Drosselung konfigurieren

Der Specops Password Reset Server verwendet Daten aus Benutzerobjekten im Active Directory, um Informationen zu lesen und zu schreiben, die im System verwendet werden. Sie können steuern, welche Attribute vom System verwendet werden, indem Sie die Registrierung auf dem Specops Password Reset Server ändern.

Sitzungsdaten und Attribute des mobilen Bestätigungscodes

Während des Passwort-Zurücksetzungsprozesses werden die Sitzungsdaten, wie die Sitzungs-ID und der mobile Bestätigungscode, im „specops-spp-pwdReset“-Objekt unterhalb des Benutzerobjekts im Active Directory gespeichert.

Wenn Ihre Organisation nur den Mechanismus des mobilen Bestätigungscodes verwendet, kann die Erstellung des Unterobjekts verhindert werden, indem der Specops Password Reset Server so konfiguriert wird, dass benutzerdefinierte Benutzerattribute anstelle des Unterobjekts zur Speicherung der Sitzungsdaten verwendet werden.

Diese Einstellungen werden in der Registrierung auf dem Specops Password Reset Server gesteuert:

Registrierungsschlüssel	Beschreibung
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] UseCustomAttributesForVerificationCode	Ermöglicht die Verwendung benutzerdefinierter Attribute für Sitzungsdaten. Wenn der Wert auf „1“ gesetzt ist, wird die benutzerdefinierte Attribut-Einstellung aktiviert. Wenn der Wert auf „0“ gesetzt ist, wird das Unterobjekt verwendet, um Sitzungsdaten zu halten. Standardwert: 0
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeSessionId	LDAP-Anzeigename für das beliebige Benutzerzeichenfolgenattribut, das die Sitzungs-ID halten soll. Standardwert: „“
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode	LDAP-Anzeigename für das beliebige Benutzerzeichenfolgenattribut, das den mobilen Bestätigungscode halten soll. Standardwert: „“

Führen Sie den folgenden Befehl aus, um dem SPR-Dienstkonto die Berechtigung zum Lesen und Schreiben der oben gewählten Attribute zu erteilen. Diese müssen in einer Eingabeaufforderung (nicht in einer PowerShell-Eingabeaufforderung) ausgeführt werden:

dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_sessionID_attribute];user

dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_verification_code_attribute];user

Beispiel:

dsacls OU=Example,DC=example,DC=com /I:T /G example\sprsvc:RPWP;carLicense;user

dsacls OU=Example,DC=example,DC=com /I:T /G example\sprsvc:RPWP;assistant;user

Der Specops Password Reset Server-Dienst sollte nach dieser Konfiguration neu gestartet werden.

E-Mail-Adresse und mobile Telefonattribute

Standardmäßig ruft der Specops Password Reset Server die E-Mail-Adresse des Benutzers aus dem „mail“-Attribut ab. Die Mobiltelefonnummer des Benutzers wird aus dem „mobile“-Attribut abgerufen. Sie können die Einstellungen auf andere Attribute im Benutzerobjekt ändern:

Registrierungsschlüssel	Beschreibung
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMail	Ermöglicht die Verwendung eines benutzerdefinierten Attributs für E-Mail-Adressen, wenn es mit einem Wert konfiguriert ist. Der spezifische Wert sollte einem Attribut im Benutzerobjekt entsprechen. Standard: „“
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMobile	Ermöglicht die Verwendung eines benutzerdefinierten Attributs für Mobiltelefonnummern, wenn es mit einem Wert konfiguriert ist. Der spezifische Wert sollte einem Attribut im Benutzerobjekt entsprechen. Standard:„“
HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode	LDAP-Anzeigename für das beliebige Benutzerzeichenfolgenattribut, das den mobilen Bestätigungscode halten soll. Standardwert:„“

Führen Sie den folgenden Befehl aus, um dem SPR-Dienstkonto die Berechtigung zum Lesen und Schreiben der oben gewählten Attribute zu erteilen:

dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_email_attribute];user

dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_mobile_phone_attribute];user

Beispiel:

dsacls OU=Example,DC=example,DC=com /I:S /G example\sprsvc:RPWP;carLicense;user

dsacls OU=Example,DC=example,DC=com /I:S /G example\sprsvc:RPWP;assistant;user

Der Specops Password Reset Server-Dienst sollte nach dieser Konfiguration neu gestartet werden.

Wenn das mobile Attribut geändert wurde, sollte der Passwort-Client so konfiguriert werden, dass das benutzerdefinierte Attribut verwendet wird. Dies wird über die Specops Password Reset ADMX-Vorlage und die Einstellung „Benutzerobjekt benutzerdefiniertes mobiles Attribut“ gesteuert.

Specops Password Reset Server Anrufdrosselung

Um zu verhindern, dass Angreifer systematisch das System nach Benutzernamen abtasten, beschränkt der Specops Password Reset Server-Dienst automatisch die Anzahl der Versuche, die ein Client innerhalb eines bestimmten gleitenden Zeitfensters unternehmen darf, um den Dienst zu nutzen.

Das gleitende Fenster beginnt zu zählen, sobald die erste ungültige Anfrage erkannt wird, und fügt neue Anfragen hinzu, wenn ein neuer ungültiger Versuch erkannt wird. Wenn das gleitende Zeitfenster für eine Anfrage abgelaufen ist, steht die Anfrage zur Nutzung mit dem Dienst zur Verfügung.

Um diese Einstellungen zu ändern, müssen Sie die folgenden Registrierungsschlüssel ändern:

Registrierungsschlüssel	Beschreibung
HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingMaxCalls	Gibt die maximale Anzahl von Anrufen an, die von einem einzelnen Client während des angegebenen gleitenden Zeitfensters erlaubt sind. Wenn die Anzahl überschritten wird, lehnt der Server die Anfrage ab und generiert eine Fehlermeldung. Standardwert: 200
HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingTimeWindowSeconds	Gibt die Größe des gleitenden Fensters in Sekunden an. Standardwert: 300 (5 Minuten)