Общие сведения о блокировке экстрасети AD FS и smart lockout экстрасети Экстрасети

Статья
06/20/2023

Экстрасеть Smart Lockout (ESL) защищает пользователей от блокировки учетной записи экстрасети от вредоносных действий.

ESL позволяет AD FS различать попытки входа из знакомого расположения пользователя и попытки входа от того, что может быть злоумышленником. AD FS может заблокировать злоумышленников, позволяя допустимым пользователям продолжать использовать свои учетные записи. Это различие предотвращает и защищает от атак типа "отказ в обслуживании" и определенных классов атак спреев паролей на пользователя. ESL доступен для AD FS в Windows Server 2016 и встроен в AD FS в Windows Server 2019.

ESL доступен только для запросов проверки подлинности пользователей и паролей, поступающих через экстрасеть с прокси-сервером веб-приложения или сторонним прокси-сервером. Любой сторонний прокси-сервер должен поддерживать протокол MS-ADFSPIP, который будет использоваться вместо прокси веб-приложения, например F5 BIG-IP Access Policy Manager. Обратитесь к документации по прокси-серверу сторонних производителей, чтобы определить, поддерживает ли прокси-протокол MS-ADFSPIP.

Функции в AD FS 2019

Экстрасеть Smart Lockout в AD FS 2019 добавляет следующие преимущества по сравнению с AD FS 2016:

Независимые пороговые значения блокировки для знакомых и незнакомых расположений. Пользователи в известных хороших расположениях могут иметь больше места для ошибки, чем запросы из подозрительных расположений.
Режим аудита для смарт-блокировки, продолжая применять предыдущее поведение обратимой блокировки. Это различие позволяет узнать о знакомых пользователем расположениях и по-прежнему защищаться функцией блокировки экстрасети, доступной в AD FS 2012 R2.

Сведения о конфигурации

При включении ESL создается новая таблица в базе данных AdfsArtifactStore.AccountActivityArtifact. Узел также выбирается в ферме AD FS в качестве основного узла "Активность пользователя". В конфигурации внутренняя база данных Windows (WID) этот узел всегда является основным узлом. В конфигурации SQL один узел выбирается в качестве основного узла действия пользователя.

Чтобы просмотреть узел, выбранный в качестве основного узла "Действие пользователя", используйте (Get-AdfsFarmInformation).FarmRoles.

Все вторичные узлы обращаются к основному узлу на каждом новом входе через порт 80, чтобы узнать последнее значение плохих счетчиков паролей и новые знакомые значения расположения. Вторичные узлы также обновляют первичный узел после обработки входа.

Diagram showing the sign-in process between primary nodes, secondary nodes, and the client.

Если вторичный узел не может связаться с основным узлом, вторичный узел записывает события ошибок в журнал администратора AD FS. Проверки подлинности продолжают обрабатываться, но AD FS записывает только обновленное состояние локально. Ad FS повторно обращается к основному узлу каждые 10 минут. AD FS переключается обратно на основной узел после того, как основной узел будет доступен.

Терминология

FamiliarLocation: во время запроса проверки подлинности ESL проверка все представленные протоколы Интернета (IP-адреса). Эти IP-адреса — это сочетание сетевых IP-адресов, перенаправленных IP-адресов и необязательных X-перенаправленных IP-адресов. Если запрос выполнен успешно, все IP-адреса добавляются в таблицу действий учетной записи как "знакомые IP-адреса". Если запрос содержит все IP-адреса, присутствующих в "знакомых IP-адресах", запрос рассматривается как "знакомое" расположение.
UnknownLocation: Если запрос, в который входит по крайней мере один IP-адрес, отсутствует в существующем списке FamiliarLocation, запрос рассматривается как расположение "Неизвестно". Это действие обрабатывает сценарии прокси-сервера, такие как устаревшая проверка подлинности Exchange Online, где адреса Exchange Online обрабатывают как успешные, так и неудачные запросы.
badPwdCount: значение, представляющее количество отправленных неверных паролей, и проверка подлинности была неудачной. Для каждого пользователя отдельные счетчики хранятся для знакомых расположений и неизвестных расположений.
UnknownLockout: логическое значение для каждого пользователя, если пользователь заблокирован для доступа из неизвестных расположений. Это значение вычисляется на основе значений badPwdCountUnfamiliar и ExtranetLockoutThreshold .
ExtranetLockoutThreshold: это значение определяет максимальное количество неудачных попыток пароля. По достижении порогового значения AD FS отклоняет запросы из экстрасети до тех пор, пока окно наблюдения не пройдет.
ExtranetObservationWindow: это значение определяет длительность блокировки запросов имени пользователя и пароля из неизвестных расположений. Когда окно прошло, AD FS снова начинает выполнять проверку подлинности имени пользователя и пароля из неизвестных расположений.
ExtranetLockoutRequirePDC: при включении блокировки экстрасети требуется основной контроллер домена (PDC). При отключении блокировка экстрасети возвращается к другому контроллеру домена, если PDC недоступен.
ExtranetLockoutMode: управляет режимом только для журнала и режимом ESL.
- ADFSmartLockoutLogOnly: ESL включен. AD FS записывает события администратора и аудита, но не отклоняет запросы проверки подлинности. Этот режим должен быть включен для заполнения FamiliarLocation до включения ADFSSmartLockoutEnforce .
- ADFSmartLockoutEnforce: полная поддержка блокировки незнакомых запросов проверки подлинности при достижении пороговых значений.

Поддерживаются IPv4 и IPv6-адреса.

Анатомия транзакции

Предварительная проверка подлинности: во время запроса проверки подлинности ESL проверка все представленные IP-адреса. Эти IP-адреса — это сочетание сетевых IP-адресов, перенаправленных IP-адресов и необязательных X-перенаправленных IP-адресов. В журналах аудита эти IP-адреса перечислены в поле в <IpAddress> порядке x-ms-forwarded-client-ip, x-forwarded-for, x-ms-proxy-client-ip.

На основе этих IP-адресов AD FS определяет, является ли запрос из знакомого расположения, а затем проверка, если соответствующее значение badPwdCount меньше заданного порогового значения или если последняя неудачная попытка произошла дольше, чем интервал времени наблюдения. Если одно из этих условий имеет значение true, AD FS разрешает эту транзакцию для дальнейшей обработки и проверки учетных данных. Если оба условия являются ложными, учетная запись уже находится в заблокированном состоянии до тех пор, пока окно наблюдения не пройдет. После прохождения окна наблюдения пользователь может выполнить одну попытку проверки подлинности. В Windows Server 2019 AD FS проверка в соответствии с соответствующим пороговым ограничением в зависимости от того, соответствует ли IP-адрес знакомому расположению.
Успешный вход: если имя входа выполнено успешно, ip-адреса из запроса добавляются в список знакомых расположений пользователя.
Сбой входа: если имя входа завершается ошибкой, значение badPwdCount увеличивается. Пользователь переходит в состояние блокировки, если злоумышленник отправляет в систему более плохие пароли, чем пороговое значение. (badPwdCount > ExtranetLockoutThreshold)

Diagram showing the process of successful and unsuccessful authentication.

Значение UnknownLockout равно True, если учетная запись заблокирована. Эта блокировка означает, что значение badPwdCount пользователя превышает пороговое значение. Например, кто-то попытался больше паролей, чем система разрешает. В этом состоянии существует два способа входа допустимого пользователя:

Дождитесь истечения времени ObservationWindow.
Чтобы сбросить состояние блокировки, сбросьте badPwdCount обратно до нуля с помощью Reset-ADFSAccountLockout.

Если сброс не выполняется, учетная запись допускает одну попытку пароля к AD для каждого окна наблюдения. После этой попытки учетная запись возвращается в состояние блокировки, а окно наблюдения перезапускается. Значение badPwdCount сбрасывается автоматически после успешного входа в систему паролей.

Режим только для журнала и режим принудительного применения

Таблица AccountActivity заполняется как в режиме только для журнала, так и в режиме принудительного применения. Если обход режима только для журнала и ESL перемещается непосредственно в режим принудительного применения без рекомендуемого периода ожидания, знакомые IP-адреса пользователей не известны AD FS. Затем ESL ведет себя как ADBadPasswordCounter, потенциально блокируя допустимый трафик пользователя, если учетная запись пользователя находится под активной атакой подбора. Если в режиме только для входа выполняется обход, и пользователь вводит заблокированное состояние, в котором UnknownLockout равно True и пытается войти с хорошим паролем из IP-адреса, который не находится в списке "знакомых" IP-адресов, то он не может войти в систему. Чтобы избежать этого сценария, рекомендуется использовать режим только для журнала в течение 3–7 дней. Если учетные записи активно находятся под атакой, необходимо не менее 24 часов режима только для входа, чтобы предотвратить блокировку для законных пользователей.

Конфигурация smart lockout экстрасети

В следующих разделах описаны предварительные требования и конфигурации для включения ESL для AD FS 2016.

Предварительные требования для AD FS 2016

Установите обновления на всех узлах фермы.

Во-первых, убедитесь, что все серверы AD FS Windows Server 2016 обновлены по состоянию на Обновл. Windows и что ферма AD FS 2016 работает на уровне поведения фермы 2016 года.
Проверка разрешений.

ESL требует, чтобы удаленное управление Windows было включено на каждом сервере AD FS.
Обновите разрешения базы данных артефактов.

ESL требует, чтобы учетная запись службы AD FS была иметь разрешения на создание новой таблицы в базе данных артефактов AD FS. Войдите на любой сервер AD FS в качестве администратора AD FS. Затем предоставьте это разрешение в окне командной строки PowerShell, выполнив следующие команды:
```
PS C:\>$cred = Get-Credential
PS C:\>Update-AdfsArtifactDatabasePermission -Credential $cred
```
Примечание.

Заполнитель $cred — это учетная запись с разрешениями администратора AD FS. Это должно предоставить разрешения на запись для создания таблицы.

Предыдущие команды могут завершиться ошибкой из-за отсутствия достаточного разрешения, так как ферма AD FS использует SQL Server, а учетные данные, предоставленные ранее, не имеют разрешения администратора на сервере SQL Server. В этом случае разрешения базы данных можно настроить вручную в базе данных SQL Server при подключении к базе данных AdfsArtifactStore , выполнив следующую команду:
```
# when prompted with “Are you sure you want to perform this action?”, enter Y.

[CmdletBinding(SupportsShouldProcess=$true,ConfirmImpact = 'High')]
Param()

$fileLocation = "$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

if (-not [System.IO.File]::Exists($fileLocation))
{
write-error "Unable to open AD FS configuration file."
return
}

$doc = new-object Xml
$doc.Load($fileLocation)
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$connString = $connString -replace "Initial Catalog=AdfsConfigurationV[0-9]*", "Initial Catalog=AdfsArtifactStore"

if ($PSCmdlet.ShouldProcess($connString, "Executing SQL command sp_addrolemember 'db_owner', 'db_genevaservice' "))
{
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cli.Open()

try
{

$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "sp_addrolemember 'db_owner', 'db_genevaservice'"
$cmd.Connection = $cli
$rowsAffected = $cmd.ExecuteNonQuery()
if ( -1 -eq $rowsAffected )
{
write-host "Success"
}
}
finally
{
$cli.CLose()
}
}
```

Убедитесь, что включено ведение журнала аудита безопасности AD FS

Эта функция использует журналы аудита безопасности, поэтому аудит должен быть включен в AD FS и локальной политике на всех серверах AD FS.

Инструкции по настройке

ESL использует свойство AD FS ExtranetLockoutEnabled. Это свойство ранее использовалось для управления обратимой блокировкой экстрасети в Server 2012 R2. Если ESL включен, и вы хотите просмотреть текущую конфигурацию свойств, выполните команду Get-AdfsProperties.

Включение режима только для журнала

В режиме только для входа AD FS заполняет знакомую информацию о расположении пользователя и записывает события аудита безопасности, но не блокирует никакие запросы. Этот режим используется для проверки запуска смарт-блокировки и включения ad FS для изучения знакомых расположений для пользователей перед включением режима принудительного применения . Как вы узнаете AD FS, оно сохраняет действие входа на пользователя (будь то в режиме только для входа или в режиме принудительного применения ). Задайте для поведения блокировки значение "Только для входа", выполнив следующий командлет:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

Режим только для входа предназначен для временного состояния, чтобы система училась в режиме входа до внедрения принудительного применения блокировки с поведением интеллектуальной блокировки. Рекомендуемая длительность режима "Только для журнала" составляет 3–7 дней. Если учетные записи активно находятся под атакой, режим "Только журнал" должен выполняться не менее 24 часов.

В AD FS 2016, если 2012 R2 Экстрасеть Обратимая блокировка включена перед включением smart Lockout экстрасети Smart Lockout, режим "Только для входа" отключает поведение обратимой блокировки экстрасети. Ad FS Smart Lockout не блокирует пользователей в режиме только для входа. Однако локальная служба AD может заблокировать пользователя на основе конфигурации AD. Ознакомьтесь с политиками блокировки AD, чтобы узнать, как локальная служба AD может заблокировать пользователей.

В AD FS 2019 еще одно преимущество заключается в том, чтобы включить режим "Только для журналов" для смарт-блокировки, продолжая применять предыдущее поведение обратимой блокировки с помощью следующей команды PowerShell:

Set-AdfsProperties -ExtranetLockoutMode 3

Чтобы новый режим вступил в силу, перезапустите службу AD FS на всех узлах фермы с помощью:

Restart-service adfssrv

После настройки режима можно включить смарт-блокировку с помощью параметра EnableExtranetLockout :

Set-AdfsProperties -EnableExtranetLockout $true

Включение режима принудительного применения

После того как вы комфортно с пороговым значением блокировки и окном наблюдения, ESL можно переместить в режим принудительного применения с помощью следующего командлета PSH:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

Чтобы новый режим вступил в силу, перезапустите службу AD FS на всех узлах фермы с помощью следующей команды.

Restart-service adfssrv

Управление действиями учетной записи пользователя

AD FS предоставляет три командлета для управления данными о действиях учетной записи. Эти командлеты автоматически подключаются к узлу в ферме, содержащей основную роль.

Примечание.

Для делегирования командлетов AD FS для сброса блокировок учетных записей можно использовать JIT-Администратор istration (JEA). Например, вы можете делегировать разрешения сотрудникам службы технической поддержки для использования командлетов ESL. Дополнительные сведения см. в разделе "Делегат ad FS PowerShell" для доступа к неадминистраторным пользователям.

Это поведение можно переопределить, передав -Server параметр.

Get-ADFSAccountActivity -UserPrincipalName

Командлет автоматически подключается к основному узлу фермы с помощью конечной точки REST действия учетной записи. Поэтому все данные всегда должны быть согласованными. Чтение действия текущей учетной записи для учетной записи пользователя с помощью:

Get-ADFSAccountActivity user@contoso.com

Свойства

BadPwdCountFamiliar: увеличивается при неудачной проверке подлинности из известного расположения.
BadPwdCountUnknown: увеличивается при неудачной проверке подлинности из неизвестного расположения.
LastFailedAuthFamiliar: если проверка подлинности была неудачной из знакомого расположения, для LastFailedAuthFamiliar установлено время неудачной проверки подлинности.
LastFailedAuthUnknown: если проверка подлинности была неудачной из неизвестного расположения, LastFailedAuthUnknown установлено время неудачной проверки подлинности.
FamiliarLockout: логическое значение, которое имеет значение True, если BadPwdCountFamiliar> ExtranetLockoutThreshold.
UnknownLockout: логическое значение, равное True , если значение BadPwdCountUnknown>ExtranetLockoutThreshold.
Знакомые IP-адреса: не более 20 IP-адресов, знакомых пользователю. При превышении 20 IP-адресов старый IP-адрес в списке удаляется.

Set-ADFSAccountActivity

Set-ADFSAccountActivity добавляет новые знакомые расположения. Знакомый список IP-адресов содержит не более 20 записей. Если превышено 20 записей, удаляется самый старый IP-адрес в списке.

Set-ADFSAccountActivity user@contoso.com -AdditionalFamiliarIps “1.2.3.4”

Reset-ADFSAccountLockout

Сбрасывает счетчик блокировки для учетной записи пользователя для каждого знакомого расположения (badPwdCountFamiliar) или счетчика "Незнакомое расположение" (badPwdCountUnfamiliar). При сбросе счетчика значение "Знакомоеlockout" или "Незнакомоеlockout" обновляется, так как счетчик сброса меньше порогового значения.

Reset-ADFSAccountLockout user@contoso.com -Location Familiar

Reset-ADFSAccountLockout user@contoso.com -Location Unknown

Ведение журнала событий и сведения о действиях пользователей для блокировки экстрасети AD FS

В следующих разделах описано, как отслеживать ведение журнала событий, действия учетной записи пользователя и блокировки.

Connect Health

Рекомендуемый способ мониторинга активности учетной записи пользователя — Подключение Работоспособности. Подключение Работоспособность создает скачиваемые отчеты о рискованных IP-адресах и неудачных попытках паролей. Каждый элемент в отчете о рискованных IP-адресах отображает агрегированные сведения о неудачных действиях входа AD FS, превышающих указанное пороговое значение. Уведомления электронной почты можно задать для администраторов оповещений с настраиваемыми параметрами электронной почты при сбое входа AD FS. Дополнительные сведения и инструкции по настройке см. в разделе "Мониторинг AD FS" с помощью Microsoft Entra Подключение Health.

События Smart Lockout экстрасети AD FS

Примечание.

Сведения об устранении неполадок с ESL см. в статье "Устранение ошибок с использованием паролей" и блокировки учетных записей.

Для записи событий Smart Lockout экстрасети ESL необходимо включить в режиме "Только для входа" или "Принудительное применение ", а аудит безопасности AD FS должен быть включен. AD FS записывает события блокировки экстрасети в журнал аудита безопасности, когда:

Пользователь заблокирован, то есть пользователь достигает порогового значения блокировки для неудачных попыток входа.
AD FS получает попытку входа для пользователя, который уже находится в состоянии блокировки.

В режиме только для входа можно проверка журнал аудита безопасности для событий блокировки. Для любых событий можно проверка пользовательское состояние с помощью командлетаGet-ADFSAccountActivity, чтобы определить, произошла ли блокировка с знакомых или незнакомых IP-адресов. Можно также использовать Get-ADFSAccountActivity командлет для двойного проверка списка знакомых IP-адресов для этого пользователя.

Идентификатор события	Description
1203	Это событие записывается для каждой неудачной попытки пароля. Как только badPwdCount достигает значения, указанного в ExtranetLockoutThreshold, учетная запись заблокирована в AD FS в течение длительности, указанной в ExtranetObservationWindow. Идентификатор действия: %1 XML: %2
1210	Это событие записывается каждый раз, когда пользователь заблокирован. Идентификатор действия: %1 XML: %2
557 (AD FS 2019)	Произошла ошибка при попытке связаться со службой rest хранилища учетных записей на узле %1. Если используется ферма WID, основной узел может быть автономным. Если вы используете ферму SQL, AD FS автоматически выбирает новый узел для размещения основной роли хранилища пользователей.
562 (AD FS 2019)	Ошибка при взаимодействии с конечной точкой хранилища учетных записей на сервере %1. Сообщение об исключении: %2
563 (AD FS 2019)	Произошла ошибка при вычислении состояния блокировки экстрасети. Из-за значения %1 для этого пользователя разрешена проверка подлинности, а выдача маркеров продолжается. Если используется ферма WID, основной узел может быть автономным. Если вы используете ферму SQL, AD FS автоматически выбирает новый узел для размещения основной роли хранилища пользователей. Имя сервера хранилища учетных записей: идентификатор пользователя %2 : %3 сообщение об исключении: %4
512	Учетная запись для следующего пользователя заблокирована. Попытка входа разрешена из-за конфигурации системы. Идентификатор действия: %1 Пользователь: %2 IP-адрес клиента: %3 Недопустимый счетчик паролей: %4 Последняя неудачная попытка пароля: %5
515	Следующая учетная запись пользователя была заблокирована, и указан правильный пароль. Эта учетная запись может быть скомпрометирована. Дополнительный идентификатор действия данных : %1 пользователь: %2 IP-адрес клиента: %3
516	Следующая учетная запись пользователя заблокирована из-за слишком большого количества неудачных попыток пароля. Идентификатор действия: %1 Пользователь: %2 IP-адрес клиента: %3 Недопустимый счетчик паролей: %4 Последняя неудачная попытка пароля: %5

Часто задаваемые вопросы о ESL

Будет ли ферма AD FS, использующая экстрасети Smart Lockout в режиме принудительного применения, когда-либо увидеть вредоносные блокировки пользователей?

Если для AD FS Smart Lockout установлено значение "Принудительное применение", вы никогда не видите учетную запись законного пользователя, заблокированную методом подбора или отказом в обслуживании. Единственный способ блокировки вредоносных учетных записей может предотвратить вход пользователя в систему, если неверный субъект имеет пароль пользователя или может отправлять запросы с известного (знакомого) IP-адреса для этого пользователя.

Что произойдет, если ESL включен, а у плохого субъекта есть пароль пользователя?

Типичной целью сценария атаки методом подбора является угадывание пароля и успешное вход. Если пользователь фишинген или пароль угадывается, функция ESL не блокирует доступ, так как вход соответствует успешному условию правильного пароля и нового IP-адреса. Затем IP-адрес плохих субъектов будет отображаться как знакомый. Лучший способ устранения рисков в этом сценарии — очистить действие пользователя в AD FS и требовать многофакторную проверку подлинности для пользователей. Необходимо установить защиту паролей Microsoft Entra, чтобы гарантировать, что угадываемые пароли не попадают в систему.

Если мой пользователь никогда не вошел успешно из IP-адреса, а затем пытается с неправильным паролем несколько раз, сможет ли он войти после того, как он, наконец, введите свой пароль правильно?

Если пользователь отправляет несколько неправильных паролей (например, неправильно) и при следующей попытке возвращает правильный пароль, пользователь немедленно войдет в систему. Этот успешный вход очищает число неправильных паролей и добавляет этот IP-адрес в список "Знакомые IP-адреса ". Тем не менее, если они выходят выше порогового значения неудачных входов из неизвестного расположения, они вступают в состояние блокировки. Затем они должны ждать в окне наблюдения и войти с помощью допустимого пароля. Для сброса учетной записи может потребоваться вмешательство администратора.

Работает ли ESL в интрасети?

Если клиенты подключаются непосредственно к серверам AD FS, а не через прокси-серверы веб-приложения, то поведение ESL не применяется.

Я вижу IP-адреса Майкрософт в поле IP-адреса клиента. Блокирует ли атака ESL exO proxied подбора?  

ESL хорошо подходит для предотвращения атак Exchange Online или других устаревших сценариев атак методом подбора подлинности. Устаревшая проверка подлинности имеет идентификатор действия 000000000-0000-0000-0000-0000-000000000000000000. В этих атаках плохой субъект использует базовую проверку подлинности Exchange Online (также называемую устаревшей проверкой подлинности), чтобы IP-адрес клиента отображался как Microsoft One. Серверы Exchange Online в облачном прокси-сервере проверки подлинности от имени клиента Outlook. В этих сценариях IP-адрес вредоносного отправителя находится в ip-адресе x-ms-forwarded-client-ip, а IP-адрес сервера Microsoft Exchange Online находится в значении x-ms-client-ip. Экстрасети Smart Lockout проверка ip-адреса сети, переадресованные IP-адреса, ip-адрес x-forwarded-client-IP и значение x-ms-client-ip. Если запрос выполнен успешно, все IP-адреса добавляются в знакомый список. Если запрос поступает, и любой из представленных IP-адресов не находится в знакомом списке, запрос помечается как незнакомый. Знакомый пользователь может успешно войти, пока запросы из незнакомых расположений блокируются.

Можно ли оценить размер ADFSArtifactStore перед включением ESL?

С включенной функцией ESL AD FS отслеживает действия учетной записи и известные расположения для пользователей в базе данных ADFSArtifactStore . Размер этой базы данных масштабируется относительно числа отслеживаемых пользователей и известных расположений. При планировании включения ESL можно оценить размер базы данных ADFSArtifactStore в размере до 1 ГБ на 100 000 пользователей. Если ферма AD FS использует внутренняя база данных Windows (WID), расположение по умолчанию для файлов базы данных — C:\Windows\WID\Data. Чтобы предотвратить заполнение этого диска, убедитесь, что у вас есть не менее 5 ГБ свободного хранилища перед включением ESL. В дополнение к хранилищу дисков запланируйте увеличение общего объема памяти процесса после включения ESL до 1 ГБ ОЗУ для пользователей в размере 500 000 или меньше.