Configurar a proteção de bloqueio de Extranet do AD FSConfigure AD FS Extranet Lockout Protection

No AD FS no Windows Server 2012 R2, apresentamos um recurso de segurança chamado bloqueio de Extranet.In AD FS on Windows Server 2012 R2, we introduced a security feature called Extranet Lockout. Com esse recurso, o AD FS "interromperá" autenticar a conta de usuário "mal-intencionado" de fora para um período de tempo.With this feature, AD FS will "stop" authenticating the "malicious" user account from outside for a period of time. Isso impede que as contas de usuário que está sendo bloqueado no Active Directory.This prevents your user accounts from being locked out in Active Directory. Além de proteger os usuários de um bloqueio de conta do AD, o bloqueio de extranet do AD FS também protege contra ataques de adivinhação de senha de força brutaIn addition to protecting your users from an AD account lockout, AD FS extranet lockout also protects against brute force password guessing attacks

Observação

Esse recurso funciona somente para o cenário de extranet onde a autenticação de solicitações são fornecidos por meio do Proxy de aplicativo Web e só se aplica ao autenticação de nome de usuário e senha.This feature only works for the extranet scenario where the authentication requests come through the Web Application Proxy and only applies to username and password authentication.

Vantagens de bloqueio de ExtranetAdvantages of Extranet Lockout

Bloqueio de extranet fornece as seguintes vantagens essenciais:Extranet lockout provides the following key advantages:

  • Ele protege suas contas de usuário do ataques de força bruta em que um invasor tentar adivinhar a senha do usuário enviando continuamente as solicitações de autenticação.It protects your user accounts from brute force attacks where an attacker tries to guess a user's password by continuously sending authentication requests. Nesse caso, o AD FS irá bloquear a conta de usuário mal-intencionado para acesso à extranetIn this case, AD FS will lock out the malicious user account for extranet access
  • Ele protege suas contas de usuário do bloqueio de conta mal-intencionado em que um invasor deseja bloquear uma conta de usuário por meio do envio de solicitações de autenticação com senhas erradas.It protects your user accounts from malicious account lockout where an attacker wants to lock out a user account by sending authentication requests with wrong passwords. Nesse caso, embora a conta de usuário será bloqueada pelo AD FS para acesso à extranet, a conta de usuário real do AD não está bloqueada e o usuário ainda pode acessar recursos corporativos dentro da organização.In this case, although the user account will be locked out by AD FS for extranet access, the actual user account in AD is not locked out and the user can still access corporate resources within the organization. Isso é conhecido como um bloqueio reversível.This is known as a soft lockout.

Como funcionaHow it Works

Há 3 configurações no AD FS que você precisa configurar para habilitar esse recurso:There are 3 settings in AD FS that you need to configure to enable this feature:

  • EnableExtranetLockout <Boolean> definir esse valor booliano para ser verdadeiro se desejar habilitar o bloqueio de Extranet.EnableExtranetLockout <Boolean> set this Boolean value to be True if you want to enable Extranet Lockout.
  • ExtranetLockoutThreshold <inteiro> define o número máximo de tentativas de senha incorreta.ExtranetLockoutThreshold <Integer> this defines the maximum number of bad password attempts. Quando o limite é atingido, o AD FS imediatamente rejeita as solicitações da extranet sem tentar contatar o controlador de domínio para autenticação, não importa se a senha é bom ou ruim, até que a janela de Observação extranet é passada.Once the threshold is reached, AD FS will immediately rejects the requests from extranet without attempting to contact the domain controller for authentication, no matter whether password is good or bad, until the extranet observation window is passed. Isso significa que o valor de badPwdCount atributo de uma conta do AD não aumentará enquanto a conta está bloqueada soft out.This means the value of badPwdCount attribute of an AD account will not increase while the account is soft-locked out.
  • ExtranetObservationWindow <TimeSpan> Isso determina quanto tempo o usuário conta será reversível-bloqueada. O AD FS será iniciado realizar a autenticação de nome de usuário e senha novamente quando a janela é passada.ExtranetObservationWindow <TimeSpan> this determines for how long the user account will be soft-locked out. AD FS will start to perform username and password authentication again when the window is passed. O AD FS usa o badPasswordTime de atributo do AD como referência para determinar se a janela de Observação extranet passou ou não.AD FS uses the AD attribute badPasswordTime as the reference for determining whether the extranet observation window has passed or not. A janela tiver passado se o atual tempo > badPasswordTime + ExtranetObservationWindow.The window has passed if current time > badPasswordTime + ExtranetObservationWindow.

Observação

Funções de bloqueio de extranet do AD FS independentemente das políticas de bloqueio do AD.AD FS extranet lockout functions independently from the AD lockout policies. No entanto, é altamente recomendável que você defina as ExtranetLockoutThreshold valor do parâmetro para um valor que é menor que o limite de bloqueio de conta do AD.However, we strongly recommend that you set the ExtranetLockoutThreshold parameter value to a value that is less than the AD account lockout threshold. Falha ao fazer isso resultaria no AD FS não ser capaz de proteger as contas de serem bloqueados no Active Directory.Failing to do so would result in AD FS being unable to protect accounts from being locked out in Active Directory.

Um exemplo de como habilitar o recurso de bloqueio de Extranet com 15 número máximo de tentativas de senha e a duração de bloqueio flexível de 30 minutos é da seguinte maneira:An example of enabling Extranet Lockout feature with maximum of 15 number of bad password attempts and 30 mins soft-lockout duration is as follows:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30)

Essas configurações serão aplicadas a todos os domínios que o serviço AD FS pode autenticar.These settings will apply to all domains that the AD FS service can authenticate. A maneira que ele funciona é que quando o AD FS recebe uma solicitação de autenticação, ele acessar o controlador de domínio primário (PDC) por meio de uma chamada LDAP e realizar uma pesquisa para o badPwdCount atributo para o usuário no controlador de domínio primário.The way that it works is that when AD FS receives an authentication request, it will access the Primary Domain Controller (PDC) through an LDAP call and perform a lookup for the badPwdCount attribute for the user on the PDC. Se o AD FS encontra o valor de badPwdCount > = ExtranetLockoutThreshold configuração e a hora definida na janela de observação da Extranet não passou ainda, o AD FS rejeitará a solicitação imediatamente, o que significa que não importa se a usuário insere uma senha de BOM ou ruim da extranet, o logon falhará porque o AD FS não envia as credenciais para o AD.If AD FS finds the value of badPwdCount >= ExtranetLockoutThreshold setting and the time defined in the Extranet Observation Window has not passed yet, AD FS will reject the request immediately, which means no matter whether the user enters a good or bad password from extranet, the logon will fail because AD FS does not send the credentials to AD. O AD FS não mantém nenhum estado em relação ao badPwdCount ou as contas de usuário bloqueadas.AD FS does not maintain any state with regard to badPwdCount or locked out user accounts. O AD FS usa o AD para todos os estados de controle.AD FS uses AD for all state tracking.

Aviso

Quando o bloqueio de Extranet do AD FS no Server 2012 R2 esteja habilitado todas as solicitações de autenticação por meio de WAP são validadas pelo AD FS no PDC.When AD FS Extranet lockout on Server 2012 R2 is enabled all authentication requests through the WAP are validated by AD FS on the PDC. Quando o controlador de domínio primário não estiver disponível, os usuários poderão autenticar da extranet.When the PDC is unavailable, users will be unable to authenticate from the extranet.

Server 2016 oferece um parâmetro adicional que permite que o AD FS para o fallback para outro controlador de domínio quando o controlador de domínio primário não está disponível:Server 2016 offers an additional parameter that allows AD FS to fallback to another domain controller when the PDC is unavailable:

  • ExtranetLockoutRequirePDC <Boolean> – quando habilitado: bloqueio de extranet requer um controlador de domínio primário (PDC).ExtranetLockoutRequirePDC <Boolean> - When enabled: extranet lockout requires a primary domain controller (PDC). Quando desabilitado: bloqueio de extranet fará fallback para outro controlador de domínio, caso o controlador de domínio primário não está disponível.When disabled: extranet lockout will fallback to another domain controller in case the PDC is unavailable.

Você pode usar o seguinte comando do Windows PowerShell para configurar o bloqueio de extranet do AD FS no Server 2016:You can use the following Windows PowerShell command to configure the AD FS extranet lockout on Server 2016:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30) -ExtranetLockoutRequirePDC $false

Trabalhando com a política de bloqueio do Active DirectoryWorking with the Active Directory Lockout Policy

O recurso de bloqueio de Extranet do AD FS funciona independentemente da política de bloqueio do AD.The Extranet Lockout feature in AD FS works independently from the AD lockout policy. No entanto, é necessário garantir que as configurações para o bloqueio de Extranet está configurado corretamente para que ele possa atender sua finalidade de segurança com a política de bloqueio do AD.However, you do need to make sure the settings for the Extranet Lockout is properly configured so that it can serve its security purpose with the AD lockout policy. Vamos dar uma olhada na diretiva de bloqueio do AD primeiro.Let's take a look at AD lockout policy first. Há três configurações em relação à diretiva de bloqueio do AD:There are three settings regarding lockout policy in AD:

  • Limite de bloqueio de conta: essa configuração é semelhante à configuração ExtranetLockoutThreshold no AD FS.Account Lockout Threshold: this setting is similar to the ExtranetLockoutThreshold setting in AD FS. Ele determina o número de tentativas de logon com falha que fará com que uma conta de usuário seja bloqueada. Para proteger suas contas de usuário de um ataque de bloqueio de conta mal-intencionado, você deseja definir o valor de ExtranetLockoutThreshold no AD FS < o valor de limite de bloqueio de conta do ADIt determines the number of failed logon attempts that will cause a user account to be locked out. In order to protect your user accounts from a malicious account lockout attack, you want to set the value of ExtranetLockoutThreshold in AD FS < the Account Lockout Threshold value in AD
  • Duração do bloqueio de conta: essa configuração determina quanto tempo um usuário conta está bloqueada. Essa configuração não importa muito nesta conversa como bloqueio de Extranet sempre deve ocorrer antes de bloqueio do AD acontece se configurado corretamenteAccount Lockout Duration: this setting determines for how long a user account is locked out. This setting does not matter much in this conversation as Extranet Lockout should always happen before AD lockout happens if configured properly
  • Redefinir contador de bloqueios de conta após: essa configuração determina quanto tempo deve decorrer da última falha de logon do usuário antes de badPwdCount é redefinido como 0.Reset Account Lockout Counter After: this setting determines how much time must elapse from user's last logon failure before badPwdCount is reset to 0. Para que o recurso de bloqueio de Extranet do AD FS para funcionar bem com a política de bloqueio do AD, você deseja garantir que o valor de ExtranetObservationWindow no AD FS > o valor de Redefinir contador de bloqueios de conta após do AD.In order for Extranet Lockout feature in AD FS to work well with AD lockout policy, you want to make sure the value of ExtranetObservationWindow in AD FS > the Reset Account Lockout Counter After value in AD. Os exemplos a seguir explicará o porquê.The examples below will explain why.

Vamos dar uma olhada em dois exemplos e ver como badPwdCount muda ao longo do tempo com base em configurações diferentes e estados.Let's take a look at two examples and see how badPwdCount changes over time based on different settings and states. Vamos supor que nos dois exemplos limite de bloqueio de conta = 4 e ExtranetLockoutThreshold = 2.Let's assume in both examples Account Lockout Threshold = 4 and ExtranetLockoutThreshold = 2. O vermelho seta representa a tentativa de senha incorreta, o verde seta representa uma tentativa de senha válida.The red arrow represents bad password attempt, the green arrow represents a good password attempt. No exemplo 1 de # ExtranetObservationWindow > Redefinir contador de bloqueios de conta após.In example #1, ExtranetObservationWindow > Reset Account Lockout Counter After. No exemplo 2 de # ExtranetObservationWindow < Redefinir contador de bloqueios de conta após.In example #2, ExtranetObservationWindow < Reset Account Lockout Counter After.

Exemplo 1Example 1

Exemplo 1

Exemplo 2Example 2

Exemplo 1

Como você pode ver acima, há duas condições quando badPwdCount será redefinido como 0.As you can see from the above, there are two conditions when badPwdCount will be reset to 0. Um é quando há um logon bem-sucedido.One is when there is a successful logon. O outro é quando é hora de redefinir esse contador conforme definido em Redefinir contador de bloqueios de conta após configuração.The other is when it is time to reset this counter as defined in Reset Account Lockout Counter After setting. Quando Redefinir contador de bloqueios de conta após < ExtranetObservationWindow, uma conta não tem nenhum risco de serem bloqueados pelo AD.When Reset Account Lockout Counter After < ExtranetObservationWindow, an account does not have any risk of being locked out by AD. No entanto, se Redefinir contador de bloqueios de conta após > ExtranetObservationWindow, há uma chance de que uma conta pode ser bloqueada pelo AD, mas em uma "forma atrasada".However, if Reset Account Lockout Counter After > ExtranetObservationWindow, there is a chance that an account may be locked out by AD but in a "delayed fashion". Ele pode demorar um pouco para obter uma conta bloqueada pelo AD dependendo da sua configuração como o AD FS só permitirá que uma tentativa de senha incorreta durante sua janela de Observação até badPwdCount atinge limite de bloqueio de conta .It may take a while to get an account locked out by AD depending on your configuration as AD FS will only allow one bad password attempt during its observation window until badPwdCount reaches Account Lockout Threshold.

Para obter mais informações, consulte Configurando o bloqueio de conta.For more information, see Configuring Account Lockout.

Problemas conhecidosKnown Issues

Há um problema conhecido em que a conta de usuário do AD não pode autenticar com o AD FS porque o badPwdCount atributo não é replicado para o controlador de domínio ADFS está consultando.There is a known issue where the AD user account cannot authenticate with AD FS because the badPwdCount attribute is not replicated to the domain controller that ADFS is querying. Ver 2971171 para obter mais detalhes.See 2971171 for more details. Você pode encontrar todos os QFEs FS AD que foram lançadas até o momento aqui.You can find all AD FS QFEs that have been released so far here.

Principais pontos a serem lembradosKey points to remember

  • O recurso de bloqueio de Extranet somente funciona para o cenário de extranet onde as solicitações de autenticação são fornecidos por meio do Proxy de aplicativo WebThe Extranet Lockout feature only works for the extranet scenario where the authentication requests come through the Web Application Proxy
  • O recurso de bloqueio de Extranet somente se aplica a autenticação de nome de usuário e senhaThe Extranet Lockout feature only applies to username & password authentication
  • O AD FS não controlar qualquer badPwdCount ou usuários que são o soft-bloqueada. O AD FS usa o AD para todos os estados de controleAD FS does not keep any track of badPwdCount or users that are soft-locked out. AD FS uses AD for all state tracking
  • O AD FS executa uma pesquisa para o badPwdCount atributo por meio de chamada LDAP para o usuário no controlador de domínio primário para cada tentativa de autenticaçãoAD FS performs a lookup for the badPwdCount attribute through LDAP call for the user on the PDC for every authentication attempt
  • O AD FS anterior a 2016 falhará se não puder acessar o controlador de domínio primário.AD FS older than 2016 will fail if it cannot access the PDC. AD FS 2016 introduziu melhorias que permitirá que o AD FS para o fallback para outros controladores de domínio no caso de controlador de domínio primário não está disponível.AD FS 2016 introduced improvements that will allow AD FS to fall back to other domain controllers in case of the PDC is not available.
  • O AD FS permitirá que as solicitações de autenticação do extranet se badPwdCount < ExtranetLockoutThresholdAD FS will allow authentication requests from extranet if badPwdCount < ExtranetLockoutThreshold
  • Se badPwdCount >= ExtranetLockoutThreshold AND badPasswordTime + ExtranetObservationWindow < Hora atual, o AD FS rejeitará as solicitações de autenticação da extranetIf badPwdCount >= ExtranetLockoutThreshold AND badPasswordTime + ExtranetObservationWindow < Current time, AD FS will reject authentication requests from extranet
  • Para evitar o bloqueio de conta mal-intencionado, você deve se certificar ExtranetLockoutThreshold < limite de bloqueio de conta AND ExtranetObservationWindow > Zerar contador de bloqueio de contaTo avoid malicious account lockout, you should make sure ExtranetLockoutThreshold < Account Lockout Threshold AND ExtranetObservationWindow > Reset Account Lockout Counter

Referências adicionaisAdditional references

Operações do AD FSAD FS Operations