Urządzenia ActiveSync powodujące blokowanie kont

12

Gdy użytkownik zmienia hasło do konta z dowolnego powodu (czytaj: wygasł), a stare hasło jest przechowywane w jego urządzeniu mobilnym połączonym za pomocą EAS. Spowoduje to, że jego konto zostanie zablokowane niemal natychmiast - tak jak powinno, zgodnie z zasadami blokowania określonymi w reklamie. Łatwo było zrozumieć tę część. Najtrudniejszą częścią jest powstrzymywanie się przed tym. Szukałem wszędzie. Nic. Zasadniczo układanka składa się z czterech części: urządzenia EAS, serwera TMG (ISA), protokołu EAS i wreszcie AD. Żadne z nich nie ma sposobu, aby powstrzymać urządzenie EAS przed niepowodzeniem uwierzytelnienia. Pomyślałem więc, że muszę wymyślić sprytne obejście. I jedyne, co mogłem wymyślić, to stworzyć grupę dla wszystkich użytkowników EAS i wykluczyć ich z zasad blokowania, co oczywiście przeczy całemu celowi zasad,

Pytanie: Czy możesz wymyślić inny sposób, aby zapobiec blokowaniu kont przez EAS?

Środowisko: głównie urządzenia z systemem iOS przez EAS. TMG 2010. Exchange 2007. AD 2008 R2.

Abdullah
źródło
wielkie pytanie, poważnie.
SpacemanSpiff
2
Zasady blokady powinny wynosić od 10 do 50, zgodnie z Microsoft Security Compliance Manager. Co jest twoje ustawione?
TristanK,
Dobre pytanie, jestem ciekawy, czy będzie godne rozwiązanie.
TheCleaner,
Możesz być sprytny i wdrożyć proxy, które kształtuje próby uwierzytelnienia. AFAIK EAS jest oparty na HTTPS. closedsrc.org/2010/11/…
Grizly,

Odpowiedzi:

3

Zwykle mówimy użytkownikom, aby przełączyć urządzenie w tryb „samolotowy” lub „samolotowy”, odcinając dostęp do sieci, gdy będą gotowi zmienić hasło, gdy zmienią hasło na komputerze stacjonarnym / laptopie, a następnie mogą wprowadzić nowe hasło w urządzenie i ponownie podłącz do sieci.

Oczywiście wysyłamy również powiadomienie o wygaśnięciu, aby były one dobrze przygotowane do wygaśnięcia hasła.

KAPes
źródło
To dobry pomysł, ale z mojego doświadczenia wynika, że ​​w zależności od użytkowników rozwiązanie problemu spowoduje więcej problemów. Mamy już procedurę dotyczącą zmiany hasła bez blokowania, ale nikt go nie przestrzega.
Abdullah
Zapomniałem dodać, że użytkownicy będą mieli trochę czasu na aktualizację haseł bez blokowania, ponieważ uwierzytelnianie odbywa się co 15 minut.
Abdullah
jest to problem „ludzi”, a próba rozwiązania za pomocą technologii zmniejszy bezpieczeństwo środowiska, ponieważ nie ma sposobu na osiągnięcie idealnego scenariusza. Gdyby to był BlackBerry, nie byłby to problem :)
KAPes
1

TMG SP2 ma teraz funkcję blokady konta, aby zapobiec temu problemowi. Zobacz: tutaj , tutaj i tutaj .

Pierro222
źródło
Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
Scott Pack
Chociaż funkcja blokady konta TMG może się przydać w wielu przypadkach użycia, obejmuje ona tylko uwierzytelnianie oparte na formularzu. ActiveSync wydaje się nie używać uwierzytelniania opartego na formularzu, więc wygląda na to, że nie zadziałałoby w scenariuszu oryginalnego plakatu.
the-wabbit
1

To pytanie również mnie wyzwało. Jako poważną opcję rozważam uwierzytelnianie ActiveSync oparte na certyfikatach. Wraz z zasadą EAS, aby wymagać kodu hasła do odblokowania urządzenia mobilnego, powinno to być liczone jako uwierzytelnianie dwuskładnikowe (coś, co masz: certyfikat na urządzeniu mobilnym, coś, co wiesz: kod hasła do urządzenia mobilnego). W ten sposób nie ma problemu z wygaśnięciem hasła. Mam nadzieję że to pomoże. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
źródło
0

To urządzenie musi poinformować użytkownika, że ​​uwierzytelnienie nie powiodło się. Myślę, że lepszą odpowiedzią jest użycie czegoś takiego jak dobre wiadomości dla przedsiębiorstw na urządzeniach z systemem iOS, które moim zdaniem zapewniają obsługę EAS dla przedsiębiorstw.

Jim B.
źródło
iOS wyświetla komunikat wyskakujący, aby zaktualizować hasło, ale do tego czasu konto zostało już zablokowane. Myślę, że dobre wiadomości wydają się przesadą.
Abdullah
0

To dobre pytanie. Niestety nie znalazłem sposobu, aby uniemożliwić urządzeniu uwierzytelnianie, dopóki hasło nie zostanie zaktualizowane. Jedyne, co możesz zrobić, to wykluczyć użytkownika z zasad dotyczących haseł lub udokumentować, jak zmienić hasło na swoim urządzeniu i przypominać mu za każdym razem, gdy wygasa hasło, i muszą odblokować swoje konto.

Możesz także użyć skryptu lub programu do wysłania wiadomości e-mail do osób, że ich hasła wygasną za x dni, i dołącz przypomnienie, że muszą zmienić hasło w telefonie.

Spodziewałem się tego problemu u mojego obecnego pracodawcy, odkąd wdrożyłem politykę haseł w listopadzie, ale jak dotąd moi użytkownicy mobilni wydają się wystarczająco bystrzy, aby zmienić swoje hasła bez przypomnienia.

smassey
źródło
Wykluczenie użytkowników wydaje się być jedynym rozwiązaniem, ale niezbyt dobrym. Nasi użytkownicy otrzymują powiadomienie przed wygaśnięciem hasła wraz z pełną instrukcją prawidłowego aktualizowania hasła, aby uniknąć blokady, ale nikt nie czyta. Sugeruję przetestowanie swojej polityki, może to nawet nie działa, chyba że pracujesz dla NASA, a nawet wtedy wątpię.
Abdullah
0

Możesz sprawdzić, jak zachowują się próby uwierzytelnienia urządzenia, gdy nie korzystasz z funkcji „Zawsze na bieżąco”. Jeśli urządzenie jest skonfigurowane do odpytywania co pięć minut zamiast korzystania z Zawsze na bieżąco, a to nie powoduje częstości niepowodzeń uwierzytelniania, które powodują blokadę konta, może to być realne obejście.

Greg Askew
źródło
Próbowałem tego, serwer TMG jest skonfigurowany tak, aby prosić o uwierzytelnianie co 15 minut. Użytkownicy będą mieli czas na aktualizację swoich haseł, zanim nastąpi kolejne uwierzytelnienie, ale nie możemy polegać na użytkownikach. Próbowałem również dowiedzieć się, ile razy iOS próbuje się uwierzytelnić przed poddaniem się, ale nie mogłem, ani testując, ani przeglądając bezużytecznej dokumentacji Apple.
Abdullah
Wydaje się, że ustalenie liczby prób uwierzytelnienia byłoby dość proste poprzez sprawdzenie logów IIS.
Greg Askew
Tak, po opublikowaniu wczoraj mojego komentarza zdałem sobie sprawę, że mogę sprawdzić dziennik pod kątem informacji, więc właśnie to zrobiłem. Nie znalazłem tego, czego szukałem, ale będę szukał dalej.
Abdullah
0

Wygląda na to, że jest to problem z urządzeniem, w którym iPhone zbyt często próbuje używać starego, tymczasem niepoprawnego hasła. Firma Apple opublikowała notę ​​techniczną dotyczącą tego problemu, obiecującą lepszą obsługę urządzeń z iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
źródło
-1

Zablokuj źródłowy adres IP w zaporze sieciowej przed serwerem Exchange

Kevin
źródło
1
Mówimy o legalnych użytkownikach, którzy są w trakcie zmiany aktualnego wiązania hasła, a nie blokują złośliwych użytkowników.
Grizly,