Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Proteja su Microsoft AD AWS gestionado
Puede usar políticas de contraseñas, funciones como la autenticación multifactor (MFA) y configuraciones para proteger su Microsoft AD AWS administrado. Las formas en que puede proteger su directorio incluyen:
+ [Comprenda cómo funcionan las políticas de contraseñas de Active Directory](ms_ad_password_policies.md) para que se puedan aplicar a los usuarios de Microsoft AD AWS administrados. También puede delegar qué usuario puede administrar sus políticas de contraseñas AWS administradas de Microsoft AD.
+ [Habilite la MFA](ms_ad_mfa.md), que aumenta la seguridad de su AWS Microsoft AD administrado.
+ [>Habilitar el protocolo ligero de acceso a directorios del lado del cliente a través de la capa de conexión segura (SSL) o la seguridad de la capa de transporte (TLS), o LDAPS](ms_ad_ldap.md), para cifrar las comunicaciones a través del LDAP y mejorar la seguridad.
+ [Gestione su conformidad con Microsoft AD AWS gestionado](ms_ad_compliance.md) con estándares como el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) y el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI).
+ [Mejore su configuración de seguridad de red AWS gestionada de Microsoft AD>](ms_ad_network_security.md) modificando el grupo de AWS seguridad para que se adapte a las necesidades de su entorno.
+ [Edite la configuración de seguridad del directorio AWS administrado de Microsoft AD](ms_ad_directory_settings.md), como la autenticación de base de certificados, el cifrado de canal seguro y el protocolo, para adaptarla a sus necesidades.
+ [AWS Private Certificate Authority Configure Connector para AD](ms_ad_pca_connector.md) de modo que pueda emitir y administrar certificados para su Microsoft AD AWS administrado con AWS Private CA.
# Descripción de las políticas de contraseñas AWS administradas de Microsoft AD
AWS Microsoft AD administrado le permite definir y asignar diferentes políticas de bloqueo de cuentas y contraseñas (también denominadas políticas de [contraseñas específicas) para los](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) grupos de usuarios que administra en su dominio de AWS Microsoft AD administrado. Al crear un directorio de Microsoft AD AWS administrado, se crea una política de dominio predeterminada y se aplica a Active Directory. Esta política incluye las siguientes opciones:
****
| Política | Opción |
| --- | --- |
| Aplicar el historial de contraseñas | Se recuerdan 24 contraseñas |
| Antigüedad máxima de la contraseña | 42 días \$1 |
| Antigüedad mínima de la contraseña | 1 día |
| Longitud mínima de la contraseña | 7 caracteres |
| La contraseña debe cumplir los requisitos de complejidad | Habilitado |
| Almacenamiento de contraseña mediante cifrado reversible | Deshabilitado |
**nota**
\$1 El valor de 42 días de la antigüedad máxima de la contraseña también se aplica a la contraseña del administrador.
Por ejemplo, puede asignar una configuración de las políticas menos estricta para aquellos empleados con acceso solo a información de baja confidencialidad. Para los administradores sénior que obtienen acceso con frecuencia a información confidencial, puede aplicar una configuración más estricta.
Los siguientes recursos proporcionan más información sobre las políticas de contraseñas y políticas de seguridad detalladas de Microsoft Active Directory:
+ [Establecimiento de la configuración de seguridad](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Requisitos de complejidad de las contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Consideraciones de seguridad sobre la complejidad de las contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS proporciona un conjunto de políticas de contraseñas detalladas en AWS Microsoft AD administrado que puede configurar y asignar a sus grupos. Para configurar las políticas, puede usar herramientas de política de Microsoftestándar como [Centro de administración de Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Para empezar a utilizar las herramientas de política de Microsoft, consulte [Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado](ms_ad_install_ad_tools.md).
## Cómo se aplican las políticas de contraseñas
Existen diferencias en la forma en que se aplican las políticas de contraseñas detalladas en función de si la contraseña se ha restablecido o cambiado. Los usuarios del dominio pueden cambiar su propia contraseña. Un administrador del Active Directory o un usuario con los permisos necesarios puede[ restablecer las contraseñas de los usuarios](ms_ad_manage_users_groups_reset_password.md). Consulte el siguiente cuadro para obtener más información.
****
| Política | Restablecimiento de la contraseña | Cambio de la contraseña |
| --- | --- | --- |
| Aplicar el historial de contraseñas | ![\[No\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Antigüedad máxima de la contraseña | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Antigüedad mínima de la contraseña | ![\[No\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| Longitud mínima de la contraseña | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
| La contraseña debe cumplir los requisitos de complejidad | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí | ![\[Yes\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/icon-yes.png) Sí |
Estas diferencias tienen implicaciones de seguridad. Por ejemplo, cada vez que se restablece la contraseña de un usuario, no se aplican las políticas de historial de contraseñas y de antigüedad mínima de la contraseña. Para obtener más información, consulte la documentación de Microsoft sobre las consideraciones de seguridad relacionadas con la [aplicación del historial de contraseñas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) y las políticas de [antigüedad mínima de la contraseña](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Configuración de políticas admitida
AWS Microsoft AD administrado incluye cinco políticas detalladas con un valor de prioridad no editable. Las políticas tienen una serie de propiedades que puede configurar para forzar la seguridad de las contraseñas y acciones de bloqueo de cuentas en caso de producirse errores de inicio de sesión. Puede asignar las políticas a cero o más grupos de Active Directory. Si un usuario final es miembro de varios grupos y recibe más de una política de contraseñas, Active Directory fuerza la política con el valor de prioridad más bajo.
### AWS políticas de contraseñas predefinidas
En la siguiente tabla se enumeran las cinco políticas incluidas en el directorio de Microsoft AD AWS administrado y su valor de prioridad asignado. Para obtener más información, consulte [Prioridad](#precedence).
****
| Nombre de la política | Prioridad |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propiedades de las políticas de contraseñas
Puede editar las siguientes propiedades en sus políticas de contraseñas para ajustarlas a los estándares de conformidad que satisfagan las necesidades de su negocio.
+ Nombre de la política
+ [Aplicar el historial de contraseñas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Longitud mínima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Antigüedad mínima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Antigüedad máxima de la contraseña](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Almacenamiento de contraseña mediante cifrado reversible](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [La contraseña debe cumplir los requisitos de complejidad](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
No puede modificar los valores de prioridad de estas políticas. *Para obtener más información sobre cómo afectan estas configuraciones a la aplicación de contraseñas, consulte [AD DS: políticas de contraseñas detalladas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) en el sitio web de Microsoft. TechNet* Para obtener información general acerca de estas políticas, consulte la [Política de contraseñas](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) en el TechNet sitio web de *Microsoft*.
### Políticas de bloqueo de cuentas
También puede modificar las siguientes propiedades de sus políticas de contraseñas para especificar si Active Directory debería bloquear una cuenta tras producirse errores de inicio de sesión y cómo hacerlo:
+ Número de intentos de inicio de sesión con error permitidos
+ Duración de bloqueo de cuentas
+ Restablecimiento de intentos de inicio de sesión con error tras una duración determinada
Para obtener información general acerca de estas políticas, consulte la [Política de bloqueo de cuentas](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) en el sitio TechNet web de *Microsoft*.
### Prioridad
Las políticas con un valor de prioridad más bajo tienen mayor prioridad. Puede asignar políticas de contraseñas a grupos de seguridad de Active Directory. Aunque debe aplicar una sola política a un grupo de seguridad, un solo usuario puede recibir más de una política de contraseñas. Por ejemplo, supongamos que `jsmith` es miembro del grupo HR y también del grupo MANAGERS. Si asigna **CustomerPSO-05** (que tiene una prioridad de 50) al grupo HR y **CustomerPSO-04** (que tiene una prioridad de 40) a MANAGERS, **CustomerPSO-04** tiene la prioridad más alta y Active Directory aplica esa política a `jsmith`.
Si asigna varias políticas a un usuario o grupo, Active Directory determina la política obtenida del modo siguiente:
1. Se aplica una política que asigna directamente al objeto de usuario.
1. Si no se asigna ninguna política directamente al objeto de usuario, se aplica la política con el valor de prioridad más bajo de todas las políticas recibidas por el usuario como resultado de la pertenencia a un grupo.
*Para obtener más información, consulte [AD DS: políticas de contraseñas detalladas en](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) el sitio web de Microsoft. TechNet*
**Topics**
+ [Cómo se aplican las políticas de contraseñas](#how_password_policies_applied)
+ [Configuración de políticas admitida](#supportedpolicysettings)
+ [Asignación de políticas de contraseñas a los usuarios AWS gestionados de Microsoft AD](assignpasswordpolicies.md)
+ [Delegar quién puede administrar sus políticas de contraseñas AWS administradas de Microsoft AD](delegatepasswordpolicies.md)
**Artículo de blog de seguridad relacionado AWS **
+ [Cómo configurar políticas de contraseñas aún más sólidas para ayudar a cumplir sus estándares de seguridad mediante el uso Directory Service de Microsoft AD AWS administrado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Asignación de políticas de contraseñas a los usuarios AWS gestionados de Microsoft AD
Las cuentas de usuario que son miembros del grupo de seguridad **AWS Delegated Fine Grained Password Policy Administrators** pueden utilizar el siguiente procedimiento para asignar políticas a usuarios y grupos de seguridad.
**Para asignar políticas de contraseñas a sus usuarios**
1. Inicie el [centro de administración de Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) desde cualquier instancia de EC2 administrada que haya unido a su dominio de AWS Microsoft AD administrado.
1. Cambie a **vista de árbol** y vaya a **System\$1Password Settings Container**.
1. Haga doble clic en la política detallada que desee editar. Haga clic en **Add** (Agregar) para editar las propiedades de las políticas y añada usuarios o grupos de seguridad a la política. Para obtener más información acerca de las políticas detalladas predeterminadas proporcionadas con AWS Managed Microsoft AD, consulte [AWS políticas de contraseñas predefinidas](ms_ad_password_policies.md#supportedpwdpolicies).
1. Para comprobar que se ha aplicado la política de contraseñas, ejecute el siguiente comando: PowerShell
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**nota**
Evite utilizar el comando `net user`, ya que los resultados que obtenga podrían ser inexactos.
Si no configura ninguna de las cinco políticas de contraseñas del directorio AWS administrado de Microsoft AD, Active Directory utilizará la política de grupo de dominios predeterminada. Para obtener detalles adicionales acerca del uso del **contenedor de configuraciones de contraseña**, consulte esta [entrada de blog de Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegar quién puede administrar sus políticas de contraseñas AWS administradas de Microsoft AD
Puede delegar permisos para administrar las políticas de contraseñas en cuentas de usuario específicas que haya creado en su Microsoft AD AWS administrado agregando las cuentas al **grupo de seguridad de administradores de políticas de contraseñas específicas AWS delegadas**. Cuando una cuenta pasa a ser un miembro de este grupo, la cuenta tiene permisos para editar y configurar cualquiera de las políticas de contraseñas indicadas [anteriormente](ms_ad_password_policies.md#supportedpwdpolicies).
**Para delegar quién puede administrar políticas de contraseñas**
1. Inicie el [centro de administración de Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) desde cualquier instancia de EC2 administrada que haya unido a su dominio de AWS Microsoft AD administrado.
1. Cambie a la **Vista de árbol** y vaya a la unidad organizativa **AWS Delegated Groups**. Para obtener más información acerca de esta unidad organizativa, consulte [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md).
1. Busque el grupo de usuarios **AWS Delegated Fine Grained Password Policy Administrators**. Añada cualquier usuario o grupo de su dominio a este grupo.
# Habilitación de la autenticación multifactorial para Microsoft AWS AD administrado
Puede habilitar la autenticación multifactor (MFA) en su directorio AWS gestionado de Microsoft AD para aumentar la seguridad cuando los usuarios especifiquen sus credenciales de AD para acceder a las aplicaciones de Amazon Enterprise compatibles. Cuando se habilita la autenticación MFA, los usuarios deben introducir su nombre de usuario y su contraseña (el primer factor) como de costumbre, pero además deben introducir un código de autenticación (el segundo factor), proporcionado por la solución de MFA virtual o de hardware. La combinación de estos factores proporciona seguridad adicional, ya que impiden el acceso a las aplicaciones empresariales de Amazon, a menos que se proporcionen credenciales de usuario válidas y un código de MFA válido.
Para habilitar la MFA, debe tener una solución de MFA compuesta por un servidor [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS), o disponer de un complemento de MFA para un servidor RADIUS que ya tenga implementado en su infraestructura en las instalaciones. La solución de MFA debería implementar claves de acceso de un solo uso (OTP) que los usuarios obtienen de un dispositivo de hardware o de un software que se ejecuta en un dispositivo como un teléfono móvil.
RADIUS es un client/server protocolo estándar del sector que proporciona administración de autenticación, autorización y contabilidad para permitir a los usuarios conectarse a los servicios de red. AWS Microsoft AD administrado incluye un cliente RADIUS que se conecta al servidor RADIUS en el que ha implementado la solución de MFA. El servidor RADIUS valida el nombre de usuario y el código de OTP. Si el servidor RADIUS valida correctamente al usuario, AWS Managed Microsoft AD autentica al usuario en Active Directory. Tras la autenticación correcta en el Active Directory, los usuarios pueden obtener acceso a la aplicación de AWS . La comunicación entre el cliente RADIUS AWS administrado de Microsoft AD y el servidor RADIUS requiere que configure grupos de AWS seguridad que permitan la comunicación a través del puerto 1812.
Puede habilitar la autenticación multifactor para su directorio AWS administrado de Microsoft AD mediante el siguiente procedimiento. Para obtener más información acerca de cómo configurar su servidor RADIUS para que funcione con Directory Service y MFA, consulte [Requisitos previos de la autenticación multifactor](ms_ad_getting_started.md#prereq_mfa_ad).
## Consideraciones
A continuación se muestran algunas consideraciones para la autenticación multifactor del AWS Managed Microsoft AD:
+ La autenticación multifactor no puede usarse con Simple AD. Sin embargo, la MFA se puede habilitar para su directorio de Conector AD. Para obtener más información, consulte [Habilitación de la autenticación multifactor para el Conector AD](ad_connector_mfa.md).
+ La MFA es una función regional de Managed AWS Microsoft AD. Si utiliza [la replicación multirregional](ms_ad_configure_multi_region_replication.md), solo podrá usar MFA en la región principal de su Microsoft AD AWS administrado.
+ Si piensa utilizar Microsoft AD AWS administrado para las comunicaciones externas, le recomendamos que configure una puerta de enlace de Internet con traducción de direcciones de red (NAT) o una puerta de enlace de Internet fuera de la AWS red para estas comunicaciones.
+ Si desea admitir las comunicaciones externas entre su Microsoft AD AWS administrado y su servidor RADIUS alojado en la AWS red, póngase en contacto con [Soporte](https://console.aws.amazon.com/support/home#/).
+ Todas las aplicaciones de TI empresariales de Amazon WorkSpaces WorkDocs, incluidas Amazon WorkMail y Amazon Quick, y el acceso a AWS Managed Microsoft AD AWS IAM Identity Center y AD Connector con MFA, Consola de administración de AWS son compatibles con ellos. Estas AWS aplicaciones que utilizan MFA no se admiten en varias regiones.
Para obtener más información, consulte [Cómo habilitar la autenticación multifactor para AWS los servicios mediante Microsoft AD AWS administrado y credenciales locales](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Para obtener información sobre cómo configurar el acceso básico de los usuarios a las aplicaciones de Amazon Enterprise, el inicio de sesión AWS único y el Consola de administración de AWS uso Directory Service, consulte [Acceso a AWS aplicaciones y servicios desde su Microsoft AD AWS administrado](ms_ad_manage_apps_services.md) y. [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md)
+ Consulte la siguiente entrada del blog de AWS seguridad para obtener información sobre cómo habilitar la MFA para WorkSpaces los usuarios de Amazon en su AWS Microsoft AD administrado, [cómo habilitar la autenticación multifactor para AWS los servicios mediante AWS Microsoft AD administrado](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) y credenciales locales.
## Habilite la autenticación multifactorial para Microsoft AWS AD administrado
En el siguiente procedimiento se muestra cómo habilitar la autenticación multifactor para el AWS Managed Microsoft AD.
1. Identifique la dirección IP de su servidor MFA RADIUS y de su directorio administrado de AWS Microsoft AD.
1. Edite los grupos de seguridad de Virtual Private Cloud (VPC) para habilitar las comunicaciones a través del puerto 1812 entre los puntos finales IP gestionados de AWS Microsoft AD y su servidor de MFA RADIUS.
1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.
1. Elija el enlace de ID de directorio para su directorio AWS administrado de Microsoft AD.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación de varias regiones**, seleccione la región en la que quiere habilitar MFA y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Multi-factor authentication (Autenticación multifactor)**, elija **Actions (Acciones)** y, a continuación, seleccione **Enable (Habilitar)**.
1. En la página **Enable multi-factor authentication (MFA) (Habilitar la autenticación multifactor (MFA))**, proporcione los valores siguientes:
**Display label (Mostrar etiqueta)**
Proporcione un nombre de etiqueta.
**RADIUS server DNS name or IP addresses (Nombre de DNS o direcciones IP del servidor RADIUS)**
Direcciones IP de los puntos de enlace del servidor RADIUS o dirección IP del balanceador de carga del servidor RADIUS. Puede especificar varias direcciones IP separándolas mediante comas (por ejemplo, `192.0.0.0,192.0.0.12`).
El MFA RADIUS solo se aplica para autenticar el acceso a las Consola de administración de AWS aplicaciones y servicios de Amazon Enterprise, como Amazon Quick o WorkSpaces Amazon Chime. Las aplicaciones y los servicios de Amazon Enterprise solo se admiten en la región principal si la replicación multirregional está configurada para su Microsoft AD AWS gestionado. No proporciona MFA a las cargas de trabajo de Windows que se ejecutan en instancias EC2 ni para iniciar sesión en una instancia EC2. Directory Service no admite la autenticación RADIUS Challenge/Response.
En el momento en que los usuarios especifiquen el nombre de usuario y la contraseña, deben disponer de un código MFA. Como alternativa, debe usar una solución que realice MFA, out-of-band como notificaciones push o contraseñas de un solo uso (OTP) de autenticación para el usuario. En las soluciones de out-of-band MFA, debe asegurarse de establecer el valor de tiempo de espera RADIUS de forma adecuada para su solución. Al utilizar una solución de out-of-band MFA, la página de inicio de sesión solicitará al usuario un código de MFA. En ese caso, los usuarios deben escribir su contraseña en el campo de contraseña y en el campo de MFA.
**Puerto**
Puerto que utiliza el servidor RADIUS para las comunicaciones. La red local debe permitir el tráfico entrante desde los servidores a través del puerto de servidor RADIUS predeterminado (UDP:1812). Directory Service
**Código secreto compartido**
Código de secreto compartido que se especificó cuando se crearon los puntos de enlace de RADIUS.
**Confirm shared secret code** (Confirmar código secreto compartido)
Confirme el código secreto compartido para los puntos de enlace de RADIUS.
**Protocolo**
Seleccione el protocolo que se especificó cuando se crearon los puntos de enlace de RADIUS.
**Tiempo de espera del servidor (en segundos)**
Tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50.
Recomendamos configurar el tiempo de espera del servidor RADIUS en 20 segundos o menos. Si el tiempo de espera supera los 20 segundos, el sistema no podrá volver a intentarlo con otro servidor RADIUS y podría producirse un error en el tiempo de espera.
**Número máximo de reintentos de solicitud RADIUS**
Número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10.
La autenticación multifactor está disponible cuando **RADIUS Status** cambia a **Habilitado**.
1. Seleccione **Habilitar**.
# Habilitación del LDAP seguro o LDAPS
El protocolo ligero de acceso a directorios (LDAP) es un protocolo de comunicación estándar que se utiliza para leer y escribir datos en y desde Active Directory. Algunas aplicaciones utilizan LDAP para añadir, quitar o buscar usuarios y grupos de Active Directory o para transportar credenciales para autenticar a los usuarios en Active Directory. Cada comunicación LDAP incluye un cliente (como una aplicación) y un servidor (como Active Directory).
De forma predeterminada, las comunicaciones a través de LDAP no están cifradas. Esto permite a un usuario malintencionado utilizar el software de monitorización de red para ver los paquetes de datos que pasan por la red. Esta es la razón por la que en muchas políticas de seguridad corporativas se requiere que las organizaciones cifren todas las comunicaciones LDAP.
Para mitigar esta forma de exposición de datos, AWS Managed Microsoft AD ofrece una opción: puede habilitar LDAP a través de Secure Sockets Layer (SSL) /Transport Layer Security (TLS), también conocido como LDAPS. Con LDAPS, puede mejorar la seguridad de las conexiones. También puede cumplir con los requisitos de conformidad cifrando todas las comunicaciones entre sus aplicaciones habilitadas para LDAP y Managed AWS Microsoft AD.
AWS Managed Microsoft AD proporciona soporte para LDAPS en los siguientes escenarios de implementación:
+ **LDAPS del servidor** cifra las comunicaciones LDAP entre sus aplicaciones comerciales o locales de LDAP (que actúan como clientes LDAP) y AWS Managed Microsoft AD (que actúa como servidor LDAP). Para obtener más información, consulte [Habilitación de LDAPS del lado del servidor mediante Microsoft AD administrado AWS](ms_ad_ldap_server_side.md).
+ El **LDAPS del lado del cliente** cifra las comunicaciones LDAP entre AWS aplicaciones WorkSpaces (que actúan como clientes LDAP) y su Active Directory autogestionado (local) (que actúa como servidor LDAP). Para obtener más información, consulte [Habilitación de LDAPS del lado del cliente mediante Microsoft AD administrado AWS](ms_ad_ldap_client_side.md).
Para obtener más información sobre las prácticas recomendadas para proteger la implementación de Microsoft Active Directory Certificate Services, consulte la [ documentación de Microsoft](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate).
**Topics**
+ [Habilitación de LDAPS del lado del servidor mediante Microsoft AD administrado AWS](ms_ad_ldap_server_side.md)
+ [Habilitación de LDAPS del lado del cliente mediante Microsoft AD administrado AWS](ms_ad_ldap_client_side.md)
# Habilitación de LDAPS del lado del servidor mediante Microsoft AD administrado AWS
La Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) compatibilidad del lado del servidor cifra LDAP las comunicaciones entre sus LDAP aplicaciones comerciales o propias y su directorio de Microsoft AD administrado. AWS Esto ayuda a mejorar la seguridad de todas las conexiones y a cumplir los requisitos de cumplimiento mediante el protocolo criptográfico Secure Sockets Layer (SSL).
## Habilite los LDAPS del lado del servidor mediante AWS Private Certificate Authority
Para obtener instrucciones detalladas sobre cómo configurar y configurar el LDAPS del lado del servidor y el servidor de la entidad de certificación (CA) mediante AWS Private CA, consulte. [Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado](ms_ad_pca_connector.md)
## Habilitar LDAPS del lado del servidor mediante CA de Microsoft
Para obtener instrucciones detalladas sobre cómo configurar y configurar el LDAPS del lado del servidor y el servidor de la entidad de certificación (CA), consulte [Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) en el blog de seguridad. AWS
La mayor parte de la configuración se debe llevar a cabo desde la instancia de Amazon EC2 que se utiliza para administrar los controladores de dominio de AWS Managed Microsoft AD. Los siguientes pasos le guiarán por el proceso para habilitar LDAPS para su dominio en la Nube de AWS.
[Si desea utilizar la automatización para configurar su PKI infraestructura, puede utilizar la infraestructura de clave pública de Guide. MicrosoftAWS QuickStart ](https://aws.amazon.com/quickstart/architecture/microsoft-pki/) En concreto, querrá seguir las instrucciones de la guía para cargar la plantilla para [Implementar MicrosoftPKI en una VPC existente de AWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). Una vez que cargue la plantilla, asegúrese de elegir **`AWSManaged`** cuando llegue la opción **Tipo de servicios de dominio de Active Directory**. Si ha utilizado la QuickStart guía, puede ir directamente a[Paso 3: creación de una plantilla de certificado](#createcustomcert).
**Topics**
+ [Paso 1: delegación de quién puede habilitar LDAPS](#grantpermsldaps)
+ [Paso 2: configuración de su entidad de certificación](#setupca)
+ [Paso 3: creación de una plantilla de certificado](#createcustomcert)
+ [Paso 4: adición de reglas de grupos de seguridad](#addgrouprules)
### Paso 1: delegación de quién puede habilitar LDAPS
Para habilitar el LDAPS del lado del servidor, debe ser miembro del grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de Microsoft AD administrado AWS . También puede ser el usuario administrativo predeterminado (cuenta de administrador). Si lo prefiere, puede tener un usuario distinto del administrador para la cuenta de LDAPS. En ese caso, añada ese usuario al grupo Administradores o Administradores de Autoridades de Certificación Empresariales AWS Delegadas en su directorio de AWS Microsoft AD administrado.
### Paso 2: configuración de su entidad de certificación
Para poder habilitar LDAPS del lado del servidor, debe crear un certificado. Este certificado debe haber sido emitido por un servidor de Microsoft Enterprise CA empresarial de Microsoft que esté unido al dominio de AWS Managed Microsoft AD. Una vez creado, el certificado debe instalarse en cada uno de los controladores de dominio de ese dominio. Este certificado permite que el servicio LDAP de los controladores de dominio reciba y acepte automáticamente las conexiones SSL de clientes LDAP.
**nota**
El LDAPS del lado del servidor con AWS Microsoft AD administrado no admite los certificados emitidos por una CA independiente. Tampoco se admiten los certificados emitidos por una entidad de certificación de terceros.
Dependiendo de sus necesidades empresariales, dispone de las siguientes opciones para configurar o conectarse a una entidad de certificación en su dominio:
+ **Crear un servidor subordinado Microsoft Enterprise CA**: (recomendado) Con esta opción, puede implementar un servidor subordinado Microsoft Enterprise CA en la nube. AWS El servidor puede utilizar Amazon EC2 para que funcione con la CA raíz de Microsoft existente. Para obtener más información acerca de cómo configurar un subordinado MicrosoftEnterprise CA, consulte el **paso 4: Agregar Microsoft Enterprise CA a su AWS Microsoft AD directorio** en [Cómo habilitar el LDAPS del lado del servidor para su directorio administrado de AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
+ **Crear una raíz Microsoft Enterprise CA**: con esta opción, puede crear una raíz Microsoft Enterprise CA en la AWS nube mediante Amazon EC2 y unirla a su dominio gestionado de AWS Microsoft AD. Esta entidad de certificación raíz puede emitir el certificado para los controladores de dominio. Para obtener más información sobre la configuración de una nueva CA raíz, consulte el **paso 3: Instalar y configurar una CA sin conexión** en [Cómo habilitar el LDAPS del lado del servidor para su directorio administrado de AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Para obtener más información acerca de cómo unir la instancia EC2 al dominio, consulte [Formas de unir una instancia de Amazon EC2 a su AWS Microsoft AD gestionado](ms_ad_join_instance.md).
### Paso 3: creación de una plantilla de certificado
Una vez configurada la Enterprise CA, puede configurar la plantilla de certificado de autenticación Kerberos.
**Creación de una plantilla de certificado**
1. Inicie **Microsoft Windows Server Manager**. Seleccione **Herramientas > Autoridad de certificación**.
1. En la ventana **Entidad de certificación**, expanda el árbol **Entidad de certificación** en el panel izquierdo. Haga clic con el botón derecho en **Plantillas de certificado** y luego elija** Administrar**.
1. En la ventana de **Consola de plantillas de certificado de**, haga clic con el botón derecho en **Autenticación Kerberos** y luego elija **Plantilla duplicada**.
1. Aparecerá la ventana **Propiedades de la nueva plantilla**.
1. En la ventana **Propiedades de la nueva plantilla**, vaya a la pestaña **Compatibilidad** y, a continuación, haga lo siguiente:
1. Cambie la **autoridad de certificación** por el OS que coincida con su CA.
1. Si aparece una ventana **Cambios resultantes**, seleccione **Aceptar**.
1. Cambie el **destinatario de la certificación** a **Windows 10/Windows Server 2016**.
**nota**
AWS Managed Microsoft AD funciona conWindows Server 2019.
1. Si aparecen ventanas de **cambios resultantes**, seleccione **Aceptar**.
1. Haga clic en la pestaña **General** y cambie el **nombre para mostrar de la plantilla** a **LDAPOverSSL** o cualquier otro nombre que prefiera.
1. Haga clic en la pestaña **Seguridad** y elija **Controladores de dominio** en la sección **Nombres de usuarios o grupo**. **En la sección **Permisos para controladores de dominio**, compruebe que las casillas de verificación **Permitir** para **Leer**, **Inscribir** e Inscribir automáticamente** estén activadas.
1. Pulse **Aceptar** para crear la plantilla de certificado **LDAPOverSSL** (o el nombre que especificó anteriormente). Cierre la ventana de la **Consola de plantillas de certificados.**
1. En la ventana **Entidad de certificación**, haga clic con el botón derecho en **Plantillas de certificado** y elija **Nuevo > Plantilla de certificado que se va a emitir**.
1. En la ventana **Habilitar plantillas de certificados**, elija **LDAPOverSSL** (o el nombre que especificó anteriormente) y, a continuación, elija **Aceptar**.
### Paso 4: adición de reglas de grupos de seguridad
En el paso final, debe abrir la consola de Amazon EC2 y agregar reglas del grupo de seguridad. Estas reglas permiten que los controladores de dominio se conecten a la Enterprise CA para solicitar un certificado. Para ello, tiene que añadir reglas de entrada para que su Enterprise CA pueda aceptar el tráfico entrante desde los controladores de dominio. A continuación, añada reglas de salida para permitir el tráfico desde los controladores de dominio a la Enterprise CA.
Una vez que ambas reglas se han configurado, los controladores de dominio solicitan automáticamente un certificado de su Enterprise CA y habilitan LDAPS para su directorio. El servicio de LDAP en los controladores de dominio ya está listo para aceptar conexiones LDAPS.
**Configuración de reglas de grupos de seguridad**
1. Diríjase a la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) e inicie sesión con las credenciales de administrador.
1. En el panel izquierdo, elija **Security Groups** en **Network & Security**.
1. En el panel principal, elija el grupo de AWS seguridad de su CA.
1. Elija la pestaña **Inbound (Entrada)** y, a continuación, elija **Edit (Editar)**.
1. En el cuadro de diálogo **Edit inbound rules**, haga lo siguiente:
+ Seleccione **Add Rule (Agregar regla)**.
+ Elija **All traffic** en **Type** y **Custom** en **Source**.
+ Introduzca el grupo de AWS seguridad (por ejemplo,`sg-123456789`) para su directorio en el cuadro situado junto a **Fuente**.
+ Seleccione **Save**.
1. Ahora elija el grupo de AWS seguridad de su directorio AWS administrado de Microsoft AD. Elija la pestaña **Outbound** y, a continuación, elija **Edit**.
1. En el cuadro de diálogo **Edit outbound rules**, haga lo siguiente:
+ Seleccione **Add Rule (Agregar regla)**.
+ Elija **All traffic** en **Type** y **Custom** en **Destination**.
+ Introduzca el grupo AWS de seguridad de su CA en el cuadro situado junto a **Destino**.
+ Seleccione **Save**.
Puede probar la conexión LDAPS al directorio AWS administrado de Microsoft AD mediante la LDP herramienta. La herramienta LDP viene con las Active Directory Administrative Tools. Para obtener más información, consulte [Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado](ms_ad_install_ad_tools.md).
**nota**
Antes de probar la conexión LDAPS, debe esperar hasta 30 minutos a que la entidad de certificación subordinada emita un certificado para los controladores de dominio.
Para obtener más información sobre el LDAPS del lado del servidor y ver un ejemplo de caso de uso sobre cómo configurarlo, consulte [Cómo habilitar el LDAPS del lado del servidor para su directorio AWS administrado de Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) en el blog de seguridad. AWS
# Habilitación de LDAPS del lado del cliente mediante Microsoft AD administrado AWS
La compatibilidad con el protocolo ligero de acceso a directorios Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) del lado del cliente en AWS Microsoft AD administrado cifra las comunicaciones entre Microsoft Active Directory (AD) autogestionado (local) y las aplicaciones. AWS Algunos ejemplos de estas aplicaciones son WorkSpaces Quick y Amazon Chime. AWS IAM Identity Center Este cifrado le ayuda a proteger mejor los datos de identidad de su organización y a cumplir sus requisitos de seguridad.
## Requisitos previos
Antes de habilitar LDAPS del lado del cliente, debe cumplir los siguientes requisitos.
**Topics**
+ [Cree una relación de confianza entre su Microsoft AD AWS administrado y su Microsoft Active Directory autoadministrado](#trust_relationship_MAD_and_self_managed)
+ [Implementar certificados de servidor en Active Directory](#ldap_client_side_deploy_server_certs)
+ [Requisitos del certificado de una Certificate Authority](#ldap_client_side_get_certs_ready)
+ [Requisitos de red](#ldap_client_side_considerations_enabling)
### Cree una relación de confianza entre su Microsoft AD AWS administrado y su Microsoft Active Directory autoadministrado
En primer lugar, debe establecer una relación de confianza entre su Microsoft AD AWS administrado y Microsoft Active Directory autoadministrado para habilitar el LDAPS del lado del cliente. Para obtener más información, consulte [Creación de una relación de confianza entre su Microsoft AD AWS administrado y su AD autogestionado](ms_ad_setup_trust.md).
### Implementar certificados de servidor en Active Directory
Para habilitar LDAPS en el lado del cliente, debe obtener e instalar certificados de servidor para cada controlador de dominio en Active Directory. Estos certificados los utilizará el servicio LDAP para escuchar y aceptar automáticamente conexiones SSL de clientes LDAP. Puede utilizar certificados SSL emitidos por una implementación interna de Active Directory Certificate Services (ADCS) o adquiridos a un emisor comercial. Para obtener más información acerca de los requisitos de certificados de servidor de Active Directory, consulte [Certificado LDAP a través de SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) en el sitio web de Microsoft.
### Requisitos del certificado de una Certificate Authority
Se requiere un certificado de CA (entidad de certificación) que represente al emisor de los certificados de servidor para la operación LDAPS del lado del cliente. Los certificados de entidad de certificación coinciden con los certificados de servidor que presentan los controladores de dominio de Active Directory para cifrar las comunicaciones LDAP. Tenga en cuenta los siguientes requisitos de los certificados de CA:
+ Se requiere una Certification Authority (CA) para habilitar el LDAPS del lado del cliente. Puede utilizar el servicio de certificados de Active Directory, una autoridad de certificación comercial externa o un [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Para obtener más información sobre Microsoft Enterprise Certificate Authority, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Para registrar un certificado, deben quedar más de 90 días para que caduque.
+ Los certificados deben estar en formato PEM (Privacy-Enhanced Mail). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.
+ Se puede almacenar un máximo de cinco (5) certificados de CA por directorio AWS administrado de Microsoft AD.
+ No se admiten los certificados que utilizan el algoritmo de firma RSASSA-PSS.
+ Los certificados de CA que se encadenan a cada certificado de servidor de cada dominio de confianza deben estar registrados.
### Requisitos de red
AWS el tráfico LDAP de la aplicación se ejecutará exclusivamente en el puerto TCP 636, sin recurrir al puerto LDAP 389. Sin embargo, las comunicaciones LDAP de Windows que admiten la replicación, relaciones de confianza y otras características seguirán utilizando el puerto LDAP 389 con la seguridad nativa de Windows. Configure grupos de AWS seguridad y firewalls de red para permitir las comunicaciones TCP en el puerto 636 en AWS Microsoft AD administrado (saliente) y Active Directory autoadministrado (entrante). Deje abierto el puerto LDAP 389 entre AWS Managed Microsoft AD y la instancia de Active Directory autoadministrada.
## Habilitación de LDAPS del cliente
Para habilitar LDAPS del cliente, importe el certificado de la entidad de certificación (CA) en AWS Managed Microsoft AD y, a continuación, habilite LDAPS en el directorio. Tras la habilitación, todo el tráfico LDAP entre las aplicaciones de AWS y su instancia de Active Directory autoadministrada se realizará con el cifrado de canal SSL (Capa de conexión segura).
Puede utilizar dos métodos diferentes para habilitar LDAPS en el lado del cliente para su directorio. Puede usar el método o el Consola de administración de AWS método. AWS CLI
**nota**
El LDAPS del lado del cliente es una función regional de Managed AWS Microsoft AD. Si utiliza [Replicación multirregional](ms_ad_configure_multi_region_replication.md), los siguientes procedimientos deben aplicarse por separado en cada región. Para obtener más información, consulte [Características globales frente a las regionales](multi-region-global-region-features.md).
**Topics**
+ [Paso 1: Registrar un certificado en Directory Service](#ms_ad_registercert)
+ [Paso 2: comprobación del estado del registro](#ms_ad_check-registration-status)
+ [Paso 3: habilitación de LDAPS del cliente](#ms_ad_enableclientsideldapssteps)
+ [Paso 4: comprobación del estado de LDAPS](#ms_ad_check-ldaps-status)
### Paso 1: Registrar un certificado en Directory Service
Utilice uno de los siguientes métodos para registrar un certificado Directory Service.
**Método 1: para registrar el certificado en Directory Service (Consola de administración de AWS)**
1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.
1. Elija el enlace del ID de directorio correspondiente a su directorio.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región en la que quiere habilitar el certificado y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, seleccione el menú **Actions (Acciones)** y, a continuación, seleccione **Register certificate (Registrar certificado)**.
1. En el cuadro de diálogo **Register a CA certificate (Registrar un certificado de entidad de certificación)**, seleccione **Browse (Examinar)** y, a continuación, seleccione el certificado y elija **Open (Abrir)**.
1. Elija **Register certificate (Registrar certificado)**.
**Método 2: Para registrar su certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para los datos del certificado, elija la ubicación del archivo de certificado de CA. Se proporcionará un ID de certificado en la respuesta.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Paso 2: comprobación del estado del registro
Para ver el estado del registro de un certificado o una lista de certificados registrados, utilice uno de los métodos siguientes.
**Método 1: comprobar el estado de registro del certificado en Directory Service (Consola de administración de AWS)**
1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.
1. Revise el estado actual del registro de certificado que se muestra en la columna **Registration status (Estado del registro)**. Cuando el valor de estado de registro cambia a **Registered (Registrado)**, el certificado se ha registrado correctamente.
**Método 2: comprobar el estado de registro del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Registered`, el certificado se ha registrado correctamente.
```
aws ds list-certificates --directory-id your_directory_id
```
### Paso 3: habilitación de LDAPS del cliente
Utilice uno de los siguientes métodos para habilitar la entrada del LDAPS del lado del cliente. Directory Service
**nota**
Debe haber registrado correctamente al menos un certificado para poder habilitar LDAPS en el lado del cliente.
**Método 1: Para habilitar el LDAPS del lado del cliente en () Directory Service Consola de administración de AWS**
1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.
1. Seleccione **Habilitar**. Si esta opción no está disponible, compruebe que se ha registrado correctamente un certificado válido y vuelva a intentarlo.
1. En el cuadro de diálogo **Enable client-side LDAPS (Habilitar LDAPS del lado del cliente)**, elija **Enable (Habilitar)**.
**Método 2: Para habilitar el LDAPS del lado del cliente en () Directory Service AWS CLI**
+ Ejecute el comando siguiente.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Paso 4: comprobación del estado de LDAPS
Utilice uno de los siguientes métodos para comprobar el estado del LDAPS. Directory Service
**Método 1: Para comprobar el estado del LDAPS en Directory Service ()Consola de administración de AWS**
1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.
1. Si el valor de estado se muestra como **Enabled (Habilitado)**, LDAPS se ha configurado correctamente.
**Método 2: Para comprobar el estado del LDAPS en Directory Service ()AWS CLI**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Enabled`, LDAPS se ha configurado correctamente.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Administración de LDAPS del cliente
Utilice estos comandos para administrar la configuración de LDAPS.
Puede utilizar dos métodos distintos para administrar la configuración de LDAPS del lado del cliente. Puede utilizar el Consola de administración de AWS método o el AWS CLI método.
### Ver detalles del certificado
Utilice cualquiera de los métodos siguientes para ver cuándo está establecida la caducidad de un certificado.
**Método 1: para ver los detalles del certificado en Directory Service (Consola de administración de AWS)**
1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.
1. Elija el enlace del ID de directorio correspondiente a su directorio.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región en la que quiera ver el certificado y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, en **CA certificates (Certificados de entidad de certificación)**, se mostrará la información del certificado.
**Método 2: ver los detalles del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Anular el registro de un certificado
Utilice cualquiera de los métodos siguientes para anular el registro de un certificado.
**nota**
Si sólo se registra un certificado, primero debe deshabilitar LDAPS antes de anular el registro del certificado.
**Método 1: anular el registro de un certificado en Directory Service ()Consola de administración de AWS**
1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.
1. Elija el enlace del ID de directorio correspondiente a su directorio.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región en la que quiere anular el registro del certificado y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, elija **Actions (Acciones)** y, a continuación, elija **Deregister certificate (Anular registro del certificado)**.
1. En el cuadro de diálogo **Deregister a CA certificate (Anular el registro del certificado de entidad de certificación)**, elija **Deregister (Anular registro)**.
**Método 2: anular el registro de un certificado en () Directory Service AWS CLI**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Deshabilitación de LDAPS del cliente
Utilice cualquiera de los métodos siguientes para deshabilitar LDAPS del lado del cliente.
**Método 1: deshabilitar el LDAPS del lado del cliente en () Directory Service Consola de administración de AWS**
1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.
1. Elija el enlace del ID de directorio correspondiente a su directorio.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región en la que quiera deshabilitar LDAPS del cliente y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, elija **Disable (Deshabilitar)**.
1. En el cuadro de diálogo **Disable client-side LDAPS (Deshabilitar LDAPS del lado del cliente)**, elija **Disable (Deshabilitar)**.
**Método 2: Para deshabilitar el LDAPS del lado del cliente en () Directory Service AWS CLI**
+ Ejecute el comando siguiente.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Problemas de inscripción de certificados
El proceso de inscripción de los controladores de dominio AWS gestionados de Microsoft AD con los certificados de CA puede tardar hasta 30 minutos. Si tiene problemas con la inscripción del certificado y desea reiniciar sus controladores de dominio AWS gestionados de Microsoft AD, puede ponerse en contacto con Soporte. Para crear un caso de soporte, consulte [Creación de casos de soporte y administración de casos](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Gestione el cumplimiento de AWS Managed Microsoft AD
Puede usar Microsoft AD AWS administrado para respaldar sus aplicaciones compatibles con Active Directory, en la AWS nube, que están sujetas a los siguientes requisitos de conformidad. Sin embargo, sus aplicaciones no se atendrán a los requisitos de conformidad si utiliza Simple AD o Conector de AD.
## Estándares de conformidad admitidos
AWS Managed Microsoft AD se ha sometido a una auditoría para cumplir con los siguientes estándares y es apto para su uso como parte de soluciones para las que necesita obtener una certificación de conformidad.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD cumple con los requisitos de seguridad del Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) y ha recibido una Autoridad Provisional para Operar (P-ATO) de la Junta de Autorización Conjunta (JAB) de FedRAMP en los niveles de referencia Moderado y Alto. Para obtener más información acerca de FedRAMP, consulte [Conformidad con FedRAMP](https://aws.amazon.com/compliance/fedramp/). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD cuenta con un certificado de conformidad con la versión 3.2 del Estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI) en el nivel 1 de proveedor de servicios. Los clientes que utilizan AWS productos y servicios para almacenar, procesar o transmitir datos de titulares de tarjetas pueden utilizar AWS Managed Microsoft AD para gestionar su propia certificación de conformidad con PCI DSS. Para obtener más información sobre PCI DSS, incluida la forma de solicitar una copia del PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS nivel 1. Lo que es más importante, debe configurar políticas de contraseñas detalladas en Managed AWS Microsoft AD para que sean coherentes con los estándares PCI DSS versión 3.2. Para obtener más información sobre las políticas que se deben aplicar, consulte la sección siguiente titulada Habilitar la conformidad con PCI para su directorio AWS administrado de Microsoft AD. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS ha ampliado su programa de cumplimiento de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) para incluir Managed AWS Microsoft AD como un servicio que cumple con los requisitos de la [HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/). Si ha firmado un acuerdo de asociación comercial (BAA) con usted AWS, puede usar AWS Managed Microsoft AD para ayudarlo a crear sus aplicaciones compatibles con la HIPAA. AWS ofrece un [documento técnico centrado en la HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) para los clientes que estén interesados en obtener más información sobre cómo pueden aprovechar AWS el procesamiento y el almacenamiento de la información de salud. Para obtener más información, consulte [Conformidad con HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/). |
## Responsabilidad compartida
La seguridad, incluida la conformidad con FedRAMP, HIPAA y PCI, es una [responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). Es importante entender que el estado de conformidad con Microsoft AD AWS administrado no se aplica automáticamente a las aplicaciones que se ejecutan en la AWS nube. Debe asegurarse de que el uso de los AWS servicios cumpla con los estándares.
Para obtener una lista completa de los distintos programas de AWS conformidad compatibles con AWS Managed Microsoft AD, consulta [AWS los servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
## Habilite el cumplimiento de PCI para su directorio AWS administrado de Microsoft AD
Para habilitar la conformidad con PCI en su directorio AWS administrado de Microsoft AD, debe configurar políticas de contraseñas detalladas tal como se especifica en el documento de certificación de conformidad (AOC) y resumen de responsabilidad de PCI DSS proporcionado por. AWS Artifact
Para obtener más información acerca del uso de políticas de contraseñas detalladas, consulte [Descripción de las políticas de contraseñas AWS administradas de Microsoft AD](ms_ad_password_policies.md).
# Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD
El grupo de AWS seguridad que se aprovisiona para el directorio de Microsoft AD AWS administrado está configurado con los puertos de red de entrada mínimos necesarios para admitir todos los casos de uso conocidos del directorio de AWS Microsoft AD administrado. Para obtener más información sobre el grupo de AWS seguridad aprovisionado, consulte. [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md)
Para mejorar aún más la seguridad de la red del directorio AWS administrado de Microsoft AD, puede modificar el grupo de AWS seguridad en función de los siguientes escenarios comunes.
**CIDR de controladores de dominio del cliente**: este bloque de CIDR es donde residen los controladores de dominio en las instalaciones de su dominio.
**CIDR del cliente**: este bloque de CIDR es el lugar donde sus clientes, como ordenadores o usuarios, se autentican en su AWS Microsoft AD administrado. Los controladores de dominio AWS gestionados de Microsoft AD también residen en este bloque CIDR.
**Topics**
+ [AWS las aplicaciones solo son compatibles](#aws_apps_support)
+ [AWS aplicaciones solo con soporte de confianza](#aws_apps_trust_support)
+ [AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory](#aws_apps_native_ad_support)
+ [AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory con soporte de confianza](#aws_apps_native_ad_trust_support)
## AWS las aplicaciones solo son compatibles
Todas las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ Consola de administración de AWS
Puede usar la siguiente configuración de grupo AWS de seguridad para bloquear todo el tráfico no esencial a sus controladores de dominio AWS gestionados de Microsoft AD.
**nota**
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
Instancias de Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Relaciones de confianza de Active Directory
Clientes o servidores unidos al dominio
**Reglas entrantes**
Ninguna.
**Reglas salientes**
Ninguna.
## AWS aplicaciones solo con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
**nota**
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
Instancias de Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Relaciones de confianza de Active Directory
Clientes o servidores unidos al dominio
Esta configuración requiere que se asegure de que la red “CIDR de controladores de dominio de cliente” sea segura.
TCP 445 se utiliza solo para la creación de relaciones de confianza y se puede eliminar una vez establecida la relación de confianza.
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
**Reglas entrantes**
****
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
| --- | --- | --- | --- | --- |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
**Reglas salientes**
****
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
| --- | --- | --- | --- | --- |
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico | |
## AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory
Las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
+ Amazon Chime
+ Amazon Connect
+ Instancias de Amazon EC2
+ Amazon FSx
+ Quick
+ Amazon RDS para MySQL
+ Amazon RDS para Oracle
+ Amazon RDS para PostgreSQL
+ Amazon RDS para SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
**nota**
No se pueden crear ni mantener confianzas de Active Directory entre el directorio AWS administrado de Microsoft AD y los controladores de dominio del cliente CIDR.
Requiere asegurarse de que la red “CIDR del cliente” es segura.
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
**Reglas entrantes**
****
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
| --- | --- | --- | --- | --- |
| TCP y UDP | 53 | CIDR de cliente | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | CIDR de cliente | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | CIDR de cliente | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | CIDR de cliente | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | CIDR de cliente | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | CIDR de cliente | Replicación | RPC, EPM |
| TCP | 636 | CIDR de cliente | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | CIDR de cliente | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | CIDR de cliente | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | CIDR de cliente | SOAP | Servicios web de AD DS |
| UDP | 123 | CIDR de cliente | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | CIDR de cliente | DFSN & NetLogon | DFS, política de grupo |
**Reglas salientes**
Ninguna.
## AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
+ Amazon Chime
+ Amazon Connect
+ Instancias de Amazon EC2
+ Amazon FSx
+ Quick
+ Amazon RDS para MySQL
+ Amazon RDS para Oracle
+ Amazon RDS para PostgreSQL
+ Amazon RDS para SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
**nota**
Requiere que se asegure de que las redes “CIDR de controladores de dominio de cliente” y “CIDR de cliente” sean seguras.
TCP 445 con “CIDR de controladores de dominio de cliente” se utiliza solo para la creación de relaciones de confianza y se puede eliminar después de que se haya establecido la relación de confianza.
TCP 445 con “CIDR cliente” debe dejarse abierto ya que es necesario para el procesamiento de la política de grupo.
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
**Reglas entrantes**
****
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
| --- | --- | --- | --- | --- |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Controladores de dominio del cliente (CIDR) | SOAP | Servicios web de AD DS |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Controladores de dominio del cliente (CIDR) | DFSN y NetLogon | DFS, política de grupo |
**Reglas salientes**
****
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
| --- | --- | --- | --- | --- |
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico | |
# Edición de la configuración de seguridad del directorio AWS administrado de Microsoft AD
Puede configurar ajustes de directorio detallados para su AWS Microsoft AD administrado a fin de cumplir con sus requisitos de conformidad y seguridad sin aumentar la carga de trabajo operativa. En la configuración del directorio, puede actualizar la configuración del canal seguro para los protocolos y cifrados utilizados en él. Por ejemplo, tiene la flexibilidad de deshabilitar los cifrados heredados individuales, como el DES, y los protocolos, como RC4 SSL 2.0/3.0 y TLS 1.0/1.1. AWS Luego, Microsoft AD administrado implementa la configuración en todos los controladores de dominio del directorio, administra los reinicios de los controladores de dominio y mantiene esta configuración a medida que se amplía o se implementan más. Regiones de AWS Para más información sobre la configuración disponible, consulte [Lista de la configuración de seguridad del directorio](#list-ds-settings).
## Editar la configuración de seguridad del directorio
Puede configurar y editar los ajustes de cualquiera de los directorios.
**Edición de la configuración del directorio**
1. Inicie sesión en la consola AWS de administración y abra la Directory Service consola en. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)
1. En la página **Directorios**, elija el ID del directorio.
1. En **Redes y seguridad**, busque **Configuración del directorio** y, a continuación, seleccione **Editar configuración**.
1. En **Editar configuración**, cambie el **valor** de la configuración que quiera editar. Al editar una configuración, su estado cambia de **Predeterminado** a **Listo para actualizarse**. Si ha editado la configuración anteriormente, su estado cambia de **Actualizado** a **Preparado para actualizarse**. A continuación, seleccione **Revisar**.
1. En **Revisar y actualizar la configuración**, consulte **Configuración del directorio** y asegúrese de que todos los nuevos valores sean correctos. Si quiere hacer cualquier otro cambio en la configuración, seleccione **Editar configuración**. Cuando esté satisfecho con los cambios y esté listo para implementar los nuevos valores, seleccione **Actualizar configuración**. A continuación, volverá a la página del ID del directorio.
**nota**
En **Configuración del directorio**, puede ver el **estado** de la configuración actualizada. Mientras se implementa la configuración, el **estado** muestra **Actualización**. No puede editar otros ajustes mientras uno muestre **Actualización** en **Estado**. El **estado** muestra **Actualizado** si la configuración se actualiza correctamente con su edición. El **estado** muestra **Error** si la configuración no se actualiza con la edición.
## Configuración de seguridad del directorio con errores
Si se produce un error durante una actualización de la configuración, el **estado** se muestra como **Con errores**. En caso de error, la configuración no se actualiza a los nuevos valores y los valores originales permanecen implementados. Puede volver a intentar actualizar esta configuración o revertirla a sus valores anteriores.
**Resolución de un error en la configuración actualizada**
+ En **Configuración del directorio**, seleccione **Resolver la configuración con errores**. A continuación, lleve a cabo alguna de las operaciones siguientes:
+ Para restablecer la configuración a su valor original antes del estado de error, seleccione **Revertir la configuración con errores.** A continuación, selecciona **Revertir** en el modal emergente.
+ Para volver a intentar actualizar la configuración del directorio, seleccione **Reintentar** la configuración con errores. Si quiere hacer cambios adicionales en la configuración del directorio antes de volver a intentar las actualizaciones con errores, seleccione **Continuar editando**. En **Revisar y volver a intentar las actualizaciones con errores**, seleccione **Actualizar configuración**.
## Lista de la configuración de seguridad del directorio
La siguiente lista muestra el tipo, el nombre de la configuración, el nombre de la API, los valores potenciales y la descripción de todas las configuraciones de seguridad del directorio disponibles.
TLS 1.2 y AES 256/256 son las configuraciones de seguridad del directorio predeterminadas si todas las demás configuraciones de seguridad están deshabilitadas. No es posible deshabilitarlas.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Habilite la criptografía de clave pública para la autenticación inicial (PKINIT) para sus usuarios gestionados de AWS Microsoft AD
AWS Los directorios administrados de Microsoft AD utilizan un enlace de certificado seguro de forma predeterminada, que requiere una asignación explícita entre los certificados y los objetos de AD. Las siguientes asignaciones se consideran sólidas para Managed AWS Microsoft AD:
+ Emisor y número de serie de `altSecurityIdentities`
+ Identificador de clave de asunto de `altSecurityIdentities`
+ `altSecurityIdentities` SHA1 Hash de la clave pública
Estos atributos permiten una asignación sólida de certificados, lo que proporciona una mayor seguridad para la autenticación basada en certificados al requerir certificate-to-user relaciones explícitas definidas en Active Directory. Esto ayuda a prevenir los ataques de escalada de privilegios basados en certificados
Se puede usar este procedimiento para configurar enlaces de certificados seguros que le ayuden a prevenir los ataques de escalada de privilegios y, al mismo tiempo, mantener la funcionalidad de autenticación de certificados.
Para obtener más información, consulte [Microsoft KB5014754: cambios en la autenticación basada en certificados en controladores de dominio de Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)
## Requisitos previos
+ Un directorio AWS administrado de Microsoft AD con una autoridad de certificación configurada
+ Acceso administrativo a su entorno de Active Directory
+ PowerShell con el módulo Active Directory instalado
+ El certificado que desea asignar al objeto de AD
## AltSecurityIdentity Atributo de mapa
1. Elija uno de los siguientes métodos de asignación `AltSecurityIdentity` según la información de su certificado:
+ **SHA1 hash**: utiliza el SHA1 hash de la clave pública del certificado
Para el mapeo de SHA1 hash, extraiga el hash del certificado y aplíquelo al objeto de usuario:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Emisor y número de serie**: utiliza el nombre y el número de serie del emisor del certificado
En el caso de asignación de emisor y número de serie, se utiliza el nombre y el número de serie del emisor del certificado:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Identificador de clave de asunto**: utiliza la extensión del identificador de clave de asunto del certificado
Para asignar el identificador de clave de asunto, utilice el identificador de clave de asunto del certificado:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Verifique que la asignación se haya aplicado correctamente:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Espere a que se complete la replicación de Active Directory (normalmente de 15 a 30 segundos) antes de probar la autenticación del certificado.
## Ejemplo: un certificado masivo que mapea el AltSecurityIdentity atributo
En el siguiente ejemplo, se muestra cómo asignar el atributo `AltSecurityIdentity` de varios certificados de usuario de una entidad emisora de certificados:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Siguientes pasos
+ Pruebe la autenticación basada en certificados con sus certificados asignados
+ Configure las aplicaciones para que usen los certificados asignados de autenticación
+ [Supervise su Microsoft AD AWS gestionado](ms_ad_monitor.md) para eventos de autenticación
# Configurar el AWS Private CA conector para AD para Microsoft AD AWS administrado
Puede integrar su Microsoft AD AWS administrado con [AWS Private Certificate Authority (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) para emitir y administrar certificados para sus controladores de dominio de Active Directory, usuarios unidos a dominios, grupos y máquinas. AWS Private CA Connector for Active Directory le permite utilizar un sustituto AWS Private CA directo y totalmente gestionado para su empresa autogestionada CAs sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy.
Puede configurar la AWS Private CA integración con su directorio a través de la Directory Service consola, la consola de AWS Private CA Connector for Active Directory o llamando a la [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API. Para configurar la integración de una CA privada a través de la consola de AWS Private CA Connector for Active Directory, consulte [Creación de una plantilla de conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Consulte los siguientes pasos para configurar esta integración desde la Directory Service consola.
## Configuración de AWS Private CA Connector para AD
**Creación de Conector de Private CA para Active Directory**
1. Inicie sesión en Consola de administración de AWS y abra la Directory Service consola en[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. En la página **Directorios**, elija el ID del directorio.
1. En la pestaña **Administración de aplicaciones** y en la sección de **aplicaciones y servicios de AWS **, seleccione **Conector para AD de AWS Private CA **.
1. En la página **Create Private CA certificate for Active Directory**, complete los pasos para crear su autorización de certificación (CA) privada para el Conector Active Directory.
Para obtener más información, consulte [Creación de un conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## AWS Private CA Conector de visualización para AD
**Cómo ver los detalles del conector de Private CA**
1. Inicie sesión en Consola de administración de AWS y abra la Directory Service consola en[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. En la página **Directorios**, elija el ID del directorio.
1. En la pestaña **Administración de aplicaciones** y en la sección de **aplicaciones y servicios de AWS **, consulte sus conectores de Private CA como las Private CA asociadas. Los siguientes campos muestran:
1. **AWS Private CA ID de conector**: el identificador único de un AWS Private CA conector. Elíjalo para ver la página de detalles.
1. **AWS Private CA asunto**: información relativa al nombre distintivo de la CA. Elíjalo para ver la página de detalles.
1. **Estado**: resultados de la comprobación de estado del AWS Private CA conector y AWS Private CA:
+ **Activo**: ambas comprobaciones se aprueban
+ **Fallo de 1/2 comprobación**: una comprobación falla
+ **Fallo**: ambas comprobaciones fallan
Para ver detalles del estado de fallo, coloque el cursor sobre el hipervínculo para ver qué comprobación tuvo errores.
1. **Estado de inscripción de los certificados DC**: compruebe el estado del certificado del controlador de dominio:
+ **Habilitado**: la inscripción de certificados está habilitada
+ **Deshabilitada**: la inscripción de certificados está deshabilitada
1. **Fecha de creación**: cuando se creó el AWS Private CA conector.
Para obtener más información, consulte [Ver detalles del conector](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
En la siguiente tabla se muestran los diferentes estados de la inscripción de certificados de controlador de dominio para Microsoft AD AWS administrado con AWS Private CA.
| Estado de inscripción de DC | Description (Descripción) | Acción requerida |
| --- | --- | --- |
| Habilitado | Los certificados de controlador de dominio se han inscrito correctamente en su directorio. | No hay que hacer nada. |
| Con error | No se pudo habilitar o deshabilitar la inscripción del certificado de controlador de dominio en su directorio. | Si se produce un error en la acción de habilitación, vuelva a intentarlo desactivando los certificados de controlador de dominio y, a continuación, volviéndolos a activar. Si la acción de inhabilitación no funciona, vuelva a intentarlo activando los certificados de controlador de dominio y, a continuación, vuelva a apagarlos. Si se produce un error al volver a intentarlo, póngase en contacto con AWS Support. |
| Deteriorado | Los controladores de dominio tienen problemas de conectividad de red para comunicarse con los puntos AWS Private CA finales. | Compruebe las políticas de punto final de AWS Private CA VPC y bucket de S3 para permitir la conectividad de red con su directorio. Para obtener más información, consulte [Solucionar problemas de mensajes de excepción de una autoridad de certificación AWS privada](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) y [Solucionar problemas de revocación de AWS Private CA certificados](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html). |
| Deshabilitado | La inscripción de certificados de controlador de dominio se ha desactivado correctamente en su directorio. | No hay que hacer nada. |
| Deshabilitación | La inhabilitación de la inscripción del certificado de controlador de dominio está en curso. | No hay que hacer nada. |
| Habilitación | La activación de la inscripción del certificado de controlador de dominio está en curso. | No hay que hacer nada. |
## Configuración de políticas del AD
AWS Private CA El conector para AD debe configurarse de modo que los objetos y controladores de dominio AWS gestionados de Microsoft AD puedan solicitar y recibir certificados. Configure su objeto de política de grupo ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) para que AWS Private CA pueda emitir certificados para los objetos AWS gestionados de Microsoft AD.
### Configuración de las políticas de Active Directory para los controladores de dominio
**Active las políticas de Active Directory para los controladores de dominio**
1. Abra la pestaña **Redes y seguridad**.
1. Elegir **Conectores de AWS Private CA **.
1. Elija un conector vinculado al AWS Private CA asunto que emite los certificados de controlador de dominio para su directorio.
1. Elija **Acciones** y **Habilitación de los certificados de controlador de dominio**.
**importante**
Configure una plantilla de controlador de dominio válida antes de activar los certificados de controlador de dominio para evitar demoras en las actualizaciones.
Tras activar la inscripción de certificados de controlador de dominio, los controladores de dominio de su directorio solicitan y reciben certificados de Conector AWS Private CA para AD.
Para cambiar la emisión AWS Private CA de los certificados de controlador de dominio, primero conecte el nuevo AWS Private CA al directorio mediante un nuevo AWS Private CA conector para AD. Antes de activar la inscripción de certificados en el nuevo AWS Private CA, desactive la inscripción de certificados en el existente:
**Desactive los certificados de controlador de dominio**
1. Abra la pestaña **Redes y seguridad**.
1. Elegir **Conectores de AWS Private CA **.
1. Elija un conector vinculado al AWS Private CA asunto que emita los certificados de controlador de dominio a su directorio.
1. Seleccione **Acciones** e **inhabilite los certificados de controlador de dominio**.
### Configuración de las políticas de Active Directory para los usuarios, equipos y máquinas unidos a un dominio
**Configurar objetos de política de grupo**
1. Conéctese a la instancia de administración de Microsoft AD AWS administrada y abra el [Administrador del servidor](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) desde el menú **Inicio**.
1. En **Herramientas**, seleccione **Administración de políticas de grupo**.
1. En **Bosques y dominios**, busque su unidad organizativa (UO) de subdominio (por ejemplo, `corp` es su unidad organizativa de subdominio si siguió los procedimientos descritos en [Creación de su Microsoft AD AWS administrado](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) y haga clic derecho sobre la OU de subdominio. Seleccione **Crear un GPO en este dominio y vincúlelo aquí** e ingrese PCA GPO como nombre. Seleccione **Aceptar**.
1. El GPO recién creado aparece debajo del nombre de su subdominio. Haga clic con el botón derecho en `PCA GPO` y seleccione **Editar**. Si se abre un cuadro de diálogo con el mensaje de alerta Este es un enlace y los cambios se propagarán globalmente, confirme el mensaje al seleccionar **Aceptar** para continuar. Se abre la ventana del **Editor de administración de políticas de grupo**.
1. En la ventana del **Editor de administración de políticas de grupo**, vaya a **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública (seleccione la carpeta)**.
1. En **Tipo de objeto**, elija **Cliente de servicios de certificación: política de inscripción de certificados**.
1. En la ventana **Cliente de servicios de certificación: política de inscripción de certificados**, cambie el **modelo de configuración** a **Habilitado**.
1. Confirme que la **Política de inscripción de Active Directory** esté seleccionada y **habilitada**. Elija **Añadir**.
1. Se abre el cuadro de diálogo **Servidor de políticas de inscripción de certificados**. Introduzca el punto de conexión del servidor de políticas de inscripción de certificados que se generó al crear el conector en el campo **Introduzca el URI de la política del servidor de inscripciones**. Deje el **tipo de autenticación** como **Windows integrado**.
1. Elija **Validar**. Una vez que la validación se haya realizado correctamente, seleccione **Agregar**.
1. Regrese al cuadro de diálogo **Cliente de servicios de certificación: política de inscripción de certificados** y seleccione la casilla junto al conector recién creado para asegurarse de que tenga la política de inscripción predeterminada.
1. Elija la **Política de inscripción de Active Directory** y seleccione **Eliminar**.
1. En el cuadro de diálogo de confirmación, elija **Sí** para eliminar la autenticación basada en el LDAP.
1. Seleccione **Aplicar** y **Aceptar** en la ventana **Cliente de servicios de certificación: política de inscripción de certificados**. Luego cierre la ventana.
1. En **Tipo de objeto** para la **carpeta Políticas de clave pública, seleccione Cliente de servicios de certificación: política de inscripción de certificados.**
1. Cambie el **Modelo de configuración** a **Habilitado**.
1. Confirme que las opciones **Renovar certificados expirados** y **Actualizar certificados** estén ambas seleccionadas. Deje las otras opciones como están.
1. Seleccione **Aplicar**, luego **Aceptar** y cierre el cuadro de diálogo.
A continuación, configure las políticas de claves públicas para la configuración de usuario repitiendo los pasos 6 a 17 de la sección **Configuración de Windows > Configuración de seguridad > Políticas de claves públicas**.
Cuando termine de configurar GPOs las políticas de clave pública, los objetos del dominio solicitan certificados a AWS Private CA Connector for AD y reciben los certificados emitidos por AWS Private CA.
## Confirmando la AWS Private CA emisión de un certificado
El proceso de actualización AWS Private CA para emitir certificados para su Microsoft AD AWS administrado puede tardar hasta 8 horas.
Puede elegir una de las opciones siguientes:
+ Puede esperar este período de tiempo.
+ Puede reiniciar las máquinas unidas al dominio AWS administrado de Microsoft AD que se configuraron para recibir certificados del AWS Private CA. A continuación, puede confirmar que AWS Private CA ha emitido certificados a los miembros de su dominio de Microsoft AD AWS administrado siguiendo el procedimiento de la [Microsoftdocumentación](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ Puede usar el siguiente PowerShell comando para actualizar los certificados de su Microsoft AD AWS administrado:
```
certutil -pulse
```