Panoramica di AD FS: blocco dell'accesso extranet e blocco intelligente dell'extranet

Extranet Smart Lockout (ESL) protegge gli utenti dal blocco di account Extranet da attività dannose.

ESL consente ad AD FS di distinguere i tentativi di accesso da una posizione familiare per un utente e i tentativi di accesso da ciò che potrebbe essere un utente malintenzionato. AD FS può bloccare gli utenti malintenzionati consentendo agli utenti validi di continuare a usare i propri account. Questa distinzione impedisce e protegge da attacchi DoS e determinate classi di attacco di password spray contro l'utente. ESL è disponibile per AD FS in Windows Server 2016 ed è integrato in AD FS in Windows Server 2019.

ESL è disponibile solo per le richieste di autenticazione con nome utente e password fornite tramite extranet con il proxy applicazione Web o un proxy di terze parti. Qualsiasi proxy di terze parti deve supportare il protocollo MS-ADFSPIP da usare al posto del proxy applicazione Web, ad esempio F5 BIG-IP Access Policy Manager. Consultare la documentazione del proxy di terze parti per determinare se il proxy supporta il protocollo MS-ADFSPIP.

Funzionalità di AD FS 2019

Il blocco intelligente Extranet in AD FS 2019 offre i vantaggi seguenti rispetto ad AD FS 2016:

• Soglie di blocco indipendenti per posizioni familiari e sconosciute. Gli utenti in posizioni valide note possono avere più spazio per gli errori rispetto alle richieste provenienti da posizioni sospette.
• Modalità di controllo per il blocco intelligente, continuando a applicare il comportamento di blocco leggero precedente. Questa distinzione consente di conoscere le posizioni familiari degli utenti e di essere comunque protetti dalla funzionalità di blocco extranet disponibile da AD FS 2012 R2.

Informazioni di configurazione

Quando ESL è abilitato, viene creata una nuova tabella nel database Artifact. AdfsArtifactStore.AccountActivity Un nodo viene selezionato anche nella farm AD FS come nodo primario "Attività utente". In una configurazione del database interno di Windows (WID), questo nodo è sempre il nodo primario. In una configurazione SQL viene selezionato un nodo come nodo primario dell'attività utente.

Per visualizzare il nodo selezionato come nodo primario "Attività utente", usare (Get-AdfsFarmInformation).FarmRoles.

Tutti i nodi secondari contattano il nodo primario in ogni nuovo accesso tramite la porta 80 per apprendere il valore più recente dei conteggi delle password non validi e i nuovi valori di posizione familiari. I nodi secondari aggiornano anche il nodo primario dopo l'elaborazione dell'accesso.

Se il nodo secondario non riesce a contattare il nodo primario, il nodo secondario scrive gli eventi di errore nel log di amministrazione di AD FS. Le autenticazioni continuano a essere elaborate, ma AD FS scrive solo lo stato aggiornato in locale. AD FS riprova a contattare il nodo primario ogni 10 minuti. AD FS torna al nodo primario dopo che il nodo primario è disponibile.

Terminology

• FamiliarLocation: durante una richiesta di autenticazione, ESL controlla tutti gli indirizzi IP (Internet Protocols) presentati. Questi indirizzi IP sono una combinazione di IP di rete, IP inoltrato e indirizzo IP facoltativo x-forwarded-for IP. Se la richiesta ha esito positivo, tutti gli INDIRIZZI IP vengono aggiunti alla tabella Attività account come "indirizzi IP familiari". Se la richiesta include tutti gli INDIRIZZI IP presenti negli indirizzi IP familiari, la richiesta viene considerata come una posizione "familiare".
• UnknownLocation: se una richiesta che arriva ha almeno un INDIRIZZO IP non presente nell'elenco FamiliarLocation esistente, la richiesta viene considerata come una posizione "Sconosciuta". Questa azione gestisce scenari di proxy, ad esempio l'autenticazione legacy di Exchange Online, in cui gli indirizzi di Exchange Online gestiscono le richieste riuscite e non riuscite.
• badPwdCount: valore che rappresenta il numero di volte in cui è stata inviata una password non corretta e l'autenticazione non è riuscita. Per ogni utente, i contatori separati vengono mantenuti per posizioni familiari e posizioni sconosciute.
• UnknownLockout: valore booleano per utente se l'utente è bloccato dall'accesso da posizioni sconosciute. Questo valore viene calcolato in base ai valori badPwdCountUnfamiliar e ExtranetLockoutThreshold .
• ExtranetLockoutThreshold: questo valore determina il numero massimo di tentativi di password non valido. Quando viene raggiunta la soglia, AD FS rifiuta le richieste dalla extranet fino al superamento della finestra di osservazione.
• ExtranetObservationWindow: questo valore determina la durata di blocco delle richieste di nome utente e password da posizioni sconosciute. Quando la finestra è passata, AD FS inizia a eseguire nuovamente l'autenticazione di nome utente e password da posizioni sconosciute.
• ExtranetLockoutRequirePDC: se abilitato, il blocco extranet richiede un controller di dominio primario (PDC). Quando disabilitato, il blocco extranet passa a un altro controllore di dominio nel caso in cui il PDC non sia disponibile.
• ExtranetLockoutMode: controlla la modalità di sola registrazione rispetto alla modalità applicata di ESL.
  • ADFSSmartLockoutLogOnly: ESL è abilitato. AD FS scrive eventi di amministrazione e controllo, ma non rifiuta le richieste di autenticazione. Questa modalità deve essere abilitata per il popolamento di FamiliarLocation prima dell'abilitazione di ADFSSmartLockoutEnforce .
  • ADFSSmartLockoutEnforce: supporto completo per bloccare le richieste di autenticazione non note quando vengono raggiunte le soglie.

Sono supportati gli indirizzi IPv4 e IPv6.

Anatomia di una transazione

• Controllo preautenticazione: durante una richiesta di autenticazione, ESL controlla tutti gli INDIRIZZI IP presentati. Questi indirizzi IP sono una combinazione di IP di rete, IP inoltrato e indirizzo IP facoltativo x-forwarded-for IP. Nei log di controllo questi indirizzi IP sono elencati nel <IpAddress> campo nell'ordine di x-ms-forwarded-client-ip, x-forwarded-for, x-ms-proxy-client-ip.

  In base a questi indirizzi IP, AD FS determina se la richiesta proviene da una posizione familiare e quindi controlla se il rispettivo badPwdCount è inferiore al limite di soglia impostato o se l'ultimo tentativo non riuscito si è verificato più a lungo dell'intervallo di tempo dell'intervallo di osservazione. Se una di queste condizioni è vera, AD FS consente a questa transazione di eseguire ulteriori operazioni di elaborazione e convalida delle credenziali. Se entrambe le condizioni sono false, l'account è già in stato bloccato fino al passaggio della finestra di osservazione. Al termine della finestra di osservazione, all'utente è consentito un tentativo di autenticazione. In Windows Server 2019, AD FS controlla il limite di soglia appropriato in base a se l'indirizzo IP corrisponde a una posizione familiare.

• Accesso riuscito: se l'account di accesso ha esito positivo, gli indirizzi IP della richiesta vengono aggiunti all'elenco di indirizzi IP familiari dell'utente.

• Accesso non riuscito: se l'account di accesso non riesce, viene aumentato badPwdCount . L'utente entra in uno stato di blocco se l'attaccante invia al sistema più password errate rispetto alla soglia consentita. (badPwdCount > ExtranetLockoutThreshold)

Il valore UnknownLockout è uguale a True quando l'account è bloccato. Questo blocco indica che badPwdCount dell'utente supera la soglia. Ad esempio, qualcuno ha tentato più password rispetto al sistema consentito. In questo stato, esistono due modi in cui un utente valido può accedere:

• Attendere che il tempo di ObservationWindow sia trascorso.
• Per reimpostare lo stato di blocco, reimpostare badPwdCount su zero con Reset-ADFSAccountLockout.

Se non si verificano reimpostazioni, all'account è consentito un singolo tentativo di password su AD per ogni finestra di osservazione. Dopo questo tentativo, l'account torna allo stato bloccato e la finestra di osservazione viene riavviata. Il valore badPwdCount viene reimpostato automaticamente solo dopo l'accesso con esito positivo della password.

modalità Log-Only rispetto alla modalità Di imposizione

La tabella AccountActivity viene popolata sia durante la modalità di sola registrazione che la modalità Di imposizione . Se la modalità Di sola registrazione viene ignorata e ESL viene spostata direttamente in modalità Applica senza il periodo di attesa consigliato, gli INDIRIZZI IP familiari degli utenti non sono noti ad AD FS. ESL si comporta quindi come ADBadPasswordCounter, bloccando potenzialmente il traffico utente legittimo se l'account utente è sottoposto a un attacco di forza bruta attiva. Se la modalità Di sola registrazione viene ignorata e l'utente immette uno stato bloccato in cui UnknownLockout è uguale a True e tenta di accedere con una password valida da un INDIRIZZO IP non incluso nell'elenco IP "familiare", non è possibile eseguire l'accesso. La modalità di sola registrazione è consigliata per 3-7 giorni per evitare questo scenario. Se gli account sono attivamente in attacco, è necessario almeno 24 ore di modalità di sola registrazione per impedire i blocchi agli utenti legittimi.

Configurazione del blocco intelligente dell'Extranet

Le sezioni seguenti descrivono i prerequisiti e le configurazioni per l'abilitazione di ESL per AD FS 2016.

Prerequisiti per AD FS 2016

1. Installare gli aggiornamenti in tutti i nodi della farm.

   Verificare prima di tutto che tutti i server AD FS di Windows Server 2016 siano aggiornati fino agli aggiornamenti di Windows di giugno 2018 e che la farm AD FS 2016 venga eseguita in modalità operativa farm 2016.

2. Verificare le autorizzazioni.

   ESL richiede che la gestione remota Windows sia abilitata in ogni server AD FS.

3. Aggiornare le autorizzazioni del database degli artefatti.

   ESL richiede che l'account del servizio AD FS disponga delle autorizzazioni per creare una nuova tabella nel database degli artefatti di AD FS. Accedere a qualsiasi server AD FS come amministratore di AD FS. Concedere quindi questa autorizzazione in una finestra del prompt dei comandi di PowerShell eseguendo i comandi seguenti:

   PS C:\>$cred = Get-Credential
   PS C:\>Update-AdfsArtifactDatabasePermission -Credential $cred
   

   Note

   Il segnaposto $cred è un account con autorizzazioni di amministratore di AD FS. In questo modo è necessario fornire le autorizzazioni di scrittura per creare la tabella.

   I comandi precedenti potrebbero non riuscire a causa della mancanza di autorizzazioni sufficienti perché la farm AD FS usa SQL Server e le credenziali fornite in precedenza non dispongono dell'autorizzazione di amministratore per SQL Server. In questo caso, è possibile configurare manualmente le autorizzazioni del database nel database di SQL Server quando si è connessi al database AdfsArtifactStore eseguendo il comando seguente:

   # when prompted with “Are you sure you want to perform this action?”, enter Y.
   
   [CmdletBinding(SupportsShouldProcess=$true,ConfirmImpact = 'High')]
   Param()
   
   $fileLocation = "$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"
   
   if (-not [System.IO.File]::Exists($fileLocation))
   {
   write-error "Unable to open AD FS configuration file."
   return
   }
   
   $doc = new-object Xml
   $doc.Load($fileLocation)
   $connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
   $connString = $connString -replace "Initial Catalog=AdfsConfigurationV[0-9]*", "Initial Catalog=AdfsArtifactStore"
   
   if ($PSCmdlet.ShouldProcess($connString, "Executing SQL command sp_addrolemember 'db_owner', 'db_genevaservice' "))
   {
   $cli = new-object System.Data.SqlClient.SqlConnection
   $cli.ConnectionString = $connString
   $cli.Open()
   
   try
   {
   
   $cmd = new-object System.Data.SqlClient.SqlCommand
   $cmd.CommandText = "sp_addrolemember 'db_owner', 'db_genevaservice'"
   $cmd.Connection = $cli
   $rowsAffected = $cmd.ExecuteNonQuery()
   if ( -1 -eq $rowsAffected )
   {
   write-host "Success"
   }
   }
   finally
   {
   $cli.CLose()
   }
   }
   

Verificare che la registrazione di controllo della sicurezza di AD FS sia abilitata

Questa funzionalità utilizza i log degli audit di sicurezza, quindi l'auditing deve essere abilitato in AD FS e la politica locale su tutti i server AD FS.

Istruzioni di configurazione

ESL usa la proprietà AD FS ExtranetLockoutEnabled. Questa proprietà è stata usata in precedenza per controllare il blocco flessibile Extranet in Server 2012 R2. Se ESL è abilitato e si vuole visualizzare la configurazione della proprietà corrente, eseguire Get-AdfsProperties.

Raccomandazioni di configurazione

Quando si configura ESL, seguire le procedure consigliate per impostare le soglie:

ExtranetObservationWindow (new-timespan -Minutes 30)

ExtranetLockoutThreshold: Half of AD Threshold Value

AD value: 20, ExtranetLockoutThreshold: 10

Il blocco di Active Directory funziona in modo indipendente da ESL. Tuttavia, se il blocco di Active Directory è abilitato, selezionare ExtranetLockoutThreshold in AD FS e Soglia blocco account in AD.

ExtranetLockoutRequirePDC - $false

Se abilitata, il blocco extranet richiede un controller di dominio primario (PDC). Quando disabilitato e configurato come falso, il blocco dell'extranet passa a un altro controller di dominio nel caso in cui il PDC non sia disponibile.

Per impostare questa proprietà, eseguire:

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (New-TimeSpan -Minutes 30) -ExtranetLockoutRequirePDC $false

Abilitare la modalità Log-Only

In modalità solo accesso, AD FS popola le informazioni di posizione note di un utente e scrive eventi di controllo di sicurezza, ma non blocca le richieste. Questa modalità viene usata per verificare che il blocco intelligente sia in esecuzione e per consentire ad AD FS di "apprendere" posizioni familiari per gli utenti prima di abilitare la modalità di imposizione . Man mano che AD FS apprende, archivia l'attività di accesso per ogni utente (in modalità Solo accesso o Applica modalità). Impostare il comportamento di blocco su Solo log eseguendo il cmdlet seguente:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

La modalità di sola registrazione deve essere uno stato temporaneo in modo che il sistema possa apprendere il comportamento di accesso prima di introdurre l'imposizione del blocco con il comportamento di blocco intelligente. La durata consigliata per la modalità di sola registrazione è di 3-7 giorni. Se gli account sono attivamente in attacco, la modalità di sola registrazione deve essere eseguita per un minimo di 24 ore.

In AD FS 2016, se il comportamento 2012 R2 Extranet Soft Lockout è abilitato prima di abilitare il blocco intelligente Extranet, la modalità di sola registrazione disabilita il comportamento di blocco soft Extranet. Il blocco intelligente di AD FS non blocca gli utenti in modalità di sola accesso . Tuttavia, AD locale potrebbe bloccare l'utente in base alla configurazione di AD. Esaminare le politiche di blocco di AD per imparare come AD locale può bloccare gli utenti.

In AD FS 2019, un altro vantaggio consiste nel abilitare la modalità di sola registrazione per il blocco intelligente, continuando a applicare il comportamento di blocco leggero precedente usando powerShell seguente:

Set-AdfsProperties -ExtranetLockoutMode 3

Per rendere effettiva la nuova modalità, riavviare il servizio AD FS in tutti i nodi della farm usando:

Restart-service adfssrv

Dopo aver configurato la modalità, è possibile abilitare il blocco intelligente usando il parametro EnableExtranetLockout :

Set-AdfsProperties -EnableExtranetLockout $true

Abilitare la modalità di imposizione

Dopo aver appreso la soglia di blocco e la finestra di osservazione, ESL può essere spostato in modalità Applica usando il cmdlet PSH seguente:

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

Per rendere effettiva la nuova modalità, riavviare il servizio AD FS in tutti i nodi della farm usando il comando seguente.

Restart-service adfssrv

Gestire l'attività dell'account utente

AD FS fornisce tre cmdlet per gestire i dati delle attività dell'account. Questi cmdlet si connettono automaticamente al nodo nella farm che detiene il ruolo primario.

È possibile eseguire l'override di questo comportamento passando il -Server parametro .

Get-ADFSAccountActivity -UserPrincipalName

Il cmdlet si connette automaticamente al nodo primario della farm usando l'endpoint REST dell'attività account. Pertanto, tutti i dati devono essere sempre coerenti. Leggere l'attività dell'account corrente per un account utente usando:

Get-ADFSAccountActivity [email protected]

Properties:

• BadPwdCountFamiliar: incrementato quando un'autenticazione non riesce da una posizione nota.
• BadPwdCountUnknown: incrementato quando un'autenticazione non riesce da una posizione sconosciuta.
• LastFailedAuthFamiliar: se l'autenticazione non è riuscita da un percorso noto, LastFailedAuthFamiliar è impostato sul momento dell'autenticazione non riuscita.
• LastFailedAuthUnknown: se l'autenticazione non è riuscita da una posizione sconosciuta, LastFailedAuthUnknown è impostato sul momento dell'autenticazione non riuscita.
• FamiliarLockout: valore booleano true se BadPwdCountFamiliar>ExtranetLockoutThreshold.
• UnknownLockout: valore booleano true se BadPwdCountUnknown>ExtranetLockoutThreshold.
• FamiliarIPs: massimo 20 INDIRIZZI IP familiari all'utente. Quando vengono superati 20 INDIRIZZI IP, l'indirizzo IP meno recente nell'elenco viene rimosso.

Set-ADFSAccountActivity

Set-ADFSAccountActivity aggiunge nuove posizioni familiari. La lista di indirizzi IP familiari può avere fino a 20 voci. Se vengono superate 20 voci, l'indirizzo IP meno recente nell'elenco viene rimosso.

Set-ADFSAccountActivity [email protected] -AdditionalFamiliarIps “1.2.3.4”

Reset-ADFSAccountLockout

Reimposta il contatore del blocco per un account utente per ogni posizione familiare (badPwdCountFamiliar) o un contatore location non familiare (badPwdCountUnfamiliar). Quando si reimposta un contatore, il valore FamiliarLockout o UnfamiliarLockout viene aggiornato, perché il contatore di reimpostazione è inferiore alla soglia.

Reset-ADFSAccountLockout [email protected] -Location Familiar

Reset-ADFSAccountLockout [email protected] -Location Unknown

Registrazione eventi e informazioni sull'attività utente per il blocco extranet di AD FS

Le sezioni seguenti descrivono come monitorare la registrazione eventi, l'attività dell'account utente e i blocchi.

Connect Health

Il modo consigliato per monitorare l'attività dell'account utente consiste nell'usare Connect Health. Connect Health genera report scaricabili sugli indirizzi IP rischiosi e sui tentativi errati di accesso con password. Ogni elemento nel report IP rischioso mostra informazioni aggregate sulle attività di accesso ad AD FS non riuscite che superano la soglia designata. Le notifiche via email possono essere impostate per avvisare gli amministratori con impostazioni di posta elettronica personalizzabili quando si verificano accessi non riusciti ad AD FS. Per altre informazioni e istruzioni di installazione, vedere Monitorare AD FS con Microsoft Entra Connect Health.

Eventi relativi al "blocco intelligente dell'extranet" di AD FS

Affinché gli eventi extranet Smart Lockout vengano scritti, ESL deve essere abilitato in modalità solo log o imponi e è necessario abilitare il controllo di sicurezza di AD FS. AD FS scrive eventi di blocco extranet nel log di controllo della sicurezza quando:

• Un utente è bloccato, ovvero l'utente raggiunge la soglia di blocco per i tentativi di accesso non riusciti.
• AD FS riceve un tentativo di accesso per un utente già in stato di blocco.

In modalità solo log è possibile controllare la presenza di eventi di blocco nel log di controllo di sicurezza. Per tutti gli eventi trovati, è possibile controllare lo stato utente usando il Get-ADFSAccountActivity cmdlet per determinare se il blocco si è verificato da indirizzi IP familiari o non noti. È anche possibile usare il Get-ADFSAccountActivity cmdlet per controllare l'elenco di indirizzi IP familiari per tale utente.

Domande frequenti su ESL

Una farm AD FS che usa il blocco intelligente Extranet in modalità di imposizione vedrà mai blocchi di utenti malevoli?

Se AD FS Smart Lockout è impostato su Modalità di imposizione , l'account dell'utente legittimo non viene mai bloccato da forza bruta o denial of service. L'unico modo in cui un blocco di account dannoso può impedire l'accesso di un utente è se l'attore malintenzionato ha la password utente o può inviare richieste da un indirizzo IP noto (familiare) per tale utente.

Cosa accade se ESL è abilitato e l'attore non valido ha la password di un utente?

L'obiettivo tipico dello scenario di attacco di forza bruta è indovinare una password e accedere correttamente. Se un utente viene sottoposto a phished o se viene indovinata una password, la funzionalità ESL non blocca l'accesso perché l'accesso soddisfa i criteri corretti di una password corretta più un nuovo INDIRIZZO IP. L'INDIRIZZO IP degli attori malintenzionati apparirebbe quindi come familiare. La mitigazione migliore in questo scenario consiste nel cancellare l'attività dell'utente in AD FS e richiedere l'autenticazione a più fattori per gli utenti. È consigliabile installare La protezione password di Microsoft Entra per assicurarsi che le password indovinabili non entrino nel sistema.

Se l'utente non ha mai eseguito l'accesso da un INDIRIZZO IP e quindi prova con una password errata alcune volte, sarà possibile accedere una volta digitata correttamente la password?

Se un utente invia più password non corrette, ad esempio digitando erroneamente, e nel tentativo seguente viene corretta la password, l'utente accede immediatamente. Questo accesso ha esito positivo cancella il numero di password non valido e lo aggiunge all'elenco FamiliarIPs . Tuttavia, se superano la soglia degli accessi non riusciti dalla posizione sconosciuta, entrano nello stato di blocco. Devono quindi attendere oltre la finestra di osservazione e accedere con una password valida. Potrebbero richiedere l'intervento dell'amministratore per reimpostare l'account.

ESL funziona anche in Intranet?

Se i client si connettono direttamente ai server AD FS e non tramite server proxy applicazione Web, il comportamento ESL non si applica.

Viene visualizzato l'indirizzo IP Microsoft nel campo IP client. ESL blocca gli attacchi di forza bruta di EXO attraverso proxy?  

ESL funziona bene per prevenire scenari di attacco di forza bruta su Exchange Online o per altre autenticazioni legacy. Un'autenticazione legacy ha un "ID attività" di 00000000-0000-0000-0000-000000000000. In questi attacchi, l'attore malintenzionato sfrutta l'autenticazione di base di Exchange Online (nota anche come autenticazione legacy) in modo che l'indirizzo IP del client venga visualizzato come Microsoft. I server Exchange Online nel cloud fanno da intermediario tramite il cloud per la verifica dell'autenticazione per conto del client Outlook. In questi scenari, l'indirizzo IP del mittente dannoso si trova nel valore x-ms-forwarded-client-ip e l'indirizzo IP del server di Microsoft Exchange Online è nel valore x-ms-client-ip. Extranet Smart Lockout controlla gli indirizzi IP di rete, gli IP inoltrati, i valori "x-forwarded-client-IP" e "x-ms-client-ip". Se la richiesta ha esito positivo, tutti gli indirizzi IP vengono aggiunti all'elenco familiare. Se viene visualizzata una richiesta e uno qualsiasi degli INDIRIZZI IP presentati non è presente nell'elenco familiare, la richiesta viene contrassegnata come non familiare. L'utente familiare è in grado di accedere correttamente mentre le richieste provenienti dalle posizioni sconosciute vengono bloccate.

È possibile stimare le dimensioni di ADFSArtifactStore prima di abilitare ESL?

Con ESL abilitato, AD FS tiene traccia dell'attività dell'account e delle posizioni note per gli utenti nel database ADFSArtifactStore . Questo database viene ridimensionato in base al numero di utenti e posizioni note rilevate. Quando si prevede di abilitare ESL, è possibile stimare le dimensioni per il database ADFSArtifactStore fino a un massimo di 1 GB per 100.000 utenti. Se la farm AD FS usa il database interno di Windows, il percorso predefinito per i file di database è C:\Windows\WID\Data. Per evitare di riempire questa unità, assicurarsi di avere almeno 5 GB di spazio di archiviazione gratuito prima di abilitare ESL. Oltre all'archiviazione su disco, pianificare l'aumento della memoria totale dei processi dopo aver abilitato ESL fino a 1 GB di RAM per una popolazione di utenti di 500.000 o meno.

Vedere anche

• Procedure consigliate per la protezione di Active Directory Federation Services
• Set-AdfsProperties
• Operazioni di AD FS