Penguncian Ekstranet Layanan Federasi Direktori Aktif dan Penguncian Cerdas Ekstranet

Gambaran Umum

Extranet Smart Lockout (ESL) melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya.

ESL memungkinkan Layanan Federasi Direktori Aktif untuk membedakan antara upaya masuk dari lokasi yang tidak asing bagi pengguna dan upaya masuk dari apa yang mungkin menjadi penyerang. Layanan Federasi Direktori Aktif dapat mengunci penyerang sambil membiarkan pengguna yang valid terus menggunakan akun mereka. Ini mencegah dan melindungi dari penolakan layanan dan kelas serangan semprotan kata sandi tertentu pada pengguna. ESL tersedia untuk Layanan Federasi Direktori Aktif di Windows Server 2016 dan dibangun ke dalam Layanan Federasi Direktori Aktif di Windows Server 2019.

ESL hanya tersedia untuk permintaan autentikasi nama pengguna dan kata sandi yang datang melalui ekstranet dengan Proksi Aplikasi Web atau proksi pihak ke-3. Setiap proksi pihak ke-3 harus mendukung protokol MS-ADFSPIP untuk digunakan sebagai pengganti Proksi Aplikasi Web, seperti F5 BIG-IP Access Policy Manager. Lihat dokumentasi proksi pihak ke-3 untuk menentukan apakah proksi mendukung protokol MS-ADFSPIP.

Fitur Tambahan di Layanan Federasi Direktori Aktif 2019

Extranet Smart Lockout di LAYANAN Federasi Direktori Aktif 2019 menambahkan keunggulan berikut dibandingkan dengan Layanan Federasi Direktori Aktif 2016:

  • Atur ambang penguncian independen untuk lokasi yang familier dan tidak dikenal sehingga pengguna di lokasi baik yang diketahui dapat memiliki lebih banyak ruang untuk kesalahan daripada permintaan dari lokasi yang dicurigai
  • Aktifkan mode audit untuk penguncian cerdas sambil terus memberlakukan perilaku penguncian sementara sebelumnya. Ini memungkinkan Anda untuk mempelajari tentang lokasi yang dikenal pengguna dan masih dilindungi oleh fitur penguncian ekstranet yang tersedia dari Layanan Federasi Direktori Aktif 2012R2.

Cara Kerjanya

Informasi konfigurasi

Saat ESL diaktifkan, tabel baru di database Artefak, AdfsArtifactStore.AccountActivity, dibuat dan simpul dipilih di farm Layanan Federasi Direktori Aktif sebagai master "Aktivitas Pengguna". Dalam konfigurasi WID, simpul ini selalu merupakan simpul utama. Dalam konfigurasi SQL, satu simpul dipilih untuk menjadi master Aktivitas Pengguna.

Untuk melihat simpul yang dipilih sebagai master Aktivitas Pengguna. (Get-AdfsFarmInformation). FarmRoles

Semua simpul sekunder akan menghubungi simpul master pada setiap login baru melalui Port 80 untuk mempelajari nilai terbaru dari jumlah kata sandi yang buruk dan nilai lokasi baru yang sudah dikenal, dan memperbarui simpul tersebut setelah login diproses.

configuration

Jika simpul sekunder tidak dapat menghubungi master, simpul tersebut akan menulis peristiwa kesalahan ke dalam log admin Layanan Federasi Direktori Aktif. Autentikasi akan terus diproses, tetapi LAYANAN Federasi Direktori Aktif hanya akan menulis status yang diperbarui secara lokal. Layanan Federasi Direktori Aktif akan mencoba kembali menghubungi master setiap 10 menit dan akan beralih kembali ke master setelah master tersedia.

Terminologi

  • FamiliarLocation: Selama permintaan autentikasi, ESL memeriksa semua IP yang disajikan. IP ini akan menjadi kombinasi IP jaringan, IP yang diteruskan, dan IP opsional x-forwarded-for. Jika permintaan berhasil, semua IP ditambahkan ke tabel Aktivitas Akun sebagai "IP yang sudah dikenal". Jika permintaan memiliki semua IP yang ada di "IP yang familier", permintaan akan diperlakukan sebagai lokasi "Familiar".
  • UnknownLocation: Jika permintaan yang masuk memiliki setidaknya satu IP yang tidak ada dalam daftar "FamiliarLocation" yang ada, maka permintaan akan diperlakukan sebagai lokasi "Tidak Diketahui". Ini untuk menangani skenario proksi seperti Exchange Online autentikasi warisan di mana alamat Exchange Online menangani permintaan yang berhasil dan gagal.
  • badPwdCount: Nilai yang menunjukkan berapa kali kata sandi yang salah dikirimkan dan autentikasi tidak berhasil. Untuk setiap pengguna, penghitung terpisah disimpan untuk Lokasi yang Sudah Dikenal dan Lokasi yang Tidak Diketahui.
  • UnknownLockout: Nilai boolean per pengguna jika pengguna dikunci dari akses dari lokasi yang tidak diketahui. Nilai ini dihitung berdasarkan nilai badPwdCountUnfamiliar dan ExtranetLockoutThreshold.
  • ExtranetLockoutThreshold: Nilai ini menentukan jumlah maksimum upaya kata sandi yang buruk. Ketika ambang batas tercapai, Layanan Federasi Direktori Aktif akan menolak permintaan dari ekstranet hingga jendela pengamatan berlalu.
  • ExtranetObservationWindow: Nilai ini menentukan durasi permintaan nama pengguna dan kata sandi dari lokasi yang tidak diketahui dikunci. Ketika jendela telah berlalu, Layanan Federasi Direktori Aktif akan mulai melakukan autentikasi nama pengguna dan kata sandi dari lokasi yang tidak diketahui lagi.
  • ExtranetLockoutRequirePDC: Saat diaktifkan, penguncian ekstranet memerlukan pengendali domain utama (PDC). Ketika dinonaktifkan, penguncian ekstranet akan kembali ke pengendali domain lain jika PDC tidak tersedia.
  • ExtranetLockoutMode: Hanya mengontrol log vs mode yang diberlakukan dari Extranet Smart Lockout
    • ADFSSmartLockoutLogOnly: Extranet Smart Lockout diaktifkan, tetapi LAYANAN Federasi Direktori Aktif hanya akan menulis admin dan peristiwa audit, tetapi tidak akan menolak permintaan autentikasi. Mode ini awalnya dimaksudkan untuk diaktifkan agar FamiliarLocation diisi sebelum 'ADFSSmartLockoutEnforce' diaktifkan.
    • ADFSSmartLockoutEnforce: Dukungan penuh untuk memblokir permintaan autentikasi yang tidak dikenal saat ambang batas tercapai.

Alamat IPv4 dan IPv6 didukung.

Anatomi transaksi

  • Pemeriksaan Pra-Autentikasi: Selama permintaan autentikasi, ESL memeriksa semua IP yang disajikan. IP ini akan menjadi kombinasi IP jaringan, IP yang diteruskan, dan IP opsional x-forwarded-for. Dalam log audit, IP ini tercantum di <IpAddress> bidang dalam urutan x-ms-forwarded-client-ip, x-forwarded-for, x-ms-proxy-client-ip.

    Berdasarkan IP ini, LAYANAN Federasi Direktori Aktif menentukan apakah permintaan berasal dari lokasi yang sudah dikenal atau tidak dikenal dan kemudian memeriksa apakah badPwdCount masing-masing kurang dari batas ambang yang ditetapkan ATAU jika upaya terakhir yang gagal terjadi lebih lama dari jangka waktu jendela pengamatan. Jika salah satu kondisi ini benar, Layanan Federasi Direktori Aktif memungkinkan transaksi ini untuk pemrosesan lebih lanjut dan validasi kredensial. Jika kedua kondisi salah, akun sudah dalam status terkunci sampai jendela pengamatan berlalu. Setelah jendela pengamatan berlalu, pengguna diizinkan satu upaya untuk mengautentikasi. Perhatikan bahwa pada tahun 2019, Layanan Federasi Direktori Aktif akan memeriksa terhadap batas ambang yang sesuai berdasarkan apakah alamat IP cocok dengan lokasi yang sudah dikenal atau tidak.

  • Berhasil Masuk: Jika proses masuk berhasil, MAKA IP dari permintaan ditambahkan ke daftar IP lokasi pengguna yang sudah tidak asing lagi.

  • Gagal Masuk: Jika proses masuk gagal, badPwdCount ditingkatkan. Pengguna akan masuk ke status penguncian jika penyerang mengirim lebih banyak kata sandi buruk ke sistem daripada ambang batas yang diizinkan. (badPwdCount > ExtranetLockoutThreshold)

Workflow diagram that shows the failed login process.

Nilai "UnknownLockout" akan sama dengan true ketika akun dikunci. Ini berarti bahwa badPwdCount pengguna lebih dari ambang batas yaitu seseorang mencoba lebih banyak kata sandi daripada yang diizinkan oleh sistem. Dalam status ini, ada 2 cara agar pengguna yang valid dapat masuk.

  • Pengguna harus menunggu waktu ObservationWindow berlalu atau
  • Untuk mengatur ulang status Penguncian, atur ulang badPwdCount kembali ke nol dengan 'Reset-ADFSAccountLockout'.

Jika tidak ada reset yang terjadi, akun akan diizinkan melakukan satu upaya kata sandi terhadap AD untuk setiap jendela pengamatan. Akun akan kembali ke status terkunci setelah upaya itu dan jendela pengamatan akan dimulai ulang. Nilai badPwdCount hanya akan direset secara otomatis setelah login kata sandi berhasil.

mode Log-Only versus mode 'Terpaksa'

Tabel AccountActivity diisi baik selama mode 'Log-Only' dan mode 'Terpaksa'. Jika mode 'Log-Only' dilewati dan ESL dipindahkan langsung ke mode 'Berlakukan' tanpa periode tunggu yang disarankan, IP pengguna yang sudah dikenal tidak akan diketahui oleh Layanan Federasi Direktori Aktif. Dalam hal ini, ESL akan berperilaku seperti 'ADBadPasswordCounter', berpotensi memblokir lalu lintas pengguna yang sah jika akun pengguna berada di bawah serangan brute force aktif. Jika mode 'Log-Only' dilewati dan pengguna memasuki status terkunci dengan "UnknownLockout" = TRUE dan mencoba masuk dengan kata sandi yang baik dari IP yang tidak ada dalam daftar IP "familiar", maka mereka tidak akan dapat masuk. mode Log-Only disarankan selama 3-7 hari untuk menghindari skenario ini. Jika akun aktif diserang, diperlukan minimal 24 jam mode 'Hanya Log' untuk mencegah penguncian kepada pengguna yang sah.

Konfigurasi Penguncian Cerdas Ekstranet

Prasyarat untuk Layanan Federasi Direktori Aktif 2016

  1. Menginstal pembaruan pada semua simpul di farm

    Pertama, pastikan semua server Layanan Federasi Direktori Aktif Windows Server 2016 sudah diperbarui per Juni 2018 Windows Update dan bahwa farm AD FS 2016 berjalan di tingkat perilaku farm 2016.

  2. Verifikasi Izin

    Penguncian Cerdas Ekstranet mengharuskan manajemen jarak jauh Windows diaktifkan di setiap server LAYANAN Federasi Direktori Aktif.

  3. Memperbarui izin database artefak

    Penguncian cerdas Ekstranet mengharuskan akun layanan Layanan Federasi Direktori Aktif memiliki izin untuk membuat tabel baru di database artefak Layanan Federasi Direktori Aktif. Masuk ke server LAYANAN Federasi Direktori Aktif apa pun sebagai admin Layanan Federasi Direktori Aktif, lalu berikan izin ini dengan menjalankan perintah berikut di jendela Prompt Perintah PowerShell:

    PS C:\>$cred = Get-Credential
    PS C:\>Update-AdfsArtifactDatabasePermission -Credential $cred
    

    Catatan

    Tempat penampung $cred adalah akun yang memiliki izin administrator Layanan Federasi Direktori Aktif. Ini harus memberikan izin tulis untuk membuat tabel.

    Perintah di atas mungkin gagal karena kurangnya izin yang memadai karena farm Layanan Federasi Direktori Aktif Anda menggunakan SQL Server, dan kredensial yang disediakan di atas tidak memiliki izin admin di server SQL Anda. Dalam hal ini, Anda dapat mengonfigurasi izin database secara manual di SQL Server Database dengan menjalankan perintah berikut saat Anda tersambung ke database AdfsArtifactStore.

    # when prompted with “Are you sure you want to perform this action?”, enter Y.
    
    [CmdletBinding(SupportsShouldProcess=$true,ConfirmImpact = 'High')]
    Param()
    
    $fileLocation = "$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"
    
    if (-not [System.IO.File]::Exists($fileLocation))
    {
    write-error "Unable to open AD FS configuration file."
    return
    }
    
    $doc = new-object Xml
    $doc.Load($fileLocation)
    $connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
    $connString = $connString -replace "Initial Catalog=AdfsConfigurationV[0-9]*", "Initial Catalog=AdfsArtifactStore"
    
    if ($PSCmdlet.ShouldProcess($connString, "Executing SQL command sp_addrolemember 'db_owner', 'db_genevaservice' "))
    {
    $cli = new-object System.Data.SqlClient.SqlConnection
    $cli.ConnectionString = $connString
    $cli.Open()
    
    try
    {
    
    $cmd = new-object System.Data.SqlClient.SqlCommand
    $cmd.CommandText = "sp_addrolemember 'db_owner', 'db_genevaservice'"
    $cmd.Connection = $cli
    $rowsAffected = $cmd.ExecuteNonQuery()
    if ( -1 -eq $rowsAffected )
    {
    write-host "Success"
    }
    }
    finally
    {
    $cli.CLose()
    }
    }
    

Pastikan Pengelogan Audit Keamanan Layanan Federasi Direktori Aktif diaktifkan

Fitur ini menggunakan log Audit Keamanan, sehingga audit harus diaktifkan di Layanan Federasi Direktori Aktif serta kebijakan lokal di semua server Layanan Federasi Direktori Aktif.

Instruksi Konfigurasi

Extranet Smart Lockout menggunakan properti Layanan Federasi Direktori Aktif ExtranetLockoutEnabled. Properti ini sebelumnya digunakan untuk mengontrol "Extranet Soft Lockout" di Server 2012R2. Jika Penguncian Sementara Ekstranet diaktifkan, untuk melihat konfigurasi properti saat ini, jalankan Get-AdfsProperties .

Rekomendasi konfigurasi

Saat mengonfigurasi Extranet Smart Lockout, ikuti praktik terbaik untuk mengatur ambang batas:

ExtranetObservationWindow (new-timespan -Minutes 30)

ExtranetLockoutThreshold: Half of AD Threshold Value

Nilai AD: 20, ExtranetLockoutThreshold: 10

Penguncian Direktori Aktif bekerja secara independen dari penguncian Extranet Smart. Namun, jika penguncian Direktori Aktif diaktifkan, ExtranetLockoutThreshold di Ambang Penguncian Akun Layanan < Federasi Direktori Aktif di AD

ExtranetLockoutRequirePDC - $false

Saat diaktifkan, penguncian ekstranet memerlukan pengendali domain utama (PDC). Ketika dinonaktifkan dan dikonfigurasi sebagai false, penguncian ekstranet akan kembali ke pengendali domain lain jika PDC tidak tersedia.

Untuk mengatur properti ini, jalankan:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30) -ExtranetLockoutRequirePDC $false

Aktifkan Mode Log-Only

Dalam mode log saja, Layanan Federasi Direktori Aktif mengisi informasi lokasi yang tidak asing bagi pengguna dan menulis peristiwa audit keamanan, tetapi tidak memblokir permintaan apa pun. Mode ini digunakan untuk memvalidasi bahwa penguncian cerdas berjalan dan untuk mengaktifkan LAYANAN Federasi Direktori Aktif untuk "mempelajari" lokasi yang sudah dikenal bagi pengguna sebelum mengaktifkan mode "terpaksa". Seperti yang dipelajari Layanan Federasi Direktori Aktif, layanan ini menyimpan aktivitas masuk per pengguna (baik dalam mode hanya log atau mode penerapan). Atur perilaku penguncian untuk mencatat hanya dengan menjalankan commandlet berikut.

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

Mode hanya log dimaksudkan untuk menjadi status sementara sehingga sistem dapat mempelajari perilaku masuk sebelum memperkenalkan penegakan penguncian dengan perilaku penguncian cerdas. Durasi yang disarankan untuk mode khusus log adalah 3-7 hari. Jika akun aktif diserang, mode hanya log harus dijalankan selama minimal 24 jam.

Pada Layanan Federasi Direktori Aktif 2016, jika perilaku 'Penguncian Sementara Ekstranet' 2012R2 diaktifkan sebelum mengaktifkan Penguncian Cerdas Ekstranet, mode Log-Only akan menonaktifkan perilaku 'Penguncian Sementara Ekstranet'. Penguncian Cerdas Layanan Federasi Direktori Aktif tidak akan mengunci pengguna dalam mode Log-Only. Namun, AD lokal dapat mengunci pengguna berdasarkan konfigurasi AD. Harap tinjau kebijakan Penguncian AD untuk mempelajari bagaimana AD lokal dapat mengunci pengguna.

Pada Layanan Federasi Direktori Aktif 2019, keuntungan tambahan adalah dapat mengaktifkan mode khusus log untuk penguncian cerdas sambil terus memberlakukan perilaku penguncian sementara sebelumnya menggunakan Powershell di bawah ini.

Set-AdfsProperties -ExtranetLockoutMode 3

Agar mode baru berlaku, mulai ulang layanan LAYANAN Federasi Direktori Aktif pada semua simpul di farm

Restart-service adfssrv

Setelah mode dikonfigurasi, Anda dapat mengaktifkan penguncian cerdas menggunakan parameter EnableExtranetLockout

Set-AdfsProperties -EnableExtranetLockout $true

Aktifkan Mode Pemberlakuan

Setelah Anda nyaman dengan ambang batas penguncian dan jendela pengamatan, ESL dapat dipindahkan ke mode "berlakukan" dengan menggunakan cmdlet PSH berikut:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

Agar mode baru berlaku, mulai ulang layanan Layanan Federasi Direktori Aktif pada semua simpul di farm dengan menggunakan perintah berikut.

Restart-service adfssrv

Mengelola aktivitas akun pengguna

Layanan Federasi Direktori Aktif menyediakan tiga cmdlet untuk mengelola data aktivitas akun. Cmdlet ini secara otomatis terhubung ke simpul di farm yang memegang peran master.

Catatan

Just Enough Administration (JEA) dapat digunakan untuk mendelegasikan commandlet LAYANAN Federasi Direktori Aktif untuk mengatur ulang penguncian akun. Misalnya, personel Help Desk dapat didelegasikan izin untuk menggunakan commandlet ESL. Untuk informasi tentang mendelegasikan izin untuk menggunakan cmdlet ini, lihat Mendelegasikan Akses Commandlet Ad FS Powershell ke Pengguna Non-Admin

Perilaku ini dapat ditimpa dengan melewati parameter -Server.

  • Get-ADFSAccountActivity -UserPrincipalName

    Baca aktivitas akun saat ini untuk akun pengguna. Cmdlet selalu secara otomatis terhubung ke master farm dengan menggunakan titik akhir REST Aktivitas Akun. Oleh karena itu, semua data harus selalu konsisten.

Get-ADFSAccountActivity user@contoso.com

Properti: - BadPwdCountFamiliar: Bertambah saat autentikasi tidak berhasil dari lokasi yang diketahui. - BadPwdCountUnknown: Bertambah ketika autentikasi tidak berhasil dari lokasi yang tidak diketahui - LastFailedAuthFamiliar: Jika autentikasi tidak berhasil dari lokasi yang sudah dikenal, LastFailedAuthFamiliar diatur ke waktu autentikasi yang gagal - LastFailedAuthUnknown: Jika autentikasi tidak berhasil dari lokasi yang tidak diketahui, LastFailedAuthUnknown diatur ke waktu autentikasi yang gagal - FamiliarLockout: Nilai Boolean yang akan menjadi "True" jika "BadPwdCountFamiliar" > ExtranetLockoutThreshold - UnknownLockout: Nilai Boolean yang akan menjadi "True" jika ExtranetLockoutThreshold "BadPwdCountUnknown" > - FamiliarIPs: maksimum 20 IP yang sudah tidak asing lagi bagi pengguna. Ketika ini terlampaui IP terlama dalam daftar akan dihapus.

  • Set-ADFSAccountActivity

    Menambahkan lokasi baru yang sudah dikenal. Daftar IP yang familier memiliki maksimum 20 entri, jika ini terlampaui, IP terlama dalam daftar akan dihapus.

Set-ADFSAccountActivity user@contoso.com -AdditionalFamiliarIps “1.2.3.4”

  • Reset-ADFSAccountLockout

    Mengatur ulang penghitung penguncian untuk akun pengguna untuk setiap lokasi Familiar (badPwdCountFamiliar) atau Penghitung Lokasi Yang Tidak Dikenal (badPwdCountUnfamiliar). Dengan mengatur ulang penghitung, nilai "FamiliarLockout" atau "UnfamiliarLockout" akan diperbarui, karena penghitung reset akan kurang dari ambang batas.

Reset-ADFSAccountLockout user@contoso.com -Location Familiar Reset-ADFSAccountLockout user@contoso.com -Location Unknown

Informasi Aktivitas Pengguna Pengelogan & Peristiwa untuk Penguncian Ekstranet Layanan Federasi Direktori Aktif

Menyambungkan Kesehatan

Cara yang disarankan untuk memantau aktivitas akun pengguna adalah melalui Koneksi Health. Koneksi Health menghasilkan pelaporan yang dapat diunduh tentang IP Berisiko dan upaya kata sandi yang buruk. Setiap item dalam laporan IP Berisiko menunjukkan informasi agregat tentang aktivitas masuk Layanan Federasi Direktori Aktif yang gagal yang melebihi batas yang ditentukan. Pemberitahuan email dapat diatur ke administrator pemberitahuan segera setelah ini terjadi dengan pengaturan email yang dapat disesuaikan. Untuk informasi tambahan dan petunjuk penyiapan, kunjungi dokumentasi Koneksi Health.

Peristiwa Penguncian Cerdas Ekstranet Layanan Federasi Direktori Aktif.

Catatan

Memecahkan masalah penguncian Extranet Smart dengan panduan pemecahan masalah Penguncian Ekstranet Bantuan Layanan Federasi Direktori Aktif

Agar peristiwa Extranet Smart Lockout ditulis, ESL harus diaktifkan dalam mode 'log-only' atau 'enforce' dan audit keamanan LAYANAN Federasi Direktori Aktif diaktifkan. Layanan Federasi Direktori Aktif akan menulis peristiwa penguncian ekstranet ke log audit keamanan:

  • Saat pengguna dikunci (mencapai ambang batas penguncian untuk upaya masuk yang gagal)
  • Saat Layanan Federasi Direktori Aktif menerima upaya masuk untuk pengguna yang sudah dalam status penguncian

Saat dalam mode log saja, Anda dapat memeriksa log audit keamanan untuk peristiwa penguncian. Untuk setiap peristiwa yang ditemukan, Anda dapat memeriksa status pengguna menggunakan cmdlet Get-ADFSAccountActivity untuk menentukan apakah penguncian terjadi dari alamat IP yang familier atau tidak dikenal, dan untuk memeriksa kembali daftar alamat IP yang sudah dikenal untuk pengguna tersebut.

ID Peristiwa Deskripsi
1203 Kejadian ini ditulis untuk setiap upaya kata sandi yang buruk. Segera setelah badPwdCount mencapai nilai yang ditentukan dalam ExtranetLockoutThreshold, akun akan dikunci pada Layanan Federasi Direktori Aktif selama durasi yang ditentukan dalam ExtranetObservationWindow.
ID Aktivitas: %1XML
: %2
1201 Kejadian ini ditulis setiap kali pengguna dikunci.
ID Aktivitas: %1
XML: %2
557 (Layanan Federasi Direktori Aktif 2019) Terjadi kesalahan saat mencoba berkomunikasi dengan layanan istirahat penyimpanan akun pada simpul %1. Jika ini adalah farm WID, simpul utama mungkin offline. Jika ini adalah layanan SQL Layanan Federasi Direktori Aktif akan secara otomatis memilih simpul baru untuk menghosting peran master penyimpanan Pengguna.
562 (Layanan Federasi Direktori Aktif 2019) Terjadi kesalahan saat berkomunikasi dengan titik akhir penyimpanan akun pada server %1.
Pesan Pengecualian: %2
563 (Layanan Federasi Direktori Aktif 2019) Terjadi kesalahan saat menghitung status penguncian ekstranet. Karena nilai autentikasi pengaturan %1 akan diizinkan untuk pengguna ini dan penerbitan token akan berlanjut. Jika ini adalah farm WID, simpul utama mungkin offline. Jika ini adalah layanan SQL Layanan Federasi Direktori Aktif akan secara otomatis memilih simpul baru untuk menghosting peran master Penyimpanan pengguna.
Nama server penyimpanan akun: %2
IdPengguna: %3Pesan
Pengecualian: %4
512 Akun untuk pengguna berikut dikunci. Upaya masuk diizinkan karena konfigurasi sistem.
ID Aktivitas: %1
Pengguna: %2
IP Klien: %3
Jumlah Kata Sandi Buruk: %4
Upaya Kata Sandi Buruk Terakhir: %5
515 Akun pengguna berikut dalam status terkunci dan kata sandi yang benar baru saja disediakan. Akun ini mungkin disusupi.
ID Aktivitas Data
Tambahan: %1
Pengguna: %2
IP Klien: %3
516 Akun pengguna berikut telah dikunci karena terlalu banyak upaya kata sandi yang buruk.
ID Aktivitas: %1
Pengguna: %2
IP Klien: %3
Jumlah Kata Sandi Buruk: %4
Upaya Kata Sandi Buruk Terakhir: %5

Tanya Jawab Umum ESL

Apakah farm Layanan Federasi Direktori Aktif menggunakan Extranet Smart Lockout dalam mode penerapan pernah melihat penguncian pengguna berbahaya?

A: Jika Penguncian Cerdas Layanan Federasi Direktori Aktif diatur ke mode 'terapkan', Anda tidak akan pernah melihat akun pengguna yang sah dikunci oleh brute force atau penolakan layanan. Satu-satunya cara penguncian akun berbahaya dapat mencegah pengguna masuk adalah jika pelaku jahat memiliki kata sandi pengguna atau dapat mengirim permintaan dari alamat IP yang dikenal baik (akrab) untuk pengguna tersebut.

Apa yang terjadi ESL diaktifkan dan pelaku jahat memiliki kata sandi pengguna?

A: Tujuan umum dari skenario serangan brute force adalah untuk menebak kata sandi dan berhasil masuk.  Jika pengguna di-phish atau jika kata sandi ditebak maka fitur ESL tidak akan memblokir akses karena masuk akan memenuhi kriteria "berhasil" kata sandi yang benar ditambah IP baru. IP pelaku jahat kemudian akan muncul sebagai YANG "akrab". Mitigasi terbaik dalam skenario ini adalah menghapus aktivitas pengguna di Layanan Federasi Direktori Aktif dan mewajibkan Autentikasi Multifaktor untuk pengguna. Kami sangat menyarankan untuk menginstal AAD Perlindungan Kata Sandi yang memastikan kata sandi yang dapat ditebak tidak masuk ke sistem.

Jika pengguna saya belum pernah berhasil masuk dari IP dan kemudian mencoba dengan kata sandi yang salah beberapa kali akan mereka dapat masuk setelah mereka akhirnya mengetik kata sandi mereka dengan benar?

J: Jika pengguna mengirimkan beberapa kata sandi yang buruk (yaitu salah mengetik secara sah) dan pada upaya berikut mendapatkan kata sandi yang benar, maka pengguna akan segera berhasil masuk.  Ini akan menghapus jumlah kata sandi yang buruk dan menambahkan IP tersebut ke daftar FamiliarIP.  Namun, jika mereka melampaui ambang batas login yang gagal dari lokasi yang tidak diketahui, mereka akan masuk ke status penguncian dan mereka akan harus menunggu melewati jendela pengamatan dan masuk dengan kata sandi yang valid atau mengharuskan intervensi admin untuk mengatur ulang akun mereka.

Apakah ESL juga berfungsi pada intranet?

A: Jika klien terhubung langsung ke server Layanan Federasi Direktori Aktif dan bukan melalui server web Proksi Aplikasi maka perilaku ESL tidak akan berlaku. 

Saya melihat alamat IP Microsoft di bidang IP Klien. Apakah ESL memblokir serangan brute force proxied EXO?  

A: ESL akan bekerja dengan baik untuk mencegah Exchange Online atau skenario serangan brute force autentikasi warisan lainnya. Autentikasi warisan memiliki "ID Aktivitas" 00000000-0000-0000-0000-000000000000. Dalam serangan ini, pelaku jahat memanfaatkan autentikasi dasar Exchange Online (juga dikenal sebagai autentikasi warisan) sehingga alamat IP klien muncul sebagai Microsoft. Server online Exchange di proksi cloud verifikasi autentikasi atas nama klien Outlook. Dalam skenario ini, alamat IP pengirit berbahaya akan berada di x-ms-forwarded-client-ip dan IP server Microsoft Exchange Online akan berada di nilai x-ms-client-ip. Extranet Smart Lockout memeriksa IP jaringan, IP yang diteruskan, x-forwarded-client-IP, dan nilai x-ms-client-ip. Jika permintaan berhasil, semua IP ditambahkan ke daftar yang sudah dikenal. Jika permintaan masuk dan salah satu IP yang disajikan tidak ada dalam daftar yang sudah dikenal, permintaan akan ditandai sebagai tidak dikenal. Pengguna yang familier akan berhasil masuk sementara permintaan dari lokasi yang tidak dikenal akan diblokir.

Dapatkah saya memperkirakan ukuran ADFSArtifactStore sebelum mengaktifkan ESL?

A: Dengan ESL diaktifkan, Layanan Federasi Direktori Aktif melacak aktivitas akun dan lokasi yang diketahui untuk pengguna dalam database ADFSArtifactStore. Database ini menskalakan dalam ukuran relatif terhadap jumlah pengguna dan lokasi yang diketahui yang dilacak. Saat berencana mengaktifkan ESL, Anda dapat memperkirakan ukuran database ADFSArtifactStore untuk tumbuh pada tingkat hingga 1GB per 100.000 pengguna. Jika farm Layanan Federasi Direktori Aktif menggunakan Database Internal Windows (WID), lokasi default untuk file database adalah C:\Windows\WID\Data. Untuk mencegah pengisian drive ini, pastikan Anda memiliki penyimpanan gratis minimal 5GB sebelum mengaktifkan ESL. Selain penyimpanan disk, rencanakan total memori proses tumbuh setelah mengaktifkan ESL hingga RAM 1GB tambahan untuk populasi pengguna sebesar 500.000 atau kurang.

Referensi tambahan

Praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif

Set-AdfsProperties

Operasi Layanan Federasi Direktori Aktif