ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Zweites Gateway
SafeSearch
Account Lockout Prevention

 

Konfiguration der Account-Lockout-Prevention in Forefront TMG 2010 SP2


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft Forefront TMG 2010 SP2

 

Mit Forefront TMG 2010 SP2 wurde neben der Fehlerbereinigung durch enthaltene Hotfixe der Funktionsumfang um die Funktionen des Siteaktivitätsberichts, verbesserte Fehlerseiten und die Unterstützung von Kerberos-Authentifizierung bei Verwendung von NLB erweitert. Es gibt jedoch eine weitere versteckte neue Funktion in Forefront TMG 2010 SP2 die nicht direkt über die Verwaltungskonsole konfiguriert werden kann. Es handelt sich hierbei um die Account-Lockout-Prevention.

Durch die Account-Lockout-Prevention soll verhindert werden, dass Benutzeraccounts aus dem Active Directory durch mehrmalige Falscheingabe des Kennworts gesperrt werden. Dies ist z.B. sinnvoll, wenn Sie Outlook Web Access über Forefront TMG 2010 veröffentlichen und von Extern versucht wird das Kennwort durch Probieren herauszufinden. Da solche Angriffe nicht unbedingt selten vorkommen wäre es äußerst unvorteilhaft, wenn der Benutzer jedes mal gesperrt wird, wenn ein Angriff auf seinen Account durchgeführt wird, denn das Entsperren des Accounts kann nur von der IT-Abteilung durchgeführt werden. Ist in Forefront TMG 2010 die Account-Lockout-Prevention aktiviert, so verhindert Forefront TMG 2010 das Sperren des Benutzeraccounts dadurch, indem dieser die Anmeldeversuche für diesen Benutzeraccount für eine gewisse Zeit verhindert, nachdem eine bestimmte Anzahl an Fehlversuchen überschritten wurde.

Soweit so gut und es ist mit Forefront TMG 2010 SP2 eine wirklich geniale neue Funktion hinzugekommen. Da man gewöhnlich den Tag nicht vor dem Abend loben soll, hat die ganze Sache natürlich auch einen kleinen Haken!

Die Account-Lockout-Prevention in Forefront TMG 2010 SP2 beschränkt sich nur auf Weblistener die als Authentifizierungsmethode die formularbasierte Authentifizierung gegen das Active Directory oder einen LDAP-Server verwenden und kann, wie bereits erwähnt, nicht direkt über die Verwaltungskonsole konfiguriert werden. Der KB-Artikel 2619987 erwähnt über welche Objekte des COM-Objektmodells die Account-Lockout-Prevention konfiguriert werden kann.

Es sind also Skriptingkenntnisse notwendig, um die Funktion der Account-Lockout-Prevention zu aktivieren und zu konfigurieren. Mit Hilfe des in diesem Artikel enthaltenen Skripts können Sie die Account-Lockout-Prevention von Forefront TMG 2010 SP2 für Weblistener mit FBA aktivieren und konfigurieren. Wie Sie hierbei vorgehen müssen, wird in folgenden Schritten im Detail erklärt.

 

1. Überprüfen der Account-Lockout-Funktion im Active Directory

Bevor Sie beginnen die Account-Lockout-Prevention in Forefront TMG 2010 zu konfigurieren müssen Sie den im Active Directory konfigurierten Schwellenwert für die Accountsperrung ermitteln. Im einfachsten Fall wird der Schwellenwert in der Gruppenrlichtlinie Default Domain Policy konfiguriert, dabei gelten die eingestellten Werte für alle Benutzer der Domäne. Seit Windows Server 2008 können aber auch spezielle Kennwortrichtlinien für bestimmte Gruppen angewendet werden. In diesem Fall müssen Sie aus den bestehenden Kennwortrichtlinien den niedrigsten Wert für die Accountsperrung ermitteln. Eine Anleitung zur Konfiguration mehrerer Kennwortrichtlinien finden Sie auf der Website Gruppenrichtlinien.de.

Zur Veranschaulichung wird in dieser Anleitung davon ausgegangen, dass die Kennwortrichtlinien über die Gruppenrichtlinie Default Domain Policy konfiguriert wird. Melden Sie sich hierzu an einem Domänencontroller an, öffnen Sie danach die Verwaltungskonsole Gruppenrichtlinienverwaltung und öffnen aus dem Container Gruppenrichtlinienobjekte die Gruppenrichtlinie Default Domain Policy zur Bearbeitung.

Navigieren Sie zunächst in der Default Domain Policy zum Knoten Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien.



Darunter finden Sie die geltenden Einstellungen zur Kontosperrung für die Domänenbenutzer. In diesem Beispiel wird der Benutzeraccount nach 5 Fehlversuchen für 30 Minuten gesperrt. Notieren Sie sich diesen Wert und melden Sie sich danach vom Domaincontroller wieder ab.

 

2. Aktivierung und Konfiguration der Account-Lockout-Prevention in Forefront TMG 2010 SP2

Mit Hilfe des abgebildeten Skripts können Sie über das COM-Objektmodell die Account-Lockout-Prevention aktivieren und konfigurieren. Dazu müssen Sie zunächst den Code per Copy&Paste in eine neue Textdatei kopieren und diese anschließend unter dem Dateinamen AccountLockout.vbs abspeichern.

 
sub show_weblistener(objLSNR)

set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1)

wscript.echo "Authentication method :" & objFBA
wscript.echo "Account logout enabled :" & objLSNR.Properties.EnableAccountLockout
wscript.echo "Account logout threshold :" & objLSNR.Properties.AccountLockoutThreshold
wscript.echo "Account logout reset time :" & objLSNR.Properties.AccountLockoutResetTime
wscript.echo " "

end sub

sub set_weblistener(objLSNR)

wscript.echo "Configuring the weblistener...."
wscript.echo ""

wscript.echo "Do you want to enable the lockout prevention? (true/false): "
state = wscript.Stdin.readline

wscript.echo "Please enter the lockout threshold:"
threshold = wscript.Stdin.readline

wscript.echo "Please enter the lockout reset time:"
reset = wscript.stdin.readline

objLSNR.Properties.EnableAccountLockout = state
objLSNR.Properties.AccountLockoutThreshold = cint(threshold)
objLSNR.Properties.AccountLockoutResetTime = cint(reset)
objLSNR.Save

wscript.echo " "
wscript.echo "New settings for Weblistener: " &objLSNR.Name
show_weblistener(objLSNR)

end sub

sub enum_weblisteners

counter = 0

set objFPC = CreateObject("FPC.Root")
set objARR = objFPC.GetContainingArray()

wscript.echo "The following weblisteners are configured for FBA:"
wscript.echo "--------------------------------------------------"

for each objLSNR in ObjARR.RuleElements.WebListeners

objFBA = ""
counter = counter + 1

if objLSNR.Properties.AuthenticationSchemes.Count > 0 then

set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1)

end if

if ((objFBA = "FBA with AD") or (objFBA = "FBA with LDAP")) Then

wscript.echo counter & ") " & objLSNR.Name

end if

next

wscript.echo "--------------------------------------------------"
wscript.echo "Please enter the number of the weblistener you want to configure:"
number = wscript.StdIn.ReadLine

set objLSNR = ObjARR.RuleElements.WebListeners.Item(cint(number))

if (objLSNR.Properties.AuthenticationSchemes.Count > 0) then

set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1)

end if

if ((objFBA = "FBA with AD") or (objFBA = "FBA with LDAP")) Then

wscript.echo " "
wscript.echo "Current settings for Weblistener: " &objLSNR.Name

show_weblistener objLSNR
set_weblistener objLSNR

else

wscript.echo "This weblistener is not configured for FBA or has the wrong FBA configuration!"

end if

end sub

'-------------------
' Start of script

enum_weblisteners

'-------------------
' End of script


 

Nachdem Sie das Skript in eine Textdatei kopiert haben, müssen Sie dies auf den Server mit Forefront TMG 2010 übertragen und in einen Ordner, z.B. C:\Temp, abspeichern. Rufen Sie anschließend über Start->Ausführen->cmd eine Eingabeaufforderung auf und wechseln Sie in den Ordner in den Sie das Skript kopiert haben.

Die Syntax für den Aufruf des Skript lautet wie folgt: cscript AccountLogout.vbs



Nach dem Aufruf des Skripts listet dieses alle Weblistener auf, die für FBA mit Authentifizierung gegen das AD oder einen LDAP-Server konfiguriert sind. Wählen Sie in der Auflistung den Weblistener aus den Sie konfigurieren möchten, indem Sie die davorstehende Ziffer eingeben und mit der Enter-Taste bestätigen.



Das Skript zeigt Ihnen zunächst die aktuelle Konfiguration des Weblisteners an und fordert Sie anschließend auf die neue Konfiguration für den Weblistener anzugeben.



Das Skript erfordert folgende Informationen, um den Weblistener für die Account-Logout-Prevention zu konfigurieren:
  • Do you want to enable the lockout prevention: Hierüber können Sie die Funktion der Account-Lockout-Prevention für den Weblistener aktivieren bzw. deaktiveren. Als gültige Antworten sind hier die Werte true für Aktivieren und false für Deaktivieren zulässig.
  • Please enter the lockout threshold: Über diese Einstellung legen Sie die maximale Anzahl an zulässigen Fehlversuche fest, bis die Account-Lockout-Prevention aktiv wird. Hier spielt die vorhin notierte Anzahl an Fehlversuchen aus dem Active Directory eine wichtige Rolle. Dort wurde eine maximale Anzahhl von 5 Fehlversuchen konfiguriert. Die Anzahl der Fehlversuche in Forefront TMG 2010 muss deshalb unterhalb dieses Wertes liegen, damit der Benutzeraccount nicht doch gesperrt wird.
  • Please enter the lockout threshold: Wie lange die Anmeldung für den Benutzeraccount durch Forefront TMG 2010 gesperrt wird legen Sie über diese Einstellung fest. Die Zeitangabe erfolgt in Sekunden.
Nachdem Sie die Angaben zur Konfiguration des Weblisteners eingegeben haben wird die neue Konfiguration für den Weblistener gespeichert und aktiviert. Abschließend bekommen Sie die neuen Einstellungen für den Weblistener in einer Zusammenfassung angezeigt.



Warten Sie noch einen Augenblick bis Forefront TMG 2010 die geänderte Konfiguration vom Konfigurationsspeicherserver gezogen hat und versuchen Sie anschließend von Extern sich an einer über diesen Weblistener veröffentlichten Website mehrmals mit falschen Kennwörtern anzumelden. Sobald Sie den maximalen Wert an Fehlversuchen überschritten haben tritt die Account-Lockout-Prevention von Forefront TMG 2010 SP2 in Kraft und der Benutzeraccount wird nicht im Active Directory gesperrt, sondern die Anmeldung wird durch Forefront TMG 2010 verweigert.



Nach dem Überschreiten des in der Account-Lockout-Prevention konfigurierten Schwellenwerts wird in der Überwachung von Forefront TMG 2010 ein Alarm für das Auftreten des Ereignisses protokolliert.

 

 

Stand: Tuesday, 24. January 2012/CG


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher