Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré
<a name="ms_ad_directory_settings"></a>

Vous pouvez configurer des paramètres d'annuaire précis pour votre AWS Microsoft AD géré afin de répondre à vos exigences de conformité et de sécurité sans augmenter la charge de travail opérationnelle. Dans les paramètres de l'annuaire, vous pouvez mettre à jour la configuration des canaux sécurisés pour les protocoles et les chiffrements utilisés dans votre annuaire. Par exemple, vous avez la possibilité de désactiver les anciens chiffrements individuels, tels que RC4 le DES, et les protocoles, tels que SSL 2.0/3.0 et TLS 1.0/1.1. AWS Managed Microsoft AD déploie ensuite la configuration sur tous les contrôleurs de domaine de votre annuaire, gère les redémarrages des contrôleurs de domaine et maintient cette configuration à mesure que vous augmentez ou que vous en déployez d'autres. Régions AWS Pour plus d'informations sur tous les paramètres disponibles, veuillez consulter [Liste des paramètres de sécurité de l'annuaire](#list-ds-settings).

## Modifier les paramètres de sécurité de l'annuaire
<a name="edit-ds-settings"></a>

Vous pouvez configurer et modifier les paramètres de n'importe lequel de vos annuaires.

**Pour modifier les paramètres de l'annuaire**

1. Connectez-vous à la console AWS de gestion et ouvrez-la à l' Directory Service adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sous **Networking & security** (Réseau et sécurité), recherchez **Directory settings** (Paramètres de l'annuaire), puis choisissez **Edit settings** (Modifier les paramètres).

1. Dans **Edit settings** (Modifier les paramètres), modifiez la **valeur** des paramètres que vous souhaitez modifier. Lorsque vous modifiez un paramètre, son statut passe de **Default** (Par défaut) à **Ready to Update** (Prêt pour la mise à jour). Si vous avez déjà modifié le paramètre, son statut passe de **Updated** (Mis à jour) à **Ready to Update** (Prêt pour la mise à jour). Choisissez ensuite **Review** (Examiner).

1. Dans **Review and update setting** (Examen et mise à jour des paramètres), veuillez consulter **Directory settings** (Paramètres de l'annuaire) et assurez-vous que les nouvelles valeurs sont toutes correctes. Si vous souhaitez apporter d'autres modifications à vos paramètres, choisissez **Edit settings** (Modifier les paramètres). Lorsque vous êtes satisfait de vos modifications et que vous êtes prêt à implémenter les nouvelles valeurs, choisissez **Mettre à jour les paramètres**. Ensuite, vous êtes redirigé vers la page d'identification du répertoire.
**Note**  
Sous **Directory settings** (Paramètres de l'annuaire), vous pouvez consulter le **statut** de vos paramètres mis à jour. Lorsque les paramètres sont implémentés, le **statut** affiche **Updating**(Mise à jour). Vous ne pouvez pas modifier d'autres paramètres lorsqu'un paramètre affiche la mention **Updating** (Mise à jour) sous **Status** (Statut). Le **statut** affiche la mention **Updated** (Mis à jour) si le paramètre est correctement mis à jour avec votre modification. Le **statut** affiche la mention **Failed** (Échec) si le paramètre ne se met pas à jour avec votre modification. 

## Échec des paramètres de sécurité de l'annuaire
<a name="failed-ds-settings"></a>

Si une erreur se produit lors d'une mise à jour des paramètres, le **statut** affiche la mention **Failed** (Échec). En cas d'échec, les paramètres ne sont pas mis à jour avec les nouvelles valeurs et les valeurs d'origine restent implémentées. Vous pouvez réessayer de mettre à jour ces paramètres ou rétablir leurs valeurs précédentes. 

**Pour résoudre l'échec de la mise à jour des paramètres**
+ Sous **Directory settings** (Paramètres de l'annuaire), choisissez **Resolve failed settings** (Résoudre l'échec de mise à jour des paramètres). Ensuite, effectuez l'une des actions suivantes :
  + Pour rétablir vos paramètres à leur valeur d'origine avant l'échec de mise à jour, choisissez **Revert failed settings** (Rétablir les paramètres qui n'ont pas pu être mis à jour). Choisissez ensuite **Revert** (Rétablir) dans la fenêtre contextuelle.
  + Pour réessayer de mettre à jour les paramètres de votre annuaire, choisissez **Retry failed settings** (Réessayer les paramètres qui n'ont pas pu être mis à jour). Si vous souhaitez apporter des modifications supplémentaires aux paramètres de votre annuaire avant de réessayer les mises à jour qui ont échoué, choisissez **Continue editing** (Continuer les modifications). Sous **Review and retry failed updates** (Examiner et réessayer les mises à jour qui ont échoué), choisissez **Update settings** (Mettre à jour les paramètres).

## Liste des paramètres de sécurité de l'annuaire
<a name="list-ds-settings"></a>

La liste suivante indique le type, le nom du paramètre, le nom de l'API, les valeurs potentielles et la description du paramètre pour tous les paramètres de sécurité d'annuaire disponibles.

TLS 1.2 et AES 256/256 sont les paramètres de sécurité d'annuaire par défaut si tous les autres paramètres de sécurité sont désactivés. Ils ne peuvent pas être désactivés.


****  


- **Protocole d'authentification**
  - **Nom du paramètre:** NTLM V1 / **Nom de l’API:** NTLM\_V1 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez l'authentification NTLM V1 pour les clients de vos contrôleurs de domaine Active Directory.
  - **Nom du paramètre:** Sécurité des sessions du fournisseur de support à la sécurité (SSP) NTLM / **Nom de l’API:** NTLM\_SSP\_SESSION\_SECURITY / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez la sécurité des sessions NTLM SSP pour appliquer le chiffrement et la signature aux sessions d'authentification NTLM dans vos contrôleurs de domaine Active Directory.

- **Chiffrement**
  - **Nom du paramètre:** Politique d'algorithme FIPS
  - **Nom de l’API:** POLITIQUE\_ALGORITHMIQUE FIPS\_
  - **Valeurs potentielles:** Activer, Désactiver
  - **Description du paramètre:** Activez ou désactivez la politique d'algorithme FIPS pour appliquer les algorithmes cryptographiques conformes à la norme FIPS afin de protéger les données dans votre Active Directory.

- **Parcours renforcé pour le réseau**
  - **Nom du paramètre:** Chemins renforcés UNC : Netlogon / **Nom de l’API:** UNC\_HARDENED\_PATHS\_NETLOGON / **Valeurs potentielles:** Sécurité maximale, vérification d'identité uniquement, protection antialtération uniquement, cryptage uniquement, authentification avec intégrité, authentification avec cryptage, données sécurisées, aucune protection / **Description du paramètre:** Configurez les exigences de sécurité pour les connexions UNC au partage NETLOGON.[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
  - **Nom du paramètre:** Chemins renforcés UNC : SYSVOL / **Nom de l’API:** UNC\_HARDENED\_PATHS\_SYSVOL / **Valeurs potentielles:** Sécurité maximale, vérification d'identité uniquement, protection antialtération uniquement, cryptage uniquement, authentification avec intégrité, authentification avec cryptage, données sécurisées, aucune protection / **Description du paramètre:** Configurez les exigences de sécurité pour les connexions UNC au partage SYSVOL.[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)

- **Authentification basée sur des certificats**
  - **Nom du paramètre:** Compensation de l'antidatage des certificats / **Nom de l’API:** CERTIFICATE\_BACKDATING\_COMPENSATION / **Valeurs potentielles:** Années : 0 à 50<br />Mois : 0 à 11<br />Jours : 0 à 30<br />Heures : 0 à 23<br />Minutes : 0 à 59<br />Secondes : 0 à 59 / **Description du paramètre:** Spécifiez une valeur indiquant la durée pendant laquelle un certificat peut être antérieur à un utilisateur dans Active Directory et continuer à être utilisé pour l'authentification dans Active Directory. La valeur par défaut est de 10 minutes. Vous pouvez définir cette valeur entre 1 seconde et 50 ans.<br />Pour configurer ce paramètre, vous devez sélectionner le type de **compatibilité** pour **Strong Certificate Binding Enforce**.<br />Pour plus d'informations, voir [KB5014754—Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) dans la documentation du Support Microsoft.
  - **Nom du paramètre:** Application stricte des certificats / **Nom de l’API:** CERTIFICATE\_STRONG\_ENFORCEMENT / **Valeurs potentielles:** Compatibilité, Application complète / **Description du paramètre:** Spécifiez l'un des types d'application suivants :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)<br />Pour plus d'informations, voir [KB5014754—Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) dans la documentation du Support Microsoft.

- **Canal sécurisé : chiffrement**
  - **Nom du paramètre:** AES 128/128 / **Nom de l’API:** AES\_128\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement AES 128/128 pour sécuriser les communications entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** DE  56/56 / **Nom de l’API:** DES\_56\_56 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement DES 56/56 pour sécuriser les communications entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC2 40/128 / **Nom de l’API:** RC2\_40\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC2 40/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC2 56/128 / **Nom de l’API:** RC2\_56\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC2 56/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC2 128/128 / **Nom de l’API:** RC2\_128\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC2 128/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC4 40/128 / **Nom de l’API:** RC4\_40\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC4 40/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC4 56/128 / **Nom de l’API:** RC4\_56\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC4 56/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC4 64/128 / **Nom de l’API:** RC4\_64\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC4 64/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** RC4 128/128 / **Nom de l’API:** RC4\_128\_128 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement RC4 128/128 pour les communications par canal sécurisé entre les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** Triple DES 168/168 / **Nom de l’API:** 3DES\_168\_168 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le chiffrement Triple DES 168/168 pour sécuriser les communications entre les contrôleurs de domaine de votre annuaire.

- **Canal sécurisé : protocole**
  - **Nom du paramètre:** PCT 1.0 / **Nom de l’API:** PCT\_1\_0 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le protocole PCT 1.0 pour sécuriser les communications (serveur et client) sur les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** SSL 2.0 / **Nom de l’API:** SSL\_2\_0 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le protocole SSL 2.0 pour sécuriser les communications (serveur et client) sur les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** SSL 3.0 / **Nom de l’API:** SSL\_3\_0 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le protocole SSL 3.0 pour sécuriser les communications (serveur et client) sur les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** TLS 1.0 / **Nom de l’API:** TLS\_1\_0 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le protocole TLS 1.0 pour sécuriser les communications (serveur et client) sur les contrôleurs de domaine de votre annuaire.
  - **Nom du paramètre:** TLS 1.1 / **Nom de l’API:** TLS\_1\_1 / **Valeurs potentielles:** Activer, Désactiver / **Description du paramètre:** Activez ou désactivez le protocole TLS 1.1 pour sécuriser les communications (serveur et client) sur les contrôleurs de domaine de votre annuaire.