Hola a todos,
En esta entrada me gustaría hablar sobre la capacidad de Exchange para bloquear dispositivos ActiveSync que estén experimentando un mal comportamiento. El cmdlet Set-ActiveSyncDeviceAutoblockThreshold puede modificar una regla de umbral de bloqueo automático y cambiar una variedad de opciones como por ejemplo la duración del bloqueo.
Esta es la configuración de mi entorno Exchange 2016 obtenida con el cmdlet Get-ActiveSyncDeviceAutoblockThreshold:
BehaviorType : UserAgentsChanges
BehaviorTypeIncidenceLimit : 6
BehaviorTypeIncidenceDuration : 01:00:00
DeviceBlockDuration : 01:00:00
BehaviorType : RecentCommands
BehaviorTypeIncidenceLimit : 30
BehaviorTypeIncidenceDuration : 00:10:00
DeviceBlockDuration : 00:20:00
BehaviorType : Watsons
BehaviorTypeIncidenceLimit : 5
BehaviorTypeIncidenceDuration : 00:10:00
DeviceBlockDuration : 00:20:00
BehaviorType : OutOfBudgets
BehaviorTypeIncidenceLimit : 10
BehaviorTypeIncidenceDuration : 00:10:00
DeviceBlockDuration : 00:20:00
BehaviorType : SyncCommands
BehaviorTypeIncidenceLimit : 60
BehaviorTypeIncidenceDuration : 00:10:00
DeviceBlockDuration : 00:20:00
BehaviorType : CommandFrequency
BehaviorTypeIncidenceLimit : 400
BehaviorTypeIncidenceDuration : 00:10:00
DeviceBlockDuration : 00:20:00
Recientemente hemos tenido varios casos para evitar que dispositivos ActiveSync generen demasiados logs de transacción mediante un número excesivo de hits, por lo que quiero poner como ejemplo el BehaviorType “CommandFrequency”. Con la configuración de mi entorno, si un dispositivo ActiveSync alcanza 400 hits en una franja de tiempo de 10 minutos, será bloqueado 20 minutos, y además ese usuario puede ser notificado mediante un correo electrónico personalizado. El cmdlet necesario para aplicar esa configuración sería:
Set-ActiveSyncDeviceAutoblockThreshold -Identity "CommandFrequency" BehaviorTypeIncidenceLimit 400 -BehaviorTypeIncidenceDuration 10 -DeviceBlockDuration 20 -AdminEmailInsert "<B>Tu dispositivo se ha bloqueado.</B> "]
A continuación os dejo una pequeña descripción de cada BehaviorType:
- UserAgentChanges: La frecuencia con la que un dispositivo cambia su agente de usuario.
- RecentCommands: Mira tanto el timestamp como el hashcode del comando para determinar si el dispositivo ha entrado en un bucle.
- Watsons: Cuántos Watsons han sido generado por el dispositivo, lo que podría sugerir un ataque a través de un bug del producto.
- OutOfBudgets: La frecuencia con la que el dispositivo sigue realizando hits tras una respuesta 503.
- SyncCommands: Mira el timestamp y las claves de sincronización para comprobar si la misma orden se envía de modo repetido.
- CommandFrequency: Mira la rapidez con la que el dispositivo realiza hits a los servidores Exchange (a través de todos los comandos).
Por último, mencionar que esta configuración se aplica a nivel organización, por lo cual es recomendable estudiar en profundidad cada modificación antes de aplicarla.
Un saludo,
Marco Castro