As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteja seu Microsoft AD AWS gerenciado
Você pode usar políticas de senha, recursos como autenticação multifator (MFA) e configurações para proteger seu Microsoft AD AWS gerenciado. As formas de proteger o diretório incluem:
+ [Entenda como as políticas de senha no Active Directory funcionam](ms_ad_password_policies.md) para que possam ser aplicadas aos usuários AWS gerenciados do Microsoft AD. Você também pode delegar qual usuário pode gerenciar suas políticas de senha AWS gerenciada do Microsoft AD.
+ [Ative o MFA](ms_ad_mfa.md), o que aumenta sua segurança gerenciada AWS do Microsoft AD.
+ [>Habilite o Lightweight Directory Access Protocol over Secure Socket Layer (SSL) e Transport Layer Security (TLS) (LDAPS)](ms_ad_ldap.md) para que as comunicações via LDAP sejam criptografadas e melhorem a segurança.
+ [Gerencie sua conformidade com o AWS Managed Microsoft AD](ms_ad_compliance.md) com padrões como o Federal Risk and Authorization Management Program (FedRAMP) e o Payment Card Industry (PCI) Data Security Standard (DSS).
+ [Melhore sua configuração de segurança de rede AWS gerenciada do Microsoft AD>](ms_ad_network_security.md) modificando o Grupo de AWS Segurança para atender às necessidades do seu ambiente.
+ [Edite suas configurações de segurança de diretório AWS gerenciado do Microsoft AD](ms_ad_directory_settings.md), como Autenticação Baseada de Certificados, Cifra de Canal Seguro e Protocolo, para atender às suas necessidades.
+ [Configure o Autoridade de Certificação Privada da AWS Connector for AD para](ms_ad_pca_connector.md) que você possa emitir e gerenciar certificados para seu Microsoft AD AWS gerenciado com CA Privada da AWS.
# Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD
AWS O Microsoft AD gerenciado permite que você defina e atribua diferentes políticas de bloqueio de senha e conta (também conhecidas como políticas de [senha refinadas](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) para grupos de usuários que você gerencia em seu domínio gerenciado do AWS Microsoft AD. Quando você cria um diretório AWS gerenciado do Microsoft AD, uma política de domínio padrão é criada e aplicada ao Active Directory. Essa política inclui as seguintes configurações:
****
| Política | Configuração |
| --- | --- |
| Aplicar histórico de senha | 24 senhas memorizadas |
| Tempo de vida máximo da senha | 42 dias \$1 |
| Tempo de vida mínimo da senha | 1 dia |
| Tamanho mínimo da senha | 7 caracteres |
| A senha deve atender aos requisitos de complexidade | Habilitado |
| Armazenar senhas com criptografia reversível | Desabilitado |
**nota**
\$1 O tempo máximo de 42 dias da senha inclui a senha de administrador.
Por exemplo, você pode atribuir uma configuração de política menos rigorosa a funcionários que têm acesso apenas a informações de baixa de suscetibilidade. Para os gerentes sênior que acessam regularmente informações confidenciais, você poderá aplicar configurações mais restritas.
Os seguintes recursos fornecem mais informações sobre políticas de senha e políticas de segurança refinadas do Microsoft Active Directory:
+ [Configure security policy settings](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Password complexity requirements](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Password complexity security considerations](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fornece um conjunto de políticas de senha refinadas no AWS Microsoft AD gerenciado que você pode configurar e atribuir aos seus grupos. Para configurar as políticas, é possível usar as ferramentas de política padrão da Microsoft como a [Central Administrativa do Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Para aprender os conceitos básicos das ferramentas de política da Microsoft, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).
## Como as políticas de senha são aplicadas
Há diferenças na forma como as políticas de senha refinadas são aplicadas, dependendo se a senha foi redefinida ou alterada. Os usuários do domínio podem alterar a própria senha. Um administrador ou usuário do Active Directory com as permissões necessárias pode [redefinir as senhas dos usuários](ms_ad_manage_users_groups_reset_password.md). Consulte o gráfico a seguir para obter mais informações.
****
| Política | Redefinição de senhas | Alteração de senhas |
| --- | --- | --- |
| Impor o histórico de senhas | ![\[No\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Sim |
| Tempo de vida máximo da senha | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
| Tempo de vida mínimo da senha | ![\[No\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-no.png) No (Não) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Sim |
| Tamanho mínimo da senha | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
| A senha deve atender aos requisitos de complexidade | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/icon-yes.png) Yes (Sim) |
Essas diferenças têm implicações de segurança. Por exemplo, sempre que a senha de um usuário é redefinida, as políticas de imposição do histórico de senhas e da idade mínima da senha não são aplicadas. Para obter mais informações, consulte a documentação da Microsoft sobre as considerações de segurança relacionadas às políticas de [imposição do histórico de senhas](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) e da [idade mínima da senha](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Configurações de políticas compatíveis
AWS O Microsoft AD gerenciado inclui cinco políticas refinadas com um valor de precedência não editável. As políticas têm algumas propriedades que você pode configurar para reforçar as ações de bloqueio de senhas e conta no caso de falhas de login. Você pode atribuir as políticas a zero ou mais grupos do Active Directory. Se um usuário final é membro de vários grupos e recebe mais de uma política de senha, o Active Directory aplica a política com o menor valor de precedência.
### AWS políticas de senha predefinidas
A tabela a seguir lista as cinco políticas incluídas em seu diretório AWS gerenciado do Microsoft AD e seu valor de precedência atribuído. Para obter mais informações, consulte [Precedência](#precedence).
****
| Nome da política | Precedência |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propriedades de políticas de senha
Você pode editar as propriedades a seguir em suas políticas de senha a fim de que se adaptem aos padrões de conformidade que atendam às suas necessidades comerciais.
+ Nome da política
+ [Impor o histórico de senhas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Tamanho mínimo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Tempo de vida mínimo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Tempo de vida máximo da senha](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Armazenar senhas com criptografia reversível](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [A senha deve atender aos requisitos de complexidade](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Você não pode modificar os valores de precedência dessas políticas. *Para obter mais detalhes sobre como essas configurações afetam a imposição de senhas, consulte [AD DS: políticas de senha refinadas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) no site da Microsoft. TechNet* Para obter informações gerais sobre essas políticas, consulte [Política de senha](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) no TechNet site *da Microsoft*.
### Políticas de bloqueio de contas
Você também pode modificar as propriedades a seguir das suas políticas de senha para especificar se e como Active Directory deve bloquear uma conta após falhas de login:
+ Número de tentativas de login com falha permitidas
+ Duração de bloqueio de conta
+ Redefinir tentativas de login com falha após algum período
Para obter informações gerais sobre essas políticas, consulte [Política de bloqueio de conta](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) no TechNet site da *Microsoft*.
### Precedência
As políticas com um valor de precedência menor têm prioridade mais alta. Você atribui políticas de senha a grupos de segurança do Active Directory. Embora você deva aplicar uma única política a um grupo de segurança, um único usuário pode receber mais de uma política de senha. Por exemplo, suponha que `jsmith` seja membro dos grupos HR e MANAGERS. Se você atribuir a política **CustomerPSO-05** (que tem uma precedência de 50) ao grupo HR e a política **CustomerPSO-04** (que tem uma precedência de 40) ao grupo MANAGERS, **CustomerPSO-04** terá prioridade e o Active Directory aplicará essa política ao usuário `jsmith`.
Se você atribuir várias políticas a um usuário ou grupo, o Active Directory determinará a política resultante de acordo com o seguinte:
1. Uma política que você atribui diretamente ao objeto de usuário é aplicável.
1. Se nenhuma política é atribuída diretamente ao objeto de usuário, será aplicada a política com o menor valor de precedência entre todas as políticas recebidas pelo usuário como resultado de uma associação de grupos.
*Para obter detalhes adicionais, consulte [AD DS: políticas de senha refinadas](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) no site da Microsoft. TechNet*
**Topics**
+ [Como as políticas de senha são aplicadas](#how_password_policies_applied)
+ [Configurações de políticas compatíveis](#supportedpolicysettings)
+ [Atribuindo políticas de senha aos seus usuários AWS gerenciados do Microsoft AD](assignpasswordpolicies.md)
+ [Delegar quem pode gerenciar suas políticas de senha AWS gerenciada do Microsoft AD](delegatepasswordpolicies.md)
**Artigo do blog AWS de segurança relacionado**
+ [Como configurar políticas de senha ainda mais fortes para ajudar a atender aos seus padrões de segurança usando Directory Service o Microsoft AD AWS gerenciado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Atribuindo políticas de senha aos seus usuários AWS gerenciados do Microsoft AD
As contas de usuário que são membros do grupo de segurança **Administradores delegados de políticas de senhas minuciosas da AWS ** podem usar o procedimento a seguir para atribuir políticas a usuários e grupos de segurança.
**Para atribuir políticas de senha aos usuários**
1. Inicie o [centro administrativo do Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) a partir de qualquer instância EC2 gerenciada que você associou ao seu domínio gerenciado AWS do Microsoft AD.
1. Alterne para a **Exibição em árvore** e navegue até **System\$1Password Settings Container**.
1. Clique duas vezes na política minuciosa que deseja editar. Clique em **Add (Adicionar)** para editar as propriedades de políticas e adicionar usuários ou grupos de segurança à política. Para mais informações sobre as políticas minuciosas padrão fornecidas com o AWS Managed Microsoft AD consulte [AWS políticas de senha predefinidas](ms_ad_password_policies.md#supportedpwdpolicies).
1. Para verificar se a política de senha foi aplicada, execute o seguinte PowerShell comando:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**nota**
Evite usar o comando `net user`, pois seus resultados podem ser imprecisos.
Se você não configurar nenhuma das cinco políticas de senha em seu diretório AWS gerenciado do Microsoft AD, o Active Directory usará a política de grupo de domínio padrão. Para obter mais detalhes sobre como usar o **Contêiner de configurações de senha**, consulte [este post no blog da Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegar quem pode gerenciar suas políticas de senha AWS gerenciada do Microsoft AD
Você pode delegar permissões para gerenciar políticas de senha a contas de usuário específicas criadas no Microsoft AD AWS gerenciado adicionando as contas ao grupo de segurança **Administradores de Política de Senha AWS Delegada de Precisão Granular**. Quando uma conta passa a ser membro desse grupo, ela tem permissões para editar e configurar qualquer uma das políticas de senha listadas [anteriormente](ms_ad_password_policies.md#supportedpwdpolicies).
**Para delegar quem pode gerenciar as políticas de senha**
1. Inicie o [centro administrativo do Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) a partir de qualquer instância EC2 gerenciada que você associou ao seu domínio gerenciado AWS do Microsoft AD.
1. Alterne para a **Visualização em árvore** e navegue até a UO **Grupos delegados da AWS **. Para obter mais informações sobre essa UO, consulte [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md).
1. Encontre o grupo de usuários **Administradores delegados de políticas de senhas minuciosas da AWS **. Adicione quaisquer usuários ou grupos do domínio a esse grupo.
# Habilitando a autenticação multifator para o AWS Managed Microsoft AD
Você pode habilitar a autenticação multifator (MFA) para seu diretório AWS gerenciado do Microsoft AD para aumentar a segurança quando seus usuários especificarem suas credenciais do AD para acessar aplicativos Amazon Enterprise compatíveis. Quando você habilita a MFA, os usuários inserem nome de usuário e senha (primeiro fator) normalmente, depois inserem um código de autenticação (segundo fator) obtido pela sua solução de MFA virtual ou de hardware. Esses fatores juntos proporcionam segurança adicional, impedindo o acesso aos seus aplicativos empresariais da Amazon, a menos que os usuários informem credenciais válidas e um código válido de MFA.
Para habilitar a MFA, é necessário ter uma solução de MFA que seja um servidor [Remote Authentication Dial-in User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) ou MFA, ou ter um plug-in MFA para um servidor RADIUS já implementado na sua infraestrutura on-premises. A solução de MFA deve implementar Senhas únicas (OTP) que os usuários conseguem pelo dispositivo de hardware ou por um software em execução em um dispositivo, como telefone celular.
O RADIUS é um client/server protocolo padrão do setor que fornece gerenciamento de autenticação, autorização e contabilidade para permitir que os usuários se conectem aos serviços de rede. AWS O Microsoft AD gerenciado inclui um cliente RADIUS que se conecta ao servidor RADIUS no qual você implementou sua solução de MFA. Seu servidor RADIUS valida o nome de usuário e código OTP. Se o servidor RADIUS validar com êxito o usuário, o Managed AWS Microsoft AD autenticará o usuário no Active Directory. Depois da autenticação bem-sucedida no Active Directory, os usuários podem acessar a aplicação da AWS . A comunicação entre o cliente Microsoft AD RADIUS AWS gerenciado e seu servidor RADIUS exige que você configure grupos de AWS segurança que permitam a comunicação pela porta 1812.
Você pode habilitar a autenticação multifator para seu diretório AWS gerenciado do Microsoft AD executando o procedimento a seguir. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Directory Service e MFA, consulte [Pré-requisitos da autenticação multifator](ms_ad_getting_started.md#prereq_mfa_ad).
## Considerações
Confira estas considerações sobre a autenticação multifator no AWS Managed Microsoft AD:
+ A autenticação multifator não está disponível para o Simple AD. No entanto, o MFA pode ser habilitado para seu diretório do AD Connector. Para obter mais informações, consulte [Como habilitar a autenticação multifator para o AD Connector](ad_connector_mfa.md).
+ O MFA é um recurso regional do Managed AWS Microsoft AD. Se você estiver usando a [replicação multirregional](ms_ad_configure_multi_region_replication.md), só poderá usar o MFA na região primária do seu Microsoft AD gerenciado AWS .
+ Se você pretende usar o Microsoft AD AWS gerenciado para comunicações externas, recomendamos que você configure um Gateway de Internet de Tradução de Endereços de Rede (NAT) ou um Gateway de Internet fora da AWS rede para essas comunicações.
+ Se você deseja oferecer suporte a comunicações externas entre seu Microsoft AD AWS gerenciado e seu servidor RADIUS hospedado na AWS rede, entre em contato com [Suporte](https://console.aws.amazon.com/support/home#/).
+ Todos os aplicativos de TI da Amazon Enterprise WorkSpaces WorkDocs, incluindo Amazon WorkMail, Amazon Quick e acesso Centro de Identidade do AWS IAM e Console de gerenciamento da AWS são suportados ao usar o Microsoft AD AWS gerenciado e o AD Connector com MFA. Esses AWS aplicativos que usam MFA não são suportados em várias regiões.
Para obter mais informações, consulte [Como habilitar a autenticação multifator para AWS serviços usando o Microsoft AD AWS gerenciado e credenciais locais](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Para obter informações sobre como configurar o acesso básico do usuário aos aplicativos Amazon Enterprise, o AWS Single Sign-On e o Console de gerenciamento da AWS uso Directory Service, consulte e. [Acesso a AWS aplicativos e serviços do seu Microsoft AD AWS gerenciado](ms_ad_manage_apps_services.md) [Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md)
+ Veja a seguir esta postagem do Blog de AWS Segurança para saber como habilitar o MFA para WorkSpaces usuários da Amazon em seu AWS Microsoft AD gerenciado, [como habilitar a autenticação multifator para AWS serviços usando o AWS Microsoft AD gerenciado](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) e credenciais locais
## Habilite a autenticação multifator para o AWS Managed Microsoft AD
O procedimento a seguir mostra como habilitar a autenticação multifator para o AWS Managed Microsoft AD.
1. Identifique o endereço IP do seu servidor RADIUS MFA e do seu diretório AWS gerenciado do Microsoft AD.
1. Edite seus grupos de segurança da Virtual Private Cloud (VPC) para permitir a comunicação pela porta 1812 entre seus endpoints IP gerenciados AWS do Microsoft AD e seu servidor RADIUS MFA.
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link da ID do diretório para seu diretório AWS gerenciado do Microsoft AD.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja habilitar a MFA e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Multi-factor authentication (Autenticação multifator)**, escolha **Actions (Ações)** e **Enable (Habilitar)**.
1. Na página **Habilitar a autenticação multifator (MFA**), forneça os seguintes valores:
**Rótulo de exibição**
Forneça um nome de rótulo.
**Nome de DNS ou endereços IP do servidor RADIUS**
O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separados por vírgulas (por exemplo, `192.0.0.0,192.0.0.12`).
O RADIUS MFA é aplicável somente para autenticar Console de gerenciamento da AWS o acesso aos aplicativos e serviços da Amazon Enterprise WorkSpaces, como Amazon Quick ou Amazon Chime. Os aplicativos e serviços da Amazon Enterprise só são suportados na região primária se a replicação multirregional estiver configurada para seu AWS Microsoft AD gerenciado. Ele não fornece MFA para cargas de trabalho do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. Directory Service não oferece suporte à autenticação RADIUS Challenge/Response.
Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que realize MFA, out-of-band como notificação push ou senhas de uso único (OTP) do autenticador para o usuário. Nas soluções de out-of-band MFA, você deve se certificar de definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de out-of-band MFA, a página de login solicitará ao usuário um código de MFA. Nesse caso, os usuários devem inserir a senha no campo de senha e no campo de MFA.
**Porta**
A porta que o servidor RADIUS está usando para comunicações. Sua rede local deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (UDP: 1812) dos servidores. Directory Service
**Shared secret code (Código secreto compartilhado)**
O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.
**Confirm shared secret code** (Confirmar código secreto compartilhado)
Confirme o código secreto compartilhado para os endpoints do RADIUS.
**Protocolo**
Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.
**Tempo limite do servidor (em segundos)**
O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.
Recomendamos configurar o tempo limite do servidor RADIUS para 20 segundos ou menos. Se o tempo limite exceder 20 segundos, o sistema não poderá tentar novamente com outro servidor RADIUS, o que poderá resultar em uma falha de tempo limite.
**Máximo de novas tentativas de solicitação RADIUS**
O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.
A autenticação multifator está disponível quando o **Status RADIUS** muda para **Habilitado**.
1. Escolha **Habilitar**.
# Como habilitar o LDAP seguro ou LDAPS
O LDAP (Lightweight Directory Access Protocol) é um protocolo de comunicações padrão usado para ler e gravar dados no Active Directory. Alguns aplicativos utilizam o LDAP para adicionar, remover ou pesquisar usuários e grupos no Active Directory ou para transportar credenciais para autenticar usuários no Active Directory. Cada comunicação LDAP inclui um cliente (como um aplicativo) e um servidor (como o Active Directory).
Por padrão, as comunicações sobre LDAP não são criptografadas. Isso permite que um usuário malicioso use o software de monitoramento de rede para visualizar pacotes de dados na conexão. Isso explica porque muitas políticas de segurança corporativas geralmente exigem que as organizações criptografem todas as comunicações LDAP.
Para mitigar essa forma de exposição de dados, o AWS Managed Microsoft AD oferece uma opção: você pode habilitar o LDAP via Secure Sockets Layer (SSL) /Transport Layer Security (TLS), também conhecido como LDAPS. Com o LDAPS, é possível aumentar a segurança em toda a rede. Você também pode atender aos requisitos de conformidade criptografando todas as comunicações entre seus aplicativos habilitados para LDAP e o Managed AWS Microsoft AD.
AWS O Microsoft AD gerenciado fornece suporte para LDAPS nos seguintes cenários de implantação:
+ O **LDAPS no lado do servidor** criptografa as comunicações LDAP entre suas aplicações comerciais ou domésticas com reconhecimento de LDAP (atuando como clientes LDAP) e o AWS Managed Microsoft AD (atuando como um servidor LDAP). Para obter mais informações, consulte [Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS](ms_ad_ldap_server_side.md).
+ O **LDAPS do lado do cliente** criptografa as comunicações LDAP entre AWS aplicativos, como WorkSpaces (atuando como clientes LDAP) e seu Active Directory autogerenciado (local) (atuando como servidor LDAP). Para obter mais informações, consulte [Habilitando o LDAPS do lado do cliente usando o Microsoft AD gerenciado AWS](ms_ad_ldap_client_side.md).
Para obter mais informações sobre as melhores práticas relacionadas à proteção da implementação do Microsoft Active Directory Certificate Services, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate).
**Topics**
+ [Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS](ms_ad_ldap_server_side.md)
+ [Habilitando o LDAPS do lado do cliente usando o Microsoft AD gerenciado AWS](ms_ad_ldap_client_side.md)
# Habilitando o LDAPS do lado do servidor usando o Microsoft AD gerenciado AWS
O Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) suporte do lado do servidor criptografa as LDAP comunicações entre seus LDAP aplicativos comerciais ou internos e seu diretório gerenciado do Microsoft AD. AWS Isso ajuda a aumentar a segurança em toda a rede e atender aos requisitos de conformidade usando o protocolo criptográfico Secure Sockets Layer (SSL).
## Habilite o LDAPS do lado do servidor usando Autoridade de Certificação Privada da AWS
Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA) usando, consulte. CA Privada da AWS[Configurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado](ms_ad_pca_connector.md)
## Habilitar o LDAPS no lado do servidor usando Microsoft CA
Para obter instruções detalhadas sobre como instalar e configurar o LDAPS do lado do servidor e seu servidor de autoridade de certificação (CA), consulte [Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD no blog de segurança. AWS
Você deve fazer a maior parte da configuração da instância do Amazon EC2 que você usa para gerenciar os controladores de domínio do AWS Managed Microsoft AD. As etapas a seguir guiarão você pelo processo de habilitar o LDAPS no domínio da Nuvem AWS.
Se quiser usar a automação para configurar sua PKI infraestrutura, você pode usar a [infraestrutura de chave Microsoft pública no AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). Especificamente, você deve seguir as instruções no guia para carregar o modelo para [Implantar a MicrosoftPKI em uma VPC existente na AWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). Depois de carregar o modelo, certifique-se de escolher **`AWSManaged`** ao acessar a opção **Tipo de serviços de domínio do Active Directory**. Se você usou o QuickStart guia, você pode pular diretamente para[Etapa 3: Criar um modelo de certificado](#createcustomcert).
**Topics**
+ [Etapa 1: delegar quem pode habilitar o LDAPS](#grantpermsldaps)
+ [Etapa 2: configurar a autoridade de certificação](#setupca)
+ [Etapa 3: Criar um modelo de certificado](#createcustomcert)
+ [Etapa 4: adicionar regras do grupo de segurança](#addgrouprules)
### Etapa 1: delegar quem pode habilitar o LDAPS
Para habilitar o LDAPS do lado do servidor, você deve ser membro do grupo Administradores ou Administradores da Autoridade Certificadora Empresarial AWS Delegada em seu diretório gerenciado do Microsoft AD. AWS Como opção, você pode ser o usuário administrativo padrão (conta de administrador). Se preferir, você poderá ter um usuário diferente do LDAPS de configuração da conta de administrador. Nesse caso, adicione esse usuário ao grupo Administradores ou Administradores da Autoridade de Certificação Empresarial AWS Delegada em seu diretório gerenciado do AWS Microsoft AD.
### Etapa 2: configurar a autoridade de certificação
Antes de habilitar o LDAPS no lado do servidor, você deve criar um certificado. Esse certificado precisa ser emitido por um servidor Microsoft Enterprise CA que esteja associado ao domínio do AWS Managed Microsoft AD. Depois de criado, o certificado deve ser instalado em cada um dos controladores de domínio no domínio. Este certificado permite que o serviço LDAP em controladores de domínio escute e aceite automaticamente conexões SSL de clientes LDAP.
**nota**
O LDAPS do lado do servidor com AWS Microsoft AD gerenciado não oferece suporte a certificados emitidos por uma CA autônoma. Ele também não oferece suporte a certificados emitidos por uma autoridade de certificação de terceiros.
Dependendo de sua necessidade comercial, você tem as seguintes opções para configurar ou conectar uma CA a seu domínio:
+ **Crie um subordinado Microsoft Enterprise CA** — (Recomendado) Com essa opção, você pode implantar um Microsoft Enterprise CA servidor subordinado na AWS nuvem. O servidor pode usar o Amazon EC2 para funcionar com a CA raiz da Microsoft existente. Para obter mais informações sobre como configurar um subordinado MicrosoftEnterprise CA, consulte **Etapa 4: Adicionar um Microsoft Enterprise CA ao seu AWS Microsoft AD diretório** em [Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) do Microsoft AD.
+ **Crie uma raiz Microsoft Enterprise CA** — Com essa opção, você pode criar uma raiz Microsoft Enterprise CA na AWS nuvem usando o Amazon EC2 e associá-la ao seu domínio gerenciado AWS do Microsoft AD. Essa CA raiz pode emitir o certificado para seus controladores de domínio. Para obter mais informações sobre como configurar uma nova CA raiz, consulte **Etapa 3: Instalar e configurar uma CA offline** em [Como habilitar o LDAPS do lado do servidor para seu diretório gerenciado do AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Para obter mais informações sobre como adicionar a instância do EC2 ao domínio, consulte [Maneiras de unir uma instância do Amazon EC2 ao seu AWS Microsoft AD gerenciado](ms_ad_join_instance.md).
### Etapa 3: Criar um modelo de certificado
Após configurar a Enterprise CA, é possível configurar o modelo do certificado de autenticação Kerberos.
**Para criar um modelo de certificado**
1. Inicie o **Microsoft Windows Server Manager**. Selecione **Ferramentas > Autoridade de certificação**.
1. Na janela **Autoridade de certificação**, expanda a árvore de **Autoridade de certificação** no painel esquerdo. Clique com o botão direito do mouse em **Modelos de certificado** e escolha **Gerenciar**.
1. Na janela **Console de modelos de certificado**, clique com o botão direito em **Autenticação Kerberos** e escolha **Duplicar modelo**.
1. A janela **Propriedades do novo modelo** será exibida.
1. Na janela **Propriedades do novo modelo**, vá até a guia **Compatibilidade** e faça o seguinte:
1. Altere a **Autoridade de certificação** para o OS que corresponde à CA.
1. Se a janela **Alterações resultantes** for exibida, selecione **OK**.
1. Altere o **Destinatário da certificação** para **Windows 10/Windows Server 2016**.
**nota**
AWS O Microsoft AD gerenciado é desenvolvido porWindows Server 2019.
1. Se a janela **Alterações resultantes** for exibida, selecione **OK**.
1. Clique na guia **Geral** e altere o **nome de exibição do modelo** para **LDAPOverSSL** ou qualquer outro nome que você preferir.
1. Clique na guia **Segurança** e escolha **Controladores de domínio** na seção **Nomes de grupos ou usuários**. Na seção **Permissões para controladores de domínio**, verifique se as caixas de seleção **Permitir** para **Leitura**, **Inscrição** e **Inscrição automática** estão marcadas.
1. Escolha **OK** para criar o modelo de certificado **LDAPOverSSL** (ou o nome que você especificou acima). Feche a janela do **Console de modelos de certificado**.
1. Na janela **Autoridade de certificação**, clique com o botão direito do mouse em **Modelos de certificado** e escolha **Novo > Modelo de certificado para emitir**.
1. Na janela **Ativar modelos de certificado**, escolha **LDAPOverSSL** (ou o nome que você especificou acima) e, em seguida, escolha **OK**.
### Etapa 4: adicionar regras do grupo de segurança
Na etapa final, você deve abrir o console do Amazon EC2 e adicionar regras de grupo de segurança. Essas regras permitem que os controladores de domínio se conectem à Enterprise CA para solicitar um certificado. Nesse caso, você adiciona regras de entrada de forma que a Enterprise CA possa aceitar o tráfego de entrada dos controladores de domínio. Depois, você adiciona regras de saída para permitir o tráfego dos controladores de domínio para a Enterprise CA.
Quando as duas regras estiverem configuradas, os controladores de domínio solicitarão um certificado da Enterprise CA automaticamente e habilitarão o LDAPS para o diretório. O serviço LDAP em nos controladores de domínio agora está pronto para aceitar conexões LDAPS.
**Para configurar regras do grupo de segurança**
1. Navegue até o console do Amazon EC2 em [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) e faça login com as credenciais de administrador.
1. No painel esquerdo, escolha **Grupos de segurança** em **Rede e segurança**.
1. No painel principal, escolha o grupo AWS de segurança para sua CA.
1. Escolha a guia **Inbound ** e depois **Edit**.
1. Na caixa de diálogo **Edit inbound rules**, faça o seguinte:
+ Escolha **Add Rule**.
+ Escolha **All traffic** para **Type** e **Custom** para **Source**.
+ Insira o grupo de AWS segurança (por exemplo,`sg-123456789`) para seu diretório na caixa ao lado de **Fonte**.
+ Escolha **Salvar**.
1. Agora, escolha o grupo de AWS segurança do seu diretório AWS Managed Microsoft AD. Escolha a guia **Outbound (Saída)** e escolha **Edit (Editar)**.
1. Na caixa de diálogo **Edit outbound rules**, faça o seguinte:
+ Escolha **Add Rule**.
+ Escolha **All traffic** para **Type** e **Custom** para **Destination**.
+ Insira o grupo AWS de segurança da sua CA na caixa ao lado de **Destino**.
+ Escolha **Salvar**.
Você pode testar a conexão LDAPS com o diretório AWS Managed Microsoft AD usando a LDP ferramenta. A ferramenta LDP vem com as Active Directory Administrative Tools. Para obter mais informações, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).
**nota**
Antes de testar a conexão LDAPS, é necessário esperar até 30 minutos para que a CA subordinada emita um certificado para seus controladores de domínio.
Para obter detalhes adicionais sobre o LDAPS do lado do servidor e ver um exemplo de caso de uso sobre como configurá-lo, consulte [Como habilitar o LDAPS do lado do servidor para seu diretório AWS gerenciado do Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) AD no blog de segurança. AWS
# Habilitando o LDAPS do lado do cliente usando o Microsoft AD gerenciado AWS
O suporte do Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) do lado do cliente no AWS Managed Microsoft AD criptografa as comunicações entre o Microsoft Active Directory (AD) autogerenciado (local) e os aplicativos. AWS Exemplos desses aplicativos incluem WorkSpaces Centro de Identidade do AWS IAM, Quick e Amazon Chime. Essa criptografia ajuda você a proteger melhor os dados de identidade da organização e atender aos requisitos de segurança.
## Pré-requisitos
Antes de habilitar o LDAPS no lado do cliente, você precisa atender aos requisitos a seguir.
**Topics**
+ [Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado](#trust_relationship_MAD_and_self_managed)
+ [Implantar certificados de servidor no Active Directory](#ldap_client_side_deploy_server_certs)
+ [Requisitos de certificado da autoridade de certificação](#ldap_client_side_get_certs_ready)
+ [Requisitos de rede](#ldap_client_side_considerations_enabling)
### Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado
Primeiro, você precisa estabelecer uma relação de confiança entre o Microsoft AD AWS gerenciado e o Microsoft Active Directory autogerenciado para habilitar o LDAPS do lado do cliente. Para obter mais informações, consulte [Criando uma relação de confiança entre seu Microsoft AD AWS gerenciado e o AD autogerenciado](ms_ad_setup_trust.md).
### Implantar certificados de servidor no Active Directory
Para habilitar o LDAPS no lado do cliente, é necessário obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo serviço LDAP para escutar e aceitar automaticamente as conexões SSL de clientes LDAP. Você pode usar os certificados SSL emitidos por uma implantação interna do Active Directory Certificate Services (ADCS) ou comprados de um emissor comercial. Para obter mais informações sobre os requisitos de certificado de servidor do Active Directory, consulte [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) no site da Microsoft.
### Requisitos de certificado da autoridade de certificação
Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados de servidor, é necessário para a operação LDAPS no lado do cliente. Os certificados CA são combinados com os certificados de servidor apresentados pelos controladores de domínio do Active Directory para criptografar as comunicações de LDAP. Observe os seguintes requisitos de certificado CA:
+ A autoridade de certificação (CA) empresarial é necessária para habilitar o LDAPS no lado do cliente. Você pode usar o serviço de certificados do Active Directory, uma autoridade de certificação comercial de terceiros ou o [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Para obter mais informações sobre a autoridade de certificação corporativa da Microsoft, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.
+ Os certificados devem estar no formato PEM (Privacy Enhanced Mail). Se exportar certificados CA de dentro do Active Directory, escolha X.509 (.CER) codificado em base64 como o formato de arquivo de exportação.
+ No máximo cinco (5) certificados CA podem ser armazenados por diretório AWS gerenciado do Microsoft AD.
+ Não há suporte para certificados que usam o algoritmo de assinatura RSASSA-PSS.
+ Os certificados CA que são encadeados a cada certificado de servidor em cada domínio confiável devem ser registrados.
### Requisitos de rede
AWS o tráfego LDAP do aplicativo será executado exclusivamente na porta TCP 636, sem retorno para a porta LDAP 389. Porém, as comunicações LDAP do Windows que oferecem suporte a replicação, relações de confiança e muito mais continuarão a usar a porta LDAP 389 com segurança nativa do Windows. Configure grupos AWS de segurança e firewalls de rede para permitir comunicações TCP na porta 636 no AWS Microsoft AD gerenciado (saída) e no Active Directory autogerenciado (entrada). Mantenha a porta 389 do LDAP aberta entre o AWS Managed Microsoft AD e o Active Directory autogerenciado.
## Habilitar o LDAPS no lado do cliente
Para habilitar o LDAPS no lado do cliente, importe seu certificado de autoridade de certificação (CA) para o AWS Managed Microsoft AD e habilite o LDAPS no seu diretório. Após a habilitação, todo o tráfego LDAP entre os aplicativos da AWS e o seu Active Directory autogerenciado fluirá com a criptografia de canal Secure Sockets Layer (SSL).
É possível usar dois métodos diferentes para habilitar o LDAPS do lado do cliente para seu diretório. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.
**nota**
O LDAPS do lado do cliente é um recurso regional do Managed AWS Microsoft AD. Se você estiver utilizando a [replicação em várias regiões](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir devem ser aplicados separadamente em cada região. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).
**Topics**
+ [Etapa 1: registrar um certificado no Directory Service](#ms_ad_registercert)
+ [Etapa 2: verificar o status do registro](#ms_ad_check-registration-status)
+ [Etapa 3: habilitar o LDAPS no lado do cliente](#ms_ad_enableclientsideldapssteps)
+ [Etapa 4: verificar o status do LDAPS](#ms_ad_check-ldaps-status)
### Etapa 1: registrar um certificado no Directory Service
Use um dos métodos a seguir para registrar um certificado no Directory Service.
**Método 1: Para registrar seu certificado em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja registrar seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, selecione o menu **Actions (Ações)** e escolha **Register certificate (Registrar certificado)**.
1. Na caixa de diálogo **Register a CA certificate (Registrar um certificado CA)**, selecione **Browse (Procurar)**, escolha o certificado e selecione **Open (Abrir)**.
1. Escolha **Register certificate (Registrar certificado)**.
**Método 2: Para registrar seu certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para os dados do certificado, aponte para o local do arquivo de certificado CA. Um ID de certificado será fornecido na resposta.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Etapa 2: verificar o status do registro
Para ver o status de um registro de certificado ou uma lista de certificados registrados, use um dos comandos a seguir.
**Método 1: Para verificar o status do registro do certificado em Directory Service (Console de gerenciamento da AWS)**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Revise o estado de registro de certificado atual exibido na coluna **Registration status (Status do registro)**. Quando o valor do status do registro for alterado para **Registered (Registrado)**, seu certificado foi registrado com êxito.
**Método 2: Para verificar o status do registro do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Se o valor de status retornar `Registered`, seu certificado foi registrado com êxito.
```
aws ds list-certificates --directory-id your_directory_id
```
### Etapa 3: habilitar o LDAPS no lado do cliente
Use um dos métodos a seguir para habilitar o LDAPS do lado do cliente em. Directory Service
**nota**
É necessário ter registrado com êxito pelo menos um certificado para habilitar o LDAPS do lado do cliente.
**Método 1: Para habilitar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Escolha **Habilitar**. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.
1. Na caixa de diálogo **Enable client-side LDAPS (Habilitar LDAPS do lado do cliente)**, escolha **Enable (Habilitar)**.
**Método 2: Para habilitar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Etapa 4: verificar o status do LDAPS
Use um dos métodos a seguir para verificar o status do LDAPS em Directory Service.
**Método 1: Para verificar o status do LDAPS em Directory Service ()Console de gerenciamento da AWS**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Se o valor de status for exibido como **Enabled (Habilitado)**, o LDAPS foi configurado com êxito.
**Método 2: Para verificar o status do LDAPS em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Se o valor de status retornar `Enabled`, o LDAPS foi configurado com êxito.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Gerenciar o LDAPS no lado do cliente
Use estes comandos para gerenciar sua configuração LDAPS.
É possível usar dois métodos diferentes para gerenciar configurações do LDAPS do lado do cliente. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.
### Visualizar detalhes do certificado
Use um dos seguintes métodos para ver quando um certificado está definido para expirar.
**Método 1: Para ver os detalhes do certificado em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja visualizar seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)** em **CA certificates (Certificados CA)**, serão exibidas informações sobre o certificado.
**Método 2: Para ver os detalhes do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Cancelar o registro de um certificado
Use um dos seguintes métodos para cancelar o registro de um certificado.
**nota**
Se apenas um certificado estiver registrado, será necessário primeiro desabilitar o LDAPS para cancelar o registro do certificado.
**Método 1: Para cancelar o registro de um certificado em Directory Service ()Console de gerenciamento da AWS**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja cancelar o registro do seu certificado e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, escolha **Actions (Ações)** e selecione **Deregister certificate (Cancelar registro do certificado)**.
1. Na caixa de diálogo **Deregister a CA certificate (Cancelar registro de certificado CA)**, escolha **Deregister (Cancelar registro)**.
**Método 2: Para cancelar o registro de um certificado em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Desabilitar o LDAPS no lado do cliente
Use um dos seguintes métodos para desabilitar o LDAPS do lado do cliente.
**Método 1: Para desativar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja desabilitar o LDAPS no lado do cliente e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Client-side LDAPS (LDAPS do cliente)**, escolha **Disable (Desabilitar)**.
1. Na caixa de diálogo **Disable client-side LDAPS (Desabilitar LDAPS do lado do cliente)**, escolha **Disable (Desabilitar)**.
**Método 2: Para desativar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Problemas com o registro do certificado
O processo para inscrever seus controladores de domínio AWS gerenciados do Microsoft AD com os certificados CA pode levar até 30 minutos. Se você tiver problemas com a inscrição do certificado e quiser reiniciar seus controladores de domínio AWS gerenciados do Microsoft AD, entre em contato com. Suporte Para criar um caso de suporte, consulte [Creating support cases and case management](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Gerencie a conformidade do AWS Managed Microsoft AD
Você pode usar o AWS Managed Microsoft AD para oferecer suporte aos seus aplicativos compatíveis com o Active Directory, na AWS nuvem, que estão sujeitos aos seguintes requisitos de conformidade. No entanto, suas aplicações não aderirão aos requisitos de conformidade se você usar o Simple AD.
## Padrões de conformidade compatíveis
AWS O Microsoft AD gerenciado passou por uma auditoria para os seguintes padrões e está qualificado para uso como parte de soluções para as quais você precisa obter a certificação de conformidade.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS O Microsoft AD gerenciado atende aos requisitos de segurança do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e recebeu uma Autoridade Provisória para Operar (P-ATO) do FedRAMP Joint Authorization Board (JAB) na linha de base moderada e alta do FedRAMP. Para obter mais informações sobre conformidade com a FedRAMP, consulte [Conformidade com a FedRAMP](https://aws.amazon.com/compliance/fedramp/). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/PCI.png) | AWS O Microsoft AD gerenciado tem um Atestado de Conformidade para o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI) versão 3.2 no nível 1 do provedor de serviços. Os clientes que usam AWS produtos e serviços para armazenar, processar ou transmitir dados do titular do cartão podem usar o Microsoft AD AWS gerenciado para gerenciar sua própria certificação de conformidade com o PCI DSS. Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS nível 1. É importante ressaltar que você deve configurar políticas de senha refinadas no Managed AWS Microsoft AD para serem consistentes com os padrões do PCI DSS versão 3.2. Para obter detalhes sobre quais políticas devem ser aplicadas, consulte a seção abaixo intitulada Habilitar a conformidade com PCI para seu diretório gerenciado AWS do Microsoft AD. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS [expandiu seu programa de conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) para incluir o Managed AWS Microsoft AD como um serviço qualificado para a HIPAA.](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/) Se você tiver um Acordo de Associado Comercial (BAA) assinado com AWS, você pode usar o AWS Managed Microsoft AD para ajudar a criar seus aplicativos compatíveis com HIPAA. AWS oferece um [whitepaper com foco na HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) para clientes interessados em saber mais sobre como eles podem aproveitar o processamento e o armazenamento AWS de informações de saúde. Para obter mais informações, consulte [HIPAA compliance](https://aws.amazon.com/compliance/hipaa-compliance/). |
## Responsabilidade compartilhada
A segurança, incluindo a conformidade com HIPAA e PCI, é uma [responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/). É importante entender que o status de conformidade do AWS Managed Microsoft AD não se aplica automaticamente aos aplicativos que você executa na AWS nuvem. Você precisa garantir que o uso dos AWS serviços esteja em conformidade com os padrões.
Para obter uma lista completa de todos os vários programas de AWS conformidade aos quais o AWS Managed Microsoft AD oferece suporte, consulte [AWS serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
## Habilite a conformidade com PCI para seu diretório AWS gerenciado do Microsoft AD
Para habilitar a conformidade com PCI para seu diretório AWS gerenciado do Microsoft AD, você deve configurar políticas de senha refinadas conforme especificado no documento de Atestado de Conformidade (AOC) e Resumo de Responsabilidade do PCI DSS fornecido pela. AWS Artifact
Para obter mais informações sobre como usar políticas de senha refinadas, consulte [Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD](ms_ad_password_policies.md).
# Aprimorando sua configuração de segurança de rede AWS gerenciada do Microsoft AD
O Grupo AWS de Segurança provisionado para o diretório Managed AWS Microsoft AD é configurado com as portas de rede de entrada mínimas necessárias para oferecer suporte a todos os casos de uso conhecidos do seu diretório Managed AWS Microsoft AD. Para obter mais informações sobre o Grupo de AWS Segurança provisionado, consulte. [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md)
Para aprimorar ainda mais a segurança de rede do seu diretório AWS gerenciado do Microsoft AD, você pode modificar o Grupo de AWS Segurança com base nos seguintes cenários comuns.
**CIDR de controladores de domínio do cliente** — Esse bloco CIDR é onde residem os controladores de domínio on-premises do domínio.
**CIDR do cliente** - Esse bloco CIDR é onde seus clientes, como computadores ou usuários, se autenticam no seu AWS Microsoft AD gerenciado. Seus controladores de domínio AWS gerenciados do Microsoft AD também residem nesse bloco CIDR.
**Topics**
+ [AWS suporte somente para aplicativos](#aws_apps_support)
+ [AWS aplicativos somente com suporte confiável](#aws_apps_trust_support)
+ [AWS aplicativos e suporte nativo à carga de trabalho do Active Directory](#aws_apps_native_ad_support)
+ [AWS aplicativos e suporte nativo à carga de trabalho do Active Directory com suporte confiável](#aws_apps_native_ad_trust_support)
## AWS suporte somente para aplicativos
Todas as contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
+ Amazon Chime
+ Amazon Connect
+ Quick
+ Centro de Identidade do AWS IAM
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ Console de gerenciamento da AWS
Você pode usar a seguinte configuração AWS de grupo de segurança para bloquear todo o tráfego não essencial para seus controladores de domínio AWS gerenciados do Microsoft AD.
**nota**
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
Instâncias do Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Confianças do Active Directory
Clientes ou servidores associados ao domínio
**Regras de entrada**
Nenhum.
**Regras de saída**
Nenhum.
## AWS aplicativos somente com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
+ Amazon Chime
+ Amazon Connect
+ Quick
+ Centro de Identidade do AWS IAM
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
**nota**
Os itens a seguir não são compatíveis com essa configuração AWS de grupo de segurança:
Instâncias do Amazon EC2
Amazon FSx
Amazon RDS para MySQL
Amazon RDS para Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
WorkSpaces
Confianças do Active Directory
Clientes ou servidores associados ao domínio
Essa configuração exige garantir que a rede “CIDR de controladores de domínio do cliente” esteja segura.
O TCP 445 é utilizado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
**Regras de entrada**
****
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
**Regras de saída**
****
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
| --- | --- | --- | --- | --- |
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego | |
## AWS aplicativos e suporte nativo à carga de trabalho do Active Directory
As contas de usuário são provisionadas somente em seu AWS Microsoft AD gerenciado para serem usadas com AWS aplicativos compatíveis, como os seguintes:
+ Amazon Chime
+ Amazon Connect
+ Instâncias do Amazon EC2
+ Amazon FSx
+ Quick
+ Amazon RDS para MySQL
+ Amazon RDS para Oracle
+ Amazon RDS para PostgreSQL
+ Amazon RDS para SQL Server
+ Centro de Identidade do AWS IAM
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
**nota**
As relações de confiança do Active Directory não podem ser criadas e mantidas entre o diretório AWS gerenciado do Microsoft AD e os controladores de domínio do cliente CIDR.
Você deve garantir que a rede “CIDR do cliente consumidor” seja segura.
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
**Regras de entrada**
****
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | CIDR de cliente consumidor | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de cliente consumidor | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de cliente consumidor | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de cliente consumidor | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de cliente consumidor | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de cliente consumidor | Replicação | RPC, EPM |
| TCP | 636 | CIDR de cliente consumidor | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de cliente consumidor | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de cliente consumidor | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de cliente consumidor | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de cliente consumidor | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de cliente consumidor | DFSN e NetLogon | DFS, política de grupo |
**Regras de saída**
Nenhum.
## AWS aplicativos e suporte nativo à carga de trabalho do Active Directory com suporte confiável
Todas as contas de usuário são provisionadas em seu AWS Microsoft AD gerenciado ou no Active Directory confiável para serem usadas com AWS aplicativos compatíveis, como os seguintes:
+ Amazon Chime
+ Amazon Connect
+ Instâncias do Amazon EC2
+ Amazon FSx
+ Quick
+ Amazon RDS para MySQL
+ Amazon RDS para Oracle
+ Amazon RDS para PostgreSQL
+ Amazon RDS para SQL Server
+ Centro de Identidade do AWS IAM
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Console de gerenciamento da AWS
Você pode modificar a configuração do Grupo de AWS Segurança provisionado para bloquear todo o tráfego não essencial para seus controladores de domínio gerenciados AWS do Microsoft AD.
**nota**
As redes “CIDR de controladores de domínio do cliente” e “CIDR de cliente de consumidor” devem estar seguras.
O TCP 445 com "CIDR de controladores de domínio do cliente" é usado apenas para criação de confiança e pode ser removido após a confiança ter sido estabelecida.
O TCP 445 com "CIDR de cliente consumidor" deve ser deixado aberto, uma vez que é necessário para o processamento da política de grupo.
O TCP 636 só é necessário quando o LDAP por SSL está em uso.
Se deseja usar uma CA empresarial com essa configuração, será necessário criar uma regra de saída “TCP, 443, CA CIDR”.
**Regras de entrada**
****
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
| --- | --- | --- | --- | --- |
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| TCP e UDP | 53 | CIDR de controladores de domínio do cliente | DNS | Autenticação de usuário e computador, resolução de nome, confianças |
| TCP e UDP | 88 | CIDR de controladores de domínio do cliente | Kerberos | Autenticação de usuário e computador, confianças do nível floresta |
| TCP e UDP | 389 | CIDR de controladores de domínio do cliente | LDAP | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP e UDP | 445 | CIDR de controladores de domínio do cliente | SMB/CIFS | Replicação, autenticação de usuário e computador, confianças de política de grupo |
| TCP e UDP | 464 | CIDR de controladores de domínio do cliente | Alterar/definir senha do Kerberos | Replicação, autenticação de usuário e computador, confianças |
| TCP | 135 | CIDR de controladores de domínio do cliente | Replicação | RPC, EPM |
| TCP | 636 | CIDR de controladores de domínio do cliente | LDAP SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 49152 – 65535 | CIDR de controladores de domínio do cliente | RPC | Replicação, autenticação de usuário e computador, política de grupo, confianças |
| TCP | 3268 - 3269 | CIDR de controladores de domínio do cliente | LDAP GC e LDAP GC SSL | Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças |
| TCP | 9389 | CIDR de controladores de domínio do cliente | SOAP | Web services do AD DS |
| UDP | 123 | CIDR de controladores de domínio do cliente | Horário do Windows | Horário do Windows, confianças |
| UDP | 138 | CIDR de controladores de domínio do cliente | DFSN e NetLogon | DFS, política de grupo |
**Regras de saída**
****
| Protocolo | Intervalo de portas | Fonte | Tipo de tráfego | Uso do Active Directory |
| --- | --- | --- | --- | --- |
| Todos | Todos | CIDR de controladores de domínio do cliente | Todo o tráfego | |
# Editando configurações de segurança do diretório AWS gerenciado do Microsoft AD
Você pode definir configurações de diretório refinadas para seu AWS Microsoft AD gerenciado para atender aos seus requisitos de conformidade e segurança sem nenhum aumento na carga de trabalho operacional. Nas configurações do diretório, é possível atualizar a configuração do canal seguro para protocolos e cifras usados em seu diretório. Por exemplo, você tem a flexibilidade de desativar cifras herdadas individuais, como RC4 ou DES, e protocolos, como SSL 2.0/3.0 e TLS 1.0/1.1. AWS Em seguida, o Microsoft AD gerenciado implanta a configuração em todos os controladores de domínio em seu diretório, gerencia as reinicializações do controlador de domínio e mantém essa configuração à medida que você expande ou implanta outras. Regiões da AWS Para obter detalhes sobre todas as configurações disponíveis, consulte [Lista de configurações de segurança do diretório](#list-ds-settings).
## Editar configurações de segurança do diretório
Você pode definir e editar as configurações de qualquer um dos seus diretórios.
**Para editar configurações do diretório**
1. Faça login no AWS Management Console e abra o Directory Service console em[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Em **Rede e segurança**, encontre **Configurações do diretório** e escolha **Editar configurações**.
1. Em **Editar configurações**, altere o **Valor** das configurações que deseja editar. Quando você edita uma configuração, seu status muda de **Padrão** para **Pronto para atualizar**. Se você editou a configuração anteriormente, seu status muda de **Atualizado** para **Pronto para atualizar**. Em seguida, escolha **Revisar**.
1. Em **Revisar e atualizar configurações**, consulte **Configurações do diretório** e verifique se os novos valores estão todos corretos. Se você quiser fazer outras alterações em suas configurações, escolha **Editar configurações**. Quando as alterações estiverem satisfatórias, com tudo pronto para implementar os novos valores, escolha **Atualizar configurações**. Em seguida, você voltará à página de ID do diretório.
**nota**
Em **Configurações do diretório**, é possível visualizar o **Status** das configurações atualizadas. Enquanto as configurações são implementadas, o **Status** exibe **Atualizando**. Você não pode editar outras configurações enquanto uma configuração exibe **Atualizando** em **Status**. O **Status** mostrará **Atualizada** se a configuração for atualizada com êxito com sua edição. O **Status** mostrará **Falha** se a atualização da sua configuração com sua edição falhar.
## Falha na configurações de segurança do diretório
Se um erro ocorrer durante uma atualização de configurações, o **Status** será exibido como **Falha**. Em um status de falha, as configurações não são atualizadas para os novos valores e os valores originais permanecem implementados. Você pode tentar atualizar novamente essas configurações ou revertê-las para os valores anteriores.
**Para resolver falhas nas configurações atualizadas**
+ Em **Configurações do diretório**, escolha **Resolver configurações com falha**. Depois, siga um destes procedimentos:
+ Para reverter suas configurações de volta ao valor original antes do estado de falha, escolha **Reverter configurações com falha.** Em seguida, escolha **Reverter** no modal pop-up.
+ Para tentar atualizar novamente as configurações do diretório, escolha **Tentar novamente configurações com falha**. Se desejar fazer alterações adicionais nas configurações do diretório antes de tentar novamente as atualizações que falharam, escolha **Continuar editando**. Em **Analisar e tentar novamente atualizações com falha**, escolha **Atualizar configurações**.
## Lista de configurações de segurança do diretório
A lista a seguir mostra o tipo, o nome da configuração, o nome da API, os valores potenciais e a descrição da configuração para todas as configurações de segurança de diretório disponíveis.
TLS 1.2 e AES 256/256 são as configurações de segurança de diretório padrão quando todas as outras configurações de segurança estão desabilitadas. Essas opções não podem ser desabilitadas.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Habilite a criptografia de chave pública para autenticação inicial (PKINIT) para seus usuários gerenciados AWS do Microsoft AD
AWS Os diretórios gerenciados do Microsoft AD usam vinculação forte de certificados por padrão, o que requer mapeamento explícito entre certificados e objetos do AD. Os mapeamentos a seguir são considerados fortes para o Managed AWS Microsoft AD:
+ Emissor e número de série `altSecurityIdentities`
+ Identificador de chave do requerente `altSecurityIdentities`
+ `altSecurityIdentities` SHA1 Hash da chave pública
Esses atributos permitem um mapeamento robusto de certificados, que fornece melhor segurança para a autenticação baseada em certificados ao exigir certificate-to-user relacionamentos explícitos definidos no Active Directory. Isso ajuda a evitar ataques de escalonamento de privilégios baseados em certificados
Você pode usar esse procedimento para configurar associações de certificado fortes para ajudá-lo a evitar ataques de escalonamento de privilégios e, ao mesmo tempo, manter a funcionalidade de autenticação de certificados.
Para obter mais informações, consulte [Microsoft KB5014754: alterações na autenticação baseada em certificado em controladores de domínio do](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) Windows
## Pré-requisitos
+ Um diretório AWS gerenciado do Microsoft AD com autoridade de certificação configurada
+ Acesso administrativo ao ambiente do Active Directory
+ PowerShell com o módulo Active Directory instalado
+ O certificado que você deseja mapear para o objeto AD
## AltSecurityIdentity Atributo do mapa
1. Escolha um dos métodos de mapeamento `AltSecurityIdentity` a seguir com base nas informações do certificado:
+ **SHA1 hash** — Usa o SHA1 hash da chave pública do certificado
Para mapeamento de SHA1 hash, extraia o hash do certificado e aplique-o ao objeto do usuário:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Emissor e número de série** — Usa o nome do emissor e o número de série do certificado
Para mapeamento do emissor e do número de série, use o emissor e o número de série do certificado:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Identificador de chave de assunto** — Usa a extensão de identificador de chave de assunto do certificado
Para mapear o identificador da chave de assunto, use o identificador da chave de assunto do certificado:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Verifique se o mapeamento foi aplicado com sucesso:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Aguarde a conclusão da replicação do Active Directory (normalmente de 15 a 30 segundos) antes de testar a autenticação do certificado.
## Exemplo: certificado em massa mapeando o AltSecurityIdentity atributo
O exemplo a seguir demonstra como mapear `AltSecurityIdentity` atributos para vários certificados de usuário de uma autoridade de certificação:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Próximas etapas
+ Teste a autenticação baseada em certificado com um certificado mapeado
+ Configurar as aplicações para usarem os certificados mapeados para autenticação
+ [Monitore seu Microsoft AD AWS gerenciado](ms_ad_monitor.md) para eventos de autenticação
# Configurar o CA Privada da AWS conector para AD para Microsoft AD AWS gerenciado
Você pode integrar seu Microsoft AD AWS gerenciado com [Autoridade de Certificação Privada da AWS (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) para emitir e gerenciar certificados para seus controladores de domínio do Active Directory, usuários associados ao domínio, grupos e máquinas. CA Privada da AWS O Connector for Active Directory permite que você use um substituto totalmente gerenciado CA Privada da AWS para sua empresa autogerenciada CAs sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy.
Você pode configurar a CA Privada da AWS integração com seu diretório por meio do Directory Service console, do console do CA Privada da AWS Connector for Active Directory ou chamando a [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API. Para configurar a integração da CA privada por meio do console do CA Privada da AWS Connector for Active Directory, consulte [Criação de um modelo de conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Veja as etapas a seguir sobre como configurar essa integração a partir do Directory Service console.
## Configurando o CA Privada da AWS conector para AD
**Para criar um conector do Private CA para o Active Directory**
1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na guia **Gerenciamento de aplicações** e na seção **Aplicativos e serviços da AWS **, escolha **CA Privada da AWS Conector para AD**.
1. Na página **Criar um certificado de CA privada para o Active Directory**, conclua as etapas para criar a CA privada para o Active Directory Connector.
Para obter mais informações, consulte [Criar um conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## CA Privada da AWS Conector de visualização para AD
**Para visualizar os detalhes do conector do Private CA**
1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na guia **Gerenciamento de aplicações** e na seção **Aplicativos e serviços da AWS **, visualize os conectores do Private CA e o Private CA associado. Os seguintes campos são exibidos:
1. **CA Privada da AWS ID do conector** — O identificador exclusivo de um CA Privada da AWS conector. Selecione-o para visualizar a página de detalhes.
1. **CA Privada da AWS assunto** — Informações sobre o nome distinto da CA. Selecione-o para visualizar a página de detalhes.
1. **Status** — Resultados da verificação de status do CA Privada da AWS conector e CA Privada da AWS:
+ **Ativo** — Ambas as verificações foram aprovadas
+ **1/2 verificação falhou** — Uma verificação falhou
+ **Falhou** — Ambas as verificações falharam
Para obter mais informações sobre um status de falha, passe o mouse sobre o hiperlink para saber qual verificação falhou.
1. **Status de inscrição de certificados DC** — Verificação do status do certificado do controlador de domínio:
+ **Habilitado** — A inscrição do certificado está habilitada
+ **Desabilitado** — A inscrição do certificado está desabilitada
1. **Data de criação** — Quando o CA Privada da AWS conector foi criado.
Para obter mais informações, consulte [Visualizar detalhes do conector](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
A tabela a seguir mostra os diferentes status da inscrição do certificado de controlador de domínio para o Managed AWS Microsoft AD with. CA Privada da AWS
| Status da inscrição DC | Description | Ação necessária |
| --- | --- | --- |
| Habilitado | Os certificados do controlador de domínio foram registrados com sucesso no diretório. | Nenhuma ação necessária. |
| Failed | Falha ao habilitar ou desabilitar o registro do certificado do controlador de domínio no diretório. | Se a ação de habilitação falhar, tente novamente desabilitando os certificados do controlador de domínio e ligando-os novamente. Se a ação de desativação falhar, tente novamente ativando os certificados do controlador de domínio e depois desativando novamente. Se a nova tentativa falhar, entre em contato com o Suporte AWS . |
| Impaired (Degradado) | Os controladores de domínio têm problemas de conectividade de rede na comunicação com CA Privada da AWS os endpoints. | Verifique as políticas do CA Privada da AWS VPC endpoint e do bucket S3 para permitir a conectividade de rede com seu diretório. Para obter mais informações, consulte [Solucionar mensagens de exceção da Autoridade de Certificação AWS Privada](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) e [Solucionar problemas de revogação de CA Privada da AWS certificados](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html). |
| Desabilitado | O registro do certificado do controlador de domínio foi desativado com sucesso no diretório. | Nenhuma ação necessária. |
| Desabilitando | A desabilitação da inscrição do certificado do controlador de domínio está em andamento. | Nenhuma ação necessária. |
| Habilitando | A habilitação da inscrição do certificado do controlador de domínio está em andamento. | Nenhuma ação necessária. |
## Configuração de políticas do AD
CA Privada da AWS O conector para AD deve ser configurado para que os controladores de domínio e objetos AWS gerenciados do Microsoft AD possam solicitar e receber certificados. Configure seu objeto de política de grupo ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) para CA Privada da AWS poder emitir certificados para objetos AWS gerenciados do Microsoft AD.
### Como configurar políticas do Active Directory para controladores de domínio
**Ativar políticas do Active Directory para controladores de domínio**
1. Abra a guia **Rede e segurança**.
1. Escolha **CA Privada da AWS Connectors**.
1. Escolha um conector vinculado ao CA Privada da AWS assunto que emite certificados de controlador de domínio para seu diretório.
1. Escolha **Ações**, **Ativar certificados de controlador de domínio**.
**Importante**
Configure um modelo de controlador de domínio válido antes de ativar os certificados do controlador de domínio para evitar atrasos nas atualizações.
Depois de ativar a inscrição do certificado do controlador de domínio, os controladores de domínio do diretório solicitam e recebem certificados do CA Privada da AWS Connector para AD.
Para alterar sua emissão de CA Privada da AWS certificados de controlador de domínio, primeiro conecte o novo CA Privada da AWS ao seu diretório usando um novo CA Privada da AWS conector para AD. Antes de ativar o registro do certificado no novo CA Privada da AWS, desative o registro do certificado no existente:
**Desativar certificados de controlador de domínio**
1. Abra a guia **Rede e segurança**.
1. Escolha **CA Privada da AWS Connectors**.
1. Escolha um conector vinculado ao CA Privada da AWS assunto que emite certificados de controlador de domínio para seu diretório.
1. Escolha **Ações**, **Desativar certificados de controlador de domínio**.
### Como configurar políticas do Active Directory para usuários, computadores e máquinas associados ao domínio
**Configurar objetos de política de grupo**
1. Conecte-se à instância administrativa AWS gerenciada do Microsoft AD e abra o [Gerenciador do Servidor](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) no menu **Iniciar**.
1. Em **Ferramentas**, escolha **Gerenciamento de política de grupo**.
1. Em **Floresta e domínios**, encontre a unidade organizacional (UO) de subdomínio (por exemplo, `corp` é a unidade organizacional de subdomínio se você seguiu os procedimentos descritos em [Criando seu Microsoft AD AWS gerenciado](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) e clique com o botão direito na UO do subdomínio. Escolha **Criar um GPO neste domínio e vinculá-lo aqui** e insira PCA GPO no nome. Escolha **OK**.
1. O GPO recém-criado é exibido após o nome do subdomínio. Clique com o botão direito em `PCA GPO` e escolha **Editar**. Se uma caixa de diálogo for aberta com a mensagem de alerta Este é um link e as alterações serão propagadas globalmente, confirme a mensagem escolhendo **OK** para continuar. A janela **Editor de gerenciamento de políticas de grupo** é aberta.
1. Na janela **Editor de gerenciamento de políticas de grupo**, acesse **Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública (escolha a pasta)**.
1. Em **Tipo de objeto**, escolha **Cliente de serviços de certificado: política de inscrição de certificado**.
1. Na janela **Cliente de serviços de certificados: política de registro de certificados**, altere o **Modelo de configuração** para **Habilitado**.
1. Confirme se a **Política de inscrição do Active Directory** está selecionada e **Habilitada**. Escolha **Adicionar**.
1. A caixa de diálogo **Servidor de políticas de inscrição de certificado** é aberta. Insira o endpoint do servidor de política de inscrição de certificados que você gerou ao criar o conector no campo **Inserir URI da política do servidor de inscrição**. Deixe **Tipo de autenticação** como **Windows integrado**.
1. Escolha **Validar**. Depois que a validação for bem-sucedida, escolha **Adicionar**.
1. Volte para a caixa de diálogo **Cliente de serviços de certificado: política de inscrição de certificado** e selecione a caixa ao lado do conector recém-criado para garantir que ele seja a política de inscrição padrão.
1. Escolha **Política de inscrição do Active Directory** e escolha **Remover**.
1. Na caixa de diálogo de confirmação, escolha **Sim** para excluir a autenticação baseada em LDAP.
1. Escolha **Aplicar** e **OK** na janela **Cliente de serviços de certificados: política de inscrição de certificado**. Em seguida, feche a janela.
1. Em **Tipo de objeto** na **pasta Políticas de chave pública, escolha Cliente de serviços de certificados: registro automático.**
1. Altere a opção **Modelo de configuração** para **Habilitado**.
1. Confirme se as opções **Renovar certificados expirados** e **Atualizar certificados** estão selecionadas. Deixe as outras configurações como estão.
1. Escolha **Aplicar** e depois **OK** e feche a caixa de diálogo.
Em seguida, configure as Políticas de chave pública para configuração de usuários repetindo as etapas 6 a 17 na seção **Configuração do usuário > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública**.
Depois de concluir a configuração GPOs e as políticas de chave pública, os objetos no domínio solicitam certificados do CA Privada da AWS Connector for AD e recebem certificados emitidos por CA Privada da AWS.
## Confirmando a CA Privada da AWS emissão de um certificado
O processo de atualização CA Privada da AWS para emitir certificados para seu Microsoft AD AWS gerenciado pode levar até 8 horas.
Você pode executar uma das seguintes ações:
+ Você pode aguardar esse período.
+ Você pode reiniciar as máquinas associadas ao domínio AWS Managed Microsoft AD que foram configuradas para receber certificados do CA Privada da AWS. Em seguida, você pode confirmar CA Privada da AWS que os certificados foram emitidos para membros do seu domínio AWS gerenciado do Microsoft AD seguindo o procedimento na [Microsoftdocumentação](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ Você pode usar o PowerShell comando a seguir para atualizar os certificados do seu Microsoft AD AWS gerenciado:
```
certutil -pulse
```