Compartir a través de


AD FS y direcciones IP prohibidas

AD FS en Windows Server 2016 sirvió para presentar las direcciones IP prohibidas como parte de la actualización de junio de 2018 de AD FS. Esta actualización permite configurar un conjunto de direcciones IP de forma global en AD FS para que se bloqueen las peticiones procedentes de esas direcciones IP. Las solicitudes que tengan direcciones IP en los encabezados x-forwarded-for o x-ms-forwarded-client-ip también se bloquearán mediante AD FS.

Adición de direcciones IP prohibidas

Para agregar direcciones IP prohibidas a la lista global, use el siguiente cmdlet de PowerShell:

PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Los formatos permitidos son los siguientes:

  • IPv4
  • IPv6
  • Formato CIDR con IPv4 o v6

Hay un límite de 300 entradas para las direcciones IP prohibidas. Puede usar el formato CIDR o de intervalo para denegar un bloque grande de entradas con una sola entrada.

Eliminación de direcciones IP prohibidas

Para quitar direcciones IP prohibidas de la lista global, use el siguiente cmdlet de PowerShell:

PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"

Lectura de direcciones IP prohibidas

Para leer el conjunto actual de direcciones IP prohibidas, use el siguiente cmdlet de PowerShell:

PS C:\ >Get-AdfsProperties

Salida de ejemplo:

BannedIpList                   : {1.2.3.4, ::3,1.2.3.4/16}

Procedimientos recomendados para proteger los Servicios de federación de Active Directory

Set-AdfsProperties

Operaciones de AD FS