Configurer la limitation
Le serveur Specops Password Reset utilise les données des objets utilisateur dans Active Directory pour lire et écrire les informations utilisées dans le système. Vous pouvez contrôler quels attributs sont utilisés par le système en modifiant le registre sur le serveur Specops Password Reset.
Données de session et attributs du code de vérification mobile
Pendant le processus de réinitialisation du mot de passe, les données de session, telles que l'ID de session et le code de vérification mobile, sont stockées dans l'objet “specops-spp-pwdReset” sous l'objet utilisateur dans Active Directory.
Si votre organisation utilise uniquement le mécanisme de code de vérification mobile, la création du sous-objet peut être évitée en configurant le serveur Specops Password Reset pour utiliser des attributs utilisateur personnalisés au lieu du sous-objet lors du stockage des données de session.
Ces paramètres sont contrôlés dans le registre sur le serveur Specops Password Reset:
| Clé de registre | Description |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] UseCustomAttributesForVerificationCode |
Active l'utilisation d'attributs personnalisés pour les données de session. Si la valeur est définie sur “1”, le paramètre d'attribut personnalisé sera activé. Si la valeur est définie sur “0”, le sous-objet sera utilisé pour contenir les données de session. Valeur par défaut: 0 |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeSessionId |
Nom d'affichage LDAP pour l'attribut de chaîne utilisateur arbitraire que vous souhaitez utiliser pour contenir l'ID de session. Valeur par défaut: “” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode |
Nom d'affichage LDAP pour l'attribut de chaîne utilisateur arbitraire que vous souhaitez utiliser pour contenir le code de vérification mobile. Valeur par défaut: “” |
Exécutez la commande suivante pour accorder au compte de service SPR la permission de lire et d'écrire les attributs choisis ci-dessus. Ceux-ci doivent être exécutés dans une invite de commande (pas une invite PowerShell):
dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_sessionID_attribute];user
dsacls [DN_of_your_scope_of_management] /I:T /G [spr_service_account]:RPWP;[your_selected_verification_code_attribute];user
Exemple:
Le service du serveur Specops Password Reset doit être redémarré après que cette configuration a été appliquée.
Attributs de l'adresse e-mail et du téléphone mobile
Par défaut, le serveur Specops Password Reset récupère l'adresse e-mail de l'utilisateur à partir de l'attribut “mail”. Le numéro de téléphone mobile de l'utilisateur est récupéré à partir de l'attribut “mobile”. Vous pouvez changer les paramètres pour d'autres attributs sur l'objet utilisateur:
| Clé de registre | Description |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMail |
Active l'utilisation d'un attribut personnalisé pour les données d'adresse e-mail si configuré avec une valeur. La valeur spécifique doit correspondre à un attribut sur l'objet utilisateur. Valeur par défaut: “” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeMobile |
Active l'utilisation d'un attribut personnalisé pour le numéro de téléphone mobile si configuré avec une valeur. La valeur spécifique doit correspondre à un attribut sur l'objet utilisateur. Valeur par défaut: “” |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Domains\ [domain_name] CustomAttributeVerificationCode |
Nom d'affichage LDAP pour l'attribut de chaîne utilisateur arbitraire que vous souhaitez utiliser pour contenir le code de vérification mobile. Valeur par défaut: “” |
Exécutez la commande suivante pour accorder au compte de service SPR la permission de lire et d'écrire les attributs choisis ci-dessus:
dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_email_attribute];user
dsacls [DN_of_your_scope_of_management] /I:S /G [spr_service_account]:RPWP;[your_selected_mobile_phone_attribute];user
Exemple:
Le service du serveur Specops Password Reset doit être redémarré après que cette configuration a été appliquée.
Si l'attribut mobile a été modifié, le client de mot de passe doit être configuré pour utiliser l'attribut personnalisé. Cela est contrôlé via le modèle ADMX de Specops Password Reset et le paramètre “Attribut mobile personnalisé de l'objet utilisateur”.
Limitation des appels du serveur Specops Password Reset
Pour empêcher les attaquants de sonder systématiquement le système pour des noms d'utilisateur, le service du serveur Specops Password Reset restreint automatiquement le nombre de tentatives qu'un client peut faire pour utiliser le service dans une fenêtre de temps glissante spécifiée.
La fenêtre glissante commence à compter dès qu'une première demande invalide est détectée et ajoute de nouvelles demandes lorsqu'une nouvelle tentative invalide est détectée. Lorsque la fenêtre de temps glissante pour une demande a expiré, la demande sera disponible pour être utilisée avec le service.
Pour modifier ces paramètres, vous devrez modifier les clés de registre suivantes:
| Clé de registre | Description |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingMaxCalls |
Spécifie le nombre maximum d'appels autorisés à partir d'un seul client pendant la fenêtre de temps glissante spécifiée. Lorsque le nombre est dépassé, le serveur refusera la demande et générera un message d'erreur. Valeur par défaut: 200 |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ CallThrottlingTimeWindowSeconds |
Spécifie la taille de la fenêtre glissante mesurée en secondes. Valeur par défaut: 300 (5 minutes) |