion fehlschlägt, versuchen Sie es erneut, indem Sie die Domänencontroller-Zertifikate deaktivieren und dann wieder einschalten. Wenn Ihre Deaktivierungsaktion fehlschlägt, versuchen Sie es erneut, indem Sie die Domänencontrollerzertifikate aktivieren und dann wieder ausschalten. Wenn der Wiederholungsversuch fehlschlägt, wenden Sie sich an den AWS Support. |
| Beeinträchtigt | Domänencontroller haben Probleme mit der Netzwerkkonnektivität bei der Kommunikation mit AWS Private CA Endpunkten. | Überprüfen Sie die AWS Private CA VPC-Endpunkt- und S3-Bucket-Richtlinien, um die Netzwerkkonnektivität mit Ihrem Verzeichnis zu ermöglichen. Weitere Informationen finden Sie unter [Problembehandlung bei Ausnahmemeldungen AWS einer privaten Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) und [Behebung von Problemen mit dem Widerruf von AWS Private CA Zertifikaten](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html). |
| Disabled | Die Registrierung von Domänencontroller-Zertifikaten wurde für Ihr Verzeichnis erfolgreich deaktiviert. | Es ist keine Aktion erforderlich. |
| Deaktivieren | Die Deaktivierung der Registrierung von Domänencontroller-Zertifikaten ist im Gange. | Es ist keine Aktion erforderlich. |
| Aktivieren | Die Aktivierung der Registrierung von Domänencontroller-Zertifikaten ist im Gange. | Es ist keine Aktion erforderlich. |
## Konfiguration von AD-Richtlinien
AWS Private CA Connector für AD muss so konfiguriert sein, dass AWS verwaltete Microsoft AD-Domänencontroller und Objekte Zertifikate anfordern und empfangen können. Konfigurieren Sie Ihr Gruppenrichtlinienobjekt ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) so, dass Zertifikate für AWS verwaltete Microsoft AD-Objekte ausgestellt werden AWS Private CA können.
### Konfiguration von Active Directory-Richtlinien für Domänencontroller
**Aktivieren Sie Active Directory-Richtlinien für Domänencontroller**
1. Öffnen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie **AWS Private CA Connectors**.
1. Wählen Sie einen Connector aus, der mit dem AWS Private CA Betreff verknüpft ist, der Domänencontroller-Zertifikate für Ihr Verzeichnis ausstellt.
1. Wählen Sie **Aktionen**, **Domänencontroller-Zertifikate aktivieren** aus.
**Wichtig**
Konfigurieren Sie eine gültige Domänencontroller-Vorlage, bevor Sie Domänencontrollerzertifikate aktivieren, um verzögerte Updates zu vermeiden.
Nachdem Sie die Registrierung von Domänencontroller-Zertifikaten aktiviert haben, fordern die Domänencontroller Ihres Verzeichnisses Zertifikate von AWS Private CA Connector for AD an und empfangen sie.
Um die Ausstellung von AWS Private CA Domänencontrollerzertifikaten AWS Private CA zu ändern, verbinden Sie die neuen Zertifikate zunächst über einen neuen AWS Private CA Connector für AD mit Ihrem Verzeichnis. Bevor Sie die Zertifikatsregistrierung auf dem neuen Gerät aktivieren AWS Private CA, deaktivieren Sie die Zertifikatsregistrierung auf dem vorhandenen Gerät:
**Schalten Sie die Domänencontrollerzertifikate aus**
1. Öffnen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie **AWS Private CA Connectors**.
1. Wählen Sie einen Connector aus, der mit dem AWS Private CA Betreff verknüpft ist, der Domänencontroller-Zertifikate für Ihr Verzeichnis ausstellt.
1. Wählen Sie **Aktionen**, **Domänencontroller-Zertifikate deaktivieren**.
### Konfiguration von Active Directory-Richtlinien für Benutzer, Computer und Maschinen, die einer Domäne angehören
**Gruppenrichtlinienobjekte konfigurieren**
1. Connect zur AWS verwalteten Microsoft AD-Administratorinstanz her und öffnen Sie [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) im **Startmenü**.
1. Wählen Sie unter **Tools** die Option **Group Policy Management** aus.
1. Suchen Sie unter **Gesamtstruktur und Domänen** nach Ihrer Subdomänen-Organisationseinheit (OU) (dies `corp` ist beispielsweise Ihre Subdomänen-Organisationseinheit, wenn Sie die unter beschriebenen Verfahren befolgt haben[Ihr AWS verwaltetes Microsoft AD erstellen](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) und klicken Sie mit der rechten Maustaste auf Ihre Subdomänen-Organisationseinheit. Wählen Sie **Create a GPO in this domain aus, verknüpfen Sie es hier und** geben Sie PCA GPO als Namen ein. Wählen Sie **OK** aus.
1. Das neu erstellte Gruppenrichtlinienobjekt wird hinter dem Namen Ihrer Subdomain angezeigt. **Klicken Sie mit der rechten Maustaste darauf `PCA GPO` und wählen Sie Bearbeiten.** Wenn ein Dialogfeld mit einer Warnmeldung geöffnet wird, die besagt, dass dies ein Link ist und dass Änderungen global verbreitet werden, bestätigen Sie die Meldung, indem Sie **OK** wählen, um fortzufahren. Das Fenster **Group Policy Management Editor** wird geöffnet.
1. Gehen Sie im Fenster des **Gruppenrichtlinienverwaltungs-Editors** zu **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel** (wählen Sie den Ordner aus).
1. Wählen Sie unter **Objekttyp** die Option **Certificate Services Client — Certificate Enrollment Policy** aus.
1. **Ändern Sie im Fenster **Certificate Services Client — Certificate Enrollment Policy** das **Konfigurationsmodell** auf Aktiviert.**
1. **Vergewissern Sie sich, dass die **Active Directory-Registrierungsrichtlinie ausgewählt und** aktiviert ist.** Wählen Sie **Hinzufügen** aus.
1. Das Dialogfeld **Certificate Enrollment Policy Server wird geöffnet**. Geben Sie den Endpunkt des Zertifikatsregistrierungsrichtlinienservers, den Sie bei der Erstellung Ihres Connectors generiert haben, in das **Feld Registrierungsserver-Richtlinien-URI eingeben ein**. **Belassen Sie den **Authentifizierungstyp** auf Windows integrated.**
1. Wählen Sie „**Validieren**“. Nachdem die Validierung erfolgreich war, wählen Sie **Hinzufügen**.
1. Kehren Sie zum Dialogfeld **Certificate Services Client — Certificate Enrollment Policy** zurück und wählen Sie das Feld neben dem neu erstellten Connector aus, um sicherzustellen, dass es sich bei dem Connector um die Standardregistrierungsrichtlinie handelt.
1. **Wählen Sie „**Active Directory-Registrierungsrichtlinie**“ und dann „Entfernen“.**
1. Wählen Sie im Bestätigungsdialogfeld **Ja** aus, um die LDAP-basierte Authentifizierung zu löschen.
1. Klicken Sie im Fenster **Certificate Services Client — Certificate Enrollment** Policy auf **Anwenden** und anschließend auf **OK**. Schließen Sie dann das Fenster.
1. Wählen Sie unter **Objekttyp** für den **Ordner Public Key Policies die Option Certificate Services Client — Auto-Enrollment** aus.
1. **Ändern Sie die Option „**Konfigurationsmodell**“ auf „Aktiviert“.**
1. Vergewissern Sie sich, dass die Optionen **Abgelaufene Zertifikate verlängern** **und Zertifikate aktualisieren** ausgewählt sind. Lassen Sie die anderen Einstellungen unverändert.
1. Wählen Sie **Anwenden** und dann **OK** aus, und schließen Sie das Dialogfeld.
Konfigurieren Sie anschließend die Richtlinien für öffentliche Schlüssel für die Benutzerkonfiguration, indem Sie die Schritte 6 bis 17 im Abschnitt **Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel** wiederholen.
Nachdem Sie die Konfiguration GPOs und die Richtlinien für öffentliche Schlüssel abgeschlossen haben, fordern Objekte in der Domäne Zertifikate von AWS Private CA Connector for AD an und erhalten Zertifikate, die von AWS Private CA ausgestellt wurden.
## Bestätigung der AWS Private CA Ausstellung eines Zertifikats
Die Aktualisierung AWS Private CA zur Ausstellung von Zertifikaten für Ihr AWS Managed Microsoft AD kann bis zu 8 Stunden dauern.
Sie können einen der folgenden Schritte ausführen:
+ Sie können diesen Zeitraum abwarten.
+ Sie können die mit der AWS verwalteten Microsoft AD-Domäne verbundenen Maschinen neu starten, die für den Empfang von Zertifikaten von konfiguriert wurden AWS Private CA. Anschließend können Sie bestätigen, dass der Zertifikate für Mitglieder Ihrer AWS verwalteten Microsoft AD-Domäne ausgestellt AWS Private CA hat, indem Sie das in der [MicrosoftDokumentation beschriebene Verfahren befolgen](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ Sie können den folgenden PowerShell Befehl verwenden, um die Zertifikate für Ihr AWS verwaltetes Microsoft AD zu aktualisieren:
```
certutil -pulse
```