本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 編輯 AWS Managed Microsoft AD 目錄安全設定
<a name="ms_ad_directory_settings"></a>

您可以為 AWS Managed Microsoft AD 設定精細目錄設定，以符合您的合規和安全性需求，而不會增加操作工作負載。在目錄設定中，您可以更新目錄中使用的協定和加密方式的安全通道組態。例如，您可以靈活地停用個別舊版密碼，例如 RC4 或 DES，以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。 AWS 受管 Microsoft AD 接著會將組態部署到目錄中的所有網域控制站，管理網域控制站重新啟動，並在橫向擴展或部署其他 時維護此組態 AWS 區域。如需所有可用設定的詳細資訊，請參閱 [目錄安全設定清單](#list-ds-settings)。

## 編輯目錄安全設定
<a name="edit-ds-settings"></a>

您可以設定和編輯任何目錄的設定。

**編輯目錄設定**

1. 登入 AWS 管理主控台，並在 開啟 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**聯網和安全**下，找到**目錄設定**，然後選擇**編輯設定**。

1. 在**編輯設定**中，變更要編輯的設定的**值**。當您編輯設定時，其狀態將從**預設**變更為**準備更新**。如果您之前編輯過設定，其狀態將從**已更新**變更為**準備更新**。接著選擇**檢閱**。

1. 在**檢閱和更新設定**中，請檢查**目錄設定**並確認新的值均正確無誤。如果您想對設定進行任何其他變更，請選擇**編輯設定**。當您對變更感到滿意並準備好實作新值時，請選擇**更新設定**。然後，您會回到目錄 ID 頁面。
**注意**  
在**目錄設定**下，您可以檢視更新設定的**狀態**。實作設定時，**狀態**顯示**正在更新**。當某項設定的**狀態**顯示為**正在更新**時，您無法編輯其他設定。如果設定編輯成功並更新，其**狀態**將顯示**已更新**。如果設定無法按照編輯成功更新，其**狀態**將顯示**失敗**。

## 目錄安全設定失敗
<a name="failed-ds-settings"></a>

如果設定更新期間發生錯誤，**狀態**將顯示為**失敗**。在失敗狀態下，設定不會更新為新值，仍保留原始值。您可以重試更新這些設定，或將它們還原為先前的值。

**解決更新設定失敗的問題**
+ 在**目錄設定**下，選擇**解決失敗的設定**。然後執行下列其中一項：
  + 若要將設定還原為失敗狀態之前的原始值，請選擇**還原失敗的設定**。然後，在彈出的視窗中選擇**還原**。
  + 若要重試更新目錄設定，請選擇**重試失敗的設定**。如果您想在重試失敗的更新之前，對目錄設定進行其他變更，請選擇**繼續編輯**。在**檢閱和重試失敗的更新**上，選擇**更新設定**。

## 目錄安全設定清單
<a name="list-ds-settings"></a>

以下清單顯示所有可用目錄安全設定的類型、設定名稱、API 名稱、可能的值和設定描述。

如果停用所有其他安全設定，則 TLS 1.2 和 AES 256/256 是預設目錄安全設定。它們不能被停用。


****  


- **身分驗證通訊協定**
  - **設定名稱:** NTLM V1 / **API 名稱:** NTLM\_V1 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用 Active Directory 網域控制站用戶端的 NTLM V1 身分驗證。
  - **設定名稱:** NTLM 安全支援提供者 (SSP) 工作階段安全性 / **API 名稱:** NTLM\_SSP\_SESSION\_SECURITY / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用 NTLM SSP 工作階段安全性，以強制執行 Active Directory 網域控制站中 NTLM 身分驗證工作階段的加密和簽署。

- **加密**
  - **設定名稱:** FIPS 演算法政策
  - **API 名稱:** FIPS\_ALGORITHM\_POLICY
  - **可能的值:** 啟用、停用
  - **設定說明:** 啟用或停用 FIPS 演算法政策，以強制執行符合 FIPS 規範的密碼編譯演算法，以便在 Active Directory 中進行資料保護。

- **網路強化路徑**
  - **設定名稱:** UNC 強化路徑：Netlogon / **API 名稱:** UNC\_HARDENED\_PATHS\_NETLOGON / **可能的值:** 最高安全性、僅限身分驗證、僅限竄改保護、僅限加密、完整性驗證、加密身分驗證、安全資料、無保護 / **設定說明:** 設定 UNC 連線至 NETLOGON 共用的安全需求。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
  - **設定名稱:** UNC 強化路徑：SYSVOL / **API 名稱:** UNC\_HARDENED\_PATHS\_SYSVOL / **可能的值:** 最高安全性、僅限身分驗證、僅限竄改保護、僅限加密、完整性驗證、加密身分驗證、安全資料、無保護 / **設定說明:** 設定 UNC 連線至 SYSVOL 共用的安全需求。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)

- **憑證型身分驗證**
  - **設定名稱:** 憑證回溯認證 / **API 名稱:** CERTIFICATE\_BACKDATING\_COMPENSATION / **可能的值:** 年：0 至 50<br />月：0 至 11<br />天：0 至 30<br />時：0 至 23<br />分：0 至 59<br />秒：0 到 59 / **設定說明:** 指定一個值來指示憑證可以早於 Active Directory 中的使用者存取時間並且仍可用於 Active Directory 中的身分驗證的時間長度。預設值為 10 分鐘。您可以將此值設定為 1 秒到 50 年。<br />若要進行此設定，您必須為**強式憑證繫結強制執行**選取**相容性**類型。<br />如需詳細資訊，請參閱 Microsoft 支援文件中的 [KB5014754 – Windows 域控制站上的憑證式驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)一文。
  - **設定名稱:** 憑證強式強制執行 / **API 名稱:** CERTIFICATE\_STRONG\_ENFORCEMENT / **可能的值:** 相容性、完整強制執行 / **設定說明:** 指定下列任一強制執行類型：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)<br />如需詳細資訊，請參閱 Microsoft 支援文件中的 [KB5014754 – Windows 域控制站上的憑證式驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)一文。

- **安全通道：加密方式**
  - **設定名稱:** AES 128/128 / **API 名稱:** AES\_128\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 AES 128/128 加密方式。
  - **設定名稱:** DES 56/56 / **API 名稱:** DES\_56\_56 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 DES 56/56 加密方式。
  - **設定名稱:** RC2 40/128 / **API 名稱:** RC2\_40\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 40/128 加密方式。
  - **設定名稱:** RC2 56/128 / **API 名稱:** RC2\_56\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 56/128 加密方式。
  - **設定名稱:** RC2 128/128 / **API 名稱:** RC2\_128\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC2 128/128 加密方式。
  - **設定名稱:** RC4 40/128 / **API 名稱:** RC4\_40\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 40/128 加密方式。
  - **設定名稱:** RC4 56/128 / **API 名稱:** RC4\_56\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 56/128 加密方式。
  - **設定名稱:** RC4 64/128 / **API 名稱:** RC4\_64\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 64/128 加密方式。
  - **設定名稱:** RC4 128/128 / **API 名稱:** RC4\_128\_128 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站之間用於安全通道通訊的 RC4 128/128 加密方式。
  - **設定名稱:** 三重 DES 168/168 / **API 名稱:** 3DES\_168\_168 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用三重 DES 168/168 加密方式，以確保目錄中域控制站之間的安全通道通訊。

- **安全通道：協定**
  - **設定名稱:** PCT 1.0 / **API 名稱:** PCT\_1\_0 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 PCT 1.0 協定。
  - **設定名稱:** SSL 2.0 / **API 名稱:** SSL\_2\_0 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 2.0 協定。
  - **設定名稱:** SSL 3.0 / **API 名稱:** SSL\_3\_0 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 SSL 3.0 協定。
  - **設定名稱:** TLS 1.0 / **API 名稱:** TLS\_1\_0 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.0 協定。
  - **設定名稱:** TLS 1.1 / **API 名稱:** TLS\_1\_1 / **可能的值:** 啟用、停用 / **設定說明:** 啟用或停用目錄中域控制站用於安全通道通訊 (伺服器和用戶端) 的 TLS 1.1 協定。