A actualização adiciona funcionalidade para bloquear todas as contas de utilizador que utilizam FBA com o Active Directory ou com a autenticação LDAP num ambiente Forefront ameaça gestão Gateway 2010

Aplica-se a: Forefront Threat Management Gateway 2010 EnterpriseForefront Threat Management Gateway 2010 Standard

Resumo


Microsoft Forefront ameaça gestão Gateway (TMG) 2010 Service Pack 2 adiciona uma nova funcionalidade de bloqueio de conta local que ajuda a impedir um utilizador mal intencionado de bloquear contas de domínio quando Forefront TMG está configurado para publicar um site utilizando baseada em formulários autenticação (FBA) em conjunto com a autenticação do Active Directory Lightweight Directory Access Protocol (LDAP).

Mais Informações


Para adicionar a funcionalidade de bloqueio de conta para FBA, instale o service pack que está descrito no seguinte artigo da Base de dados de conhecimento da Microsoft:
2555840 Microsoft Forefront ameaça Management Gateway (TMG) 2010 Service Pack 2
Depois de aplicar o Service Pack 2, pode configurar a funcionalidade de bloqueio de conta, utilizando o modelo de objecto de administração do Forefront TMG. Para tal, configurar as seguintes propriedades para o objecto WebListenerProperties e, em seguida, defina as propriedades por serviço de escuta:
  • EnableAccountLockout
  • AccountLockoutThreshold
  • AccountLockoutResetTime
Se a propriedade EnableAccountLockout estiver definida como True e se o valor para a propriedade AccountLockoutThreshold para tentativas consecutivas falhadas de início de sessão para um utilizador for excedido, a conta está bloqueada baseiam o AccountLockoutResetTime valor em segundos. Nota "Tentativas de início de sessão falhado consecutivo" significa que o período de tempo entre duas tentativas falhadas de início de sessão não mais do que o valor de AccountLockoutResetTime em segundos e que não foram inícios de sessão sem êxito entre tentativas. Tenha também em atenção o seguinte:
  • O contador de bloqueio para FBA aqui descrito é local para cada computador TMG.
  • Se o bloqueio de conta do Active Directory estiver configurado para os valores maiores que seus limiares, o bloqueio será accionado antes do bloqueio do local FBA. É provável que derrotar o objectivo de ter esta protecção num local.
Segue-se um exemplo de um script que pode ser utilizado para activar a funcionalidade de bloqueio de conta software TMG descrito neste artigo. A Microsoft fornece exemplos de programação apenas a título ilustrativo, sem garantia expressa ou implícita. Isto inclui, mas não está limitado a, garantias implícitas de comercialização ou adequação a um fim específico. Este artigo pressupõe que está familiarizado com a linguagem de programação que está a ser demonstrada e com as ferramentas que são utilizadas para criar e depurar procedimentos. Técnicos de suporte da Microsoft podem ajudar a explicar a funcionalidade de um determinado procedimento. No entanto, não modificarão estes exemplos para proporcionarem funcionalidades adicionais nem criarão procedimentos adaptados às necessidades específicas do utilizador.
  1. Copie o script seguinte para um ficheiro do bloco de notas, em seguida, guarde o ficheiro de texto como um ficheiro do Microsoft Visual Basic utilizando a extensão de nome de ficheiro. vbs. Certifique-se de que alterar o valor de WebListenerName conforme apropriado para o seu ambiente. ' ' ' Script para activar TMG bloqueio de conta suave descrita em KB 2619987Option ExplicitDim WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime' ' ' '' Definir aqui o seu valores' '' '' nome da regra em que pretende alterar a EnableAccountLockout parameterWebListenerName = "YourWebListenerName"' '' definir aqui valores personalizados' lembrar: se a propriedade EnableAccountLockout está definida como True e o ' valor da propriedade AccountLockoutThreshold para consecutivos falhou ' tentativas de logon para um utilizador for excedido, a conta está bloqueada com base na » o valor de AccountLockoutResetTime em segundos. newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60' '' Começar aDim raiz, matriz, WebListeners, WL, intComparedefinir raiz = CreateObject ("FPC. Raiz")definir matriz = Root.GetContainingArraySet WebListeners = Array.RuleElements.WebListeners' '' Procurar o WebListenerpara cada WL no WebListenersWscript.Echo "Comparing WebListener nome |" & WebListenerName & "| com | "& WL. Nome & "|" intCompare = StrComp (WebListenerName, WL. Nome, vbTextCompare)se intCompare = 0, em seguida,sair parafim IfNextWscript. echo do Wscript. Echo "Found WebListener com Descrição: |" & WL. Descrição & "|"' '''''''''''''''''''''''''''''''''' Mostrar valuesWscript.Echo Wscript. Echo "* * * valores actuais:" WScript. Echo "* * EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|" WScript. Echo "* * AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|" WScript. Echo "* * AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|" WScript. Echo "* * * novos valores:" WScript. Echo "* * EnableAccountLockout = |" & newEnableAccountLockout & "|" WScript. Echo "* * AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|" WScript. Echo "* * AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|" ' ' ' Aviso e peça para continueDim strMessageWScript.Echo ' newlineWscript.Echo "Verifique se as informações anteriores estão correctas e pretender aplicar as alterações" strMessage = "prima qualquer tecla para continuar ou Ctrl + C para cancel"WScript.Echo ' newlineWScript.StdOut.Write strMessageDo enquanto não WScript.StdIn.AtEndOfLineInput = Loop de WScript.StdIn.Read (1) ' '' Definir novo valuesWL.Properties.EnableAccountLockout = newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo "* * * valores actuais:" WScript. Echo "* * EnableAccountLockout = |" & WL. Properties.EnableAccountLockout & "|" WScript. Echo "* * AccountLockoutThreshold = |" & WL. Properties.AccountLockoutThreshold & "|" WScript. Echo "* * AccountLockoutResetTime = |" & WL. Properties.AccountLockoutResetTime & "|" WL. Properties.Save ' '
  2. Guarde o ficheiro para uma pasta temporária. Por exemplo, guarde o ficheiro como "EnableSoftLockout.vbs" e, em seguida, guarde o ficheiro para a pasta C:\EnableSoftLockout.
  3. Na linha de comandos, mover para a localização onde guardou o ficheiro. vbs no passo 2 e, em seguida, execute o ficheiro. vbs. Por exemplo, execute os seguintes comandos:
    CD C:\EnableSoftLockout cscript EnableSoftLockout.vbs

Referências


Para mais informações sobre o objecto de WebListenerProperties , vá para o seguinte Web site da Microsoft Developer Network (MSDN):Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft