Compartir a través de

Introducción al bloqueo de extranet de AD FS y bloqueo inteligente de extranet

El Bloqueo Inteligente de Extranet (ESL) protege a los usuarios de sufrir el bloqueo de su cuenta de extranet debido a actividades malintencionadas.

ESL permite a AD FS diferenciar entre los intentos de inicio de sesión de una ubicación conocida para un usuario e intentos de inicio de sesión de lo que podría ser un atacante. AD FS puede bloquear a los atacantes mientras se permite que los usuarios válidos sigan usando sus cuentas. Esta distinción evita y protege contra la denegación de servicio y ciertas clases de ataques de difusión de contraseñas al usuario. ESL está disponible para AD FS en Windows Server 2016 y está integrado en AD FS en Windows Server 2019.

ESL solo está disponible para solicitudes de autenticación de nombre de usuario y contraseña que pasan por la extranet con el proxy de aplicación web o un proxy de terceros. Cualquier proxy de terceros debe admitir el protocolo MS-ADFSPIP para ser utilizado en lugar del Proxy de Aplicación Web, como el F5 BIG-IP Administrador de políticas de acceso. Consulte la documentación del proxy de terceros para determinar si el proxy admite el protocolo MS-ADFSPIP.

Características de AD FS 2019

El bloqueo inteligente de extranet en AD FS 2019 agrega las siguientes ventajas en comparación con AD FS 2016:

  • Umbrales de bloqueo independientes para ubicaciones conocidas y desconocidas. Los usuarios en ubicaciones confiables pueden tener más margen para el error que las solicitudes desde ubicaciones sospechosas.
  • Modo de auditoría para el bloqueo inteligente mientras sigue aplicando el comportamiento de bloqueo temporal anterior. Esta distinción le permite obtener información sobre las ubicaciones conocidas por el usuario y estar protegidas por la característica de bloqueo de extranet que está disponible en AD FS 2012 R2.

Información de configuración

Cuando se habilita ESL, se crea una nueva tabla en la base de datos Artifact, AdfsArtifactStore.AccountActivity, . También se selecciona un nodo en la granja de AD FS como nodo principal de "Actividad de usuario". En una configuración de Windows Internal Database (WID), este nodo es siempre el nodo principal. En una configuración de SQL, se selecciona un nodo para que sea el nodo principal Actividad de usuario.

Para ver el nodo seleccionado como nodo principal "Actividad de usuario", use (Get-AdfsFarmInformation).FarmRoles.

Todos los nodos secundarios se contactan con el nodo principal en cada nuevo inicio de sesión a través del puerto 80 para obtener el último valor de los recuentos de contraseñas incorrectas y los nuevos valores de ubicación familiar. Los nodos secundarios también actualizan el nodo principal después de procesar el inicio de sesión.

Diagrama que muestra el proceso de inicio de sesión entre los nodos principales, los nodos secundarios y el cliente.

Si el nodo secundario no puede ponerse en contacto con el nodo principal, el nodo secundario escribe eventos de error en el registro de administración de AD FS. Las autenticaciones se siguen procesando, pero AD FS solo escribe el estado actualizado localmente. AD FS vuelve a intentar ponerse en contacto con el nodo principal cada 10 minutos. AD FS vuelve al nodo principal una vez que el nodo principal está disponible.

Terminología

  • FamiliarLocation: durante una solicitud de autenticación, ESL comprueba todos los protocolos de Internet (IP) presentados. Estas direcciones IP serán una combinación de IP de red, IP reenviada y la dirección IP opcional x-forwarded-for. Si la solicitud se realiza correctamente, todas las direcciones IP se agregan a la tabla Actividad de la cuenta como "direcciones IP conocidas". Si la solicitud tiene todas las direcciones IP presentes en las "direcciones IP conocidas", la solicitud se trata como una ubicación "familiar".
  • UnknownLocation: si una solicitud que entra en tiene al menos una dirección IP que no está presente en la lista FamiliarLocation existente, la solicitud se trata como una ubicación "Desconocida". Esta acción gestiona escenarios de proxy, como la autenticación heredada de Exchange Online, donde las direcciones de Exchange Online gestionan tanto las solicitudes exitosas como las fallidas.
  • badPwdCount: valor que representa el número de veces que se envió una contraseña incorrecta y la autenticación no se realizó correctamente. Para cada usuario, se conservan contadores independientes para ubicaciones conocidas y ubicaciones desconocidas.
  • UnknownLockout: valor booleano por usuario si el usuario está bloqueado para acceder desde ubicaciones desconocidas. Este valor se calcula en función de los valores badPwdCountUnfamiliar y ExtranetLockoutThreshold .
  • ExtranetLockoutThreshold: este valor determina el número máximo de intentos de contraseña incorrecta. Cuando se alcanza el umbral, AD FS rechaza las solicitudes de la extranet hasta que se haya superado la ventana de observación.
  • ExtranetObservationWindow: este valor determina la duración de las solicitudes de nombre de usuario y contraseña de ubicaciones desconocidas bloqueadas. Cuando se ha pasado la ventana, AD FS comienza a realizar la autenticación de nombre de usuario y contraseña desde ubicaciones desconocidas de nuevo.
  • ExtranetLockoutRequirePDC: cuando está habilitado, el bloqueo de extranet requiere un controlador de dominio principal (PDC). Cuando está deshabilitado, el bloqueo de extranet recurre a otro controlador de dominio si el PDC no está disponible.
  • ExtranetLockoutMode: controla el modo Solo registro frente al modo Aplicar de ESL.
    • ADFSSmartLockoutLogOnly: ESL está habilitado. AD FS escribe eventos de administrador y auditoría, pero no rechaza las solicitudes de autenticación. Este modo está diseñado para ser habilitado de modo que FamiliarLocation se rellene antes de que se habilite ADFSSmartLockoutEnforce.
    • ADFSSmartLockoutEnforce: compatibilidad completa para bloquear solicitudes de autenticación desconocidas cuando se alcanzan los umbrales.

Se admiten direcciones IPv4 e IPv6.

Anatomía de una transacción

  • Comprobación previa de autenticación: durante una solicitud de autenticación, ESL comprueba todas las direcciones IP presentadas. Estas direcciones IP serán una combinación de IP de red, IP reenviada y la dirección IP opcional x-forwarded-for. En los registros de auditoría, estas direcciones IP se enumeran en el campo <IpAddress> en el orden de x-ms-forwarded-client-ip, x-forwarded-for, x-ms-proxy-client-ip.

    En función de estas direcciones IP, AD FS determina si la solicitud procede de una ubicación conocida y, a continuación, comprueba si el valor de badPwdCount correspondiente es menor que el límite de umbral establecido o si el último intento erróneo ha ocurrido más tiempo que el período de tiempo de la ventana de observación. Si se cumple una de estas condiciones, AD FS permite esta transacción para su posterior procesamiento y validación de credenciales. Si ambas condiciones son falsas, la cuenta ya está en un estado bloqueado hasta que pase la ventana de observación. Una vez que se supera la ventana de observación, el usuario puede intentar autenticarse. En Windows Server 2019, AD FS comprueba el límite de umbral adecuado en función de si la dirección IP coincide con una ubicación conocida.

  • Inicio de sesión correcto: si el inicio de sesión se realiza correctamente, las direcciones IP de la solicitud se agregan a la lista de direcciones IP de ubicación familiar del usuario.

  • Inicio de sesión fallido: si el inicio de sesión falla, se aumenta badPwdCount. El usuario entra en un estado de bloqueo si el atacante envía más contraseñas incorrectas al sistema que el umbral permite. (badPwdCount > ExtranetLockoutThreshold)

Diagrama que muestra el proceso de autenticación exitosa y fallida.

El valor UnknownLockout es True cuando la cuenta está bloqueada. Este bloqueo significa que badPwdCount del usuario supera el umbral. Por ejemplo, alguien intentó más contraseñas de las que permite el sistema. En este estado, hay dos maneras de que un usuario válido pueda iniciar sesión:

  • Espere a que transcurra el tiempo ObservationWindow.
  • Para restablecer el estado de bloqueo, restablezca badPwdCount a cero con Reset-ADFSAccountLockout.

Si no se produce ningún restablecimiento, se permite a la cuenta realizar un solo intento de contraseña contra Active Directory para cada período de observación. Después de ese intento, la cuenta vuelve al estado bloqueado y se reinicia la ventana de observación. El valor badPwdCount solo se restablece automáticamente después de iniciar sesión con contraseña correctamente.

Modo Solo registro frente al modo Aplicar

La tabla AccountActivity se rellena tanto durante el modo solo para registros como durante el modo de aplicación. Si se omite el modo Solo registro y ESL pasa directamente al modo Aplicar sin el período de espera recomendado, AD FS no conocerá las IP conocidas de los usuarios. A continuación, ESL se comporta como ADBadPasswordCounter, lo que podría bloquear el tráfico de usuario legítimo si la cuenta de usuario está bajo un ataque de fuerza bruta activa. Si se omite el modo Solo registro y el usuario entra en un estado de bloqueo donde UnknownLockout es igual a True e intenta iniciar sesión con una contraseña válida desde una dirección IP que no está en la lista de direcciones IP "conocidas", no puede iniciar sesión. El modo de solo registro se recomienda durante 3-7 días para evitar este escenario. Si las cuentas están bajo ataque de manera activa, es necesario un mínimo de 24 horas en modo solo de registro para evitar bloqueos a usuarios legítimos.

Configuración de bloqueo inteligente de extranet

En las secciones siguientes se describen los requisitos previos y las configuraciones para habilitar ESL para AD FS 2016.

Requisitos previos para AD FS 2016

  1. Instale actualizaciones en todos los nodos de la granja de servidores.

    En primer lugar, asegúrese de que todos los servidores de Windows Server 2016 AD FS están actualizados a partir de las actualizaciones de Windows de junio de 2018 y de que la granja de servidores de AD FS 2016 se ejecuta en el nivel de comportamiento de la granja de servidores de 2016.

  2. Compruebe los permisos.

    ESL requiere que la administración remota de Windows esté habilitada en cada servidor de AD FS.

  3. Actualizar los permisos de la base de datos de artefactos.

    ESL requiere que la cuenta de servicio de AD FS tenga permisos para crear una nueva tabla en la base de datos de artefactos de AD FS. Inicie sesión en cualquier servidor de AD FS como administrador de AD FS. Luego, otorgue este permiso en una ventana de PowerShell ejecutando los siguientes comandos:

    PS C:\>$cred = Get-Credential
PS C:\>Update-AdfsArtifactDatabasePermission -Credential $cred

    Nota:

    El marcador de posición $cred es una cuenta que tiene permisos de administrador de AD FS. Esto debe proporcionar los permisos de escritura para crear la tabla.

    Es posible que se produzca un error en los comandos anteriores debido a la falta de permiso suficiente porque la granja de AD FS usa SQL Server y la credencial proporcionada anteriormente no tiene permiso de administrador en el servidor SQL Server. En este caso, puede configurar los permisos de base de datos manualmente en SQL Server Database cuando esté conectado a la base de datos AdfsArtifactStore mediante la ejecución del comando siguiente:

    # when prompted with “Are you sure you want to perform this action?”, enter Y.

[CmdletBinding(SupportsShouldProcess=$true,ConfirmImpact = 'High')]
Param()

$fileLocation = "$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

if (-not [System.IO.File]::Exists($fileLocation))
{
write-error "Unable to open AD FS configuration file."
return
}

$doc = new-object Xml
$doc.Load($fileLocation)
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$connString = $connString -replace "Initial Catalog=AdfsConfigurationV[0-9]*", "Initial Catalog=AdfsArtifactStore"

if ($PSCmdlet.ShouldProcess($connString, "Executing SQL command sp_addrolemember 'db_owner', 'db_genevaservice' "))
{
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cli.Open()

try
{

$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "sp_addrolemember 'db_owner', 'db_genevaservice'"
$cmd.Connection = $cli
$rowsAffected = $cmd.ExecuteNonQuery()
if ( -1 -eq $rowsAffected )
{
write-host "Success"
}
}
finally
{
$cli.CLose()
}
}

Asegúrese de que el registro de auditoría de seguridad de AD FS está habilitado

Esta característica usa los registros de auditoría de seguridad, por lo que la auditoría debe estar habilitada en AD FS y la directiva local en todos los servidores de AD FS.

Instrucciones de configuración

ESL usa la propiedad AD FS ExtranetLockoutEnabled. Esta propiedad se usó anteriormente para controlar el bloqueo temporal de extranet en Server 2012 R2. Si ESL está habilitado y desea ver la configuración de la propiedad actual, ejecute Get-AdfsProperties.

Recomendaciones de configuración

Al configurar ESL, siga los procedimientos recomendados para establecer umbrales:

ExtranetObservationWindow (new-timespan -Minutes 30)

ExtranetLockoutThreshold: Half of AD Threshold Value

AD value: 20, ExtranetLockoutThreshold: 10

El bloqueo de Active Directory funciona independientemente de ESL. Sin embargo, si el bloqueo de Active Directory está habilitado, seleccione ExtranetLockoutThreshold en AD FS y umbral de bloqueo de cuenta en AD.

ExtranetLockoutRequirePDC - $false

Cuando está habilitada, el bloqueo de extranet requiere un controlador de dominio principal (PDC). Cuando se deshabilita y se configura como false, el bloqueo de extranet se reserva en otro controlador de dominio en caso de que el PDC no esté disponible.

Para establecer esta propiedad, ejecute:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (New-TimeSpan -Minutes 30) -ExtranetLockoutRequirePDC $false

Habilitar el modo Log-Only

En el modo Solo registro, AD FS rellena la información de ubicación conocida de un usuario y escribe eventos de auditoría de seguridad, pero no bloquea ninguna solicitud. Este modo se usa para validar que el bloqueo inteligente se está ejecutando y para permitir que AD FS "aprenda" ubicaciones conocidas para los usuarios antes de habilitar el modo Aplicar . A medida que AD FS aprende, almacena la actividad de inicio de sesión por usuario (ya sea en modo Solo registro o en modo Aplicar). Establezca el comportamiento de bloqueo en Solo registro ejecutando el siguiente cmdlet:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

El modo Solo registro está pensado para ser un estado temporal para que el sistema pueda aprender el comportamiento de inicio de sesión antes de introducir la aplicación del bloqueo con el comportamiento de bloqueo inteligente. La duración recomendada para el modo de solo registro es de 3 a 7 días. Si las cuentas están bajo ataque activamente, el modo de solo registro debe ejecutarse durante un mínimo de 24 horas.

En AD FS 2016, si el comportamiento del bloqueo flexible de extranet de 2012 R2 está habilitado antes de habilitar el bloqueo inteligente de extranet, el modo Solo registro deshabilita el comportamiento de bloqueo flexible de extranet. El bloqueo inteligente de AD FS no bloquea a los usuarios en modo de solo registro. Sin embargo, AD local podría bloquear al usuario en función de la configuración de AD. Revise las directivas de bloqueo de AD para obtener información sobre cómo AD local puede bloquear a los usuarios.

En AD FS 2019, otra ventaja es poder habilitar el modo Solo registro para el bloqueo inteligente mientras continúa aplicando el comportamiento de bloqueo temporal anterior mediante el siguiente PowerShell:

Set-AdfsProperties -ExtranetLockoutMode 3

Para que el nuevo modo surta efecto, reinicie el servicio AD FS en todos los nodos de la granja mediante:

Restart-service adfssrv

Una vez configurado el modo, puede habilitar el bloqueo inteligente mediante el parámetro EnableExtranetLockout :

Set-AdfsProperties -EnableExtranetLockout $true

Habilitar el modo aplicar

Después de estar familiarizado con el umbral de bloqueo y la ventana de observación, ESL se puede poner en modo Aplicar mediante el siguiente cmdlet de PSH:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

Para que el nuevo modo surta efecto, reinicie el servicio AD FS en todos los nodos de la granja mediante el comando siguiente.

Restart-service adfssrv

Administración de actividad de la cuenta de usuario

AD FS proporciona tres cmdlets para administrar los datos de actividad de la cuenta. Estos cmdlets se conectan automáticamente al nodo de la granja de servidores que contiene el rol principal.

Nota:

Puede usar Just Enough Administration (JEA) para delegar los commandlets de AD FS para restablecer los bloqueos de cuenta. Por ejemplo, puede delegar permisos al personal del departamento de soporte técnico para usar los commandlets de ESL. Para obtener más información, consulte Delegación del acceso de cmdlet de PowerShell de AD FS a usuarios no administradores.

Puede invalidar este comportamiento pasando el -Server parámetro .

Get-ADFSAccountActivity -UserPrincipalName

El cmdlet se conecta automáticamente al nodo principal de la granja mediante el punto de conexión REST de actividad de la cuenta. Por lo tanto, todos los datos siempre deben ser coherentes. Lea la actividad de la cuenta actual de una cuenta de usuario mediante:

Get-ADFSAccountActivity user@contoso.com

Propiedades:

  • BadPwdCountFamiliar: se incrementa cuando una autenticación no se realiza correctamente desde una ubicación conocida.
  • BadPwdCountUnknown: se incrementa cuando una autenticación no se realiza correctamente desde una ubicación desconocida.
  • LastFailedAuthFamiliar: si la autenticación no se realizó correctamente desde una ubicación conocida, LastFailedAuthFamiliar se establece en la hora de la autenticación incorrecta.
  • LastFailedAuthUnknown: si la autenticación no se realizó correctamente desde una ubicación desconocida, LastFailedAuthUnknown se establece en la hora de la autenticación incorrecta.
  • FamiliarLockout: valor booleano que será True si BadPwdCountFamiliar>ExtranetLockoutThreshold.
  • UnknownLockout: valor booleano que es True si BadPwdCountUnknown>ExtranetLockoutThreshold.
  • FamiliarIPs: máximo de 20 direcciones IP que son familiares para el usuario. Cuando se superan 20 direcciones IP, se quita la dirección IP más antigua de la lista.

Set-ADFSAccountActivity

Set-ADFSAccountActivity agrega nuevas ubicaciones conocidas. La lista de direcciones IP conocidas tiene un máximo de 20 entradas. Si se superan 20 entradas, se quita la dirección IP más antigua de la lista.

Set-ADFSAccountActivity user@contoso.com -AdditionalFamiliarIps “1.2.3.4”

Reset-ADFSAccountLockout

Restablece el contador de bloqueo de una cuenta de usuario para cada ubicación familiar (badPwdCountFamiliar) o contador de ubicación desconocida (badPwdCountUnfamiliar). Al restablecer un contador, el valor FamiliarLockout o UnfamiliarLockout se actualiza, ya que el contador de restablecimiento es menor que el umbral.

Reset-ADFSAccountLockout user@contoso.com -Location Familiar

Reset-ADFSAccountLockout user@contoso.com -Location Unknown

Registro de eventos e información de actividad del usuario para el bloqueo de extranet de AD FS

En las secciones siguientes se describe cómo supervisar el registro de eventos, la actividad de la cuenta de usuario y los bloqueos.

Conectar Salud

La manera recomendada de supervisar la actividad de la cuenta de usuario es a través de Connect Health. Connect Health genera informes descargables sobre direcciones IP de riesgo y intentos de contraseña incorrectos. Cada elemento del informe de direcciones IP de riesgo muestra información agregada sobre las actividades de inicio de sesión de AD FS con errores que superan el umbral designado. Las notificaciones por correo electrónico pueden configurarse para alertar a los administradores con configuraciones de correo electrónico personalizables cuando ocurren actividades fallidas de inicio de sesión de AD FS. Para obtener más información e instrucciones de configuración, consulte Supervisión de AD FS mediante Microsoft Entra Connect Health.

Eventos de bloqueo inteligente de extranet de AD FS

Nota:

Para solucionar problemas de ESL, consulte Mitigación de ataques de difusión de contraseñas y bloqueos de cuenta.

Para que se escriban eventos de bloqueo inteligente de extranet, ESL debe estar habilitado en el modo Solo registro o Aplicar y la auditoría de seguridad de AD FS debe estar habilitada. AD FS escribe eventos de bloqueo de extranet en el registro de auditoría de seguridad cuando:

  • Un usuario está bloqueado, lo que significa que el usuario alcanza el umbral de bloqueo para intentos de inicio de sesión incorrectos.
  • AD FS recibe un intento de inicio de sesión para un usuario que ya está en estado de bloqueo.

Mientras se encuentra en el modo Solo registro, puede comprobar el registro de auditoría de seguridad de los eventos de bloqueo. En el caso de los eventos encontrados, puede comprobar el estado de usuario mediante el Get-ADFSAccountActivity cmdlet para determinar si el bloqueo se produjo desde direcciones IP conocidas o desconocidas. También puede usar el Get-ADFSAccountActivity cmdlet para comprobar la lista de direcciones IP conocidas para ese usuario.

Id. del evento Descripción
1203 Este evento se registra para cada intento de contraseña incorrecta. En cuanto badPwdCount alcanza el valor especificado en ExtranetLockoutThreshold, la cuenta se bloquea en AD FS durante la duración especificada en ExtranetObservationWindow.
Id. de actividad: %1
XML: %2
1210 Este evento se escribe cada vez que un usuario está bloqueado.
Id. de actividad: %1
XML: %2
557 (AD FS 2019) Se ha producido un error al intentar comunicarse con el servicio rest del almacén de cuentas en el nodo %1. Si usa una granja de WID, es posible que el nodo principal esté sin conexión. Si usa una granja de SQL, AD FS selecciona automáticamente un nuevo nodo para hospedar el rol principal del almacén de usuarios.
562 (AD FS 2019) Error al comunicarse con el punto de conexión del almacén de cuentas en el servidor %1.
Mensaje de excepción: %2
563 (AD FS 2019) Error al calcular el estado de bloqueo de extranet. Debido al valor del %1, se permite la configuración de autenticación para este usuario y se sigue emitiendo tokens. Si usa una granja de WID, es posible que el nodo principal esté sin conexión. Si usa una granja de SQL, AD FS selecciona automáticamente un nuevo nodo para hospedar el rol principal del almacén de usuarios.
Nombre del servidor del almacén de cuentas: %2
ID de usuario: %3
Mensaje de excepción: %4
512 La cuenta del siguiente usuario está bloqueada. Se permite un intento de inicio de sesión debido a la configuración del sistema.
Id. de actividad: %1
Usuario: %2
Dirección IP del cliente: %3
Número de contraseñas incorrectas: %4
Último intento de contraseña incorrecta: %5
515 La siguiente cuenta de usuario estaba en estado bloqueado y se proporcionó la contraseña correcta. Esta cuenta podría estar en peligro.
Más datos
Identificador de actividad: %1
Usuario: %2
IP del cliente: %3
516 La siguiente cuenta de usuario se ha bloqueado debido a demasiados intentos de contraseña incorrectos.
Id. de actividad: %1
Usuario: %2
Dirección IP del cliente: %3
Número de contraseñas incorrectas: %4
Último intento de contraseña incorrecta: %5

Preguntas más frecuentes sobre ESL

¿Una granja de AD FS que usa bloqueo inteligente de extranet en modo Aplicar verá los bloqueos de usuarios malintencionados?

Si el bloqueo inteligente de AD FS está establecido en modo de Imponer, nunca verá la cuenta legítima del usuario bloqueada debido a un ataque de fuerza bruta o un ataque de denegación de servicio. La única manera en que un bloqueo de cuenta malintencionado puede impedir que un usuario inicie sesión es si el actor incorrecto tiene la contraseña de usuario o puede enviar solicitudes desde una dirección IP conocida (conocida) para ese usuario.

¿Qué ocurre si ESL está habilitado y el actor incorrecto tiene la contraseña de un usuario?

El objetivo típico del escenario de ataque por fuerza bruta es adivinar una contraseña e iniciar sesión correctamente. Si un usuario es víctima de phishing o si se adivina una contraseña, la función ESL no bloquea el acceso, ya que el inicio de sesión cumple con los criterios correctos de una contraseña correcta más una nueva IP. La dirección IP de los usuarios malintencionados aparecería entonces como una conocida. La mejor mitigación en este escenario es borrar la actividad del usuario en AD FS y requerir la autenticación multifactor para los usuarios. Debe instalar Protección con contraseña de Microsoft Entra para asegurarse de que las contraseñas adivinables no entran en el sistema.

Si mi usuario nunca ha iniciado sesión correctamente desde una dirección IP y, a continuación, intenta con una contraseña incorrecta varias veces, ¿podrá iniciar sesión una vez que finalmente escriba su contraseña correctamente?

Si un usuario envía varias contraseñas incorrectas (por ejemplo, por errores de escritura) y, en el siguiente intento, el usuario inicia sesión correctamente. Este inicio de sesión correcto borra el recuento de contraseñas incorrectas y agrega esa dirección IP a la lista FamiliarIPs . Sin embargo, si superan el límite de intentos fallidos de inicio de sesión desde una ubicación desconocida, entran en estado de bloqueo. A continuación, deben esperar más allá de la ventana de observación e iniciar sesión con una contraseña válida. Pueden requerir la intervención del administrador para restablecer su cuenta.

¿Funciona ESL en la intranet también?

Si los clientes se conectan directamente a los servidores de AD FS y no a través de servidores proxy de aplicación web, no se aplica el comportamiento de ESL.

Veo direcciones IP de Microsoft en el campo IP del cliente. ¿Bloquea ESL los ataques de fuerza bruta con proxy EXO?  

ESL es eficaz para prevenir Exchange Online u otros escenarios de ataque por fuerza bruta de autenticación heredada. Una autenticación heredada tiene un "identificador de actividad" de 00000000-0000-0000-0000-00000000000000. En estos ataques, el actor incorrecto está aprovechando la autenticación básica de Exchange Online (también conocida como autenticación heredada) para que la dirección IP del cliente aparezca como Una de Microsoft. Los servidores de Exchange Online en la nube actúan como proxy para la verificación de autenticación en nombre del cliente de Outlook. En estos escenarios, la dirección IP del remitente malintencionado se encuentra en x-ms-forwarded-client-ip y la dirección IP del servidor de Microsoft Exchange Online se encuentra en el valor x-ms-client-ip. Bloqueo inteligente de extranet comprueba las direcciones IP de red, las direcciones IP reenviadas, x-forwarded-client-IP y el valor x-ms-client-ip. Si la solicitud se realiza correctamente, todas las direcciones IP se agregan a la lista conocida. Si se incluye una solicitud y alguna de las direcciones IP presentadas no está en la lista conocida, la solicitud se marca como desconocida. El usuario conocido puede iniciar sesión correctamente mientras se bloquean las solicitudes desde las ubicaciones desconocidas.

¿Puedo calcular el tamaño de ADFSArtifactStore antes de habilitar ESL?

Con ESL habilitado, AD FS realiza un seguimiento de la actividad de la cuenta y las ubicaciones conocidas de los usuarios de la base de datos ADFSArtifactStore . Esta base de datos se escala en tamaño en relación con el número de usuarios y ubicaciones conocidas a las que se realiza el seguimiento. Al planear la habilitación de ESL, puede calcular el tamaño de la base de datos de ADFSArtifactStore para aumentar a una velocidad de hasta 1 GB por cada 100 000 usuarios. Si la granja de AD FS usa Windows Internal Database (WID), la ubicación predeterminada de los archivos de base de datos es C:\Windows\WID\Data. Para evitar rellenar esta unidad, asegúrese de que tiene un mínimo de 5 GB de almacenamiento libre antes de habilitar ESL. Además del almacenamiento en disco, planea un aumento de la memoria de proceso total después de habilitar ESL de hasta un 1 GB de RAM para los rellenados de usuarios de 500 000 o menos.

Consulte también