Die AD FS-Extranetsperrfunktion erhöht die Office 365-Sicherheit

2012 R2 und stellen Sie den Dienst über ein Extranet in der Serverrolle des Webanwendungsproxys zur Verfügung. Die Extranet-Sperrfunktion der Active Directory-Verbunddienste, eine Sicherheitsfunktion der Webanwendungsproxyserverrolle, kann hilfreich sein. Die Extranet-Sperrung schützt vor Denial-of-Service- und Brute-Force-Kennwortangriffen.

Nehmen Sie zum Beispiel eine Active Directory-Umgebung, die so konfiguriert wurde, dass das Endbenutzerkonto nach mehreren erfolglosen Versuchen, das richtige Kennwort einzugeben, gesperrt wird. Wenn Active Directory-Verbunddienste (AD FS) wird in dieser Umgebung bereitgestellt und die Extranet-Sperrfunktion ist nicht entsprechend konfiguriert. Das Benutzerkonto kann gesperrt werden, indem Sie über das Extranet auf den WAP-Serverauthentifizierungsbildschirm (Web Application Proxy) zugreifen und mehrmals ein ungültiges Kennwort eingeben Schneller Erfolg. Die Anzahl ungültiger Kennwortversuche muss den in Active Directory angegebenen Schwellenwert für die Kontosperrung überschreiten.

Wenn die AD FS-Extranetsperrfunktion entsprechend konfiguriert ist, wird das Konto in diesem Szenario nicht gesperrt. Obwohl ein Extranet-Zugriff für einen bestimmten Zeitraum nicht möglich wäre, könnte sich der Endbenutzer dennoch über das interne Netzwerk anmelden.

Verstehe die Parameter

Führen Sie die folgenden Schritte aus, um die Einstellungen für die Sperrung von Extranets anzuzeigen Get-AdfsProperties PowerShell-Cmdlet für einen AD FS-Server, der unter dem Betriebssystem Windows Server 2012 R2 ausgeführt wird. Es gibt drei Parameter, die kombiniert werden, um die gesamte Extranet-Sperrfunktion zu konfigurieren (Abbildung 1).

  • ExtranetLockoutEnabled
  • ExtranetLockoutThreshold
  • ExtranetObservationWindow
PowerShell-Cmdlets zum Festlegen der AD FS-Extranetsperre
Extranet-Sperreinstellungen

ExtranetLockoutEnabled. Der Wert dieses Parameters bestimmt, ob die Extranetsperrfunktion aktiviert ist. Die Extranet-Sperrfunktion ist standardmäßig deaktiviert, und dieser Parameter gibt a zurück Boolescher Wert Wert von false.
Es ist nicht unangemessen anzunehmen, dass Administratoren die Extranet-Sperrfunktion durch Ausführen von aktivieren können Set-AdfsProperties Cmdlet mit dem ExtranetLockoutEnabled Parameter auf einen Booleschen Wert von true. Der richtige Parameter ist jedoch tatsächlich EnableExtranetLockout. Der vollständige Befehl, der zum Aktivieren der Extranet-Sperrfunktion erforderlich ist, lautet:
Set-AdfsProperties –EnableExtranetLockout $ true
ExtranetLockoutThreshold. Der Wert der ExtranetLockoutThreshold Der Parameter gibt die Anzahl der falschen Kennwortversuche an, die der WAP-Server zulässt, bevor AD FS die Kommunikation mit den Active Directory-Domänencontrollern beendet. Das ExtranetObservationWindow legt fest, wie lange AD FS nicht mehr mit den Active Directory-Domänencontrollern kommuniziert.
Der Parameterwert ExtranetLockoutThreshold muss niedriger als der Schwellenwert für die Sperrung des Active Directory-Kontos festgelegt werden. Bei dieser Konfiguration wird ein Benutzerkonto nicht gesperrt, wenn der Endbenutzer weiterhin falsche Kennwörter über den WAP-Serverauthentifizierungsbildschirm eingibt. Sobald der WAP-Server die Anzahl der falschen Kennwortversuche für ein bestimmtes Benutzerkonto erhalten hat, wie von angegeben ExtranetLockoutThreshold Parameter, AD FS beendet die Kommunikation mit den Active Directory-Domänencontrollern für einen bestimmten Zeitraum. Der vollständige Befehl, der erforderlich ist, um den Sperrschwellenwert für einen bestimmten Wert zu aktivieren, lautet:
Set-AdfsProperties –ExtranetLockoutThreshold
ExtranetObservationWindow. Der Wert der ExtranetObservationWindow Der Parameter gibt an, wie lange AD FS nicht mehr mit den Active Directory-Domänencontrollern kommuniziert, wenn die Anzahl der im Kennwort angegebenen falschen Kennwortversuche angegeben ist ExtranetLockoutThreshold Parameter erreicht ist. Der vollständige Befehl, der erforderlich ist, um das Beobachtungsfenster auf einen bestimmten Wert zu aktivieren, lautet:
Set-AdfsProperties –ExtranetObservationWindow

Testen Sie die AD FS-Sperrfunktion

Verwenden Sie zum Testen der AD FS-Extranetsperrfunktion die AD FS-Überwachung in Verbindung mit der Eingabe ungültiger Kennwörter in den WAP-Serverauthentifizierungsbildschirm. Durch die Verwendung der AD FS-Überwachung erhalten Administratoren Ereignisprotokollinformationen, in denen die durchgeführten Aktionen detailliert beschrieben werden. Außerdem können sie den Gesamtprozess verstehen und feststellen, ob die Extranet-Sperrkonfiguration gemäß den Anforderungen der Administratoren funktioniert.
Zunächst müssen Administratoren sicherstellen, dass die Überwachung mithilfe des Snap-Ins für lokale Sicherheitsrichtlinien aktiviert wurde. Anschließend müssen sie die Überwachungseinstellungen in AD FS konfigurieren. Dies kann durch Ausführen von vier Konfigurationsschritten erreicht werden:

  1. Öffnen Sie das AD FS Management-Snap-In.
  2. Von dem Aktion Menü wählen Eigenschaften des Verbunddienstes bearbeiten….
  3. Drücke den Veranstaltungen Registerkarte in der Eigenschaften des Verbunddienstes Fenster.
  4. Wähle aus Erfolgsaudits und Fehlerprüfungen Kontrollkästchen.

Sobald AD FS so konfiguriert ist, dass Erfolgsprüfungen und Fehlerprüfungen im Ereignisprotokoll aufgezeichnet werden, können Administratoren ungültige Kennwörter in den WAP-Serverauthentifizierungsbildschirm eingeben, bis der Kontosperrungsschwellenwert erreicht oder überschritten wird. Sie können dann das Ereignisprotokoll auf Informationen sowie die Eigenschaften des Kontos überprüfen, um zu bestätigen, dass es gesperrt ist.
Über den Autor:
Neil Hobson ist ein in Großbritannien ansässiger Microsoft-Berater mit Hintergrundwissen in Design, Implementierung und Support von Infrastruktursystemen für Active Directory, Windows Server, Exchange und Lync. Derzeit konzentriert er sich auf Office 365 in Technologien wie Exchange Online, Lync Online, SharePoint Online, Yammer und Office ProPlus. Er konzentriert sich auch auf die damit verbundenen Bereiche Identität, Vernetzung, Migration und Service-Integration. Neil ist Mitglied des Chartered Institute for IT (MBCS) und war von 2003 bis 2010 auch Microsoft MVP für Exchange Server.

Similar Posts

Leave a Reply