Objetivo

O objetivo deste artigo é mostrar de forma prática o uso da funcionalidade AD FS Extranet Lockout.

Configuração do AD FS Extranet Lockout

O conteúdo abaixo foi documentado a partir de ambiente de laboratório cujo nome do domínio é “uilson.net” e o ADFS name é “adfs.uilson.net

No servidor AD Federation Services, abra o Power Shell (de preferência com Run as Administrator) e execute o comando “get-adfsproperties”.

A tela abaixo será exibida com todas as configurações do AD FS:

No fim da tela de resultados do comando acima, você verá os parâmetros referentes ao AD FS Extranet Lockout conforme tela abaixo:

Na tela acima temos os 3 parâmetros que irão ser configurados para ativar o AD FS Extranet Lockout:

ExtranetLockoutThreshold – Neste parâmetro é definido a quantidade de tentativas que o AD FS irá permitir antes de bloquear o acesso. Funciona independente da política de bloqueio de senhas do domínio e, neste caso, recomenda-se que o administrador defina um valor abaixo daquele praticado pelo AD DS. Por exemplo, se o número de tentativas erradas no AD DS está em 5, você poderá definir o ExtranetLockoutThreshold em 4.

ExtranetLockoutEnabledEste parâmetro é o que ativa a Feature do AD FS Extranet Lockout. Vem por padrão com o valor “False”. Deverá ser alterado para o valor “True”.

ExtranetObservationWindow  Uma vez habilitado e definidos os parâmetros acima, o ExtranetObservationWindowdefine quanto tempo o acesso que extrapolou as tentativas pré-definidas ficará bloqueado. Vem por padrão o valor de 30 minutos. Este tempo já é suficiente, entretanto, você deverá defini-lo de acordo com as políticas de sua organização.

Ao planejar a implementação da funcionalidade, deve-se primeiro analisar a política de bloqueio de senhas do domínio antes de se definir a quantidade de tentativas erradas que o AD FS irá aceitar antes de bloquear o acesso.

Para este laboratório vamos verificar no servidor AD (através do Active Directory Users and Computers) como está configurado a política de bloqueio de senhas para o domínio “uilson.net”:

De acordo com a imagem acima, após 5 tentativas erradas o AD irá bloquear o acesso do usuário por 30 minutos e o desbloqueio automático ocorrerá em 30 minutos.

Com base nos dados acima, iremos criar a configuração do AD FS Extranet Lockout definindo os seguintes valores:

ExtranetLockoutThreshold – Após 3 tentativas de logon com senha incorreta o AD FS irá bloquear o acesso do usuário externamente, sem que a conta do mesmo usuário no domínio entre em lockout.

ExtranetObservationWindow Após bloqueio da conta pelo AD FS, iremos definir um período igual ao da política interna do domínio, que é o mesmo que vem por default neste parâmetro. Entretanto o administrador poderá definir o valor que for conveniente ou que estiver estipulado nas políticas de segurança da corporação.

Além dos valores acima, o comando terá como premissa habilitar o parâmetro ExtranetLockoutEnabled que fará com que o serviço do AD FS Extranet Lockout seja ativado.

O comando PS que deverá ser usado para configurar todos os parâmetros citados fica conforme abaixo:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow ( new-timespan -Minutes 30 )

Ao aplicar o comando, o PowerShell exibirá o retorno abaixo:

Para verificar os novos parâmetros aplicados, execute mais uma vez o comando get-adfsproperties para ver o que foi alterado:

Observação Importante

Devido ao um bug no Account Lockout Policy do atributo de usuário badPwdCount do AD FS é necessário que o KB 2971171 esteja aplicado no servidor. Caso contrário as tentativas de senha incorreta podem não ser contabilizado, fazendo com que a feature não funcione corretamente.

O fix pode ser baixado no link http://support.microsoft.com/kb/2971171.

Créditos

Para entender a teoria desta função no AD FS, foi publicado um post no blog Microsoft Space que o leitor pode acessar clicando no link abaixo:

Referências

A base para estudo e montagem deste artigo foi usada à partir do post no endereço abaixo:

Conclusão

Este artigo buscou mostrar em um laboratório prático, os passos necessários para implementar a feature AD FS Extranet Lockout.

Foram mostrados os parâmetros a serem configurados, análise e planejamento com base na política de domínio local, o comando PSH a ser usado e a verificação do resultados nas propriedades do AD FS.