Sammendrag
Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2, legger til en ny lokal konto låsing funksjon som bidrar til å hindre en ondsinnet bruker i å låse ut domenekontoer når Forefront TMG er konfigurert for å publisere et webområde ved hjelp av skjemabasert godkjenning (FBA) sammen med godkjenning eller Active Directory Lightweight Directory Access Protocol (LDAP).
Hvis du vil ha mer informasjon
Hvis du vil legge til funksjonen for låsing av konto for FBA, installerer du oppdateringspakken som er beskrevet i følgende Microsoft Knowledge Base-artikkel:
2555840 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2
Når du har installert Service Pack 2, kan du konfigurere funksjonen for låsing av konto ved hjelp av Forefront TMG administrasjon-objektmodellen. Hvis du vil gjøre dette, konfigurere følgende egenskaper for WebListenerProperties -objektet, og angi deretter egenskapene per lytteobjektet:
-
EnableAccountLockout
-
AccountLockoutThreshold
-
AccountLockoutResetTime
Hvis egenskapen EnableAccountLockout er satt til True , og hvis verdien for egenskapen AccountLockoutThreshold for påfølgende mislykkede påloggingsforsøk for en bruker er overskredet, kontoen er låst basert på AccountLockoutResetTime -verdi i sekunder.
Obs! "Etterfølgende mislykkede forsøk på pålogging" betyr at tidsperioden mellom to mislykkede påloggingsforsøk er ikke mer enn AccountLockoutResetTime -verdien i sekunder, og at det var ingen vellykkede pålogginger mellom prøver.
Vær også oppmerksom på følgende:
-
Teller for låsing for FBA som er beskrevet her er lokal datamaskin hver TMG.
-
Hvis låsing av Active Directory-konto er konfigurert for høyere verdier enn sin terskler, utløses låsen på før den lokale FBA-låsing. Dette er sannsynlig å vinne hensikten med å ha denne typen beskyttelse på plass.
Følgende er et eksempel på et skript som kan brukes til å aktivere funksjonen TMG myke låsing av konto som er beskrevet i denne artikkelen. Microsoft bruker ment som eksempler, uten garanti, verken direkte eller indirekte. Dette inkluderer, men er ikke begrenset til, eventuelle stilltiende garantier om salgbarhet eller anvendelighet for særskilte formål. Denne artikkelen forutsetter at du er kjent med programmeringsspråket som anvendes, og verktøyene som brukes til å opprette og feilsøke prosedyrer. Microsofts kundestøtteteknikere kan hjelpe deg med å forklare funksjonaliteten til en bestemt prosedyre. De endrer imidlertid ikke disse eksemplene for å lage forbedret funksjonalitet eller lage prosedyrer som dekker dine spesifikke behov.
-
Kopier følgende skript til en Notisblokk-fil, og deretter lagre filen som en Microsoft Visual Basic-fil ved å bruke filtypen vbs. Kontroller at du kan endre verdien for WebListenerName som passer til ditt miljø.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Skript for å aktivere TMG myke låsing av konto som er beskrevet i KB 2619987
Option Explicit
Ton ned WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' ANGI VERDIENE HER
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Navnet på en regel der du vil endre EnableAccountLockout-parameteren
WebListenerName = "YourWebListenerName"
''''''''''''''''''''''''''''''''''
-Her angir du egendefinerte verdier
' Husk: Hvis EnableAccountLockout-egenskapen er satt til True og
' verdien for egenskapen AccountLockoutThreshold for påfølgende mislyktes
' påloggingsforsøk for en bruker er overskredet, kontoen er låst basert på
' AccountLockoutResetTime-verdi i sekunder.
newEnableAccountLockout = True
newAccountLockoutThreshold = 2
newAccountLockoutResetTime = 60
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Begin
Ton ned rot, matrise, WebListeners, WL, intCompare
Set Root = CreateObject ("FPC. Roten")
Angitt matrise = Root.GetContainingArray
Angi WebListeners = Array.RuleElements.WebListeners
''''''''''''''''''''''''''''''''''
"Se etter WebListener
For hver WL i WebListeners
Wscript.Echo "Comparing WebListener navn |" & WebListenerName & "| med | "& WL. Navn & "|"
intCompare = StrComp (WebListenerName, WL. Navnet vbTextCompare)
Hvis intCompare = 0 then
Exit For
End If
Neste
Wscript.Echo
Wscript.Echo "funnet WebListener med beskrivelse: |" & WL. Beskrivelse & "|"
''''''''''''''''''''''''''''''''''
' Vis verdier
Wscript.Echo
Wscript.Echo "*** gjeldende verdier:"
Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"
Wscript.Echo "*** nye verdier:"
Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|"
Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|"
Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"
''''''''''''''''''''''''''''''''''
' Advarsel og be om å fortsette
Mørk strMessage
WScript.Echo "ny linje
Wscript.Echo "Please check Hvis tidligere informasjonen er riktig, og du vil bruke endringene"
strMessage = "Trykk en tast for å fortsette eller Ctrl + C for å avbryte"
WScript.Echo "ny linje
WScript.StdOut.Write strMessage
Når du er ikke WScript.StdIn.AtEndOfLine
Input = WScript.StdIn.Read(1)
Sløyfe
''''''''''''''''''''''''''''''''''
' Angi nye verdier
WL. Properties.EnableAccountLockout = newEnableAccountLockout
WL. Properties.AccountLockoutThreshold = newAccountLockoutThreshold
WL. Properties.AccountLockoutResetTime = newAccountLockoutResetTime
Wscript.Echo "*** gjeldende verdier:"
Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"
WL.Properties.Save
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' -
Lagre filen til en midlertidig mappe. Hvis du for eksempel lagre filen som "EnableSoftLockout.vbs", og deretter lagre filen i mappen C:\EnableSoftLockout.
-
Gå til stedet der du lagret filen VBS i trinn 2 ved en ledetekst, og deretter kjøre VBS-filen. For eksempel kan du kjøre følgende kommandoer:
CD C:\EnableSoftLockout
cscript EnableSoftLockout.vbs
Referanser
Hvis du vil ha mer informasjon om WebListenerProperties -objekt, kan du gå til følgende webområde for Microsoft Developer Network (MSDN):
FPCWebListenerProperties-objektHvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare