Início > Active Directory, Fore Front TMG 2010, OWA, Proxy Reverso, Segurança > Considerações sobre o uso da feature Account Lockout do Forefront TMG

Considerações sobre o uso da feature Account Lockout do Forefront TMG

Saudações,

No dia 29/08/2013, postei aqui sobre uma investigação que fiz juntamente com alguns colegas especialistas em Exchange Server em um cliente que usa o Forefront TMG para publicar o Outlook Web Access (OWA). Você poderá ler o artigo clicando aqui.

A aplicação do Account Lockout no Forefront TMG ocorreu depois que constatamos diversas tentativas de acesso ao ambiente vindas de um dispositivo Android, cuja conexão foi “hackeada” através de um acesso feito usando uma WIFI pública.

Entretanto, mesmo após habilitar o Account Lockout o administrador ainda pode vivenciar casos de bloqueio de contas.

A questão é, como implementar o Account Lockout de forma a torna-lo efetivamente útil e não ser mais um problema em meu ambiente?

É fundamental um envolvimento de todos os profissionais que administram o ambiente para que se habilite a feature da melhor forma possível, ou seja, o administrador do TMG deve trabalhar lado a lado com o responsável pelo AD e suas políticas.

Se o Active Directory bloqueia o usuário após a terceira ou quarta tentativa de logon com senha errada, o Account Lockout do TMG deverá entrar em ação em um threshold menor que isso.

Exemplo: A política de senhas da corporação rege que a conta seja bloqueada após a 3a. tentativa de acesso ao ambiente com password errado. Neste caso o Account lockout deverá estar configurado para bloquear um acesso na segunda tentativa errada, evitando assim que o AD contabilize a terceira tentativa e bloqueie a conta do usuário.

Tudo certo? NÃO!!!

Existem outros fatores que podem fazer uma conta ser bloqueada no AD, mesmo que todos esses cuidados sejam tomados e os pré requisitos sejam seguidos.

Vamos tomar como exemplo o desenho abaixo:

image

Levando em consideração o desenho exposto, temos um ambiente em que o usuário tem um notebook para uso na empresa e fora dela. Pela rede interna, o acesso sai do notebook e vai diretamente para o Exchange, sem intermédio do Forefront TMG.

No momento em que este usuário está fora da empresa, ele pode acessar seus emails a partir de um tablet, celular e até mesmo pelo próprio notebook.

O usuário tem seu perfil de email cadastrado no tablet e no celular com a senha gravada em ambos. Desta forma, o acesso ocorre sem necessidade de fornecimento das credenciais.

Levemos em consideração que, antes de sair da empresa, o usuário alterou sua senha de rede.

Ao sair da empresa o usuário para em um cyber-café. Enquanto saboreia um capuccino, acessa a internet pelo WIFI e resolve ler seus emails corporativos.

Na primeira tentativa dá erro, a segunda também…ele se lembra que alterou a senha antes de sair do escritório e faz o mesmo no perfil de emails cadastrado no tablet. Pronto! Tudo resolvido! Acessa seus emails e vai embora.

Entretanto, para sua surpresa, ao chegar no escritório, dia seguinte, vê que sua conta está bloqueada…porque?

Vamos agora entrar na parte técnica da nossa aventura, explorando o desenho acima.

Imaginem que a politica de senhas da corporação vai bloquear uma conta após 5 tentativas de acesso com senha errada.

No Forefront TMG, o admnistrador habilitou a feature de Account Lockout para bloquear o acesso na quarta tentativa de acesso externo com senha errada.

Aí o leitor deste blog me pergunta: “Uilson, se o usuário digitou a senha errada “só” duas vezes e o limite do AD é 5 e do TMG 4, porque isso ocorreu?”

Neste caso eu volto a nossa história para lembrar que o acesso externo do usuário não se resume somente ao tablet…existe um perfil dele cadastrado também no celular.

OK, mas, o que isso tem a ver com o bloqueio da conta? Imaginem que o celular dele ficou com a secretária ou com um assistente que gerencia seus compromissos e também emails.

No momento e que o usuário alterou sua senha no AD (enquanto acessando internamente), ele não comunicou seu assistente/secretária deste fato. O tablet enviou duas requisições erradas para o AD através de uma WIFI, vindo de uma determinada range de IP.

O assistente tentou por 3 vezes acessar os emails do usuário sem sucesso, afinal ainda constava no dispositivo a senha antiga. O acesso deste celular veio de uma rede 3G/4G usando outra range de IP. Vale ressaltar que os acessos do celular ocorreram 5 minutos depois que o usuário corrigiu a senha errada no tablet.

Observe no desenho que, o acesso via Tablet é representado pela seta maior e o acesso via celular, pela seta menor.

Vamos supor que o acesso pela seta maior (tablet) entra com um IP, passa pelo proxy reverso do node 1 do TMG e autentica no AD pelo node 1. OK? Certo!!!

Agora vamos supor que o acesso pela seta menor (celular) entra com outro IP, passa pelo proxy reverso do node 2 do TMG e autentica no AD pelo node 2. OK? Certo de novo!!!

O que irá acontecer no próximo acesso do nosso usuário?

Exato! Irá bloquear! E aí, o desbloqueio ocorrerá após um período definido na própria política do AD, ou através de um administrador do ambiente.

Vejam bem, o usuário digitou sua senha errada 2 vezes pelo tablet, o assistente digitou a senha errada pelo celular 3 vezes. Ambos entraram na rede com IP’s distintos e por nodes diferentes.

A configuração do Account Lockout é feita em um único node do TMG e replica para o outro, porém, o processo de contabilização das tentativas é feita por cada node em separado.

Dessa forma, o Account Lockout não bloqueia o acesso, tanto do tablet como do celular, mas, as tentativas erradas ficam registradas no AD. Dessa forma o bloqueio da conta ocorre.

Como fazer para evitar isso? De certa forma a solução foge de qualquer ação a ser tomada no AD ou no Forefront TMG. É necessário avaliar a necessidade de vários dispositivos sendo usados para uma mesma conta e, além disso, o usuário ter a ciência de que, se alterar sua senha em um dispositivo (notebook, tablet ou celular) terá que alterar em todos os que usa para acessar seu perfil.

Esta explanação foi apresentada em um de nossos clientes a uns dias atrás e achei que seria muito interessante compartilhar aqui.

Espero que possa ser útil e, em caso de dúvidas, deixe seu comentário que terei o maior prazer em responder.

Abraços

Uilson

  1. gloria
    15 de maio de 2014 às 15:39

    Ulison.. poderia me ajudar com uma duvida? no meu ambiente tenho apenas 1 servidor de TMG.. e apenas 1 dispositivo causando o bloqueio… mesmo tendo configurado no TMG para bloquear em caso de 4 tentativas.. e no AD para 5 tentativas.. sabe o que pode ser? a configuração esta toda correta… instalei o rollup 4 do TMG 2010… fiz as configurações no Web listner corretamente.. mas nao sei porque esta bloqueando. se puder me ajudar te agradeço! meu email gloria.adriana1704@gmail.com ou gloria.adriana@ig.com.br…muito bom artigo!

    • 16 de maio de 2014 às 15:19

      Glória, o seu caso é igual a um que tratei ano passado, vou te responder com detalhes em seu email.

      Abs.

      Uilson

  1. 12 de janeiro de 2015 às 13:13

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: