问题标签 [lockout]

我需要永久阻止用户。我不明白为什么这段代码不起作用。

此行UserManager.IsLockedOut(user.Id);总是返回false而不是true.

也许有必要把这条线UserManager.UserLockoutEnabledByDefault = true;放在用户注册阶段？

我正在使用 ADFS 2.0 实施 SSO。我正在使用 Windows Server 2008 R2 标准版。现在，我想将用户登录的尝试次数限制为 3 次。我遇到了这个问题，建议我设置以下三个参数：

• 启用外联网锁定
• 外网锁定阈值
• 外网观察窗

我将此用于注册并将 ADFS 2.0 管理单元添加到 windows powershell。

但是，当我查询 Get-ADFSProperties 时，我没有得到上面列出的三个属性。

同样可以理解的是，执行此命令时出现以下错误： Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (new-timespan -Minutes 30)

错误信息是：

在行：1 字符：42

此处已提到此错误，但这不适用于我的情况，因为首先没有列出属性！

我将不胜感激任何帮助或建议。

谢谢！

我一直在寻找有关此的时间。在 AD 锁定用户之前，我需要阅读允许的登录尝试。我知道它在服务器上的策略中，但我需要在域上的客户端计算机上阅读它。

我有一个 VBScript，它正在使用一些 WMI 并检索接近我想要的信息。这不够：

现在，如果无法读取帐户锁定策略及其属性，我可以在具有特殊管理员级别域用户权限的域控制器/全局目录上运行一个小型 WCF 应用程序来获取信息。我只需要知道如何用 c# 代码阅读它。

谢谢。

我目前被困在我的网站之外，尽管可以访问 FTP 并更改 .htaccess 规则（或删除）它并没有帮助。

该站点是一个 WordPress 网站，因此我可能需要帮助来识别 WordPress 中其他文件可能已被修改的角落。

问题始于插件 wp-simple-firewall 我在这里有我的帖子（https://wordpress.org/support/topic/403-forbidden-forceoff-didnt-help?replies=1#post-7283293）。

网站上的所有内容都可以访问，除了“ wp-admin ”文件夹中的所有内容（/wp-login.php 有效，但是当我到达 [domain]/wp-admin/post.php 等地方时，它会转到403)。

我最初所做的是备份 htaccess 文件，然后将其删除。（没运气）

下一个，我删除了插件文件夹（不走运）

然后我查看了插件的作者建议，在插件目录上创建一个文件“forceOff”。（没运气）

我尝试了所有在线修复 403 锁定的建议，但仍然没有任何运气。

我实际上怀疑某种缓存插件保留了一些不应该加载的文件，即使它不应该加载，它也会为我显示 403。

这是icwp_wpsf_firewall_options与 WordPress 的 wp_options 表下有问题的插件有关的外观：

这是当前的 .htaccess 内容：

这是 cPanel 中的最后一个错误日志。有 300 个错误，但大多数看起来都一样，并且都在 8:00:00 小时内。现在时间是 12:00:00：

（目录信息和IP保留）

请注意，.htaccess 文件已复制到根目录 (public_html) 和 public_html/wp-admin

这非常令人沮丧:(

我试图在 n 次不成功尝试后锁定用户，这仅在用户有电子邮件 ID 并且我使用用户名而不是电子邮件 ID 登录我的应用程序时才有效。在这种情况下，我可以锁定也没有电子邮件 ID 的用户？

从本质上讲，在运行应用程序时，程序会在弹出提示时强制用户做某事，然后他们才能做任何其他事情。如何做到这一点？

嗨，堆栈交换，

我们在错误配置的系统环境中看到许多问题，反复尝试旧密码并导致帐户被锁定。

我认为锁定多次尝试相同密码的帐户没有任何价值，这不会让（潜在的）攻击者更接近猜测密码吗？我想知道是否有一种方法可以安全地配置系统来计算每个用户尝试不同/唯一密码的次数，而不仅仅是锁定发生之前的尝试次数？

我可以意识到使用可逆衍生物记录密码尝试可能不利于安全性，但肯定有一种方法可以区分是否多次尝试相同的密码？以长哈希或其他方式记录最近的尝试？

至少，系统是否有可能知道上一个密码已经被尝试过，或者甚至有几个密码被尝试过，并且不将这些视为失败的尝试？我已经看到了这个实现，它似乎类似于判断唯一性/区别的需要？

如果锁定策略的唯一目的是防止在线暴力破解密码猜测，而不是作为 DoS 帐户的工具，为什么仅在不同的密码尝试后增加失败的登录计数器并不常见？

抱歉，有很多问号，但为了清楚起见，主要问题再次出现；

我想知道是否有一种方法可以安全地配置系统来计算每个用户尝试不同/唯一密码的次数，而不仅仅是锁定发生之前的尝试次数？

感谢您的任何想法！

亲切的问候， Xeotech

有没有办法从代码中检测字典攻击重置已尝试，但 lockoutAuth 值错误？

我可以通过检查 failedTries == maxTries 来检测 TPM 处于锁定状态。我似乎无法找到一种方法来知道重置失败并且 TPM 由于不正确的 lockoutAuth 值而处于锁定状态。

我知道我可以尝试 DA 保护操作并观察 TPM_RC_LOCKOUT 返回，但我想知道是否有办法不尝试操作。

我在 UEFI 环境中，这不是那么重要，但我应该提一下。

问候

本

我目前正在为我的 Wordpress/Woocommerce 网站使用 IThemes 安全插件。

我会定期访问网站以确保一切正常。今天我被锁定在网站之外，无法访问任何页面。我经常收到锁定电子邮件，并在检查 IP 时发现它是我自己的 IP 地址，但幸运的是我当时以管理员身份登录，所以不要被锁定。

我主要担心的是我不会访问无效的 URL / 404。然而插件却以某种方式认为我是....

无论如何，有谁知道我可以检查一下插件是否有冲突？

任何帮助都会很棒，因为我担心当我的网站正常运行时，潜在客户可能会被锁定，这对业务不利

我想在用户达到允许的最大登录尝试次数（即用户被锁定）时发送电子邮件通知。

最好的方法是什么？我在 ThrottlesLogins 类中看到了一个 fireLockoutEvent 方法，我应该监听那个事件吗？我应该在哪里做呢？