摘要
Microsoft Forefront 威脅管理閘道 (TMG) 2010 Service Pack 2 新增的新的本機帳戶鎖定功能,有助於防止惡意的使用者鎖定當 Forefront TMG 設定為將網站發佈到使用以表單為基礎的網域帳戶驗證 (FBA) 與 Active Directory 或 「 輕量型目錄存取通訊協定 (LDAP) 的驗證。
其他相關資訊
如果要新增 FBA 帳戶鎖定功能,請安裝 service pack 所描述下列 「 Microsoft 知識庫 」 文件:
2555840 Microsoft Forefront 威脅管理閘道 (TMG) 2010 Service Pack 2
當您套用 Service Pack 2 後,您可以利用 Forefront TMG 管理物件模型來設定帳戶鎖定功能。若要這樣做,請設定對於WebListenerProperties物件,下列的內容,然後設定每個接聽程式屬性:
-
EnableAccountLockout
-
AccountLockoutThreshold
-
AccountLockoutResetTime
如果 [ EnableAccountLockout ] 屬性設定為True ,並且如果超出使用者的連續失敗的登入嘗試的AccountLockoutThreshold屬性的值,則鎖定帳戶為基礎的AccountLockoutResetTime以秒為單位的值。注意「 連續失敗的登入 」 表示兩個的失敗登入嘗試之間的時間間隔不超過AccountLockoutResetTime值秒,以及有之間都沒有成功的登入嘗試。請也注意下列事項:
-
鎖定計數器的描述如下的 FBA 是 TMG 中的每台電腦的本機。
-
如果 Active Directory 的帳戶鎖定設定為較大的值,比其臨界值時,就會觸發鎖定,FBA 本機鎖定之前。這是可能會破壞就地擁有這個保護的目的。
下列是可以用來啟用 「 本文所述的 TMG 軟帳戶鎖定 」 功能的指令碼的範例。Microsoft 會提供程式設計範例僅供說明,而不做任何明示或默示的保證。這包括,但不限於適售性或適合某特定用途之默示擔保責任。本文假設您已相當熟悉使用的我們所示範的程式設計語言以及建立和偵錯程序所使用的工具。Microsoft 技術支援工程師可以協助解釋特定程序的功能。不過,它們不會修改這些範例以提供附加功能或建構程序來滿足您特定需求。
-
將下列指令碼複製到 [記事本] 檔案,然後使用.vbs 副檔名,將文字檔案儲存為 Microsoft Visual Basic 檔案。請確定您的WebListenerName變更值,視您的環境。 ' ''啟用 TMG KB 2619987 所述軟帳戶鎖定的指令碼選項明確Dim WebListenerName、 newEnableAccountLockout、 newAccountLockoutThreshold、 newAccountLockoutResetTime' ''''以下設定值' '' '' 要變更的 EnableAccountLockout 的規則名稱parameterWebListenerName ="YourWebListenerName"'''在此設定的自訂值' 記住: 如果 [EnableAccountLockout] 屬性設定為 True,且'連續失敗的 AccountLockoutThreshold 屬性值' 登入嘗試的使用者超出,帳戶鎖定根據' AccountLockoutResetTime 值,以秒為單位。newEnableAccountLockout = TruenewAccountLockoutThreshold = 2newAccountLockoutResetTime = 60''' 開始Dim 根、 陣列、 WebListeners、 WL、 intCompare設定根目錄 = 建立物件 ("FPC。根目錄 」)設定陣列 = Root.GetContainingArray設定 WebListeners = Array.RuleElements.WebListeners''' 尋找 WebListener中的每個 WL 的WebListenersWscript.Echo"比較 WebListener 名稱 |"& WebListenerName &"|與 |"& WL。名稱與"|"intCompare = StrComp (WebListenerName、 WL。名稱,vbTextCompare)如果 intCompare = 0 的然後Exit For結束 IfNextWscript.Echo Wscript.Echo"找到 WebListener,描述: |"& WL。描述 &"|"'''''''''''''''''''''''''''''''''''顯示 valuesWscript.Echo Wscript.Echo"* * * 目前的值:"Wscript.Echo"* * EnableAccountLockout = |"& WL。Properties.EnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& WL。Properties.AccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& WL。Properties.AccountLockoutResetTime &"|"Wscript.Echo"* * * 新的值:"Wscript.Echo"* * EnableAccountLockout = |"& newEnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& newAccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& newAccountLockoutResetTime &"|"' ''警告,要求 continueDim strMessageWScript.Echo' newlineWscript.Echo"如果先前的資訊是否正確,以及您想要套用所做的變更,請檢查"strMessage ="請按任何鍵繼續或 Ctrl + C cancel"WScript.Echo 'newlineWScript.StdOut.Write strMessageDo 而不 WScript.StdIn.AtEndOfLineInput = WScript.StdIn.Read (1) 迴圈 ''' 設定新的 valuesWL.Properties.EnableAccountLockout =newEnableAccountLockoutWL.Properties.AccountLockoutThreshold = newAccountLockoutThresholdWL.Properties.AccountLockoutResetTime = newAccountLockoutResetTimeWscript.Echo"* * * 目前的值:"Wscript.Echo"* * EnableAccountLockout = |"& WL。Properties.EnableAccountLockout &"|"Wscript.Echo"* * AccountLockoutThreshold = |"& WL。Properties.AccountLockoutThreshold &"|"Wscript.Echo"* * AccountLockoutResetTime = |"& WL。Properties.AccountLockoutResetTime &"|"WL。Properties.Save ' '
-
將檔案儲存至暫存資料夾。例如,將檔案儲存為"EnableSoftLockout.vbs",,然後將檔案儲存到 [C:\EnableSoftLockout] 資料夾。
-
在命令提示字元中,請移至要儲存.vbs 檔案在步驟 2 中的位置,然後再執行 [.vbs 檔案。比方說,執行下列命令:
CD C:\EnableSoftLockout cscript EnableSoftLockout.vbs
參考
如需有關WebListenerProperties物件的詳細資訊,請移至下列的 Microsoft 開發人員網路 (MSDN) 網站:
FPCWebListenerProperties 物件如需有關軟體更新術語的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
用來描述 Microsoft 軟體更新標準術語的編號 824684描述
