本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 编辑 AWS 托管的 Microsoft AD 目录安全设置
您可以为托管 AWS Microsoft AD 配置精细的目录设置,以满足您的合规性和安全要求,而不会增加运营工作量。在目录设置中,您可以更新目录使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个传统密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。 AWS 然后,Managed Microsoft AD 会将配置部署到目录中的所有域控制器,管理域控制器的重新启动,并在您扩展或部署更多域控制器时保持此配置。 AWS 区域有关所有可用设置的详细信息,请参阅 [目录安全设置列表](#list-ds-settings)。
## 编辑目录安全设置
您可以配置和编辑任何目录的设置。
**编辑目录设置**
1. 登录 AWS 管理控制台并打开控制 Directory Service 台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**网络与安全**下,找到**目录设置**,然后选择**编辑设置**。
1. 在**编辑设置**中,更改要编辑的设置的**值**。编辑设置时,其状态会从**默认**更改为**更新准备就绪**。如果您之前编辑过该设置,则其状态将从**已更新**更改为**更新准备就绪**。然后选择**查看**。
1. 在**查看和更新设置**中,查看**目录设置**并确保新值全部正确。如果要对设置进行任何其他更改,请选择**编辑设置**。当您对更改感到满意并准备实施新值时,请选择**更新设置**。然后,您将返回到目录 ID 页面。
**注意**
在**目录设置**下,您可以查看已更新设置的**状态**。实施设置后,**状态**将显示为**正在更新**。当设置在**状态**下显示为**正在更新**时,您无法编辑其他设置。如果您的编辑成功更新了设置,则**状态**将显示为**已更新**。如果您的编辑无法更新设置,则**状态**将显示为**失败**。
## 目录安全设置失败
如果在设置更新过程中出现错误,则**状态**将显示为**失败**。在失败状态下,设置不会更新为新值,且原始值继续实施。您可以重试更新这些设置或将其恢复到以前的值。
**解决更新设置失败的问题**
+ 在**目录设置**下,选择**解决失败的设置**。然后,执行以下操作之一:
+ 要将设置恢复到失败状态之前的原始值,请选择**恢复失败的设置**。然后,在弹出模式中选择**恢复**。
+ 要重试更新目录设置,请选择**重试失败的设置**。如果要在重试失败的更新之前对目录设置进行其他更改,请选择**继续编辑**。在**查看并重试失败的更新**中,选择**更新设置**。
## 目录安全设置列表
以下列表显示了所有可用目录安全设置的类型、设置名称、API 名称、潜在值和设置描述。
如果禁用了所有其他安全设置,则默认目录安全设置为 TLS 1.2 和 AES 256/256。无法禁用它们。
****
- **身份验证协议**
- **设置名称:** NTLM V1 / **API 名称:** NTLM\_V1 / **潜在值:** 启用,禁用 / **设置说明:** 为 Active Directory 域控制器的客户端启用或禁用 NTLM V1 身份验证。
- **设置名称:** NTLM Security Support Provider (SSP) 会话安全 / **API 名称:** NTLM\_SSP\_SESSION\_SECURITY / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 NTLM SSP 会话安全,以便在 Active Directory 域控制器中对 NTLM 身份验证会话强制加密和签名。
- **加密**
- **设置名称:** FIPS 算法政策
- **API 名称:** FIPS\_ALGORTIM\_POLICY
- **潜在值:** 启用,禁用
- **设置说明:** 启用或禁用 FIPS 算法策略,以强制执行符合 FIPS 的加密算法,以保护您的 Active Directory 中的数据。
- **网络强化路径**
- **设置名称:** UNC Harded Paths:Netlogon / **API 名称:** UNC\_HARDENED\_PATHS\_NETLOGON / **潜在值:** 最高安全性、仅限身份验证、仅限篡改保护、仅限加密、完整性身份验证、带加密的身份验证、安全数据、无保护 / **设置说明:** 为 NETLOGON 共享的 UNC 连接配置安全要求。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **设置名称:** UNC Harded Paths:SYSVOL / **API 名称:** UNC\_HARDENED\_PATHS\_SYSVOL / **潜在值:** 最高安全性、仅限身份验证、仅限篡改保护、仅限加密、完整性身份验证、带加密的身份验证、安全数据、无保护 / **设置说明:** 为 SYSVOL 共享的 UNC 连接配置安全要求。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **基于证书的身份验证**
- **设置名称:** 证书回溯补偿 / **API 名称:** CERTIFICATE\_BACKDATING\_COMPENSATION / **潜在值:** 年数:0 到 50
月数:0 到 11
天数:0 到 30
小时数:0 到 23
分钟数:0 到 59
秒数:0 到 59 / **设置说明:** 指定一个值,以指示证书可以早于 Active Directory 中的用户并且仍可用于 Active Directory 中的身份验证的时间长度。默认值为 10 分钟。您可以将此值设置为 1 秒到 50 年。
要配置此设置,必须为**强证书绑定执行**选择**兼容性**类型。
有关更多信息,请参阅 Microsof [KB5014754t Support 文档中的 Windows 域控制器上基于证书的身份验证更改](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)。
- **设置名称:** 证书强制执行 / **API 名称:** CERTIFICATE\_STRONG\_ENFORCEMENT / **潜在值:** 兼容性,全面执行 / **设置说明:** 指定以下任一种执行类型:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
有关更多信息,请参阅 Microsof [KB5014754t Support 文档中的 Windows 域控制器上基于证书的身份验证更改](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)。
- **安全通道:密码**
- **设置名称:** AES 128/128 / **API 名称:** AES\_128\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 AES 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** DES 56/56 / **API 名称:** DES\_56\_56 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 DES 56/56 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC2 40/128 / **API 名称:** RC2\_40\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC2 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC2 56/128 / **API 名称:** RC2\_56\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC2 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC2 128/128 / **API 名称:** RC2\_128\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC2 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC4 40/128 / **API 名称:** RC4\_40\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC4 40/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC4 56/128 / **API 名称:** RC4\_56\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC4 56/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC4 64/128 / **API 名称:** RC4\_64\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC4 64/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** RC4 128/128 / **API 名称:** RC4\_128\_128 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 RC4 128/128 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **设置名称:** Triple DES 168/168 / **API 名称:** 3DES\_168\_168 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 Triple DES 168/168 加密密码,以便在目录中的域控制器之间进行安全的信道通信。
- **安全通道:协议**
- **设置名称:** PCT 1.0 / **API 名称:** PCT\_1\_0 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 PCT 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
- **设置名称:** SSL 2.0 / **API 名称:** SSL\_2\_0 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 SSL 2.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
- **设置名称:** SSL 3.0 / **API 名称:** SSL\_3\_0 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 SSL 3.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
- **设置名称:** TLS 1.0 / **API 名称:** TLS\_1\_0 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 TLS 1.0 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。
- **设置名称:** TLS 1.1 / **API 名称:** TLS\_1\_1 / **潜在值:** 启用,禁用 / **设置说明:** 启用或禁用 TLS 1.1 协议,以便在目录中的域控制器上进行安全的信道通信(服务器和客户端)。