Resumen
Service Pack 2 de Microsoft Forefront Threat Management Gateway (TMG) 2010 agrega una nueva característica de bloqueo de cuenta local que ayuda a impedir que un usuario malintencionado bloquee las cuentas de dominio cuando Forefront TMG está configurado para publicar un sitio utilizando basada en formularios autenticación (FBA) junto con la autenticación de Active Directory o el protocolo ligero de acceso a directorios (LDAP).
Más información
Para agregar la característica de bloqueo de cuenta de FBA, instale el service pack que se describe en el siguiente artículo de Microsoft Knowledge Base:
2555840 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2
Después de aplicar el Service Pack 2, puede configurar la característica de bloqueo de cuenta mediante el modelo de objetos de administración de Forefront TMG. Para ello, configure las siguientes propiedades para el objeto WebListenerProperties y, a continuación, establezca las propiedades por oyente:
-
EnableAccountLockout
-
AccountLockoutThreshold
-
AccountLockoutResetTime
Si la propiedad EnableAccountLockout se establece en True y si se supera el valor de la propiedad AccountLockoutThreshold de intentos consecutivos de un usuario, se bloquea la cuenta basada en el AccountLockoutResetTime el valor en segundos. Nota: "Intentos de inicio de sesión fallido consecutivo" significa que el período de tiempo entre dos intentos fallidos de inicio de sesión no es mayor que el valor de AccountLockoutResetTime en segundos y que no fueron no hay inicios de sesión correctos entre intentos. Tenga también en cuenta lo siguiente:
-
El contador de bloqueos de FBA que aquí se describe es local en cada equipo TMG.
-
Si el bloqueo de cuenta de Active Directory está configurado para mayores valores a sus umbrales, se activará el bloqueo antes del bloqueo local de FBA. Esto es probable que anule el propósito de contar con esta protección.
Siguiente es un ejemplo de una secuencia de comandos que puede utilizarse para habilitar la característica de bloqueo de cuenta de TMG suave que se describe en este artículo. Microsoft proporciona ejemplos de programación únicamente con fines ilustrativos, sin ninguna garantía expresa o implícita. Esto incluye, pero no se limita, a las garantías implícitas de comerciabilidad o idoneidad para un propósito particular. Este artículo asume que está familiarizado con el lenguaje de programación que se muestra y con las herramientas que se utilizan para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento. Sin embargo, no modificarán estos ejemplos para ofrecer mayor funcionalidad ni crearán procedimientos que cumplan sus requisitos específicos.
-
Copie la siguiente secuencia de comandos en un archivo de Bloc de notas y guarde el archivo de texto como un archivo de Microsoft Visual Basic utilizando la extensión de nombre de archivo .vbs. Asegúrese de que cambie el valor de WebListenerName como corresponda para su entorno.'' ' ' Secuencia de comandos para habilitar el bloqueo de cuenta suave TMG descrito en KB 2619987Option ExplicitDim WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime''' '''' Establecer su valores aquí''''''' nombre de la regla donde desee cambiar la EnableAccountLockout parameterWebListenerName = "YourWebListenerName"'''' establecer aquí los valores personalizados' recordar: si la propiedad EnableAccountLockout está establecida en True y el ' el valor de la propiedad AccountLockoutThreshold de incorrectos consecutivos ' intentos de inicio de sesión para un usuario se sobrepasa, la cuenta está bloqueada según ' el valor de AccountLockoutResetTime en segundos. newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60'''' ComenzarDim raíz, matriz, WebListeners, WL, intCompareestablecer raíz = CreateObject ("FPC. "Raíz")establecer matriz = Root.GetContainingArraySet WebListeners = Array.RuleElements.WebListeners'''' buscar el WebListenerpara cada WL en WebListenersWscript.Echo "nombre de comparación WebListener |" & WebListenerName & "| con | "& WL. Nombre & "|" intCompare = StrComp (WebListenerName, WL. Nombre, vbTextCompare)si intCompare = 0 thenExit ForEnd IfNextWscript.Echo Wscript.Echo "Found WebListener con descripción: |" & WL. Descripción & "|"' '''''''''''''''''''''''''''''''''' Mostrar valuesWscript.Echo Wscript.Echo "*** valores actuales:" Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|" Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|" Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|" Wscript.Echo "*** nuevos valores:" Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|" Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|" Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"'' ' ' Advertencia y pídale que continueDim strMessageWScript.Echo ' newlineWscript.Echo "Compruebe si la información anterior es correcta y desea aplicar los cambios" strMessage = "Presione cualquier tecla para continuar o Ctrl + C para cancel"WScript.Echo ' Mientras no WScript.StdIn.AtEndOfLineInput del newlineWScript.StdOut.Write strMessageDo = WScript.StdIn.Read (1) bucle '''' establecer nuevas valuesWL.Properties.EnableAccountLockout = newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo "*** valores actuales:" Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|" Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|" Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|" WL. Properties.Save'' '
-
Guarde el archivo en una carpeta temporal. Por ejemplo, guarde el archivo como "EnableSoftLockout.vbs" y, a continuación, guarde el archivo en la carpeta C:\EnableSoftLockout.
-
En el símbolo del sistema, desplácese a la ubicación en la que guardó el archivo .vbs en el paso 2 y, a continuación, ejecute el archivo .vbs. Por ejemplo, ejecute los comandos siguientes:
CD C:\EnableSoftLockout cscript EnableSoftLockout.vbs
Referencias
Para obtener más información acerca del objeto WebListenerProperties , visite el siguiente sitio Web de Microsoft Developer Network (MSDN):
Objeto FPCWebListenerPropertiesPara obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft