你目前正处于脱机状态,正在等待 Internet 重新连接

更新将添加功能,以使用 FBA 活动目录(AD) 或在最前沿的威胁管理网关 2010年环境中的 LDAP 身份验证的用户帐户锁定

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2619987
概要
Microsoft 最前沿威胁管理网关 (TMG) 2010 Service Pack 2 中添加新的本地帐户锁定功能,可以帮助防止恶意用户在最前沿 TMG 被配置为通过使用和 活动目录(AD) 或轻量目录访问协议 (LDAP) 身份验证的基于窗体的身份 (FBA) 发布站点时锁定域帐户。
更多信息
FBA 添加帐户锁定功能,请安装下面的 Microsoft 知识库文章中介绍的服务包:
2555840 Microsoft 最前沿的威胁管理网关 (TMG) 2010 Service Pack 2
应用 Service Pack 2 后,您可以通过使用最前沿 TMG 的管理对象模型配置帐户锁定功能。若要执行此操作,配置的下列属性WebListenerProperties对象,并将每个侦听器的属性:
  • EnableAccountLockout
  • AccountLockoutThreshold
  • AccountLockoutResetTime
如果将EnableAccountLockout属性设置为 则返回 true并且如果连续失败的登录的AccountLockoutThreshold属性的值超出了用户的该帐户被锁定基础上 AccountLockoutResetTime 以秒为单位的值。

注意"订失败的登录尝试"意味着两次失败的登录尝试之间的时间段是不能超过 AccountLockoutResetTime以秒为单位的值,并且没有任何成功的登录尝试之间。

另请注意以下:
  • 有关此处所述的 FBA 锁定计数器是本地的 TMG 的每台计算机。
  • 如果 活动目录(AD) 帐户锁定配置为比其阈值的值越大,锁定将会触发之前 FBA 本地锁定。这是有可能战胜的地方有这种保护的目的。
下面是脚本的可用于启用 TMG 软帐户锁定功能,本文中所描述示例。Microsoft 提供的编程示例仅用于说明,没有任何明示或暗示的担保。这包括但不限于对适销性或对特定用途的适用性的暗示保证。本文假定您熟悉所演示的编程语言和用于创建和调试过程的工具。Microsoft 的支持工程师可以帮助解释某个特定过程的功能。但是,他们不会修改这些示例以提供额外的功能或构建过程以满足您的特定要求。

  1. 将以下脚本复制到记事本文件中,然后将该文本文件另存为 Microsoft Visual Basic 文件,通过使用.vbs 文件扩展名。请确保为您的环境相应地将值更改为WebListenerName


    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Script for enabling TMG Soft Account Lockout described in KB 2619987Option ExplicitDim WebListenerName,newEnableAccountLockout,newAccountLockoutThreshold,newAccountLockoutResetTime''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' SET YOUR VALUES HERE''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Rule name where you want to change the EnableAccountLockout parameterWebListenerName = "YourWebListenerName"''''''''''''''''''''''''''''''''''' Set here custom values' Remember: If the EnableAccountLockout property is set to True and the ' value for the AccountLockoutThreshold property for consecutive failed ' logon attempts for a user is exceeded, the account is locked based on ' the AccountLockoutResetTime value in seconds.newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' BeginDim Root, Array, WebListeners, WL, intCompareSet Root = CreateObject("FPC.Root")Set Array = Root.GetContainingArraySet WebListeners = Array.RuleElements.WebListeners''''''''''''''''''''''''''''''''''' Look for the WebListenerFor Each WL in WebListenersWscript.Echo " Comparing WebListener name |" & WebListenerName & "| with |" & WL.Name & "|"intCompare = StrComp(WebListenerName, WL.Name, vbTextCompare)If intCompare = 0 thenExit ForEnd IfNextWscript.Echo Wscript.Echo "Found WebListener with description: |" & WL.Description & "|"''''''''''''''''''''''''''''''''''' Show valuesWscript.Echo Wscript.Echo "***** CURRENT VALUES: "Wscript.Echo "** EnableAccountLockout = |" & WL.Properties.EnableAccountLockout & "|"Wscript.Echo "** AccountLockoutThreshold = |" & WL.Properties.AccountLockoutThreshold & "|"Wscript.Echo "** AccountLockoutResetTime = |" & WL.Properties.AccountLockoutResetTime & "|"Wscript.Echo "***** NEW VALUES: "Wscript.Echo "** EnableAccountLockout = |" & newEnableAccountLockout & "|"Wscript.Echo "** AccountLockoutThreshold = |" & newAccountLockoutThreshold & "|"Wscript.Echo "** AccountLockoutResetTime = |" & newAccountLockoutResetTime & "|"''''''''''''''''''''''''''''''''''' Warning and ask to continueDim strMessageWScript.Echo ' newlineWscript.Echo "Please check if the previous information is correct and you want to apply the changes"strMessage = "Press any key to continue or Ctrl+C to cancel"WScript.Echo ' newlineWScript.StdOut.Write strMessageDo While Not WScript.StdIn.AtEndOfLineInput = WScript.StdIn.Read(1)Loop''''''''''''''''''''''''''''''''''' Set new valuesWL.Properties.EnableAccountLockout = newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo "***** CURRENT VALUES: "Wscript.Echo "** EnableAccountLockout = |" & WL.Properties.EnableAccountLockout & "|"Wscript.Echo "** AccountLockoutThreshold = |" & WL.Properties.AccountLockoutThreshold & "|"Wscript.Echo "** AccountLockoutResetTime = |" & WL.Properties.AccountLockoutResetTime & "|"WL.Properties.Save''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

  2. 将文件保存到一个临时文件夹中。例如,保存为"EnableSoftLockout.vbs",该文件,然后将该文件保存到 C:\EnableSoftLockout 文件夹。
  3. 在命令提示符处,将移动到第 2 步的.vbs 文件保存到的位置,然后运行.vbs 文件。例如,运行以下命令:
    CD C:\EnableSoftLockout
    EnableSoftLockout.vbs cscript


参考
有关详细信息 WebListenerProperties对象,请转到以下 Microsoft 开发人员网络 (MSDN) 的网站:有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

警告:本文已自动翻译

属性

文章 ID:2619987 - 上次审阅时间:06/01/2013 07:15:00 - 修订版本: 4.0

Microsoft Forefront Threat Management Gateway 2010 Enterprise, Microsoft Forefront Threat Management Gateway 2010 Standard, Microsoft Forefront Threat Management Gateway 2010 Service Pack 1

  • kbexpertiseinter kbsurveynew kbmt KB2619987 KbMtzh
反馈