摘要
Microsoft 最前沿威胁管理网关 (TMG) 2010 Service Pack 2 中添加新的本地帐户锁定功能,有助于防止恶意用户锁定域的帐户,如果 Forefront TMG 配置为发布网站使用基于窗体的Active Directory 或轻型目录访问协议 (LDAP) 的身份验证和身份验证 (FBA)。
更多信息
FBA 添加帐户锁定功能,安装以下 Microsoft 知识库文章中描述的服务包:
2555840 Microsoft 最前沿威胁管理网关 (TMG) 2010 Service Pack 2
应用 Service Pack 2 后,您可以使用前沿 TMG 的管理对象模型来配置帐户锁定功能。若要执行此操作,配置以下属性, WebListenerProperties对象,然后将每个侦听器的属性:
-
EnableAccountLockout
-
AccountLockoutThreshold
-
AccountLockoutResetTime
如果将EnableAccountLockout属性设置为True ,如果超出用户连续失败的登录尝试的AccountLockoutThreshold属性的值时,帐户锁定基于AccountLockoutResetTime值 (秒)。注意:"连续失败的登录尝试"意味着两次失败的登录尝试之间的时间段不超过AccountLockoutResetTime值秒,并在存在之间是不成功的登录尝试。另请注意以下:
-
本文所述的 FBA 的锁定计数器是本地的 TMG 的每台计算机。
-
如果 Active Directory 帐户锁定配置为比门限值越大,则将 FBA 本地锁定之前触发锁定。这是有可能的地方有这种保护的作用就打折扣。
下面是脚本的可用于启用 TMG 软帐户锁定功能,本文介绍示例。Microsoft 提供的编程示例仅用于说明,没有任何明示或暗示的担保。这包括但不限于适销性或特定用途适用性的暗示担保。本文假定您熟悉所演示的编程语言和用于创建和调试过程的工具。Microsoft 的支持工程师可以帮助解释某个特定过程的功能。但是,他们不会修改这些示例以提供额外的功能或构建过程以满足您的特定要求。
-
将以下脚本复制到记事本文件中,然后保存为 Microsoft Visual Basic 文件使用.vbs 文件扩展名的文本文件。确保根据您的环境将值更改为WebListenerName 。 ' '脚本启用 TMG 软的帐户锁定所述 KB 2619987选项显式模糊 WebListenerName、 newEnableAccountLockout、 newAccountLockoutThreshold、 newAccountLockoutResetTime' ''''此设置您自己的值' '' '想要更改 EnableAccountLockout 规则名称parameterWebListenerName ="YourWebListenerName"在此处设置的自定义值记住: 如果 EnableAccountLockout 属性设置为 True,则连续失败的 AccountLockoutThreshold 属性值'登录尝试为超出用户时,帐户锁定基于' AccountLockoutResetTime 值 (秒)。newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60开始Dim 根、 数组、 WebListeners、 WL、 intCompare设置根 = 无论 ("FPC。根目录")设置阵列 = Root.GetContainingArray设置 WebListeners = Array.RuleElements.WebListeners''' 寻找 WebListener为每个在 WLWebListenersWscript.Echo"进行比较 WebListener 名称 |"& WebListenerName &"|与 |"& WL。名称和"|"intCompare = StrComp (WebListenerName,WL。名称,vbTextCompare)如果 intCompare = 0,然后Exit For结束 IfNextWscript.Echo Wscript.Echo"找到 WebListener 说明: |"& WL。描述与"|"'''''''''''''''''''''''''''''''''' ValuesWscript.Echo Wscript.Echo 显示"*** 当前值:"Wscript.Echo"* * EnableAccountLockout = |"& WL。Properties.EnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& WL。Properties.AccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& WL。Properties.AccountLockoutResetTime &"|"Wscript.Echo"*** 新的值:"Wscript.Echo"* * EnableAccountLockout = |"& newEnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& newAccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& newAccountLockoutResetTime &"|"警告,并要求对 continueDim strMessageWScript.Echo newlineWscript.Echo"如果以前的信息是否正确,以及要应用所做的更改,请检查"strMessage ="cancel"WScript.Echo 按任意键继续或 Ctrl + CnewlineWScript.StdOut.Write strMessageDo 而不 WScript.StdIn.AtEndOfLineInput = WScript.StdIn.Read (1) 循环 ''' 设置新 valuesWL.Properties.EnableAccountLockout =newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo"*** 当前值:"Wscript.Echo"* * EnableAccountLockout = |"& WL。Properties.EnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& WL。Properties.AccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& WL。Properties.AccountLockoutResetTime &"|"WL。Properties.Save ' '
-
将文件保存到一个临时文件夹中。例如,将文件保存为"EnableSoftLockout.vbs",然后将该文件保存到 C:\EnableSoftLockout 文件夹。
-
在命令提示符处,将移动到第 2 步的.vbs 文件保存到的位置,然后运行该.vbs 文件。例如,运行以下命令:
CD C:\EnableSoftLockout cscript EnableSoftLockout.vbs
参考
WebListenerProperties对象有关的详细信息,请访问以下 Microsoft 开发人员网络 (MSDN) 网站:
FPCWebListenerProperties 对象有关软件更新术语的更多信息,请单击下面的文章编号以查看 Microsoft 知识库中的相应文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明
