Dispositivi ActiveSync che causano il blocco degli account

12

Quando un utente cambia la password del suo account per qualsiasi motivo (leggi: scaduto) e la vecchia password viene memorizzata nel suo dispositivo mobile collegato tramite EAS. Ciò causerà il blocco del suo account quasi immediatamente, come dovrebbe in base alla politica di blocco definita nell'AD. È stato facile capire quella parte. La parte difficile è impedirgli di accadere. Ho cercato dappertutto. Niente. Fondamentalmente ci sono quattro parti del puzzle: il dispositivo EAS, il server TMG (ISA), il protocollo EAS e infine l'AD. Nessuno di essi ha un modo per impedire l'autenticazione del dispositivo EAS. Quindi ho pensato che avrei dovuto escogitare una soluzione intelligente. E l'unica cosa che potrei inventare è creare un gruppo per tutti gli utenti EAS ed escluderli dalla politica di blocco, che ovviamente vanifica l'intero scopo della politica,

La domanda: puoi pensare a un altro modo per impedire a EAS di bloccare i conti?

Ambiente: principalmente dispositivi iOS su EAS. TMG 2010. Scambio 2007. AD 2008 R2.

active-directory  exchange  group-policy  activesync  microsoft-ftmg-2010 
Abdullah
fonte
ottima domanda, sul serio.
SpacemanSpiff
2
Il criterio di blocco dovrebbe essere compreso tra 10 e 50 secondo Microsoft Security Compliance Manager. A cosa è impostato il tuo?
TristanK,
Bella domanda, sono curioso di sapere se ci sarà una soluzione degna.
TheCleaner,
Potresti essere super intelligente e implementare un proxy forward che modella i tentativi di autenticazione. AFAIK EAS è basato su HTTPS. closedsrc.org/2010/11/…
Grizly

Risposte:

3

Normalmente ciò che diciamo agli utenti è di mettere il dispositivo in modalità "volo" o "aereo", interrompendo l'accesso alla rete quando sono pronti a cambiare la password, una volta che cambiano la password su Desktop / Laptop, quindi possono inserire la nuova password in dispositivo e riconnettersi alla rete.

Naturalmente inviamo anche la notifica di scadenza in modo che siano ben preparati per la scadenza della password.

Kapeš
fonte
Questa è una buona idea, ma dalla mia esperienza, a seconda degli utenti per risolvere un problema creerà più problemi. È già in atto una procedura su come modificare la password senza essere bloccati, ma nessuno la segue.
Abdullah
Ho dimenticato di aggiungere, gli utenti avranno del tempo per aggiornare le loro password senza essere bloccati poiché l'autenticazione avviene ogni 15 minuti.
Abdullah
questo è un problema di "persone" e cercare di risolvere usando la tecnologia ridurrà la sicurezza dell'ambiente poiché non c'è modo di raggiungere lo scenario ideale. Se questo fosse BlackBerry questo non sarebbe stato un problema :)
KAPes
1

TMG SP2 ha ora la funzione di blocco dell'account per prevenire questo problema. Vedi: qui , qui e qui .

Pierro222
fonte
Sebbene ciò possa teoricamente rispondere alla domanda, sarebbe preferibile includere qui le parti essenziali della risposta e fornire il collegamento come riferimento.
Scott Pack,
Sebbene la funzione di blocco dell'account TMG possa rivelarsi utile in molti casi d'uso, copre solo l'autenticazione basata su moduli. ActiveSync sembra non utilizzare l'autent basata su form, quindi sembra che non funzionerebbe nello scenario del poster originale.
the-wabbit
1

Sono stato sfidato anche da questa domanda. Come opzione seria sto prendendo in considerazione l'autenticazione ActiveSync basata su certificato. Insieme alla politica EAS per richiedere un codice password per sbloccare il dispositivo mobile, questo dovrebbe essere considerato come un'autenticazione a due fattori (qualcosa che hai: certificato sul tuo dispositivo mobile, qualcosa che conosci: codice password per il tuo dispositivo mobile). In questo modo non vi sono problemi alla scadenza della password. Spero che sia di aiuto. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
fonte
0

Spetta al dispositivo comunicare all'utente che l'autenticazione non è riuscita. Penso che una risposta migliore sia quella di utilizzare qualcosa come Good messaging per le aziende sui dispositivi iOS che credo fornisca il supporto EAS aziendale.

Jim B
fonte
iOS mostra un messaggio popup per aggiornare la password ma a quel punto l'account è già stato bloccato. Una buona messaggistica sembra eccessiva, credo.
Abdullah
0

Questa è una buona domanda Sfortunatamente, non ho trovato un modo per impedire al dispositivo di provare ad autenticarsi fino a quando la password non è stata aggiornata. L'unica cosa che puoi fare è escludere l'utente dalla politica della password o documentare come modificare la password sul proprio dispositivo e ricordare loro ogni volta che scade la password e hanno bisogno che il loro account sia sbloccato.

È inoltre possibile utilizzare uno script o un programma per inviare via e-mail alle persone che la loro password scadrà tra un numero x di giorni e includere un promemoria sulla necessità di modificare la password sul proprio telefono.

Mi aspettavo di avere questo problema presso il mio attuale datore di lavoro da quando ho implementato una politica sulle password a novembre, ma finora i miei utenti mobili sembrano abbastanza esperti da cambiare le loro password senza essere ricordati.

smassey
fonte
Escludere gli utenti sembra però l'unica soluzione, ma non molto buona. I nostri utenti ricevono già una notifica prima della scadenza della password con passaggi completi su come aggiornare correttamente la password per evitare il blocco, ma nessuno legge. Ti suggerirei di testare la tua politica, forse non funziona nemmeno se non lavori per la NASA e anche allora ne dubito.
Abdullah,
0

È possibile che si desideri verificare il comportamento dei tentativi di autenticazione dei dispositivi quando non si utilizza la funzionalità "Sempre aggiornato". Se un dispositivo è configurato per eseguire il polling ogni cinque minuti invece di utilizzare Sempre aggiornato e ciò non comporta la percentuale di errori di autenticazione che attiva il blocco dell'account, questa potrebbe essere una soluzione alternativa.

Greg Askew
fonte
L'ho provato, il server TMG è configurato per richiedere l'autenticazione ogni 15 minuti. Gli utenti avranno il tempo di aggiornare le loro password prima che si verifichi la prossima autenticazione, ma non possiamo dipendere dagli utenti. Ho anche cercato di scoprire quante volte iOS tenta di autenticarsi prima di arrendersi ma non ci sono riuscito, né testando né esaminando la documentazione inutile di Apple.
Abdullah
Sembra che sarebbe abbastanza semplice determinare il numero di tentativi di autenticazione esaminando i registri IIS.
Greg Askew,
Sì, dopo aver pubblicato il mio commento ieri mi sono reso conto che avrei potuto esaminare il registro per le informazioni, quindi ho fatto proprio questo. Non ho trovato quello che cercavo ma continuerò a cercare.
Abdullah,
0

Questo sembra essere un problema del dispositivo con l'iPhone che tenta troppo spesso di utilizzare la vecchia password, nel frattempo errata. Apple ha pubblicato un technote su questo problema promettendo una migliore esperienza con i dispositivi su iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
fonte
-1

Bloccare l'indirizzo IP di origine sul firewall di fronte al server Exchange

Kevin
fonte
1
Stiamo parlando di utenti legittimi che stanno cambiando un compagno di password attuale, non bloccando gli utenti malintenzionati.
Grizly
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.