Mengonfigurasi Perlindungan Penguncian Ekstranet Layanan Federasi Direktori Aktif
Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, kami memperkenalkan fitur keamanan yang disebut Penguncian Ekstranet. Dengan fitur ini, Layanan Federasi Direktori Aktif akan "berhenti" mengautentikasi akun pengguna "berbahaya" dari luar untuk jangka waktu tertentu. Ini mencegah akun pengguna Anda dikunci di Direktori Aktif. Selain melindungi pengguna Anda dari penguncian akun AD, penguncian ekstranet LAYANAN Federasi Direktori Aktif juga melindungi dari serangan tebakan kata sandi brute force
Catatan
Fitur ini hanya berfungsi untuk skenario ekstranet di mana permintaan autentikasi datang melalui Proksi Aplikasi Web dan hanya berlaku untuk autentikasi nama pengguna dan kata sandi.
Keuntungan Penguncian Ekstranet
Penguncian ekstranet memberikan keuntungan utama berikut:
- Ini melindungi akun pengguna Anda dari serangan brute force di mana penyerang mencoba menebak kata sandi pengguna dengan terus mengirim permintaan autentikasi. Dalam hal ini, Layanan Federasi Direktori Aktif akan mengunci akun pengguna berbahaya untuk akses ekstranet
- Ini melindungi akun pengguna Anda dari penguncian akun berbahaya di mana penyerang ingin mengunci akun pengguna dengan mengirim permintaan autentikasi dengan kata sandi yang salah. Dalam hal ini, meskipun akun pengguna akan dikunci oleh Layanan Federasi Direktori Aktif untuk akses ekstranet, akun pengguna aktual di AD tidak dikunci dan pengguna masih dapat mengakses sumber daya perusahaan dalam organisasi. Ini dikenal sebagai penguncian sementara.
Cara Kerjanya
Ada 3 pengaturan di Layanan Federasi Direktori Aktif yang perlu Anda konfigurasi untuk mengaktifkan fitur ini:
- EnableExtranetLockout < Boolean> mengatur nilai Boolean ini menjadi True jika Anda ingin mengaktifkan Penguncian Ekstranet.
- ExtranetLockoutThreshold < Bilangan bulat> ini mendefinisikan jumlah maksimum upaya kata sandi yang buruk. Setelah ambang batas tercapai, Layanan Federasi Direktori Aktif akan segera menolak permintaan dari ekstranet tanpa mencoba menghubungi pengendali domain untuk autentikasi, tidak peduli apakah kata sandi baik atau buruk, sampai jendela pengamatan ekstranet diteruskan. Ini berarti nilai atribut badPwdCount dari akun AD tidak akan meningkat saat akun dikunci sementara.
- ExtranetObservationWindow < TimeSpan> ini menentukan berapa lama akun pengguna akan dikunci sementara. Layanan Federasi Direktori Aktif akan mulai melakukan autentikasi nama pengguna dan kata sandi lagi ketika jendela diteruskan. Layanan Federasi Direktori Aktif menggunakan atribut AD badPasswordTime sebagai referensi untuk menentukan apakah jendela pengamatan ekstranet telah berlalu atau tidak. Jendela telah berlalu jika saat > ini badPasswordTime + ExtranetObservationWindow.
Catatan
Fungsi penguncian ekstranet Layanan Federasi Direktori Aktif secara independen dari kebijakan penguncian AD. Namun, kami sangat menyarankan Agar Anda menetapkan nilai parameter ExtranetLockoutThreshold ke nilai yang kurang dari ambang batas penguncian akun AD. Gagal melakukannya akan mengakibatkan LAYANAN Federasi Direktori Aktif tidak dapat melindungi akun agar tidak dikunci di Direktori Aktif.
Contoh mengaktifkan fitur Penguncian Ekstranet dengan maksimum 15 jumlah upaya kata sandi yang buruk dan durasi penguncian sementara 30 menit adalah sebagai berikut:
Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30)
Pengaturan ini akan berlaku untuk semua domain yang dapat diautentikasi oleh layanan Ad FS. Cara kerjanya adalah ketika AD FS menerima permintaan autentikasi, ad FS akan mengakses Pengendali Domain Utama (PDC) melalui panggilan LDAP dan melakukan pencarian untuk atribut badPwdCount untuk pengguna di PDC. Jika Layanan Federasi Direktori Aktif menemukan nilai badPwdCount>= pengaturan ExtranetLockoutThreshold dan waktu yang ditentukan di Jendela Pengamatan Ekstranet belum berlalu, Layanan Federasi Direktori Aktif akan segera menolak permintaan, yang berarti tidak peduli apakah pengguna memasukkan kata sandi yang baik atau buruk dari ekstranet, masuk akan gagal karena LAYANAN Federasi Direktori Aktif tidak mengirim kredensial ke AD. Layanan Federasi Direktori Aktif tidak mempertahankan status apa pun sehubungan dengan badPwdCount atau akun pengguna yang dikunci. Layanan Federasi Direktori Aktif menggunakan AD untuk semua pelacakan status.
Peringatan
Ketika penguncian Ekstranet Layanan Federasi Direktori Aktif di Server 2012 R2 diaktifkan semua permintaan autentikasi melalui WAP divalidasi oleh LAYANAN Federasi Direktori Aktif pada PDC. Ketika PDC tidak tersedia, pengguna tidak akan dapat mengautentikasi dari ekstranet.
Server 2016 menawarkan parameter tambahan yang memungkinkan LAYANAN Federasi Direktori Aktif untuk mundur ke pengontrol domain lain ketika PDC tidak tersedia:
- ExtranetLockoutRequirePDC < Boolean> - Saat diaktifkan: penguncian ekstranet memerlukan pengendali domain utama (PDC). Ketika dinonaktifkan: penguncian ekstranet akan kembali ke pengendali domain lain jika PDC tidak tersedia.
Anda dapat menggunakan perintah Windows PowerShell berikut untuk mengonfigurasi penguncian ekstranet Layanan Federasi Direktori Aktif di Server 2016:
Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30) -ExtranetLockoutRequirePDC $false
Bekerja dengan Kebijakan Penguncian Direktori Aktif
Fitur Penguncian Ekstranet di Layanan Federasi Direktori Aktif berfungsi secara independen dari kebijakan penguncian AD. Namun, Anda perlu memastikan pengaturan untuk Penguncian Ekstranet dikonfigurasi dengan benar sehingga dapat melayani tujuan keamanannya dengan kebijakan penguncian AD. Mari kita lihat kebijakan penguncian AD terlebih dahulu. Ada tiga pengaturan mengenai kebijakan penguncian di AD:
- Ambang Penguncian Akun: pengaturan ini mirip dengan pengaturan ExtranetLockoutThreshold di Layanan Federasi Direktori Aktif. Ini menentukan jumlah upaya masuk yang gagal yang akan menyebabkan akun pengguna dikunci. Untuk melindungi akun pengguna Anda dari serangan penguncian akun berbahaya, Anda ingin menetapkan nilai ExtranetLockoutThreshold di Layanan Federasi Direktori < Aktif, nilai Ambang Batas Penguncian Akun di AD
- Durasi Penguncian Akun: pengaturan ini menentukan berapa lama akun pengguna dikunci. Pengaturan ini tidak terlalu penting dalam percakapan ini karena Penguncian Ekstranet harus selalu terjadi sebelum penguncian AD terjadi jika dikonfigurasi dengan benar
- Reset Penghitung Penguncian Akun Setelah: pengaturan ini menentukan berapa banyak waktu yang harus berlalu dari kegagalan masuk terakhir pengguna sebelum badPwdCount diatur ulang ke 0. Agar fitur Penguncian Ekstranet di Layanan Federasi Direktori Aktif berfungsi dengan baik dengan kebijakan penguncian AD, Anda ingin memastikan nilai ExtranetObservationWindow di Layanan Federasi Direktori > Aktif Penghitung Penguncian Akun Reset Setelah nilai di AD. Contoh di bawah ini akan menjelaskan alasannya.
Mari kita lihat dua contoh dan lihat bagaimana badPwdCount berubah dari waktu ke waktu berdasarkan pengaturan dan status yang berbeda. Mari kita asumsikan dalam kedua contoh Ambang Penguncian Akun = 4 dan ExtranetLockoutThreshold = 2. Panah merah mewakili upaya kata sandi yang buruk, panah hijau mewakili upaya kata sandi yang baik. Dalam contoh #1, Penghitung Penguncian AkunExtranetObservationWindowReset> Setelahnya. Dalam contoh #2, Penghitung Penguncian AkunExtranetObservationWindowReset< Setelahnya.
Contoh 1
Contoh 2
Seperti yang Anda lihat dari hal di atas, ada dua kondisi ketika badPwdCount akan diatur ulang ke 0. Salah satunya adalah ketika ada log masuk yang berhasil. Yang lain adalah ketika saatnya untuk mengatur ulang penghitung ini seperti yang didefinisikan dalam Reset Penghitung Penguncian Akun Setelah pengaturan. Saat Mengatur Ulang Penghitung Penguncian AkunAfterExtranetObservationWindow<, akun tidak memiliki risiko dikunci oleh AD. Namun, jika Reset Penghitung Penguncian AkunAfterExtranetObservationWindow>, ada kemungkinan akun dapat dikunci oleh AD tetapi dengan "mode tertunda". Mungkin perlu waktu beberapa saat untuk membuat akun dikunci oleh AD tergantung pada konfigurasi Anda karena Layanan Federasi Direktori Aktif hanya akan memungkinkan satu upaya kata sandi yang buruk selama jendela pengamatannya sampai badPwdCount mencapai Ambang Batas Penguncian Akun.
Untuk informasi selengkapnya, lihat Mengonfigurasi Penguncian Akun.
Masalah Umum
Ada masalah yang diketahui di mana akun pengguna AD tidak dapat mengautentikasi dengan Layanan Federasi Direktori Aktif karena atribut badPwdCount tidak direplikasi ke pengontrol domain yang dikueri ADFS. Lihat 2971171 untuk detail selengkapnya. Anda dapat menemukan semua QFEs Layanan Federasi Direktori Aktif yang telah dirilis sejauh ini di sini.
Poin-poin penting yang perlu diingat
- Fitur Penguncian Ekstranet hanya berfungsi untuk skenario ekstranet di mana permintaan autentikasi datang melalui web Proksi Aplikasi
- Fitur Penguncian Ekstranet hanya berlaku untuk autentikasi kata sandi nama & pengguna
- Layanan Federasi Direktori Aktif tidak melacak badPwdCount atau pengguna yang dikunci sementara. Layanan Federasi Direktori Aktif menggunakan AD untuk semua pelacakan status
- Layanan Federasi Direktori Aktif melakukan pencarian untuk atribut badPwdCount melalui panggilan LDAP untuk pengguna di PDC untuk setiap upaya autentikasi
- Layanan Federasi Direktori Aktif yang lebih lama dari 2016 akan gagal jika tidak dapat mengakses PDC. Ad FS 2016 memperkenalkan peningkatan yang akan memungkinkan Layanan Federasi Direktori Aktif untuk kembali ke pengendali domain lain jika PDC tidak tersedia.
- Layanan Federasi Direktori Aktif akan mengizinkan permintaan autentikasi dari ekstranet jika badPwdCount < ExtranetLockoutThreshold
- Jika badPwdCount>= ExtranetLockoutThreshold AND badPasswordTimeExtranetObservationWindow + < Saat ini, Layanan Federasi Direktori Aktif akan menolak permintaan autentikasi dari ekstranet
- Untuk menghindari penguncian akun berbahaya, Anda harus memastikan ExtranetLockoutThresholdAccount<Lockout Threshold DAN ExtranetObservationWindowReset>Account Lockout Counter