Configurar limitación
El servidor de Specops Password Reset utiliza datos de objetos de usuario en Active Directory para leer y escribir información utilizada en el sistema. Puedes controlar qué atributos son utilizados por el sistema modificando el registro en el servidor de Specops Password Reset.
Datos de sesión y atributos del código de verificación móvil
Durante el proceso de restablecimiento de contraseña, los datos de la sesión, como el ID de sesión y el código de verificación móvil, se almacenan en el objeto “specops-spp-pwdReset” debajo del objeto de usuario en Active Directory.
Si tu organización solo utiliza el mecanismo de código de verificación móvil, se puede evitar la creación del subobjeto configurando el servidor de Specops Password Reset para usar atributos de usuario personalizados en lugar del subobjeto al almacenar los datos de la sesión.
Estos ajustes se controlan en el registro en el servidor de Specops Password Reset:
| Clave de registro | Descripción |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] UseCustomAttributesForVerificationCode |
Habilita el uso de atributos personalizados para los datos de la sesión. Si el valor se establece en “1”, se habilitará la configuración de atributo personalizado. Si el valor se establece en “0”, se utilizará el subobjeto para mantener los datos de la sesión. Valor predeterminado: 0 |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeSessionId |
Nombre para mostrar LDAP para el atributo de cadena de usuario arbitrario que deseas usar para mantener el ID de sesión. Valor predeterminado: “” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode |
Nombre para mostrar LDAP para el atributo de cadena de usuario arbitrario que deseas usar para mantener el código de verificación móvil. Valor predeterminado: “” |
Ejecuta el siguiente comando para otorgar al SPR cuenta de servicio permiso para leer y escribir los atributos elegidos anteriormente. Estos deben ejecutarse en un símbolo del sistema (no en un símbolo del sistema de PowerShell):
dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_sessionID_attribute];user
dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_verification_code_attribute];user
Ejemplo:
El servicio del servidor de Specops Password Reset debe reiniciarse después de que esta configuración se haya aplicado.
Atributos de dirección de correo electrónico y teléfono móvil
Por defecto, el servidor de Specops Password Reset recupera la dirección de correo electrónico del usuario del atributo “mail”. El número de teléfono móvil del usuario se recupera del atributo “mobile”. Puedes cambiar la configuración a otros atributos en el objeto de usuario:
| Clave de registro | Descripción |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMail |
Habilita el uso de un atributo personalizado para los datos de dirección de correo electrónico si se configura con un valor. El valor específico debe coincidir con un atributo en el objeto de usuario. Predeterminado: “” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMobile |
Habilita el uso de un atributo personalizado para el número de teléfono móvil si se configura con un valor. El valor específico debe coincidir con un atributo en el objeto de usuario. Predeterminado:”” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode |
Nombre para mostrar LDAP para el atributo de cadena de usuario arbitrario que deseas usar para mantener el código de verificación móvil. Valor predeterminado:”” |
Ejecuta el siguiente comando para otorgar al SPR cuenta de servicio permiso para leer y escribir los atributos elegidos anteriormente:
dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_email_attribute];user
dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_mobile_phone_attribute];user
Ejemplo:
El servicio del servidor de Specops Password Reset debe reiniciarse después de que esta configuración se haya aplicado.
Si el atributo móvil ha sido cambiado, el cliente de contraseña debe configurarse para usar el atributo personalizado. Esto se controla a través de la plantilla ADMX de Specops Password Reset y la configuración de “Atributo móvil personalizado del objeto de usuario”.
Limitación de llamadas del servidor de Specops Password Reset
Para evitar que los atacantes exploren sistemáticamente el sistema en busca de nombres de usuario, el servicio del servidor de Specops Password Reset restringe automáticamente el número de intentos que un cliente puede hacer para usar el servicio dentro de una ventana de tiempo deslizante especificada.
La ventana deslizante comienza a contar tan pronto como se detecta la primera solicitud no válida y agrega nuevas solicitudes cuando se detecta un nuevo intento no válido. Cuando la ventana de tiempo deslizante para una solicitud ha transcurrido, la solicitud estará disponible para su uso con el servicio.
Para cambiar estos ajustes, necesitarás modificar las siguientes claves de registro:
| Clave de registro | Descripción |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingMaxCalls |
Especifica el número máximo de llamadas permitidas desde un solo cliente durante la ventana de tiempo deslizante especificada. Cuando se excede el número, el servidor negará la solicitud y generará un mensaje de error. Valor predeterminado: 200 |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingTimeWindowSeconds |
Especifica el tamaño de la ventana deslizante medida en segundos. Valor predeterminado: 300 (5 minutos) |