Condividi tramite


AD FS e gli indirizzi IP vietati

AD FS in Windows Server 2016 ha introdotto IP vietati come parte dell'aggiornamento di AD FS del giugno 2018. Questo aggiornamento consente di configurare un set di indirizzi IP a livello globale in AD FS in modo che le richieste provenienti da tali indirizzi IP vengano bloccate. Anche le richieste con indirizzi IP nelle intestazioni x-forwarded-for o x-ms-forwarded-client-ip vengono bloccate da AD FS.

Aggiungere indirizzi IP vietati

Per aggiungere indirizzi IP vietati all'elenco globale, usare il cmdlet di PowerShell seguente:

PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

I formati consentiti sono i seguenti:

  • IPv4
  • IPv6
  • Formato CIDR con IPv4 o v6

È previsto un limite di 300 voci per gli indirizzi IP vietati. È possibile usare il formato CIDR o di intervallo per negare un blocco di voci di grandi dimensioni con una singola voce.

Rimuovere indirizzi IP vietati

Per rimuovere gli indirizzi IP vietati dall'elenco globale, usare il cmdlet di PowerShell seguente:

PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"

Leggere gli indirizzi IP vietati

Per leggere il set attuale di indirizzi IP vietati, usare il cmdlet di PowerShell seguente:

PS C:\ >Get-AdfsProperties

Output di esempio:

BannedIpList                   : {1.2.3.4, ::3,1.2.3.4/16}

Procedure consigliate per la protezione di Active Directory Federation Services

Set-AdfsProperties

Operazioni di AD FS