Aktualizace přidává funkce uzamčení uživatelské účty, které používají FBA se službou Active Directory nebo ověřování protokolu LDAP v prostředí Forefront Threat Management Gateway 2010

Souhrn

Microsoft Forefront Threat Management brány (TMG) 2010 Service Pack 2 přidá novou funkci uzamčení místního účtu, která umožňuje zabránit uživateli se zlými úmysly uzamčení účtů domény, když Forefront TMG nakonfigurován pro publikování serveru pomocí ověřování pomocí formulářů (FBA) a ověřování služby Active Directory nebo Lightweight Directory Access Protocol (LDAP).

Další informace

Chcete-li přidat funkce uzamčení účtu na ověřování pomocí formulářů, instalace aktualizace service pack, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
2555840 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2
Po instalaci Service Pack 2, můžete pomocí objektového modelu aplikace Forefront TMG Správa konfigurace funkce uzamčení účtu. Chcete-li to provést, nakonfigurujte následující vlastnosti objektu WebListenerProperties a potom nastavte vlastnosti pro posluchače:
  • EnableAccountLockout
  • AccountLockoutThreshold
  • AccountLockoutResetTime
Pokud je vlastnost EnableAccountLockout nastavena na hodnotu True a pokud je překročena hodnota pro vlastnost AccountLockoutThreshold pro po sobě jdoucích neúspěšných pokusů o přihlášení uživatele, účet je uzamčen na základě AccountLockoutResetTime hodnoty v sekundách.

Poznámka: "Po sobě jdoucích neúspěšných pokusů o" označuje časové období mezi dva neúspěšné pokusy o přihlášení více než AccountLockoutResetTime hodnotu v sekundách a že tam nebyly žádné úspěšné přihlášení mezi pokusy.

Vezměte také na vědomí následující:
  • Čítač pro uzamčení na ověřování pomocí formulářů, které je zde popsáno je místní pro každý počítač TMG.
  • Pokud uzamčení účtů služby Active Directory je nakonfigurován pro hodnoty větší než jeho prahové hodnoty, bude aktivován uzamčení před místní uzamčení FBA. To je pravděpodobné, že účel existence této ochrany na místě.
Následuje příklad skriptu, který lze použít k povolení funkce TMG měkké uzamčení účtu, která je popsána v tomto článku. Společnost Microsoft poskytuje ukázky programování pouze pro ilustraci bez žádné záruky výslovně uvedené nebo odvozené. To zahrnuje, ale není omezen pouze na předpokládané záruky obchodovatelnosti nebo vhodnosti pro určitý účel. Tento článek předpokládá, že jste obeznámeni s programovacím jazykem, který je předmětem ukázky a s nástroji, které slouží k vytvoření a ladění skriptu. Pracovníci podpory společnosti Microsoft mohou vysvětlit funkce určitého postupu. Nemohou však následující příklady rozšířit o další funkce nebo konstrukce podle konkrétních požadavků.

  1. Zkopírujte následující skript do souboru programu Poznámkový blok a uložte textový soubor jako soubor aplikace Microsoft Visual Basic pomocí přípony názvu souboru VBS. Ujistěte se, změňte hodnotu pro WebListenerName vhodné pro vaše prostředí.


    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    "Skript umožňující měkké uzamčení účtu TMG popsané v KB 2619987

    Možnost Explicit
    Dim WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' NASTAVENÍ HODNOTY ZDE
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

    "Pokud chcete změnit parametr EnableAccountLockout název pravidla

    WebListenerName = "YourWebListenerName"

    ''''''''''''''''''''''''''''''''''
    "Nastavit vlastní hodnoty zde
    "Mějte na paměti: Pokud je vlastnost EnableAccountLockout nastavena na hodnotu True a
    "hodnota pro vlastnost AccountLockoutThreshold po sobě jdoucích se nezdařilo
    "pokusech o přihlášení pro uživatele je překročena, účet je uzamčen na základě
    "AccountLockoutResetTime hodnotu v sekundách.

    newEnableAccountLockout = True
    newAccountLockoutThreshold = 2
    newAccountLockoutResetTime = 60

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' Begin

    Dim kořenového pole, WebListeners, WL, intCompare

    Set Root = CreateObject ("FPC. Root")
    Nastavit pole = Root.GetContainingArray
    Set WebListeners = Array.RuleElements.WebListeners

    ''''''''''''''''''''''''''''''''''
    "Hledejte WebListener

    Pro každý WL v WebListeners
    Wscript.Echo "Comparing WebListener název |" & WebListenerName & "| s | "& WL. Název & "|"
    intCompare = StrComp (WebListenerName, WL. Název: vbTextCompare)
    Pokud intCompare = 0 then
    Exit For
    End If
    Další

    Wscript.Echo
    Wscript.Echo "WebListener nálezy s Popis: |" & WL. Popis & "|"

    ''''''''''''''''''''''''''''''''''
    ' Zobrazit hodnoty

    Wscript.Echo
    Wscript.Echo "*** aktuálních hodnot:"
    Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"
    Wscript.Echo "*** nové hodnoty:"
    Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"

    ''''''''''''''''''''''''''''''''''
    "Upozornění a požádat o pokračování

    Dim strMessage
    WScript.Echo "nový řádek
    Wscript.Echo "prosím zkontrolovat, zda je správná předchozí informace a chcete použít změny"
    strMessage = "Stisknutím libovolné pokračovat nebo Ctrl + C ukončíte"
    WScript.Echo "nový řádek
    WScript.StdOut.Write strMessage
    Zatímco není WScript.StdIn.AtEndOfLine
    Vstup = WScript.StdIn.Read(1)
    Smyčka

    ''''''''''''''''''''''''''''''''''
    "Nastavit nové hodnoty

    WL. Properties.EnableAccountLockout = newEnableAccountLockout
    WL. Properties.AccountLockoutThreshold = newAccountLockoutThreshold
    WL. Properties.AccountLockoutResetTime = newAccountLockoutResetTime

    Wscript.Echo "*** aktuálních hodnot:"
    Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
    Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
    Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"

    WL.Properties.Save

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

  2. Uložte soubor do dočasné složky. Například uložte soubor jako "EnableSoftLockout.vbs" a uložte soubor do složky C:\EnableSoftLockout.
  3. Na příkazovém řádku přesunout do umístění, do kterého jste uložili soubor VBS v kroku 2 a potom spusťte soubor VBS. Například spusťte následující příkazy:
    CD C:\EnableSoftLockout
    cscript EnableSoftLockout.vbs


Odkazy

Další informace o objektu WebListenerProperties naleznete na následujícím webu Microsoft Developer Network (MSDN):Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Vlastnosti

ID článku: 2619987 - Poslední kontrola: 23. 1. 2017 - Revize: 2

Váš názor