AD FS и запрещенные IP-адреса
AD FS в Windows Server 2016 представила запрещенные IP-адреса в рамках обновления AD FS за июнь 2018 г. Это обновление позволяет глобально настроить набор IP-адресов в AD FS, чтобы запросы, поступающие из этих IP-адресов, блокировались. Запросы с IP-адресами в заголовках x-forwarded-for или x-ms-forwarded-client-ip также блокируются AD FS.
Добавление запрещенных IP-адресов
Чтобы добавить запрещенные IP-адреса в глобальный список, используйте следующий командлет PowerShell:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
Допустимые форматы приведены следующим образом:
- IPv4
- IPv6
- Формат CIDR с IPv4 или v6
Существует ограничение в 300 записей для запрещенных IP-адресов. С помощью CIDR или диапазона можно запретить большой блок записей с одной записью.
Удаление запрещенных IP-адресов
Чтобы удалить запрещенные IP-адреса из глобального списка, используйте следующий командлет PowerShell:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
Чтение запрещенных IP-адресов
Чтобы прочитать текущий набор запрещенных IP-адресов, используйте следующий командлет PowerShell:
PS C:\ >Get-AdfsProperties
Пример результата:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}