AD FS y direcciones IP prohibidas
En junio de 2018, AD FS en Windows Server 2016 introdujo las IP prohibidas con la actualización de AD FS de junio de 2018. Esta actualización le permite configurar un conjunto de direcciones IP globalmente en AD FS, de modo que las solicitudes procedentes de esas direcciones IP, o que tienen esas direcciones IP en los encabezados x-forwarded-for o x-ms-forwarded-client-ip , se bloquearán mediante AD FS.
Adición de ip prohibidas
Para agregar direcciones IP prohibidas a la lista global, use el siguiente cmdlet de PowerShell:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
Formatos permitidos
- IPv4
- IPv6
- Formato CIDR con IPv4 o v6
Hay un límite de 300 entradas para direcciones IP prohibidas. Puede usar CIDR o formato de intervalo para denegar un bloque grande de entradas con una sola entrada.
Eliminación de ip prohibidas
Para quitar direcciones IP prohibidas de la lista global, use el siguiente cmdlet de PowerShell:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
Lectura de ip prohibidas
Para leer el conjunto actual de direcciones IP prohibidas, use el siguiente cmdlet de PowerShell:
PS C:\ >Get-AdfsProperties
Salida de ejemplo:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}
Referencias adicionales
Procedimientos recomendados para proteger los Servicios de federación de Active Directory