Introdução ao AD FS Extranet Lockout

Saudações! Um feliz 2015 a todos!

Em continuidade a série de posts que venho publicando aqui e no TechNet Wiki sobre AD FS e WAP, vou dar uma pequena introdução sobre a feature AD FS Extranet Lockout.

Para quem segue o meu blog, publiquei nos meses de agosto e outubro de 2013 alguns posts sobre a funcionalidade do Account Lockout que vinha no SP2 do Forefront TMG. Clique aqui para ler o post (nele você tem o link para o outro que publiquei e também um outro que foi para o TechNet Wiki).

Pois bem, para quem leu, ou se lembra, a funcionalidade foi criada para cobrir um problema que começou a ocorrer nos acessos externos que usam autenticação de domínio.

Um acesso ao OWA ou uma aplicação publicada no AD Federation Services poderia bloquear a conta do usuário no caso de digitar a senha errada mais vezes do que a política do domínio local permite. Isso normalmente ocorre quando o usuário altera a senha em seu notebook ou desktop e se esquece de faze-lo em um dispositivo externo como tablet ou smartphone. Outra forma é por um ataque usando o dispositivo externo e as tentativas de acesso extrapolam o limite estabelecido.

Em resumo, a idéia desta feature, tanto para o AD FS quanto para quem usa Forefront TMG, é fazer com que o bloqueio do acesso ocorra no servidor de reverse proxy e não no domínio interno evitando problemas na conta do usuário no Active Directory.

Então vamos lá, como isso funcionaria em um ambiente de proxy reverso com WAP e AD FS? Assim como no TMG, você deverá usar comandos PSH (Powershell) para configurar a funcionalidade.

No seu servidor AD FS, abra o Power Shell (de preferência com Run as Administrator) e execute o comando “get-adfsproperties”.

O retorno trará todas as informações de configuração do AD FS. No fim da tela vc verá os parâmetros que devem ser configurados:

image

ExtranetLockoutThreshold – Neste parâmetro você define a quantidade de tentativas que o AD FS irá permitir antes de bloquear o acesso. Funciona independente da política de bloqueio de senhas do domínio e, neste caso, recomenda-se que o administrador defina um valor abaixo daquele praticado pelo AD DS. Por exemplo, se o número de tentativas erradas no AD DS está em 5, você poderá definir o ExtranetLockoutThreshold em 4.

ExtranetLockoutEnabled – Este parâmetro é o que ativa a Feature do AD FS Extranet Lockout. Vem por padrão com o valor “False”. Deverá ser alterado para o valor “True”

ExtranetObservationWindow – Uma vez habilitado e definidos os parâmetros acima, o ExtranetObservationWindow define quanto tempo o acesso que extrapolou as tentativas pré-definidas ficará bloqueado. Vem por padrão o valor de 30 minutos. Este tempo já é suficiente, entretanto, você deverá defini-lo de acordo com as políticas de sua organização.

Na prática, use os comandos abaixo para habilitar e configurar a feature:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow ( new-timespan -Minutes 30 )

No comando acima vemos que a feature do AD FS Extranet Lockout foi habilitada e estará sendo acionada após 15 tentativas erradas de senha e o bloqueio ficará ativo por 30 minutos. Ratificando que os valores expostos são apenas exemplos.

Lembrando que é essencial que o servidor possua instalado o KB2971171, pois, corrige um bug no parâmetro badPwdCount que contabiliza os acessos com senha errada.

Se você ficou interessado neste assunto, além de testar em seu laboratório, você poderá ler o post que irei publicar no TechNet Wiki dentro de alguns dias com um passo a passo de como configurar essa feature.

Como base de estudo usei o artigo abaixo para escrever este post:

http://technet.microsoft.com/en-us/library/dn486806.aspx

Espero que o conteúdo possa ser útil e daqui a alguns dias irei postar o laboratório prático no TechNet Wiki.

Abraços

Uilson

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: