Uppdateringen lägger till funktionen att låsas ute användarkonton som använder FBA med Active Directory eller LDAP-verifiering i en miljö med Forefront Threat Management Gateway 2010

Gäller för: Forefront Threat Management Gateway 2010 EnterpriseForefront Threat Management Gateway 2010 Standard

Sammanfattning


Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 lägger till en ny lokalt konto kontoutelåsning funktion som förhindrar att en angripare utelåsning av domänkonton när Forefront TMG är konfigurerad för att publicera en webbplats med hjälp av formulär-baserad autentisering (FBA) tillsammans med Active Directory eller Lightweight Directory Access Protocol (LDAP)-autentisering.

Mer information


Om du vill lägga till funktionen Utelåsta konton för FBA installera service Pack-uppdateringen som beskrivs i följande artikel i Microsoft Knowledge Base:
2555840 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2
När du har installerat Service Pack 2 kan du konfigurera funktionen Utelåsta konton med hjälp av objektmodellen i Forefront TMG Administration. Genom att konfigurera följande egenskaper för objektet WebListenerProperties och sedan ange egenskaper per lyssnare:
  • EnableAccountLockout
  • AccountLockoutThreshold
  • AccountLockoutResetTime
Om egenskapen EnableAccountLockout har värdet True och om värdet för egenskapen AccountLockoutThreshold för efterföljande misslyckade inloggningsförsök för en användare har överskridits kontot är låst utifrån AccountLockoutResetTime värde i sekunder. Obs! ”Efterföljande misslyckade inloggningsförsök” innebär att tidsperioden mellan två misslyckade inloggningsförsök är högst AccountLockoutResetTime värde i sekunder och som det fanns inga lyckade inloggningar mellan försök. Lägg också märke till följande:
  • Räknaren för kontoutelåsning för FBA som beskrivs här är lokalt på varje dator i TMG.
  • Om Active Directory kontoutelåsning konfigureras för större värden än dess tröskelvärden, ska blockeringen utlösas innan FBA lokala kontoutelåsning. Detta är sannolikt att besegra syftet med att ha detta skydd.
Följande är ett exempel på ett skript som kan användas för att aktivera funktionen TMG mjuka kontoutelåsning som beskrivs i denna artikel. Microsoft tillhandahåller programmeringsexempel endast utan garanti varken uttryckliga eller underförstådda. Detta inkluderar men är inte begränsat till, underförstådda garantier om säljbarhet eller lämplighet för ett särskilt ändamål. Den här artikeln förutsätter att du är bekant med det programmeringsspråk som demonstreras och de verktyg som används för att skapa och felsöka procedurer. Microsofts supporttekniker kan hjälpa till att förklara funktionen hos en viss procedur. De kommer inte ändra dessa exempel för att ge ytterligare funktioner eller skapa procedurer som motsvarar dina speciella behov.
  1. Kopiera följande skript till en fil i anteckningar och sedan spara filen som en Microsoft Visual Basic-fil med filnamnstillägget .vbs. Se till att ändra värdet för WebListenerName som passar din miljö.'' ' ' Skript för att aktivera TMG mjuka kontoutelåsning beskrivs i KB 2619987Option ExplicitDim WebListenerName, newEnableAccountLockout, newAccountLockoutThreshold, newAccountLockoutResetTime''' '''' Ange VÄRDENA här''''''' Regelnamn om du vill ändra på EnableAccountLockout parameterWebListenerName = ”YourWebListenerName”'''' ställa in anpassade värden' Kom ihåg: om egenskapen EnableAccountLockout har värdet True och ' värdet för egenskapen AccountLockoutThreshold för efterföljande misslyckades ' inloggningsförsök för en användare överskrids kontot låses utifrån ' AccountLockoutResetTime-värde i sekunder. newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60'''' BörjaDim rot, matris, WebListeners, WL, intCompareange rot = CreateObject (”FPC. Rot ”)ange matris = Root.GetContainingArrayange WebListeners = Array.RuleElements.WebListeners'''' leta efter WebListenerför varje WL i WebListenersWscript.Echo ”Comparing WebListener namn |” & WebListenerName & ”| med | ”& WL. Namn & ”|” intCompare = StrComp (WebListenerName, WL. Namnet i vbTextCompare)om intCompare = 0 thenExit ForEnd IfNextWscript.Echo Wscript.Echo ”hittade WebListener med beskrivning: |” & WL. Beskrivning & ”|” ” '''''''''''''''''''''''''''''''''' Visa valuesWscript.Echo Wscript.Echo ”*** aktuella värden”: Wscript.Echo ”** EnableAccountLockout = |” & WL. Properties.EnableAccountLockout & ”|” Wscript.Echo ”** AccountLockoutThreshold = |” & WL. Properties.AccountLockoutThreshold & ”|” Wscript.Echo ”** AccountLockoutResetTime = |” & WL. Properties.AccountLockoutResetTime & ”|” Wscript.Echo ”*** nya värden”: Wscript.Echo ”** EnableAccountLockout = |” & newEnableAccountLockout & ”|” Wscript.Echo ”** AccountLockoutThreshold = |” & newAccountLockoutThreshold & ”|” Wscript.Echo ”** AccountLockoutResetTime = |” & newAccountLockoutResetTime & ”|” ''' ' Varning och be continueDim strMessageWScript.Echo ' newlineWscript.Echo ”kontrollera om ovanstående information är korrekt och att du vill tillämpa ändringarna” strMessage = ”tryck på valfri tangent för att fortsätta eller Ctrl + C för att cancel"WScript.Echo ” newlineWScript.StdOut.Write strMessageDo medan inte WScript.StdIn.AtEndOfLineInput = WScript.StdIn.Read (1) Loop'' '' Ange nya valuesWL.Properties.EnableAccountLockout = newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo ”*** aktuella värden”: Wscript.Echo ”** EnableAccountLockout = |” & WL. Properties.EnableAccountLockout & ”|” Wscript.Echo ”** AccountLockoutThreshold = |” & WL. Properties.AccountLockoutThreshold & ”|” Wscript.Echo ”** AccountLockoutResetTime = |” & WL. Properties.AccountLockoutResetTime & ”|” WL. Properties.Save'' '
  2. Spara filen till en tillfällig mapp. Till exempel spara filen som ”EnableSoftLockout.vbs” och spara sedan filen till mappen C:\EnableSoftLockout.
  3. Flytta till den plats där du sparade filen .vbs i steg 2 vid en kommandotolk och kör .vbs-filen. Till exempel köra följande kommandon:
    CD-C:\EnableSoftLockout cscript EnableSoftLockout.vbs

Referenser


Mer information om WebListenerProperties -objektet finns på följande Microsoft Developer Network (MSDN)-webbplats:För mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684 beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar