AD FS e endereços IP proibidos

O AD FS no Windows Server 2016 introduziu IPs proibidos como parte da atualização de junho de 2018 do AD FS. Essa atualização permite que você configure um conjunto de endereços IP globalmente no AD FS para que solicitações provenientes desses endereços IP sejam bloqueadas. As solicitações que têm endereços IP nos cabeçalhos x-forwarded-for ou x-ms-forwarded-client-ip também são bloqueadas pelo AD FS.

Adicionando IPs proibidos

Para adicionar IPs proibidos à lista global, use o cmdlet do PowerShell abaixo:

PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Os formatos permitidos são os seguintes:

  • IPv4
  • IPv6
  • Formato CIDR com IPv4 ou v6

Há um limite de 300 entradas para endereços IP proibidos. Use o CIDR ou formato de intervalo para negar um grande bloco de entradas com uma única entrada.

Removendo IPs proibidos

Para remover IPs proibidos da lista global, use o seguinte cmdlet do PowerShell:

PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"

Como ler IPs proibidos

Para ler o conjunto atual de endereços IP proibidos, use o seguinte cmdlet do PowerShell:

PS C:\ >Get-AdfsProperties

Saída de exemplo:

BannedIpList                   : {1.2.3.4, ::3,1.2.3.4/16}

Práticas recomendadas para proteção dos Serviços de Federação do Active Directory

Set-AdfsProperties

Operações do AD FS