Configurar a proteção de bloqueio de extranet do AD FS

No AD FS no Windows Server 2012 R2, introduzimos um recurso de segurança chamado Bloqueio de Extranet. Com esse recurso, o AD FS "interromperá" a autenticação da conta de usuário "mal-intencionada" de fora por um período de tempo. Isso impede que suas contas de usuário sejam bloqueadas no Active Directory. Além de proteger seus usuários contra um bloqueio de conta do AD, o bloqueio de extranet do AD FS também protege contra ataques de adivinhação de senha de força bruta.

Observação

Esse recurso só funciona para o cenário de extranet em que as solicitações de autenticação vêm por meio do Proxy de Aplicativo Web e só se aplica à autenticação de nome de usuário e senha.

Vantagens do bloqueio de extranet

O bloqueio de extranet oferece as seguintes vantagens principais:

• Ele protege suas contas de usuário contra ataques de força bruta em que um invasor tenta adivinhar a senha de um usuário enviando continuamente solicitações de autenticação. Nesse caso, o AD FS bloqueará a conta de usuário mal-intencionada para acesso à extranet
• Ele protege suas contas de usuário contra bloqueio de conta mal-intencionado em que um invasor deseja bloquear uma conta de usuário enviando solicitações de autenticação com senhas erradas. Nesse caso, embora a conta de usuário seja bloqueada pelo AD FS para acesso à extranet, a conta de usuário real no AD não é bloqueada e o usuário ainda pode acessar recursos corporativos dentro da organização. Isso é conhecido como bloqueio suave.

Como funciona

Há três configurações no AD FS que você precisa definir para habilitar esse recurso:

• EnableExtranetLockout <Booleano> defina esse valor booleano como True se você quiser habilitar o Bloqueio de Extranet.
• ExtranetLockoutThreshold <Inteiro> : define o número máximo de tentativas de senha incorreta. Depois que o limite for atingido, o AD FS rejeitará imediatamente as solicitações da extranet sem tentar entrar em contato com o controlador de domínio para autenticação, independentemente de a senha ser boa ou ruim, até que a janela de observação da extranet seja passada. Isso significa que o valor do atributo badPwdCount de uma conta do AD não aumentará enquanto a conta estiver bloqueada de forma flexível.
• ExtranetObservationWindow <TimeSpan> : determina por quanto tempo a conta de usuário será bloqueada de forma flexível. O AD FS começará a executar a autenticação de nome de usuário e senha novamente quando a janela for passada. O AD FS usa o atributo do AD badPasswordTime como referência para determinar se a janela de observação da extranet foi aprovada ou não. A janela passou se a hora > atual badPasswordTime + ExtranetObservationWindow.

Observação

O bloqueio de extranet do AD FS funciona independentemente das políticas de bloqueio do AD. No entanto, é altamente recomendável que você defina o valor do parâmetro ExtranetLockoutThreshold como um valor menor que o limite de bloqueio da conta do AD. Não fazer isso resultaria na impossibilidade de o AD FS proteger as contas de serem bloqueadas no Active Directory.

Um exemplo de ativação do recurso de bloqueio de extranet com no máximo 15 tentativas de senha incorreta e 30 minutos de duração de bloqueio suave é o seguinte:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30)

Essas configurações serão aplicadas a todos os domínios que o serviço AD FS pode autenticar. A maneira como ele funciona é que, quando o AD FS recebe uma solicitação de autenticação, ele acessa o PDC (Controlador de Domínio Primário) por meio de uma chamada LDAP e executa uma pesquisa para o atributo badPwdCount para o usuário no PDC. Se o AD FS encontrar o valor da configuração badPwdCount>= ExtranetLockoutThreshold e o tempo definido na Janela de Observação da Extranet ainda não tiver passado, o AD FS rejeitará a solicitação imediatamente, o que significa que não importa se o usuário inserir uma senha boa ou incorreta da extranet, o logon falhará porque o AD FS não envia as credenciais para o AD. O AD FS não mantém nenhum estado em relação a badPwdCount ou contas de usuário bloqueadas. O AD FS usa o AD para todo o acompanhamento de estado.

Aviso

Quando o bloqueio de extranet do AD FS no Server 2012 R2 está habilitado, todas as solicitações de autenticação por meio do WAP são validadas pelo AD FS no PDC. Quando o PDC não estiver disponível, os usuários não poderão se autenticar na extranet.

O Server 2016 oferece um parâmetro adicional que permite que o AD FS faça fallback para outro controlador de domínio quando o PDC não estiver disponível:

• ExtranetLockoutRequirePDC <Booleano> - Quando habilitado: o bloqueio de extranet requer um controlador de domínio primário (PDC). Quando desabilitado: o bloqueio de extranet fará fallback para outro controlador de domínio caso o PDC não esteja disponível.

Você pode usar o seguinte comando do Windows PowerShell para configurar o bloqueio de extranet do AD FS no Server 2016:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30) -ExtranetLockoutRequirePDC $false

Trabalhando com a política de bloqueio do Active Directory

O recurso de Bloqueio de Extranet no AD FS funciona independentemente da política de bloqueio do AD. No entanto, você precisa garantir que as configurações do Bloqueio de Extranet estejam configuradas corretamente para que ele possa atender à sua finalidade de segurança com a política de bloqueio do AD.

Vamos dar uma olhada na política de bloqueio do AD primeiro. Há três configurações relacionadas à política de bloqueio no AD:

• Limite de Bloqueio de Conta: essa configuração é semelhante à configuração ExtranetLockoutThreshold no AD FS. Ele determina o número de tentativas de logon com falha que farão com que uma conta de usuário seja bloqueada. Para proteger suas contas de usuário contra um ataque de bloqueio de conta mal-intencionado, você deseja definir o valor de ExtranetLockoutThreshold no AD FS < como o valor do Limite de Bloqueio de Conta no AD
• Duração do bloqueio da conta: essa configuração determina por quanto tempo uma conta de usuário fica bloqueada. Essa configuração não importa muito nesta conversa, pois o bloqueio de extranet sempre deve acontecer antes que o bloqueio do AD aconteça, se configurado corretamente
• Redefinir contador de bloqueio de conta após: essa configuração determina quanto tempo deve decorrer desde a última falha de logon do usuário antes que badPwdCount seja redefinido como 0. Para que o recurso Bloqueio de Extranet no AD FS funcione bem com a política de bloqueio do AD, você deseja verificar se o valor de ExtranetObservationWindow no AD FS > é o valor Redefinir Contador de Bloqueio de Conta Após no AD. Os exemplos abaixo explicarão o porquê.

Vamos dar uma olhada em dois exemplos e ver como badPwdCount muda ao longo do tempo com base em diferentes configurações e estados. Vamos supor que, em ambos os exemplos, Limite de Bloqueio de Conta = 4 e ExtranetLockoutThreshold = 2. A seta vermelha representa uma tentativa de senha incorreta, a seta verde representa uma boa tentativa de senha. No exemplo #1, ExtranetObservationWindow>Redefinir Contador de Bloqueio de Conta Após. No exemplo #2, ExtranetObservationWindow<Redefine o contador de bloqueio de conta após.

Exemplo 1

Exemplo 2

Como você pode ver acima, há duas condições quando badPwdCount será redefinido como 0. Uma é quando há um logon bem-sucedido. A outra é quando é hora de redefinir esse contador, conforme definido na configuração Redefinir contador de bloqueio de conta após . Ao redefinir o contador de bloqueio de conta após<ExtranetObservationWindow, uma conta não corre o risco de ser bloqueada pelo AD. No entanto, se redefinir o contador de bloqueio de conta após>ExtranetObservationWindow, há uma chance de que uma conta possa ser bloqueada pelo AD, mas de "forma atrasada". Pode demorar um pouco para que uma conta seja bloqueada pelo AD, dependendo da sua configuração, pois o AD FS permitirá apenas uma tentativa de senha incorreta durante sua janela de observação até que badPwdCount atinja o Limite de Bloqueio de Conta.

Para obter mais informações, consulte Configurando o bloqueio de conta.

Problemas conhecidos

Há um problema conhecido em que a conta de usuário do AD não pode ser autenticada com o AD FS porque o atributo badPwdCount não é replicado para o controlador de domínio que o ADFS está consultando. Consulte 2971171 para obter mais detalhes. Você pode encontrar todos os QFEs do AD FS que foram lançados até agora aqui.

Pontos principais a serem lembrados

• O recurso de Bloqueio de Extranet só funciona para o cenário de extranet em que as solicitações de autenticação vêm por meio do Proxy de Aplicativo Web
• O recurso de bloqueio de extranet se aplica apenas à autenticação de nome de usuário e senha
• O AD FS não mantém nenhum controle de badPwdCount ou usuários bloqueados por software. O AD FS usa o AD para todo o acompanhamento de estado
• O AD FS executa uma pesquisa para o atributo badPwdCount por meio da chamada LDAP para o usuário no PDC para cada tentativa de autenticação
• O AD FS anterior a 2016 falhará se não puder acessar o PDC. O AD FS 2016 introduziu melhorias que permitirão que o AD FS faça fallback para outros controladores de domínio caso o PDC não esteja disponível.
• O AD FS permitirá solicitações de autenticação da extranet se badPwdCount < ExtranetLockoutThreshold
• Se badPwdCount>= ExtranetLockoutThreshold E badPasswordTime + ExtranetObservationWindow< Hora atual, o AD FS rejeitará solicitações de autenticação da extranet
• Para evitar o bloqueio de conta mal-intencionado, verifique se oLimite de Bloqueio de ContaExtranetLockoutThreshold< E oContador de Bloqueio de Conta de Redefinição de ExtranetObservationWindow>

Links relacionados

• Práticas recomendadas para proteção dos Serviços de Federação do Active Directory
• Delegar acesso do Powershell Commandlet do AD FS para usuários não administradores
• Propriedades do conjunto
• Operações do AD FS