WordPress piratas informáticos de software malicioso y virus

Active Directory de servicio de federación ha recorrido un largo camino desde sus humildes comienzos en Server 2003 con AD FS 1.0. Ahora en la versión 3.0 en Windows Server 2012 R2, Microsoft ha dado grandes pasos para permitir la personalización y la versatilidad del producto. Hay muchas cosas que puede cambiar, y voy a intentar resumir mi lista de cambios recomendados debajo. Esto es de ninguna manera una lista extensa, pero es un buen punto de partida para cualquier nueva implementación.

Habilitar Seguir identificado (KMSI)

Esto permitirá que sus usuarios reciban las cookies que duran más que la sola sesión. He escrito un paso-a-paso.

Habilitar el usuario final de cambio de contraseña

AD FS 3 ha tenido siempre un punto final "Cambiar contraseña" disponible, pero está desactivado por defecto, y menos que instale KB3035025, debe utilizar un dispositivo de trabajo unidos a acceder a esta funcionalidad.

ExtranetLockoutEnabled - hace lo que dice en la caja. Si es verdadero, Extranet de bloqueo está activado. ExtranetLockoutThreshold - el número de intentos fallidos secuenciales para permitir al usuario antes de bloquear a cabo. Tenga en cuenta que cada inicio de sesión de AD FS no es igual a un inicio de sesión de Active Directory fracasado, por lo que tiene sentido tener este valor un valor inferior a su umbral de bloqueo AD. ExtranetObservationWindow - se trata de un objeto TimeSpan que define la duración de AD FS se bloqueará a un usuario para después.

El siguiente comando configurar la protección Extranet de bloqueo para bloquear a un usuario durante 10 minutos después de 15 intentos fallidos:

Set-AdfsProperties -EnableExtranetLockout: $ verdadera -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (New-TimeSpan -Minutes 10)

Prevenir no es de dominio se unió a los equipos que consiguen el símbolo de autenticación básica 401

Este es uno que ni siquiera me di cuenta podría ser fijo hasta que me topé con una solución muy inteligente de la marca Southwell sobre al. Básicamente se introduce un agente de usuario especial para su dominio se unió a las máquinas, a continuación, sólo se emitirá 401s a los navegadores que presentan ese agente de usuario. He utilizado esta configuración en el pasado para permitir WIA para navegadores no-IE, pero esta es una nueva forma de utilizar la funcionalidad. Salida mensaje de Mark para obtener información específica:. Asegúrese de revisar el comentario abajo por Robet Carsey así: esto se parece a una solución aún mejor.

Para prorrogar la vida útil de firma de tokens y certificados de Token-descifre

Una de las tareas que menos le gusta un FS de AD administración tiene que ser la actualización de los certificados. Estos deben ser cronometrado así, y planificado con mucha antelación. Se puede reducir el dolor de esta forma significativa por el aumento de la vida útil de su firma de tokens y certificados en tokens de descifrar. El período de validez predeterminado de estos certs en AD FS es de un año. Yo por lo general a aumentar esta cifra a 5 años. Comprobar su validez actual en primer lugar:

Get-AdfsProperties | Seleccione CertificateDuration

Cambiar a un nuevo valor (5 años, aquí) y luego regenerar los certificados. Tenga en cuenta, este método va a romper las relaciones existentes, por lo que sólo se realice en nuevos servidores o durante una ventana de cambio!

Set-AdfsProperties -Certificateduration 1827

Previous Post     Next Post