更新将添加功能,以使用 FBA 活动目录(AD) 或在最前沿的威胁管理网关 2010年环境中的 LDAP 身份验证的用户帐户锁定

文章翻译 文章翻译
文章编号: 2619987 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

Microsoft 最前沿威胁管理网关 (TMG) 2010 Service Pack 2 中添加新的本地帐户锁定功能,可以帮助防止恶意用户在最前沿 TMG 被配置为通过使用和 活动目录(AD) 或轻量目录访问协议 (LDAP) 身份验证的基于窗体的身份 (FBA) 发布站点时锁定域帐户。

更多信息

FBA 添加帐户锁定功能,请安装下面的 Microsoft 知识库文章中介绍的服务包:
2555840 Microsoft 最前沿的威胁管理网关 (TMG) 2010 Service Pack 2
应用 Service Pack 2 后,您可以通过使用最前沿 TMG 的管理对象模型配置帐户锁定功能。若要执行此操作,配置的下列属性WebListenerProperties对象,并将每个侦听器的属性:
  • EnableAccountLockout
  • AccountLockoutThreshold
  • AccountLockoutResetTime
如果将EnableAccountLockout属性设置为 则返回 true并且如果连续失败的登录的AccountLockoutThreshold属性的值超出了用户的该帐户被锁定基础上 AccountLockoutResetTime 以秒为单位的值。

注意"订失败的登录尝试"意味着两次失败的登录尝试之间的时间段是不能超过 AccountLockoutResetTime以秒为单位的值,并且没有任何成功的登录尝试之间。

另请注意以下:
  • 有关此处所述的 FBA 锁定计数器是本地的 TMG 的每台计算机。
  • 如果 活动目录(AD) 帐户锁定配置为比其阈值的值越大,锁定将会触发之前 FBA 本地锁定。这是有可能战胜的地方有这种保护的目的。
下面是脚本的可用于启用 TMG 软帐户锁定功能,本文中所描述示例。Microsoft 提供的编程示例仅用于说明,没有任何明示或暗示的担保。这包括但不限于对适销性或对特定用途的适用性的暗示保证。本文假定您熟悉所演示的编程语言和用于创建和调试过程的工具。Microsoft 的支持工程师可以帮助解释某个特定过程的功能。但是,他们不会修改这些示例以提供额外的功能或构建过程以满足您的特定要求。

  1. 将以下脚本复制到记事本文件中,然后将该文本文件另存为 Microsoft Visual Basic 文件,通过使用.vbs 文件扩展名。请确保为您的环境相应地将值更改为WebListenerName


    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' Script for enabling TMG Soft Account Lockout described in KB 2619987

    Option Explicit
    Dim WebListenerName,newEnableAccountLockout,newAccountLockoutThreshold,newAccountLockoutResetTime

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' SET YOUR VALUES HERE
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

    ' Rule name where you want to change the EnableAccountLockout parameter

    WebListenerName = "YourWebListenerName"

    ''''''''''''''''''''''''''''''''''
    ' Set here custom values
    ' Remember: If the EnableAccountLockout property is set to True and the
    ' value for the AccountLockoutThreshold property for consecutive failed
    ' logon attempts for a user is exceeded, the account is locked based on
    ' the AccountLockoutResetTime value in seconds.

    newEnableAccountLockout = True
    newAccountLockoutThreshold = 2
    newAccountLockoutResetTime = 60

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' Begin

    Dim Root, Array, WebListeners, WL, intCompare

    Set Root = CreateObject("FPC.Root")
    Set Array = Root.GetContainingArray
    Set WebListeners = Array.RuleElements.WebListeners

    ''''''''''''''''''''''''''''''''''
    ' Look for the WebListener

    For Each WL in WebListeners
    Wscript.Echo " Comparing WebListener name |" & WebListenerName & "| with |" & WL.Name & "|"
    intCompare = StrComp(WebListenerName, WL.Name, vbTextCompare)
    If intCompare = 0 then
    Exit For
    End If
    Next

    Wscript.Echo
    Wscript.Echo "Found WebListener with description: |" & WL.Description & "|"

    ''''''''''''''''''''''''''''''''''
    ' Show values

    Wscript.Echo
    Wscript.Echo "***** CURRENT VALUES: "
    Wscript.Echo "** EnableAccountLockout = |" & WL.Properties.EnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & WL.Properties.AccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & WL.Properties.AccountLockoutResetTime & "|"
    Wscript.Echo "***** NEW VALUES: "
    Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"

    ''''''''''''''''''''''''''''''''''
    ' Warning and ask to continue

    Dim strMessage
    WScript.Echo ' newline
    Wscript.Echo "Please check if the previous information is correct and you want to apply the changes"
    strMessage = "Press any key to continue or Ctrl+C to cancel"
    WScript.Echo ' newline
    WScript.StdOut.Write strMessage
    Do While Not WScript.StdIn.AtEndOfLine
    Input = WScript.StdIn.Read(1)
    Loop

    ''''''''''''''''''''''''''''''''''
    ' Set new values

    WL.Properties.EnableAccountLockout = newEnableAccountLockout
    WL.Properties.AccountLockoutThreshold = newAccountLockoutThreshold
    WL.Properties.AccountLockoutResetTime = newAccountLockoutResetTime

    Wscript.Echo "***** CURRENT VALUES: "
    Wscript.Echo "** EnableAccountLockout = |" & WL.Properties.EnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & WL.Properties.AccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & WL.Properties.AccountLockoutResetTime & "|"

    WL.Properties.Save

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

  2. 将文件保存到一个临时文件夹中。例如,保存为"EnableSoftLockout.vbs",该文件,然后将该文件保存到 C:\EnableSoftLockout 文件夹。
  3. 在命令提示符处,将移动到第 2 步的.vbs 文件保存到的位置,然后运行.vbs 文件。例如,运行以下命令:
    CD C:\EnableSoftLockout
    EnableSoftLockout.vbs cscript


参考

有关详细信息 WebListenerProperties对象,请转到以下 Microsoft 开发人员网络 (MSDN) 的网站:
FPCWebListenerProperties 对象
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 2619987 - 最后修改: 2013年6月1日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Forefront Threat Management Gateway 2010 Enterprise
  • Microsoft Forefront Threat Management Gateway 2010 Standard
  • Microsoft Forefront Threat Management Gateway 2010 Service Pack 1
关键字:?
kbexpertiseinter kbsurveynew kbmt KB2619987 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2619987
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com