Konfiguration der Account-Lockout-Prevention in Forefront TMG 2010 SP2
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft Forefront TMG 2010 SP2
Mit Forefront TMG 2010 SP2 wurde neben der Fehlerbereinigung
durch enthaltene Hotfixe der Funktionsumfang um die Funktionen des
Siteaktivitätsberichts, verbesserte Fehlerseiten und die Unterstützung von
Kerberos-Authentifizierung bei Verwendung von NLB erweitert. Es gibt jedoch eine
weitere versteckte neue Funktion in Forefront TMG 2010 SP2 die nicht direkt über
die Verwaltungskonsole konfiguriert werden kann. Es handelt sich hierbei um die
Account-Lockout-Prevention.
Durch die Account-Lockout-Prevention soll verhindert werden, dass
Benutzeraccounts aus dem Active Directory durch mehrmalige Falscheingabe des
Kennworts gesperrt werden. Dies ist z.B. sinnvoll, wenn Sie Outlook Web Access
über Forefront TMG 2010 veröffentlichen und von Extern versucht wird das
Kennwort durch Probieren herauszufinden. Da solche Angriffe nicht unbedingt
selten vorkommen wäre es äußerst unvorteilhaft, wenn der Benutzer jedes mal
gesperrt wird, wenn ein Angriff auf seinen Account durchgeführt wird, denn das
Entsperren des Accounts kann nur von der IT-Abteilung durchgeführt werden. Ist
in Forefront TMG 2010 die Account-Lockout-Prevention aktiviert, so verhindert
Forefront TMG 2010 das Sperren des Benutzeraccounts dadurch, indem dieser die
Anmeldeversuche für diesen Benutzeraccount für eine gewisse Zeit verhindert,
nachdem eine bestimmte Anzahl an Fehlversuchen überschritten wurde.
Soweit so gut und es ist mit Forefront TMG 2010 SP2 eine wirklich geniale neue
Funktion hinzugekommen. Da man gewöhnlich den Tag nicht vor dem Abend loben
soll, hat die ganze Sache natürlich auch einen kleinen Haken!
Die Account-Lockout-Prevention in Forefront TMG 2010 SP2 beschränkt sich nur auf
Weblistener die als Authentifizierungsmethode die formularbasierte
Authentifizierung gegen das Active Directory oder einen LDAP-Server verwenden
und kann, wie bereits erwähnt, nicht direkt über die Verwaltungskonsole
konfiguriert werden. Der KB-Artikel
2619987
erwähnt über welche Objekte des COM-Objektmodells die Account-Lockout-Prevention
konfiguriert werden kann.
Es sind also Skriptingkenntnisse notwendig, um die Funktion der
Account-Lockout-Prevention zu aktivieren und zu konfigurieren. Mit Hilfe des in
diesem Artikel enthaltenen Skripts können Sie die Account-Lockout-Prevention von
Forefront TMG 2010 SP2 für Weblistener mit FBA aktivieren und konfigurieren. Wie
Sie hierbei vorgehen müssen, wird in folgenden Schritten im Detail erklärt.
1. Überprüfen der Account-Lockout-Funktion im Active Directory
Bevor Sie beginnen die Account-Lockout-Prevention in Forefront TMG 2010 zu konfigurieren müssen Sie den im Active Directory konfigurierten Schwellenwert für die Accountsperrung ermitteln. Im einfachsten Fall wird der Schwellenwert in der Gruppenrlichtlinie Default Domain Policy konfiguriert, dabei gelten die eingestellten Werte für alle Benutzer der Domäne. Seit Windows Server 2008 können aber auch spezielle Kennwortrichtlinien für bestimmte Gruppen angewendet werden. In diesem Fall müssen Sie aus den bestehenden Kennwortrichtlinien den niedrigsten Wert für die Accountsperrung ermitteln. Eine Anleitung zur Konfiguration mehrerer Kennwortrichtlinien finden Sie auf der Website Gruppenrichtlinien.de.Zur Veranschaulichung wird in dieser Anleitung davon ausgegangen, dass die Kennwortrichtlinien über die Gruppenrichtlinie Default Domain Policy konfiguriert wird. Melden Sie sich hierzu an einem Domänencontroller an, öffnen Sie danach die Verwaltungskonsole Gruppenrichtlinienverwaltung und öffnen aus dem Container Gruppenrichtlinienobjekte die Gruppenrichtlinie Default Domain Policy zur Bearbeitung.
Navigieren Sie zunächst in der Default Domain Policy zum Knoten Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien.
Darunter finden Sie die geltenden Einstellungen zur Kontosperrung für die Domänenbenutzer. In diesem Beispiel wird der Benutzeraccount nach 5 Fehlversuchen für 30 Minuten gesperrt. Notieren Sie sich diesen Wert und melden Sie sich danach vom Domaincontroller wieder ab.
2. Aktivierung und Konfiguration der Account-Lockout-Prevention in Forefront TMG 2010 SP2
Mit Hilfe des abgebildeten Skripts können Sie über das COM-Objektmodell die Account-Lockout-Prevention aktivieren und konfigurieren. Dazu müssen Sie zunächst den Code per Copy&Paste in eine neue Textdatei kopieren und diese anschließend unter dem Dateinamen AccountLockout.vbs abspeichern.| sub show_weblistener(objLSNR) set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1) wscript.echo "Authentication method :" & objFBA wscript.echo "Account logout enabled :" & objLSNR.Properties.EnableAccountLockout wscript.echo "Account logout threshold :" & objLSNR.Properties.AccountLockoutThreshold wscript.echo "Account logout reset time :" & objLSNR.Properties.AccountLockoutResetTime wscript.echo " " end sub sub set_weblistener(objLSNR) wscript.echo "Configuring the weblistener...." wscript.echo "" wscript.echo "Do you want to enable the lockout prevention? (true/false): " state = wscript.Stdin.readline wscript.echo "Please enter the lockout threshold:" threshold = wscript.Stdin.readline wscript.echo "Please enter the lockout reset time:" reset = wscript.stdin.readline objLSNR.Properties.EnableAccountLockout = state objLSNR.Properties.AccountLockoutThreshold = cint(threshold) objLSNR.Properties.AccountLockoutResetTime = cint(reset) objLSNR.Save wscript.echo " " wscript.echo "New settings for Weblistener: " &objLSNR.Name show_weblistener(objLSNR) end sub sub enum_weblisteners counter = 0 set objFPC = CreateObject("FPC.Root") set objARR = objFPC.GetContainingArray() wscript.echo "The following weblisteners are configured for FBA:" wscript.echo "--------------------------------------------------" for each objLSNR in ObjARR.RuleElements.WebListeners objFBA = "" counter = counter + 1 if objLSNR.Properties.AuthenticationSchemes.Count > 0 then set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1) end if if ((objFBA = "FBA with AD") or (objFBA = "FBA with LDAP")) Then wscript.echo counter & ") " & objLSNR.Name end if next wscript.echo "--------------------------------------------------" wscript.echo "Please enter the number of the weblistener you want to configure:" number = wscript.StdIn.ReadLine set objLSNR = ObjARR.RuleElements.WebListeners.Item(cint(number)) if (objLSNR.Properties.AuthenticationSchemes.Count > 0) then set objFBA = objLSNR.Properties.AuthenticationSchemes.Item(1) end if if ((objFBA = "FBA with AD") or (objFBA = "FBA with LDAP")) Then wscript.echo " " wscript.echo "Current settings for Weblistener: " &objLSNR.Name show_weblistener objLSNR set_weblistener objLSNR else wscript.echo "This weblistener is not configured for FBA or has the wrong FBA configuration!" end if end sub '------------------- ' Start of script enum_weblisteners '------------------- ' End of script |
Nachdem Sie das Skript in eine Textdatei kopiert haben, müssen Sie dies auf den Server mit Forefront TMG 2010 übertragen und in einen Ordner, z.B. C:\Temp, abspeichern. Rufen Sie anschließend über Start->Ausführen->cmd eine Eingabeaufforderung auf und wechseln Sie in den Ordner in den Sie das Skript kopiert haben.
Die Syntax für den Aufruf des Skript lautet wie folgt: cscript AccountLogout.vbs
Nach dem Aufruf des Skripts listet dieses alle Weblistener auf, die für FBA mit Authentifizierung gegen das AD oder einen LDAP-Server konfiguriert sind. Wählen Sie in der Auflistung den Weblistener aus den Sie konfigurieren möchten, indem Sie die davorstehende Ziffer eingeben und mit der Enter-Taste bestätigen.
Das Skript zeigt Ihnen zunächst die aktuelle Konfiguration des Weblisteners an und fordert Sie anschließend auf die neue Konfiguration für den Weblistener anzugeben.
Das Skript erfordert folgende Informationen, um den Weblistener für die Account-Logout-Prevention zu konfigurieren:
- Do you want to enable the lockout prevention: Hierüber können Sie die Funktion der Account-Lockout-Prevention für den Weblistener aktivieren bzw. deaktiveren. Als gültige Antworten sind hier die Werte true für Aktivieren und false für Deaktivieren zulässig.
- Please enter the lockout threshold: Über diese Einstellung legen Sie die maximale Anzahl an zulässigen Fehlversuche fest, bis die Account-Lockout-Prevention aktiv wird. Hier spielt die vorhin notierte Anzahl an Fehlversuchen aus dem Active Directory eine wichtige Rolle. Dort wurde eine maximale Anzahhl von 5 Fehlversuchen konfiguriert. Die Anzahl der Fehlversuche in Forefront TMG 2010 muss deshalb unterhalb dieses Wertes liegen, damit der Benutzeraccount nicht doch gesperrt wird.
- Please enter the lockout threshold: Wie lange die Anmeldung für den Benutzeraccount durch Forefront TMG 2010 gesperrt wird legen Sie über diese Einstellung fest. Die Zeitangabe erfolgt in Sekunden.
Warten Sie noch einen Augenblick bis Forefront TMG 2010 die geänderte Konfiguration vom Konfigurationsspeicherserver gezogen hat und versuchen Sie anschließend von Extern sich an einer über diesen Weblistener veröffentlichten Website mehrmals mit falschen Kennwörtern anzumelden. Sobald Sie den maximalen Wert an Fehlversuchen überschritten haben tritt die Account-Lockout-Prevention von Forefront TMG 2010 SP2 in Kraft und der Benutzeraccount wird nicht im Active Directory gesperrt, sondern die Anmeldung wird durch Forefront TMG 2010 verweigert.
Nach dem Überschreiten des in der Account-Lockout-Prevention konfigurierten Schwellenwerts wird in der Überwachung von Forefront TMG 2010 ein Alarm für das Auftreten des Ereignisses protokolliert.
Stand: Tuesday, 24. January 2012/CG
