AD FS e endereços IP proibidos
O AD FS no Windows Server 2016 introduziu IPs proibidos como parte da atualização de junho de 2018 do AD FS. Essa atualização permite que você configure um conjunto de endereços IP globalmente no AD FS para que solicitações provenientes desses endereços IP sejam bloqueadas. As solicitações que têm endereços IP nos cabeçalhos x-forwarded-for ou x-ms-forwarded-client-ip também são bloqueadas pelo AD FS.
Adicionando IPs proibidos
Para adicionar IPs proibidos à lista global, use o cmdlet do PowerShell abaixo:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
Os formatos permitidos são os seguintes:
- IPv4
- IPv6
- Formato CIDR com IPv4 ou v6
Há um limite de 300 entradas para endereços IP proibidos. Use o CIDR ou formato de intervalo para negar um grande bloco de entradas com uma única entrada.
Removendo IPs proibidos
Para remover IPs proibidos da lista global, use o seguinte cmdlet do PowerShell:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
Como ler IPs proibidos
Para ler o conjunto atual de endereços IP proibidos, use o seguinte cmdlet do PowerShell:
PS C:\ >Get-AdfsProperties
Saída de exemplo:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}
Links relacionados
Práticas recomendadas para proteção dos Serviços de Federação do Active Directory