Oppdateringen legger til funksjonen for å låse ute brukerkontoer som bruker FBA med Active Directory eller LDAP-godkjenning i et miljø med Forefront Threat Management Gateway 2010

Sammendrag

Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2, legger til en ny lokal konto låsing funksjon som bidrar til å hindre en ondsinnet bruker i å låse ut domenekontoer når Forefront TMG er konfigurert for å publisere et webområde ved hjelp av skjemabasert godkjenning (FBA) sammen med godkjenning eller Active Directory Lightweight Directory Access Protocol (LDAP).

Hvis du vil ha mer informasjon

Hvis du vil legge til funksjonen for låsing av konto for FBA, installerer du oppdateringspakken som er beskrevet i følgende Microsoft Knowledge Base-artikkel:

2555840 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2

Når du har installert Service Pack 2, kan du konfigurere funksjonen for låsing av konto ved hjelp av Forefront TMG administrasjon-objektmodellen. Hvis du vil gjøre dette, konfigurere følgende egenskaper for WebListenerProperties -objektet, og angi deretter egenskapene per lytteobjektet:

• EnableAccountLockout

• AccountLockoutThreshold

• AccountLockoutResetTime

Hvis egenskapen EnableAccountLockout er satt til True , og hvis verdien for egenskapen AccountLockoutThreshold for påfølgende mislykkede påloggingsforsøk for en bruker er overskredet, kontoen er låst basert på AccountLockoutResetTime -verdi i sekunder.

Obs! "Etterfølgende mislykkede forsøk på pålogging" betyr at tidsperioden mellom to mislykkede påloggingsforsøk er ikke mer enn AccountLockoutResetTime -verdien i sekunder, og at det var ingen vellykkede pålogginger mellom prøver.

Vær også oppmerksom på følgende:

• Teller for låsing for FBA som er beskrevet her er lokal datamaskin hver TMG.

• Hvis låsing av Active Directory-konto er konfigurert for høyere verdier enn sin terskler, utløses låsen på før den lokale FBA-låsing. Dette er sannsynlig å vinne hensikten med å ha denne typen beskyttelse på plass.

Følgende er et eksempel på et skript som kan brukes til å aktivere funksjonen TMG myke låsing av konto som er beskrevet i denne artikkelen. Microsoft bruker ment som eksempler, uten garanti, verken direkte eller indirekte. Dette inkluderer, men er ikke begrenset til, eventuelle stilltiende garantier om salgbarhet eller anvendelighet for særskilte formål. Denne artikkelen forutsetter at du er kjent med programmeringsspråket som anvendes, og verktøyene som brukes til å opprette og feilsøke prosedyrer. Microsofts kundestøtteteknikere kan hjelpe deg med å forklare funksjonaliteten til en bestemt prosedyre. De endrer imidlertid ikke disse eksemplene for å lage forbedret funksjonalitet eller lage prosedyrer som dekker dine spesifikke behov.

1. Kopier følgende skript til en Notisblokk-fil, og deretter lagre filen som en Microsoft Visual Basic-fil ved å bruke filtypen vbs. Kontroller at du kan endre verdien for WebListenerName som passer til ditt miljø.
   
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' Skript for å aktivere TMG myke låsing av konto som er beskrevet i KB 2619987
   
   Option Explicit
   Ton ned WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' ANGI VERDIENE HER
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   ' Navnet på en regel der du vil endre EnableAccountLockout-parameteren
   
   WebListenerName = "YourWebListenerName"
   
   ''''''''''''''''''''''''''''''''''
   -Her angir du egendefinerte verdier
   ' Husk: Hvis EnableAccountLockout-egenskapen er satt til True og
   ' verdien for egenskapen AccountLockoutThreshold for påfølgende mislyktes
   ' påloggingsforsøk for en bruker er overskredet, kontoen er låst basert på
   ' AccountLockoutResetTime-verdi i sekunder.
   
   newEnableAccountLockout = True
   newAccountLockoutThreshold = 2
   newAccountLockoutResetTime = 60
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' Begin
   
   Ton ned rot, matrise, WebListeners, WL, intCompare
   
   Set Root = CreateObject ("FPC. Roten")
   Angitt matrise = Root.GetContainingArray
   Angi WebListeners = Array.RuleElements.WebListeners
   
   ''''''''''''''''''''''''''''''''''
   "Se etter WebListener
   
   For hver WL i WebListeners
   Wscript.Echo "Comparing WebListener navn |" & WebListenerName & "| med | "& WL. Navn & "|"
   intCompare = StrComp (WebListenerName, WL. Navnet vbTextCompare)
   Hvis intCompare = 0 then
   Exit For
   End If
   Neste
   
   Wscript.Echo
   Wscript.Echo "funnet WebListener med beskrivelse: |" & WL. Beskrivelse & "|"
   
   ''''''''''''''''''''''''''''''''''
   ' Vis verdier
   
   Wscript.Echo
   Wscript.Echo "*** gjeldende verdier:"
   Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
   Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
   Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"
   Wscript.Echo "*** nye verdier:"
   Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|"
   Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|"
   Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"
   
   ''''''''''''''''''''''''''''''''''
   ' Advarsel og be om å fortsette
   
   Mørk strMessage
   WScript.Echo "ny linje
   Wscript.Echo "Please check Hvis tidligere informasjonen er riktig, og du vil bruke endringene"
   strMessage = "Trykk en tast for å fortsette eller Ctrl + C for å avbryte"
   WScript.Echo "ny linje
   WScript.StdOut.Write strMessage
   Når du er ikke WScript.StdIn.AtEndOfLine
   Input = WScript.StdIn.Read(1)
   Sløyfe
   
   ''''''''''''''''''''''''''''''''''
   ' Angi nye verdier
   
   WL. Properties.EnableAccountLockout = newEnableAccountLockout
   WL. Properties.AccountLockoutThreshold = newAccountLockoutThreshold
   WL. Properties.AccountLockoutResetTime = newAccountLockoutResetTime
   
   Wscript.Echo "*** gjeldende verdier:"
   Wscript.Echo "** EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|"
   Wscript.Echo "** AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|"
   Wscript.Echo "** AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|"
   
   WL.Properties.Save
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   

2. Lagre filen til en midlertidig mappe. Hvis du for eksempel lagre filen som "EnableSoftLockout.vbs", og deretter lagre filen i mappen C:\EnableSoftLockout.

3. Gå til stedet der du lagret filen VBS i trinn 2 ved en ledetekst, og deretter kjøre VBS-filen. For eksempel kan du kjøre følgende kommandoer:
   

   CD C:\EnableSoftLockout
   cscript EnableSoftLockout.vbs
   
   

Referanser

Hvis du vil ha mer informasjon om WebListenerProperties -objekt, kan du gå til følgende webområde for Microsoft Developer Network (MSDN):

FPCWebListenerProperties-objektHvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare