Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Proteggi il tuo AWS Managed Microsoft AD
Puoi utilizzare criteri di password, funzionalità come l'autenticazione a più fattori (MFA) e impostazioni per proteggere il tuo AWS Managed Microsoft AD. I modi per proteggere la tua directory includono:
+ [Scopri come funzionano le politiche relative alle password in Active Directory](ms_ad_password_policies.md) in modo che possano essere applicate agli utenti di AWS Managed Microsoft AD. Puoi anche delegare quale utente può gestire le policy relative alle password di AWS Managed Microsoft AD.
+ [Abilita l'MFA](ms_ad_mfa.md) per aumentare la sicurezza di AWS Managed Microsoft AD.
+ [>Abilita Lightweight Directory Access Protocol over Secure Socket Layer (SSL) /Transport Layer Security (TLS) (LDAPS) in modo che le comunicazioni su LDAP](ms_ad_ldap.md) siano crittografate e migliorino la sicurezza.
+ [Gestisci la conformità di AWS Managed Microsoft AD](ms_ad_compliance.md) con standard come Federal Risk and Authorization Management Program (FedRAMP) e Payment Card Industry (PCI) Data Security Standard (DSS).
+ [Migliora la configurazione di sicurezza della rete AWS Managed Microsoft AD>](ms_ad_network_security.md) modificando AWS Security Group per soddisfare le esigenze del tuo ambiente.
+ [Modifica le impostazioni di sicurezza della directory AWS Managed Microsoft AD](ms_ad_directory_settings.md) come Certificate Base Authentication, Secure Channel Cipher e Protocol per soddisfare le tue esigenze.
+ [Configura AWS Autorità di certificazione privata Connector for AD](ms_ad_pca_connector.md) in modo da poter emettere e gestire certificati per AWS Managed Microsoft AD con AWS Private CA.
# Informazioni sui criteri di AWS gestione delle password di Microsoft AD
AWS Managed Microsoft AD consente di definire e assegnare diversi criteri di blocco delle password e degli account (denominati anche criteri [granulari per le password](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) per i gruppi di utenti gestiti nel dominio Microsoft AD gestito AWS . Quando si crea una directory Microsoft AD AWS gestita, viene creata e applicata una politica di dominio predefinita ad Active Directory. Questa policy include le seguenti impostazioni:
****
| Policy | Impostazione |
| --- | --- |
| Applica la cronologia delle password | 24 password ricordate |
| Durata massima delle password | 42 giorni \$1 |
| Durata minima delle password | 1 giorno |
| Lunghezza minima delle password | 7 caratteri |
| Le password devono soddisfare i requisiti di complessità | Abilitato |
| Archivia le password utilizzando una crittografia reversibile | Disabilitato |
**Nota**
\$1 La durata massima della password di 42 giorni include la password di amministratore.
Ad esempio, puoi assegnare un'impostazione di policy meno rigida per i dipendenti che hanno accesso solo a informazioni a bassa sensibilità. Per i responsabili senior che accedono regolarmente a informazioni riservate puoi applicare impostazioni più rigide.
Le seguenti risorse forniscono ulteriori informazioni sulle politiche granulari in materia di password e sulle politiche di sicurezza di Microsoft Active Directory:
+ [Configurare le impostazioni dei criteri di sicurezza](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Requisiti di complessità delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Complessità delle password: considerazioni sulla sicurezza](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fornisce una serie di criteri granulari per le password in Managed AWS Microsoft AD che puoi configurare e assegnare ai tuoi gruppi. Per configurare le politiche, è possibile utilizzare strumenti di Microsoft policy standard come il Centro di amministrazione di [Active](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) Directory. Per iniziare a utilizzare gli strumenti relativi alle Microsoft policy, consulta[Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).
## Come vengono applicate le politiche relative alle password
Esistono differenze nel modo in cui vengono applicate le politiche granulari in materia di password a seconda che la password sia stata reimpostata o modificata. Gli utenti del dominio possono modificare la propria password. Un amministratore o un utente di Active Directory con le autorizzazioni necessarie può [reimpostare le password degli utenti](ms_ad_manage_users_groups_reset_password.md). Per ulteriori informazioni, consulta la tabella seguente.
****
| Policy | Reimpostazione della password | Modifica della password |
| --- | --- | --- |
| Applica la cronologia delle password | ![\[No\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Durata massima delle password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Durata minima delle password | ![\[No\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Lunghezza minima delle password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Le password devono soddisfare i requisiti di complessità | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
Queste differenze hanno implicazioni in termini di sicurezza. Ad esempio, ogni volta che la password di un utente viene reimpostata, le politiche relative all'applicazione della cronologia delle password e all'età minima della password non vengono applicate. Per ulteriori informazioni, consulta la documentazione Microsoft sulle considerazioni di sicurezza relative all'[applicazione della cronologia delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) e dei criteri relativi [all'età minima delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Impostazioni delle policy supportate
AWS Microsoft AD gestito include cinque policy dettagliate con un valore di precedenza non modificabile. Le policy dispongono di una serie di proprietà che puoi configurare per applicare la forza della password e delle operazioni di blocco account in caso di errori di login. Puoi assegnare le policy per zero o più gruppi di Active Directory. Se un utente finale è un membro di più gruppi e riceve più di una policy di password, Active Directory applica la policy con il valore di priorità più basso.
### AWS politiche predefinite in materia di password
Nella tabella seguente sono elencate le cinque politiche incluse nella directory AWS Managed Microsoft AD e il valore di precedenza assegnato. Per ulteriori informazioni, consulta [Priorità](#precedence).
****
| Nome policy | Priorità |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Proprietà delle policy sulle password
Puoi modificare le seguenti proprietà nelle tue policy sulle password per conformarti allo standard di conformità che meglio soddisfa le tue esigenze aziendali.
+ Nome policy
+ [Applica la cronologia delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Lunghezza minima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Durata minima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Durata massima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Archivia le password utilizzando una crittografia reversibile](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Le password devono soddisfare i requisiti di complessità](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Non puoi modificare i valori di priorità di queste policy. *Per ulteriori dettagli su come queste impostazioni influiscono sull'applicazione delle password, consulta [AD DS: criteri granulari per le password sul sito](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web Microsoft. TechNet* Per informazioni generali su questi criteri, vedere [Criteri relativi alle password](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) sul TechNet sito Web di *Microsoft*.
### Policy sul blocco degli account
Puoi anche modificare le seguenti proprietà delle tue policy sulle password per specificare se e come Active Directory debba bloccare un account dopo errori di accesso:
+ Numero di tentativi di accesso non riusciti permesso
+ Durata del blocco di un account
+ Reimposta tentativi di accesso non riusciti dopo un certo periodo di tempo
Per informazioni generali su questi criteri, vedere [Criteri di blocco degli account](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) sul TechNet sito Web di *Microsoft*.
### Priorità
Le policy con un valore di priorità inferiore hanno maggiore priorità. Assegna le policy sulle password ai gruppi di sicurezza di Active Directory. Mentre è necessario applicare una singola policy a un gruppo di sicurezza, un singolo utente può ricevere più di una policy sulle password. Ad esempio, supponiamo che `jsmith` sia un membro del gruppo HR e anche membro del gruppo MANAGER. Se assegni **CustomerPSO-05** (che ha una priorità di 50) al gruppo HR e **CustomerPSO-04** (che ha una priorità di 40) ai MANAGER, **CustomerPSO-04** ha la priorità più alta e Active Directory applica tale policy a `jsmith`.
Se assegni più policy a un utente o gruppo, Active Directory determina la policy risultante come segue:
1. Si applica una policy che assegni direttamente all'oggetto utente.
1. Se nessuna policy viene assegnata direttamente all'oggetto utente, viene applicata la policy con la priorità più bassa di tutte le policy ricevute dall'utente in virtù dell'appartenenza al gruppo.
*Per ulteriori dettagli, consulta [AD DS: politiche granulari per le password sul sito Web](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) di Microsoft. TechNet*
**Topics**
+ [Come vengono applicate le politiche relative alle password](#how_password_policies_applied)
+ [Impostazioni delle policy supportate](#supportedpolicysettings)
+ [Assegnazione di criteri di password agli utenti di Microsoft AD AWS gestiti](assignpasswordpolicies.md)
+ [Delegare chi può gestire le policy relative alle password di AWS Managed Microsoft AD](delegatepasswordpolicies.md)
**Articolo correlato AWS del blog sulla sicurezza**
+ [Come configurare politiche di password ancora più rigorose per soddisfare gli standard di sicurezza utilizzando Directory ServiceAWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Assegnazione di criteri di password agli utenti di Microsoft AD AWS gestiti
Gli account utente che sono membri del gruppo di sicurezza degli **Amministratori delegati AWS per le policy granulari sulle password ** possono utilizzare la procedura seguente per assegnare le policy agli utenti e ai gruppi di sicurezza.
**Assegnazione delle policy sulle password ai tuoi utenti**
1. Avvia il [centro amministrativo di Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) da qualsiasi istanza EC2 gestita a cui hai aggiunto il tuo dominio AWS Microsoft AD gestito.
1. Passa alla **Visualizzazione ad albero** e vai a **System\$1Password Settings Container** (Sistema\$1Contenitore delle impostazioni delle password).
1. Fai doppio clic sulla policy fine-grained che desideri modificare. Fai clic su **Add** (Aggiungi) per modificare le proprietà della policy e aggiungi gli utenti o i gruppi di sicurezza alla policy. Per ulteriori informazioni sulle policy granulari predefinite fornite da Microsoft AD gestito da AWS , consulta [AWS politiche predefinite in materia di password](ms_ad_password_policies.md#supportedpwdpolicies).
1. Per verificare che la politica in materia di password sia stata applicata, esegui il seguente PowerShell comando:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Nota**
Evita di utilizzare il comando `net user` poiché i risultati potrebbero essere imprecisi.
Se non si configura nessuna delle cinque politiche relative alle password nella directory AWS gestita di Microsoft AD, Active Directory utilizza la politica di gruppo di domini predefinita. Per ulteriori informazioni sull'utilizzo del **Password Settings Container** (Contenitore delle impostazioni delle password), consulta questo [post del blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegare chi può gestire le policy relative alle password di AWS Managed Microsoft AD
È possibile delegare le autorizzazioni per la gestione delle policy relative alle password a specifici account utente creati in Managed AWS Microsoft AD aggiungendo gli account al gruppo di sicurezza **AWS Delegated Fine Grained Password Policy** Administrators. Quando un account diventa un membro di questo gruppo, l'account dispone di autorizzazioni per modificare e configurare una qualsiasi delle policy sulle password elencate [in precedenza](ms_ad_password_policies.md#supportedpwdpolicies).
**Delega di chi può gestire le tue policy sulle password**
1. Avvia il [centro amministrativo di Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) da qualsiasi istanza EC2 gestita a cui hai aggiunto il tuo dominio AWS Microsoft AD gestito.
1. Passa alla **Visualizzazione ad albero** e naviga fino all'UO di **Gruppi delegati AWS **. Per ulteriori informazioni sull'UO, consulta [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md).
1. Cerca il gruppo utenti di **Amministratori delegati AWS per le policy granulari sulle password**. Aggiungi utenti o gruppi dal tuo dominio a questo gruppo.
# Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD
Puoi abilitare l'autenticazione a più fattori (MFA) per la tua directory AWS Managed Microsoft AD per aumentare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere alle applicazioni Amazon Enterprise supportate. Quando si abilita la MFA, gli utenti inseriscono i propri nome utente e password (primo fattore) come di consueto, quindi devono inserire anche un codice di autenticazione (secondo fattore), fornito dalla soluzione MFA virtuale o dell'hardware. Tutti questi fattori forniscono maggiore sicurezza impedendo l'accesso alle applicazioni Amazon Enterprise, a meno che gli utenti non forniscano credenziali valide e un codice MFA valido.
Per abilitare MFA, è necessario disporre di una soluzione MFA che funge da server [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) oppure disporre di un plug-in MFA per un server RADIUS già implementato nell'infrastruttura on-premise. La soluzione MFA deve implementare i codici d'accesso monouso (OTP, One Time Passcode) che gli utenti ottengono da un dispositivo hardware o dal software in esecuzione su un dispositivo, ad esempio un telefono cellulare.
RADIUS è un client/server protocollo standard del settore che fornisce l'autenticazione, l'autorizzazione e la gestione contabile per consentire agli utenti di connettersi ai servizi di rete. AWS Microsoft AD gestito include un client RADIUS che si connette al server RADIUS su cui è stata implementata la soluzione MFA. Il server RADIUS convalida il nome utente e il codice OTP. Se il server RADIUS convalida correttamente l'utente, AWS Managed Microsoft AD autentica l'utente con Active Directory. Una volta completata l'autenticazione con Active Directory, gli utenti possono quindi accedere all'applicazione. AWS La comunicazione tra il client Microsoft AD RADIUS AWS gestito e il server RADIUS richiede la configurazione di gruppi AWS di sicurezza che abilitano la comunicazione sulla porta 1812.
È possibile abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo la procedura seguente. Per ulteriori informazioni su come configurare il server RADIUS per il funzionamento con Directory Service e MFA, consulta [Prerequisiti dell'autenticazione a più fattori](ms_ad_getting_started.md#prereq_mfa_ad).
## Considerazioni
Di seguito sono riportate alcune considerazioni sull'autenticazione a più fattori per Managed AWS Microsoft AD:
+ L'autenticazione a più fattori non è disponibile per Simple AD. Tuttavia, MFA può essere abilitato per la directory AD Connector. Per ulteriori informazioni, consulta [Abilitazione dell'autenticazione a più fattori per AD Connector](ad_connector_mfa.md).
+ MFA è una funzionalità regionale di Managed AWS Microsoft AD. Se si utilizza la [replica multiarea](ms_ad_configure_multi_region_replication.md), sarà possibile utilizzare l'autenticazione a più fattori solo nell'area principale di Managed Microsoft AD AWS .
+ Se intendi utilizzare AWS Managed Microsoft AD per comunicazioni esterne, ti consigliamo di configurare un gateway Internet NAT (Network Address Translation) o un gateway Internet esterno alla AWS rete per queste comunicazioni.
+ Se desideri supportare le comunicazioni esterne tra il tuo AWS Managed Microsoft AD e il tuo server RADIUS ospitato sulla AWS rete, contatta [Supporto](https://console.aws.amazon.com/support/home#/).
+ Tutte le applicazioni IT di Amazon Enterprise WorkSpaces WorkDocs, tra cui Amazon WorkMail, Amazon Quick, e l'accesso AWS IAM Identity Center e Console di gestione AWS sono supportate quando si utilizza AWS Managed Microsoft AD e AD Connector con MFA. Queste AWS applicazioni che utilizzano MFA non sono supportate in più aree.
Per ulteriori informazioni, vedere [Come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Per informazioni su come configurare l'accesso utente di base alle applicazioni Amazon Enterprise, AWS Single Sign-On e l' Console di gestione AWS utilizzo Directory Service, consulta [Accesso ad AWS applicazioni e servizi dal tuo AWS Managed Microsoft AD](ms_ad_manage_apps_services.md) e. [Abilitazione Console di gestione AWS dell'accesso con credenziali Microsoft AD AWS gestite](ms_ad_management_console_access.md)
+ Consulta il seguente post sul AWS Security Blog per scoprire come abilitare l'autenticazione a più fattori per WorkSpaces gli utenti Amazon su Managed AWS Microsoft AD, [come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando Managed AWS Microsoft AD e](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) credenziali locali
## Abilita l'autenticazione a più fattori per AWS Managed Microsoft AD
La procedura seguente mostra come abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD.
1. Identifica l'indirizzo IP del tuo server RADIUS MFA e della tua directory AWS Managed Microsoft AD.
1. Modifica i gruppi di sicurezza Virtual Private Cloud (VPC) per abilitare le comunicazioni sulla porta 1812 tra gli endpoint IP AWS Microsoft AD gestiti e il server MFA RADIUS.
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Scegli il link ID della directory per la tua directory AWS Managed Microsoft AD.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi abilitare MFA, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Multi-factor authentication (Autenticazione a più fattori)** selezionare **Actions (Operazioni)**, quindi **Enable (Abilita)**.
1. Fornire i seguenti valori nella pagina **Enable multi-factor authentication (MFA) (Abilita l'autenticazione a più fattori (MFA))**:
**Display label (Visualizza etichetta)**
Indicare un nome per l'etichetta.
**RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)**
Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento del carico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola, ad esempio `192.0.0.0,192.0.0.12`.
RADIUS MFA è applicabile solo per autenticare l'accesso a o Console di gestione AWS ad applicazioni e servizi Amazon Enterprise come Amazon Quick o WorkSpaces Amazon Chime. Le applicazioni e i servizi Amazon Enterprise sono supportati nella regione principale solo se la replica multiregione è configurata per Managed AWS Microsoft AD. Non fornisce MFA ai carichi di lavoro Windows in esecuzione su istanze EC2 o per l'accesso a un'istanza EC2. Directory Service non supporta l'autenticazione RADIUS Challenge/Response.
Quando inseriscono nome utente e password, gli utenti devono disporre del proprio codice MFA. In alternativa, è necessario utilizzare una soluzione che esegua l'autenticazione a più fattori, out-of-band ad esempio notifiche push o password monouso (OTP) di autenticazione per l'utente. Nelle soluzioni out-of-band MFA, è necessario assicurarsi di impostare il valore di timeout RADIUS in modo appropriato per la soluzione in uso. Quando si utilizza una soluzione out-of-band MFA, la pagina di accesso richiederà all'utente un codice MFA. In questo caso, gli utenti devono inserire la loro password nel campo password e nel campo MFA.
**Porta**
La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire il traffico in entrata attraverso la porta server RADIUS predefinita (UDP:1812) dai server. Directory Service
**Shared secret code** (Codice segreto condiviso)
Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.
**Confirm shared secret code** (Conferma codice segreto condiviso)
Conferma il codice segreto condiviso per gli endpoint RADIUS.
**Protocollo**
Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.
**Server timeout (in seconds) (Timeout del server (in secondi))**
Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deve essere compreso tra 1 e 50.
Ti consigliamo di configurare il timeout del server RADIUS su un massimo di 20 secondi. Se il timeout supera i 20 secondi, il sistema non può riprovare con un altro server RADIUS e potrebbe causare un errore di timeout.
**Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)**
Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deve essere compreso tra 0 e 10.
L'autenticazione a più fattori è disponibile se **RADIUS Status** (Stato RADIUS) viene modificato in **Enabled** (Abilitato).
1. Scegli **Abilita **.
# Abilita Secure LDAP o LDAPS
Lightweight Directory Access Protocol (LDAP) è un protocollo di comunicazioni standard utilizzato per leggere e scrivere dati in e da Active Directory. Alcune applicazioni utilizzano LDAP per aggiungere, eliminare o cercare utenti e gruppi in Active Directory o per il trasferimento delle credenziali per l'autenticazione degli utenti in Active Directory. Ogni comunicazione LDAP include un client (ad esempio un'applicazione) e un server (ad esempio Active Directory).
Per impostazione predefinita, le comunicazioni tramite LDAP non sono crittografate. Ciò permette a un utente malintenzionato di utilizzare software di monitoraggio delle reti per visualizzare i pacchetti di dati trasmessi in rete. È per questo motivo che molte policy di sicurezza aziendale tipicamente richiedono che le organizzazioni eseguano la crittografia della comunicazione LDAP.
Per mitigare questa forma di esposizione dei dati, AWS Managed Microsoft AD offre un'opzione: è possibile abilitare LDAP su Secure Sockets Layer (SSL) /Transport Layer Security (TLS), noto anche come LDAPS. Con LDAPS, è possibile migliorare la sicurezza attraverso il cavo. È inoltre possibile soddisfare i requisiti di conformità crittografando tutte le comunicazioni tra le applicazioni abilitate per LDAP e Managed Microsoft AD AWS .
AWS Microsoft AD gestito fornisce supporto per LDAPS nei seguenti scenari di distribuzione:
+ **LDAPS lato server** crittografa le comunicazioni LDAP tra le applicazioni LDAP commerciali o homegrown (che agiscono come client LDAP) e Microsoft AD gestito da AWS (che agisce come server LDAP). Per ulteriori informazioni, consulta [Abilitazione del protocollo LDAPS lato server utilizzando Managed Microsoft AD AWS](ms_ad_ldap_server_side.md).
+ Il protocollo **LDAPS lato client** crittografa le comunicazioni LDAP tra AWS applicazioni quali WorkSpaces (che fungono da client LDAP) e l'Active Directory autogestito (locale) (che funge da server LDAP). Per ulteriori informazioni, consulta [Abilitazione del protocollo LDAPS lato client utilizzando Managed Microsoft AD AWS](ms_ad_ldap_client_side.md).
[Per ulteriori informazioni sulle best practice relative alla protezione dell'implementazione di Active Directory, consulta la documentazione. MicrosoftCertificate ServicesMicrosoft](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)
**Topics**
+ [Abilitazione del protocollo LDAPS lato server utilizzando Managed Microsoft AD AWS](ms_ad_ldap_server_side.md)
+ [Abilitazione del protocollo LDAPS lato client utilizzando Managed Microsoft AD AWS](ms_ad_ldap_client_side.md)
# Abilitazione del protocollo LDAPS lato server utilizzando Managed Microsoft AD AWS
Il Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) supporto lato server crittografa LDAP le comunicazioni tra le applicazioni commerciali o sviluppate internamente e la directory LDAP Managed Microsoft AD. AWS Questo aiuta a migliorare la sicurezza su tutta la rete e a soddisfare i requisiti di conformità utilizzando il protocollo crittografico. Secure Sockets Layer (SSL)
## Abilita LDAPS lato server utilizzando AWS Autorità di certificazione privata
Per istruzioni dettagliate su come impostare e configurare il protocollo LDAPS lato server e l'utilizzo AWS Private CA del server dell'autorità di certificazione (CA), consulta. [Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD](ms_ad_pca_connector.md)
## Abilitare il protocollo LDAPS lato server utilizzando CA Microsoft
Per istruzioni dettagliate su come impostare e configurare LDAPS lato server e il server dell'autorità di certificazione (CA), vedi [Come abilitare LDAPS lato server per la directory AWS gestita di Microsoft AD sul](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) blog sulla sicurezza. AWS
È necessario eseguire gran parte della configurazione dall'istanza Amazon EC2 utilizzata per gestire i controller di dominio di Microsoft AD gestito da AWS . I passaggi seguenti ti guidano nell'attivazione di LDAPS per il tuo dominio in. Cloud AWS
Se desideri utilizzare l'automazione per configurare la tua PKI infrastruttura, puoi utilizzare [MicrosoftPublic Key Infrastructure on AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). In particolare, ti consigliamo di seguire le istruzioni nella guida per caricare il modello per [Deploy MicrosoftPKI in un account esistente VPC](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). AWS Una volta caricato il modello, assicurati di scegliere **`AWSManaged`** quando accedi all'opzione **Tipo di Active Directory Domain Services**. Se hai usato la QuickStart guida, puoi passare direttamente a[Fase 3: creazione di un modello di certificato](#createcustomcert).
**Topics**
+ [Fase 1: delega per l'abilitazione di LDAPS](#grantpermsldaps)
+ [Fase 2: configurazione dell'autorità di certificazione](#setupca)
+ [Fase 3: creazione di un modello di certificato](#createcustomcert)
+ [Fase 4: aggiungere regole per i gruppi di sicurezza](#addgrouprules)
### Fase 1: delega per l'abilitazione di LDAPS
Per abilitare LDAPS lato server, è necessario essere un membro del gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed Microsoft AD. AWS In alternativa, è possibile essere l'utente amministrativo predefinito (account amministratore). Se si preferisce, è possibile avere un utente diverso dall'impostazione dell'account Admin LDAPS. In tal caso, aggiungi quell'utente al gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory Managed AWS Microsoft AD.
### Fase 2: configurazione dell'autorità di certificazione
Prima di abilitare LDAPS lato server, è necessario creare un certificato. Questo certificato deve essere emesso da un Microsoft Enterprise CA server che fa parte del tuo dominio Microsoft AD AWS gestito. Una volta creato, il certificato deve essere installato su ciascuno dei controller di dominio appartenenti a quel dominio. Questo certificato consente al LDAP servizio sui controller di dominio di ascoltare e accettare automaticamente SSL le connessioni dai LDAP client.
**Nota**
Il protocollo LDAPS lato server con Managed AWS Microsoft AD non supporta i certificati emessi da una CA autonoma. Inoltre, non supporta i certificati emessi da un'autorità di certificazione di terze parti.
A seconda delle esigenze aziendali, puoi disporre delle seguenti opzioni di configurazione o connessione a una CA nel dominio:
+ **Crea un server subordinato Microsoft Enterprise CA**: (consigliato) Con questa opzione, puoi implementare un server subordinato nel cloud. Microsoft Enterprise CA AWS Il server può utilizzare Amazon EC2 in modo che funzioni con la tua CA root Microsoft esistente. Per ulteriori informazioni su come configurare un subordinato MicrosoftEnterprise CA, vedere **Passaggio 4: Aggiungere un file alla AWS Microsoft AD directory in Come Microsoft Enterprise CA abilitare il protocollo** [LDAPS lato server per la directory gestita di AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
+ **Crea una radice Microsoft Enterprise CA**: con questa opzione, puoi creare una radice Microsoft Enterprise CA nel AWS cloud utilizzando Amazon EC2 e aggiungerla al tuo dominio AWS Microsoft AD gestito. Questa CA di root può emettere il certificato per i controller di dominio. Per ulteriori informazioni sulla configurazione di una nuova CA principale, vedere **Passaggio 3: Installazione e configurazione di una CA offline** in [Come abilitare LDAPS lato server per la directory gestita di AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Per ulteriori informazioni su come collegare l'Istanza EC2 al dominio, consulta [Modi per aggiungere un'istanza Amazon EC2 al tuo Managed AWS Microsoft AD](ms_ad_join_instance.md).
### Fase 3: creazione di un modello di certificato
Dopo aver Enterprise CA configurato il tuo, puoi configurare il modello di certificato di Kerberos autenticazione.
**Creazione di un modello di certificato**
1. Avvia **Server Manager di Microsoft Windows**. Seleziona **Strumenti > Autorità di certificazione**.
1. Nella finestra **Autorità di certificazione**, espandi l'albero **Autorità di certificazione** nel riquadro a sinistra. Fai clic con il pulsante destro del mouse su **Modelli di certificazione**, quindi scegli **Gestisci**.
1. Nella finestra **Console dei modelli di certificazione**, fai clic con il pulsante destro del mouse su **Autenticazione Kerberos**, quindi scegli **Duplica dominio**.
1. Verrà visualizzata la finestra pop-up **Proprietà del nuovo modello**.
1. Nella finestra **Proprietà del nuovo modello**, vai alla scheda **Compatibilità**, quindi procedi come segue:
1. Cambia **l'Autorità di certificazione** con OS quella corrispondente alla tua CA.
1. Se viene visualizzata la finestra pop-up **Modifiche risultanti**, seleziona **OK**.
1. Cambia il **destinatario della certificazione** in **Windows 10/Windows Server 2016**.
**Nota**
AWS Managed Microsoft AD è fornito daWindows Server 2019.
1. Se viene visualizzata la finestra pop-up **Modifiche risultanti**, seleziona **OK**.
1. Fai clic sulla scheda **Generale** e modifica il **nome visualizzato del modello** in **LDAPOverSSL** o in qualsiasi altro nome che preferisci.
1. Fai clic sulla scheda **Sicurezza** e scegli **Controller di dominio** nella sezione **Nomi gruppi o utenti**. Nella sezione **Autorizzazioni per i controller di dominio**, verifica che le caselle di controllo **Consenti** per **Lettura**, **Registrazione** e **Registrazione automatica** siano selezionate.
1. Scegli **OK** per creare il modello di certificato **LDAPOverSSL** (o il nome specificato sopra). Chiudi la finestra **Console dei modelli di certificato**.
1. Nella finestra **Autorità di certificazione**, fai clic con il pulsante destro del mouse su **Modelli di certificazione** e scegli **Nuovo > Modello di certificazione da emettere**.
1. **Nella finestra **Abilita modelli di certificato**, scegli **LDAPOverSSL** (o il nome specificato sopra), quindi scegli OK.**
### Fase 4: aggiungere regole per i gruppi di sicurezza
Nella fase finale, è necessario aprire la console Amazon EC2 e aggiungere regole del gruppo di sicurezza. Queste regole consentono ai controller di dominio di connettersi al tuo Enterprise CA per richiedere un certificato. A tale scopo, aggiungi regole in entrata in modo da Enterprise CA poter accettare il traffico in entrata dai controller di dominio. Quindi aggiungi regole in uscita per consentire il traffico dai controller di dominio a. Enterprise CA
Una volta configurate entrambe le regole, i controller di dominio richiedono Enterprise CA automaticamente un certificato e abilitano LDAPS per la directory. Il LDAP servizio sui controller di dominio è ora pronto per accettare connessioni LDAPS.
**Configurazione delle regole per i gruppi di sicurezza**
1. Accedi alla tua console Amazon EC2 su [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) e accedi con le credenziali di amministratore.
1. Nel riquadro a sinistra, scegli **Security Groups** (Gruppi di sicurezza) in **Network & Security** (Rete e sicurezza).
1. Nel riquadro principale, scegli il gruppo di AWS sicurezza per la tua CA.
1. Seleziona la scheda **Inbound** (In entrata), quindi seleziona **Edit** (Modifica).
1. Nella finestra di dialogo **Edit inbound rules** (Modifica regole in entrata) esegui queste operazioni:
+ Selezionare **Add Rule (Aggiungi regola)**.
+ Scegli **All traffic** (Tutto il traffico) in **Type** (Tipo) e **Custom** (Personalizzato) in **Source** (Origine).
+ Inserisci il gruppo AWS di sicurezza (ad esempio,`sg-123456789`) per la tua directory nella casella accanto a **Source**.
+ Scegli **Save** (Salva).
1. Ora scegli il gruppo di AWS sicurezza della tua directory AWS Managed Microsoft AD. Seleziona la scheda **Outbound** (In uscita), quindi seleziona **Edit** (Modifica).
1. Nella finestra di dialogo **Edit outbound rules** (Modifica regole in uscita) esegui queste operazioni:
+ Selezionare **Add Rule (Aggiungi regola)**.
+ Scegli **All traffic** (Tutto il traffico) in **Type** (Tipo) e **Custom** (Personalizzato) in **Destination** (Destinazione).
+ Inserisci il gruppo AWS di sicurezza per la tua CA nella casella accanto a **Destinazione**.
+ Scegli **Save** (Salva).
È possibile testare la connessione LDAPS alla directory AWS Managed Microsoft AD utilizzando lo LDP strumento. Lo LDP strumento viene fornito con. Active Directory Administrative Tools Per ulteriori informazioni, consulta [Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).
**Nota**
Prima di verificare la connessione LDAPS, è necessario attendere fino a 30 minuti affinché la CA subordinata emetta un certificato ai controller di dominio.
Per ulteriori dettagli sul protocollo LDAPS lato server e per vedere un esempio di utilizzo su come configurarlo, vedi [Come abilitare il protocollo LDAPS lato server per la directory AWS gestita di Microsoft AD nel blog](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) sulla sicurezza. AWS
# Abilitazione del protocollo LDAPS lato client utilizzando Managed Microsoft AD AWS
Il supporto Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) sul lato client in AWS Managed Microsoft AD crittografa le comunicazioni tra Microsoft Active Directory (AD) autogestita (locale) e le applicazioni. AWS Esempi di tali applicazioni includono WorkSpaces AWS IAM Identity Center, Quick e Amazon Chime. Questa crittografia ti aiuta a proteggere meglio i dati di identità della tua organizzazione e a soddisfare i tuoi requisiti di sicurezza.
## Prerequisiti
Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.
**Topics**
+ [Crea una relazione di fiducia tra AWS Managed Microsoft AD e Microsoft Active Directory autogestito](#trust_relationship_MAD_and_self_managed)
+ [Distribuire certificati server in Active Directory](#ldap_client_side_deploy_server_certs)
+ [Requisiti dei certificati dell'Autorità di certificazione](#ldap_client_side_get_certs_ready)
+ [Requisiti di rete](#ldap_client_side_considerations_enabling)
### Crea una relazione di fiducia tra AWS Managed Microsoft AD e Microsoft Active Directory autogestito
Innanzitutto, è necessario stabilire una relazione di fiducia tra Microsoft AD AWS gestito e Microsoft Active Directory autogestito per abilitare il protocollo LDAPS lato client. Per ulteriori informazioni, consulta [Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito](ms_ad_setup_trust.md).
### Distribuire certificati server in Active Directory
Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controller di dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare e accettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessi da una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittente commerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificato [LDAP su SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) sul sito Web Microsoft.
### Requisiti dei certificati dell'Autorità di certificazione
Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, è necessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentati dai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti i seguenti requisiti del certificato CA:
+ L'Enterprise Certification Authority (CA) è necessaria per abilitare il protocollo LDAPS lato client. È possibile utilizzare Active Directory Certificate Service, un'autorità di certificazione commerciale di terze parti oppure. [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) Per ulteriori informazioni su Microsoft Enterprise Certificate Authority, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.
+ I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA da Active Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).
+ È possibile archiviare un massimo di cinque (5) certificati CA per directory Microsoft AD AWS gestita.
+ I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.
+ I certificati CA che concatenano ogni certificato server a ogni dominio trusted devono essere registrati.
### Requisiti di rete
AWS il traffico LDAP delle applicazioni verrà eseguito esclusivamente sulla porta TCP 636, senza alcun fallback sulla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust e altro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configura i gruppi AWS di sicurezza e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in Managed AWS Microsoft AD (in uscita) e Active Directory autogestita (in entrata). Lascia aperta la porta LDAP 389 tra Microsoft AD gestito da AWS e Active Directory autogestita.
## Abilita LDAPS lato client
Per abilitare LDAPS lato client, è possibile importare il certificato di autorità di certificazione (CA) in Microsoft AD gestito da AWS e quindi abilitare LDAPS nella directory. All'attivazione, tutto il traffico LDAP tra applicazioni AWS e l'AD gestita dal cliente verranno trasmessi con crittografia del canale Secure Sockets Layer (SSL).
Sono disponibili due metodi diversi per abilitare LDAPS lato client per la directory. È possibile utilizzare il metodo o il metodo. Console di gestione AWS AWS CLI
**Nota**
LDAPS lato client è una funzionalità regionale di Managed AWS Microsoft AD. Se si utilizza la [replica multiarea](ms_ad_configure_multi_region_replication.md), le seguenti procedure devono essere applicate separatamente in ciascuna regione. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).
**Topics**
+ [Fase 1: Registrare un certificato in Directory Service](#ms_ad_registercert)
+ [Fase 2: controllare lo stato della registrazione](#ms_ad_check-registration-status)
+ [Fase 3: abilitare LDAPS lato client](#ms_ad_enableclientsideldapssteps)
+ [Fase 4: controllare lo stato LDAPS](#ms_ad_check-ldaps-status)
### Fase 1: Registrare un certificato in Directory Service
Utilizza uno dei seguenti metodi per registrare un certificato in Directory Service.
**Metodo 1: Per registrare il certificato in Directory Service (Console di gestione AWS)**
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Seleziona il collegamento dell'ID per la tua directory.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi registrare il certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Client-side LDAPS (LDAPS lato client)** selezionare il menu **Actions (Operazioni)** e quindi selezionare **Register certificate (Registra certificato)**.
1. Nella finestra di dialogo **Register a CA certificate (Registra un certificato CA)** selezionare **Browse (Sfoglia)**, quindi selezionare il certificato e scegliere **Open (Apri)**.
1. Scegliere **Register certificate (Registra certificato)**.
**Metodo 2: registrare il certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Per i dati del certificato, scegliere il percorso del file del certificato CA. Nella risposta verrà fornito un ID certificato.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Fase 2: controllare lo stato della registrazione
Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare uno dei seguenti metodi.
**Metodo 1: controllare lo stato di registrazione del certificato in Directory Service (Console di gestione AWS)**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna **Registration status (Stato registrazione)**. Quando il valore dello stato di registrazione cambia in **Registered (Registrato)**, il certificato è stato registrato.
**Metodo 2: Per controllare lo stato di registrazione del certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Se il valore dello stato restituisce `Registered`, il certificato è stato registrato.
```
aws ds list-certificates --directory-id your_directory_id
```
### Fase 3: abilitare LDAPS lato client
Utilizzate uno dei seguenti metodi per abilitare l'accesso LDAPS lato client. Directory Service
**Nota**
Devi aver registrato almeno un certificato prima di poter abilitare LDAPS lato client.
**Metodo 1: Per abilitare LDAPS lato client in () Directory Service Console di gestione AWS**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Scegli **Abilita **. Se questa opzione non è disponibile, verificare che un certificato valido sia stato registrato e riprovare.
1. Nella finestra di dialogo **Enable client-side LDAPS (Abilita LDAPS lato client)** scegliere **Enable (Abilita)**.
**Metodo 2: Per abilitare LDAPS lato client in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Fase 4: controllare lo stato LDAPS
Utilizzate uno dei seguenti metodi per verificare lo stato LDAPS. Directory Service
**Metodo 1: per controllare lo stato LDAPS in Directory Service ()Console di gestione AWS**
1. Andare alla sezione **Client-side LDAPS (LDAPS lato client)** nella pagina dei **Directory details (Dettagli della directory)**.
1. Se il valore dello stato visualizzato è **Enabled (Abilitato)**, LDAPS è stato configurato.
**Metodo 2: Per controllare lo stato LDAPS in Directory Service ()AWS CLI**
+ Eseguire il seguente comando seguente. Se il valore di stato restituisce `Enabled`, LDAPS è stato configurato.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Gestire LDAPS lato client
Utilizzare questi comandi per gestire la configurazione LDAPS.
Sono disponibili due metodi diversi per gestire le impostazioni LDAPS lato client. È possibile utilizzare il Console di gestione AWS metodo o il AWS CLI metodo.
### Visualizzare i dettagli del certificato
Utilizza uno dei seguenti metodi per vedere quando scade un certificato.
**Metodo 1: per visualizzare i dettagli del certificato in Directory Service (Console di gestione AWS)**
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Seleziona il collegamento dell'ID per la tua directory.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi visualizzare il certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Client-side LDAPS (LDAPS lato client)**, le informazioni sul certificato verranno visualizzate in **CA certificates (Certificati CA)**.
**Metodo 2: Per visualizzare i dettagli del certificato in Directory Service (AWS CLI)**
+ Eseguire il seguente comando seguente. Per l'ID del certificato, utilizzare l'identificatore restituito da `register-certificate` o `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Annullare la registrazione di un certificato
Utilizza uno dei seguenti metodi per annullare la registrazione di un certificato.
**Nota**
Se è registrato un solo certificato, è necessario disabilitare LDAPS prima di poter annullare la registrazione del certificato.
**Metodo 1: annullare la registrazione di un certificato in Directory Service ()Console di gestione AWS**
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Seleziona il collegamento dell'ID per la tua directory.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi annullare la registrazione di un certificato, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Client-side LDAPS (LDAPS lato client)** selezionare il menu **Actions (Operazioni)** e quindi selezionare **Deregister certificate (Annulla registrazione certificato)**.
1. Nella finestra di dialogo **Deregister a CA certificate (Annulla la registrazione di un certificato CA)** scegliere **Deregister (Annulla registrazione)**.
**Metodo 2: annullare la registrazione di un certificato in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente. Per l'ID del certificato, utilizzare l'identificatore restituito da `register-certificate` o `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Disabilitare LDAPS lato client
Utilizza uno dei seguenti metodi per disabilitare LDAPS lato client.
**Metodo 1: disabilitare LDAPS lato client in () Directory Service Console di gestione AWS**
1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.
1. Seleziona il collegamento dell'ID per la tua directory.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi disabilitare LDAPS lato client, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Client-side LDAPS (LDAPS lato client)** scegliere **Disable (Disabilita)**.
1. Nella finestra di dialogo **Disable client-side LDAPS (Disabilita LDAPS lato client)** scegliere **Disable (Disabilita)**.
**Metodo 2: disabilitare LDAPS lato client in () Directory Service AWS CLI**
+ Eseguire il seguente comando seguente.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Problemi relativi alla registrazione dei certificati
Il processo di registrazione dei controller di dominio Microsoft AD AWS gestiti con i certificati CA può richiedere fino a 30 minuti. Se riscontri problemi con la registrazione del certificato e desideri riavviare i controller di dominio AWS Microsoft AD gestiti, puoi contattare. Supporto Per creare un caso di supporto, vedi [Creazione di casi di supporto e gestione dei casi](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Gestisci la conformità per AWS Managed Microsoft AD
Puoi utilizzare AWS Managed Microsoft AD per supportare le tue applicazioni compatibili con Active Directory, nel AWS cloud, soggette ai seguenti requisiti di conformità. Tuttavia, le tue applicazioni non saranno conformi ai requisiti di conformità se usi Simple AD.
## Standard di conformità supportati
AWS Managed Microsoft AD è stato sottoposto a controlli per i seguenti standard ed è idoneo all'uso come parte di soluzioni per le quali è necessario ottenere la certificazione di conformità.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD soddisfa i requisiti di sicurezza del Federal Risk and Authorization Management Program (FedRAMP) e ha ricevuto la Provisional Authority to Operate (P-ATO) del FedRAMP Joint Authorization Board (JAB) al FedRAMP Moderate and High Baseline. Per ulteriori informazioni su FedRAMP, consulta la sezione relativa alla [Conformità al programma FedRAMP](https://aws.amazon.com/compliance/fedramp/). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD dispone di un attestato di conformità per lo standard di sicurezza dei dati (DSS) PCI (Payment Card Industry) versione 3.2 al livello 1 del provider di servizi. I clienti che utilizzano AWS prodotti e servizi per archiviare, elaborare o trasmettere i dati dei titolari di carte possono utilizzare AWS Managed Microsoft AD per gestire la propria certificazione di conformità PCI DSS. Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS livello 1. È importante sottolineare che è necessario configurare policy granulari per le password in Managed AWS Microsoft AD per garantire la coerenza con gli standard PCI DSS versione 3.2. Per informazioni dettagliate sulle politiche da applicare, consulta la sezione seguente intitolata Abilita la conformità PCI per la tua directory gestita di AWS Microsoft AD. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS ha ampliato il suo programma di conformità all'Health Insurance Portability and Accountability Act (HIPAA) per includere Managed AWS Microsoft AD come servizio idoneo all'[HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/). Se hai sottoscritto un Business Associate Agreement (BAA) con AWS, puoi utilizzare AWS Managed Microsoft AD per aiutarti a creare le tue applicazioni conformi allo standard HIPAA. AWS offre un [white paper incentrato sull'HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) per i clienti interessati a saperne di più su come sfruttare per l'elaborazione e l'archiviazione delle informazioni sanitarie. AWS Per ulteriori informazioni, consulta [Compliance HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/). |
## Responsabilità condivisa
La sicurezza, inclusa la conformità con FedRAMP, HIPAA e PCI, è una [responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/). È importante comprendere che lo stato di conformità di AWS Managed Microsoft AD non si applica automaticamente alle applicazioni eseguite nel AWS cloud. È necessario assicurarsi che l'utilizzo dei AWS servizi sia conforme agli standard.
Per un elenco completo di tutti i vari programmi di AWS conformità supportati da AWS Managed Microsoft AD, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
## Abilita la conformità PCI per la tua directory AWS Managed Microsoft AD
Per abilitare la conformità PCI per la directory AWS Managed Microsoft AD, è necessario configurare politiche granulari in materia di password come specificato nel documento di attestazione di conformità (AOC) e riepilogo delle responsabilità PCI DSS fornito da. AWS Artifact
Per ulteriori informazioni sull'utilizzo di policy di password fine-grained, consulta [Informazioni sui criteri di AWS gestione delle password di Microsoft AD](ms_ad_password_policies.md).
# Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD
Il gruppo AWS di sicurezza fornito per la directory AWS Managed Microsoft AD è configurato con le porte di rete in entrata minime necessarie per supportare tutti i casi d'uso noti per la directory Managed AWS Microsoft AD. Per ulteriori informazioni sul gruppo di AWS sicurezza fornito, vedere. [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
Per migliorare ulteriormente la sicurezza di rete della directory AWS Managed Microsoft AD, è possibile modificare il gruppo AWS di sicurezza in base ai seguenti scenari comuni.
**Controller di dominio del cliente CIDR**: in questo blocco CIDR risiedono i controller di dominio locali del dominio.
**Client cliente CIDR**: questo blocco CIDR è il luogo in cui i tuoi client, come computer o utenti, si autenticano sul tuo Managed AWS Microsoft AD. Anche i controller di dominio Microsoft AD AWS gestiti risiedono in questo blocco CIDR.
**Topics**
+ [AWS le applicazioni supportano solo](#aws_apps_support)
+ [AWS applicazioni solo con supporto affidabile](#aws_apps_trust_support)
+ [AWS applicazioni e supporto nativo per i carichi di lavoro di Active Directory](#aws_apps_native_ad_support)
+ [AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile](#aws_apps_native_ad_trust_support)
## AWS le applicazioni supportano solo
Tutti gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Rapido
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ Console di gestione AWS
È possibile utilizzare la seguente configurazione del gruppo AWS di sicurezza per bloccare tutto il traffico non essenziale verso i controller di dominio Microsoft AD AWS gestiti.
**Nota**
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
**Regole in entrata**
Nessuna.
**Regole in uscita**
Nessuna.
## AWS applicazioni solo con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Rapido
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
Questa configurazione richiede che la rete CIDR dei «controller di dominio del cliente» sia sicura.
TCP 445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è stato stabilito.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
**Regole in uscita**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico | |
## AWS applicazioni e supporto nativo per i carichi di lavoro di Active Directory
Gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Istanze Amazon EC2
+ Amazon FSx
+ Veloce
+ Amazon RDS per MySQL
+ Amazon RDS per Oracle
+ Amazon RDS per PostgreSQL
+ Amazon RDS per SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
I trust di Active Directory non possono essere creati e AWS gestiti tra la directory gestita di Microsoft AD e i controller di dominio del cliente CIDR.
Richiede che tu assicuri che la rete CIDR del «client cliente cliente» sia sicura.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se desideri utilizzare una CA Enterprise con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Cliente cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Cliente cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Cliente cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Cliente cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Cliente cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Cliente cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Cliente cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Cliente cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Cliente cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Cliente cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Cliente cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Cliente cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
**Regole in uscita**
Nessuna.
## AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
+ Amazon Chime
+ Amazon Connect
+ Istanze Amazon EC2
+ Amazon FSx
+ Veloce
+ Amazon RDS per MySQL
+ Amazon RDS per Oracle
+ Amazon RDS per PostgreSQL
+ Amazon RDS per SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
**Nota**
È necessario garantire che le reti «customer domain controllers CIDR» e «customer client CIDR» siano sicure.
Il protocollo TCP 445 con i «controller di dominio del cliente CIDR» viene utilizzato solo per creare fiducia e può essere rimosso dopo che la fiducia è stata stabilita.
Il protocollo TCP 445 con il «client-client CIDR» deve essere lasciato aperto in quanto è necessario per l'elaborazione dei criteri di gruppo.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se desideri utilizzare una CA aziendale con questa configurazione, dovrai creare una regola in uscita «TCP, 443, CA CIDR».
**Regole in entrata**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | Controller di dominio del cliente (CIDR) | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| TCP e UDP | 53 | Controller di dominio del cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP e UDP | 88 | Controller di dominio del cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP e UDP | 389 | Controller di dominio del cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP e UDP | 445 | Controller di dominio del cliente CIDR | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP e UDP | 464 | Controller di dominio del cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Controller di dominio del cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Controller di dominio del cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Controller di dominio del cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Controller di dominio del cliente CIDR | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Controller di dominio del cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Controller di dominio del cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Controller di dominio del cliente CIDR | DFSN e NetLogon | DFS, policy di gruppo |
**Regole in uscita**
****
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
| --- | --- | --- | --- | --- |
| Tutti | Tutti | Controller di dominio del cliente CIDR | Tutto il traffico | |
# Modifica delle impostazioni di sicurezza della directory Microsoft AD AWS gestita
Puoi configurare impostazioni di directory granulari per il tuo Managed AWS Microsoft AD per soddisfare i requisiti di conformità e sicurezza senza alcun aumento del carico di lavoro operativo. Nelle impostazioni della directory, puoi aggiornare la configurazione del canale sicuro per i protocolli e i codici utilizzati nella tua directory. Ad esempio, hai la flessibilità di disabilitare singoli cifrari legacy, come RC4 o DES, e protocolli, come SSL 2.0/3.0 e TLS 1.0/1.1. AWS Microsoft AD gestito distribuisce quindi la configurazione su tutti i controller di dominio nella directory, gestisce i riavvii dei controller di dominio e mantiene questa configurazione man mano che si esegue la scalabilità orizzontale o ne vengono distribuiti altri. Regioni AWS Per tutte le impostazioni disponibili, consulta [Elenco delle impostazioni di sicurezza della directory](#list-ds-settings).
## Modifica delle impostazioni di sicurezza della directory
Puoi configurare e modificare le impostazioni per tutte le tue directory.
**Per modificare le impostazioni delle directory**
1. Accedi alla console di AWS gestione e apri la console all'indirizzo. Directory Service [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)
1. Nella pagina **Directories** (Directory), scegli l'ID della directory.
1. In **Rete e sicurezza**, trova **Impostazioni della directory**, quindi scegli **Modifica impostazioni**.
1. In **Modifica impostazioni**, modifica **Valore** nelle impostazioni che desideri modificare. Quando modifichi un'impostazione, il suo stato cambia da **Predefinito** a **Pronto per l'aggiornamento**. Se l'impostazione è stata modificata in precedenza, il suo stato cambia da **Aggiornato** a **Pronto per l'aggiornamento**. Scegli quindi **Rivedi**.
1. In **Rivedi e aggiorna le impostazioni**, consulta **Impostazioni della directory** e assicurati che i nuovi valori siano tutti corretti. Se desideri apportare altre modifiche alle impostazioni, scegli **Modifica impostazioni**. Quando sei soddisfatto delle modifiche e pronto a implementare i nuovi valori, scegli **Aggiorna impostazioni**. Quindi, verrai reindirizzato alla pagina dell'ID della directory.
**Nota**
In **Impostazioni della directory**, puoi visualizzare lo **Stato** delle impostazioni aggiornate. Mentre le impostazioni vengono implementate, lo **Stato** è su **Aggiornamento in corso**. Non è possibile modificare altre impostazioni se ce n'è una con **Aggiornamento in corso** come **Stato**. Lo **Stato** diventa **Aggiornato** se l'impostazione viene aggiornata correttamente con la modifica. Lo **Stato** diventa **Non riuscito** se l'impostazione non viene aggiornata con la modifica.
## Impostazioni di sicurezza della directory non riuscite
Se si verifica un errore durante l'aggiornamento delle impostazioni, lo **Stato** visualizzato è **Non riuscito**. In questo caso, le impostazioni non vengono aggiornate ai nuovi valori e vengono mantenuti i valori originali. Puoi riprovare ad aggiornare queste impostazioni o ripristinarle ai valori precedenti.
**Per risolvere le impostazioni di aggiornamento non riuscite**
+ In **Impostazioni della directory**, scegli **Risolvi impostazioni non riuscite**. Effettua quindi una delle seguenti operazioni:
+ Per ripristinare le impostazioni al valore originale precedente all'errore, scegli **Ripristina impostazioni non riuscite.** Quindi, scegli **Ripristina** nel pop-up.
+ Per riprovare ad aggiornare le impostazioni della directory, scegli **Riprova impostazioni non riuscite**. Se desideri apportare ulteriori modifiche alle impostazioni della directory prima di riprovare gli aggiornamenti non riusciti, scegli **Continua a modificare**. In **Verifica e riprova gli aggiornamenti non riusciti**, scegli **Aggiorna impostazioni**.
## Elenco delle impostazioni di sicurezza della directory
L'elenco seguente mostra il tipo, il nome, il nome API, i valori potenziali e la descrizione delle impostazioni per tutte le impostazioni di sicurezza delle directory disponibili.
TLS 1.2 e AES 256/256 sono le impostazioni di sicurezza delle directory predefinite se tutte le altre impostazioni di sicurezza sono disabilitate. Queste impostazioni non possono essere disabilitate.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Abilita la crittografia a chiave pubblica per l'autenticazione iniziale (PKINIT) per gli utenti di AWS Microsoft AD gestito
AWS Le directory Microsoft AD gestite utilizzano l'associazione avanzata dei certificati per impostazione predefinita, che richiede una mappatura esplicita tra certificati e oggetti AD. Le seguenti mappature sono considerate affidabili per Managed AWS Microsoft AD:
+ `altSecurityIdentities`Emittente e numero di serie
+ `altSecurityIdentities`Identificatore chiave del soggetto
+ `altSecurityIdentities` SHA1 Hash della chiave pubblica
Questi attributi consentono una mappatura avanzata dei certificati, che fornisce una maggiore sicurezza per l'autenticazione basata su certificati richiedendo certificate-to-user relazioni esplicite definite in Active Directory. Questo aiuta a prevenire gli attacchi di escalation dei privilegi basati sui certificati
È possibile utilizzare questa procedura per configurare solide associazioni di certificati per prevenire gli attacchi di escalation dei privilegi mantenendo al contempo la funzionalità di autenticazione dei certificati.
Per ulteriori informazioni, vedere [Microsoft KB5014754: modifiche all'autenticazione basata su certificati](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) nei controller di dominio Windows
## Prerequisiti
+ Una directory Microsoft AD AWS gestita con autorità di certificazione configurata
+ Accesso amministrativo all'ambiente Active Directory
+ PowerShell con il modulo Active Directory installato
+ Il certificato che desideri mappare all'oggetto AD
## AltSecurityIdentity Attributo della mappa
1. Scegli uno dei seguenti metodi di `AltSecurityIdentity` mappatura in base alle informazioni del certificato:
+ **SHA1 hash**: utilizza l' SHA1 hash della chiave pubblica del certificato
Per la mappatura SHA1 hash, estrai l'hash del certificato e applicalo all'oggetto utente:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Emittente e numero di serie: utilizza il nome e il numero** di serie dell'emittente del certificato
Per la mappatura dell'emittente e del numero di serie, utilizza l'emittente e il numero di serie del certificato:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Identificatore chiave dell'oggetto: utilizza l'estensione dell'identificatore** della chiave dell'oggetto del certificato
Per la mappatura dell'identificatore della chiave dell'oggetto, utilizza l'identificatore della chiave dell'oggetto del certificato:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Verifica che la mappatura sia stata applicata correttamente:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Attendi il completamento della replica di Active Directory (in genere 15-30 secondi) prima di testare l'autenticazione del certificato.
## Esempio: mappatura in blocco dell'attributo da parte di un certificato AltSecurityIdentity
L'esempio seguente mostra come mappare l'`AltSecurityIdentity`attributo per più certificati utente di un'autorità di certificazione:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Fasi successive
+ Verifica l'autenticazione basata sui certificati con i tuoi certificati mappati
+ Configura le tue applicazioni per utilizzare i certificati mappati per l'autenticazione
+ [Monitora il tuo AWS Managed Microsoft AD](ms_ad_monitor.md)per eventi di autenticazione
# Configurazione di AWS Private CA Connector for AD per AWS Managed Microsoft AD
Puoi integrare AWS Managed Microsoft AD con [AWS Autorità di certificazione privata (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) per emettere e gestire certificati per i controller di dominio Active Directory, gli utenti aggiunti al dominio, i gruppi e i computer. AWS Private CA Connector for Active Directory ti consente di utilizzare un sostituto AWS Private CA drop-in completamente gestito per la tua azienda autogestita CAs senza la necessità di distribuire, applicare patch o aggiornare agenti locali o server proxy.
Puoi configurare AWS Private CA l'integrazione con la tua directory tramite la Directory Service console, la console AWS Private CA Connector for Active Directory o chiamando l'API. [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) Per configurare l'integrazione di Private CA tramite la console AWS Private CA Connector for Active Directory, vedi [Creazione di un modello di connettore](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Consulta i seguenti passaggi su come configurare questa integrazione dalla Directory Service console.
## Configurazione di AWS Private CA Connector for AD
**Per creare un connettore CA privato per Active Directory**
1. Accedi a Console di gestione AWS e apri la Directory Service console all'indirizzo[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Nella pagina **Directories** (Directory), scegli l'ID della directory.
1. Nella scheda **Gestione delle AWS applicazioni** **e nella sezione App e servizi**, scegli **AWS Private CA Connector for AD**.
1. Nella pagina **Crea certificato CA privato per Active Directory**, completa i passaggi per creare il connettore CA privata per Active Directory.
Per ulteriori informazioni, consulta [Creazione di un connettore](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## Visualizzazione di AWS Private CA Connector for AD
**Per visualizzare i dettagli del connettore CA privato**
1. Accedi a Console di gestione AWS e apri la Directory Service console all'indirizzo[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Nella pagina **Directories** (Directory), scegli l'ID della directory.
1. Nella scheda **Gestione delle AWS applicazioni** **e nella sezione app e servizi**, visualizza i connettori CA privati e la CA privata associata. Vengono visualizzati i seguenti campi:
1. **AWS Private CA ID connettore**: l'identificatore univoco di un AWS Private CA connettore. Sceglilo per visualizzare la pagina dei dettagli.
1. **AWS Private CA oggetto**: informazioni relative al nome distinto della CA. Sceglilo per visualizzare la pagina dei dettagli.
1. **Status**: risultati del controllo dello stato del AWS Private CA Connector e AWS Private CA:
+ **Attivo**: entrambi i controlli vengono superati
+ **1/2 controlli non riusciti**: un controllo fallisce
+ **Fallito**: entrambi i controlli hanno esito negativo
Per informazioni sullo stato dell'errore, passa il mouse sul collegamento ipertestuale per vedere quale controllo non è riuscito.
1. Stato di **registrazione dei certificati DC: verifica dello stato dello stato** del certificato del controller di dominio:
+ **Abilitato**: la registrazione dei certificati è abilitata
+ **Disabilitata**: la registrazione dei certificati è disabilitata
1. **Data di creazione**: quando è stato creato il AWS Private CA connettore.
Per ulteriori informazioni, consulta [Visualizzazione dei dettagli del connettore](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
La tabella seguente mostra i diversi stati per la registrazione dei certificati dei controller di dominio per Managed AWS Microsoft AD con. AWS Private CA
| Stato della registrazione DC | Description | Operazione richiesta |
| --- | --- | --- |
| Abilitato | I certificati dei controller di dominio sono stati registrati correttamente nella directory. | Nessuna operazione necessaria. |
| Non riuscito | L'attivazione o la disabilitazione della registrazione dei certificati del controller di dominio non è riuscita per la tua directory. | Se l'operazione di attivazione fallisce, riprova disattivando i certificati del controller di dominio e riaccendendendoli. Se l'azione di disabilitazione fallisce, riprova attivando i certificati dei controller di dominio e quindi disattivando nuovamente. Se il nuovo tentativo fallisce, contatta l' AWS assistenza. |
| Impaired (Insufficiente) | I controller di dominio presentano problemi di connettività di rete nella comunicazione con gli endpoint. AWS Private CA | Controlla le policy degli endpoint AWS Private CA VPC e dei bucket S3 per consentire la connettività di rete con la tua directory. [Per ulteriori informazioni, consulta [Risoluzione dei messaggi di eccezione dell'Autorità di certificazione AWS privata e Risoluzione dei problemi di revoca dei certificati](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html). AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html) |
| Disabilitato | La registrazione dei certificati del controller di dominio è stata disattivata correttamente per la tua directory. | Nessuna operazione necessaria. |
| Disabilitazione | La disabilitazione della registrazione dei certificati del controller di dominio è in corso. | Nessuna operazione necessaria. |
| Abilitazione | L'attivazione della registrazione dei certificati del controller di dominio è in corso. | Nessuna operazione necessaria. |
## Configurazione delle politiche AD
AWS Private CA Connector for AD deve essere configurato in modo che i controller di dominio e gli oggetti di Microsoft AD AWS gestiti possano richiedere e ricevere certificati. Configura il tuo oggetto di policy di gruppo ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) in modo da AWS Private CA poter emettere certificati per oggetti Microsoft AD AWS gestiti.
### Configurazione delle politiche di Active Directory per i controller di dominio
**Attiva i criteri di Active Directory per i controller di dominio**
1. Apri la scheda **Rete e sicurezza**.
1. Scegli **AWS Private CA Connettori**.
1. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.
1. Scegli **Azioni**, **Abilita i certificati del controller di dominio**.
**Importante**
Configura un modello di controller di dominio valido prima di attivare i certificati dei controller di dominio per evitare aggiornamenti ritardati.
Dopo aver attivato la registrazione dei certificati dei controller di dominio, i controller di dominio della directory richiedono e ricevono certificati da AWS Private CA Connector for AD.
Per modificare l'emissione dei certificati dei controller di dominio, collega innanzitutto i nuovi certificati AWS Private CA alla directory utilizzando un nuovo AWS Private CA Connector AWS Private CA for AD. Prima di attivare la registrazione dei certificati su quello nuovo AWS Private CA, disattiva la registrazione dei certificati su quello esistente:
**Disattiva i certificati del controller di dominio**
1. Apri la scheda **Rete e sicurezza**.
1. Scegli **AWS Private CA Connettori**.
1. Scegli un connettore collegato all' AWS Private CA oggetto che rilascia i certificati del controller di dominio nella tua directory.
1. Scegli **Azioni**, **Disabilita i certificati del controller di dominio**.
### Configurazione delle politiche di Active Directory per utenti, computer e macchine aggiunti al dominio
**Configura gli oggetti delle politiche di gruppo**
1. Connect all'istanza di amministrazione di Microsoft AD AWS Managed e apri [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) dal menu **Start**.
1. In **Strumenti**, scegli **Gestione dei criteri di gruppo**.
1. In **Foresta e domini**, individua l'unità organizzativa (OU) del sottodominio (ad esempio, `corp` è l'unità organizzativa del sottodominio se hai seguito le procedure descritte in[Creazione del tuo AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) e fai clic con il pulsante destro del mouse sull'unità organizzativa del sottodominio. Scegli **Crea un GPO in questo dominio, collegalo qui e** inserisci PCA GPO come nome. Scegli **OK**.
1. Il GPO appena creato viene visualizzato dopo il nome del sottodominio. **Fai clic con il pulsante destro del mouse su `PCA GPO` e scegli Modifica.** Se si apre una finestra di dialogo con un messaggio di avviso che indica che si tratta di un collegamento e che le modifiche vengono propagate a livello globale, confermate il messaggio scegliendo **OK per continuare**. Viene visualizzata la finestra **Group Policy Management Editor**.
1. Nella finestra **Group Policy Management Editor**, vai a **Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica** (scegli la cartella).
1. In **Tipo di oggetto**, scegli **Certificate Services Client - Certificate Enrollment Policy.**
1. **Nella finestra **Certificate Services Client - Certificate Enrollment Policy**, modificate il modello di **configurazione** su Abilitato.**
1. **Conferma che la **politica di registrazione di Active Directory** sia selezionata e abilitata.** Scegliere **Aggiungi**.
1. Viene visualizzata la **finestra di dialogo Certificate Enrollment Policy Server.** Immettete l'endpoint del server della politica di iscrizione del certificato generato al momento della creazione del connettore nel **campo Enter enrollment** Server Policy URI. **Lascia che il tipo di **autenticazione sia integrato in Windows**.**
1. Scegli **Convalida.** **Una volta completata la convalida, scegli Aggiungi.**
1. **Tornate alla finestra di dialogo Certificate Services Client - Certificate Enrollment Policy** e selezionate la casella accanto al connettore appena creato per assicurarvi che il connettore sia la politica di registrazione predefinita.
1. **Scegli **Active Directory Enrollment** Policy e scegli Rimuovi.**
1. Nella finestra di dialogo di conferma, scegli **Sì** per eliminare l'autenticazione basata su LDAP.
1. Scegli **Applica** e quindi **OK nella finestra** **Certificate Services Client - Certificate Enrollment** Policy. Quindi chiudi la finestra.
1. In **Tipo di oggetto** per la **cartella Public Key Policies, scegli Certificate Services Client - Auto-Enrollment**.
1. **Modificate l'opzione **Modello di configurazione** su Abilitato.**
1. Conferma che le opzioni **Rinnova certificati scaduti** e **Aggiorna certificati** siano entrambe selezionate. Lascia le altre impostazioni così come sono.
1. Scegliete **Applica**, quindi **OK** e chiudete la finestra di dialogo.
Quindi, configurate le politiche a chiave pubblica per la configurazione dell'utente ripetendo i passaggi 6-17 nella sezione **Configurazione utente > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Politiche a chiave pubblica**.
Dopo aver completato la configurazione GPOs e le politiche a chiave pubblica, gli oggetti del dominio richiedono i certificati da AWS Private CA Connector for AD e ricevono i certificati emessi da. AWS Private CA
## Conferma dell'emissione di un AWS Private CA certificato
Il processo di aggiornamento AWS Private CA per l'emissione di certificati per AWS Managed Microsoft AD può richiedere fino a 8 ore.
Puoi effettuare una delle seguenti operazioni:
+ Puoi aspettare questo periodo di tempo.
+ È possibile riavviare i computer collegati al dominio Microsoft AD AWS gestito che erano configurati per ricevere certificati da AWS Private CA. Puoi quindi confermare che i certificati sono AWS Private CA stati emessi per i membri del tuo dominio Microsoft AD AWS gestito seguendo la procedura riportata nella [Microsoftdocumentazione](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ È possibile utilizzare il PowerShell comando seguente per aggiornare i certificati per AWS Managed Microsoft AD:
```
certutil -pulse
```