Dispositivos ActiveSync que provocan el bloqueo de cuentas

12

Cuando un usuario cambia la contraseña de su cuenta por cualquier motivo (léase: caducado), y la contraseña anterior se almacena en su dispositivo móvil conectado a través de EAS. Esto hará que su cuenta se bloquee casi de inmediato, como debería de acuerdo con la política de bloqueo definida en el AD. Fue fácil descubrir esa parte. La parte difícil es evitar que suceda. Miré por todas partes. Nada. Básicamente hay cuatro partes en el rompecabezas: el dispositivo EAS, el servidor TMG (ISA), el protocolo EAS y finalmente el AD. Ninguno de ellos tiene una manera de evitar que el dispositivo EAS no pueda autenticarse. Así que pensé que tendría que encontrar una solución inteligente. Y lo único que se me ocurre es crear un grupo para todos los usuarios de EAS y excluirlos de la política de bloqueo, que obviamente anula todo el propósito de la política,

La pregunta: ¿Se le ocurre alguna otra forma de evitar que EAS bloquee las cuentas?

Entorno: principalmente dispositivos iOS a través de EAS. TMG 2010. Exchange 2007. AD 2008 R2.

active-directory exchange group-policy activesync microsoft-ftmg-2010 Abdullah
fuente
gran pregunta, en serio.
SpacemanSpiff
2
La política de bloqueo debe estar entre 10 y 50 según el Administrador de cumplimiento de seguridad de Microsoft. ¿Cuál es el tuyo?
TristanK
Buena pregunta, tengo curiosidad por saber si habrá una solución digna.
TheCleaner
Podría ser súper inteligente e implementar un proxy directo que dé forma a los intentos de autenticación. AFAIK EAS está basado en HTTPS. closedsrc.org/2010/11/…
Grizly

Respuestas:

3

Normalmente, lo que les decimos a los usuarios es que coloquen el dispositivo en modo "vuelo" o "avión", cortando el acceso a la red cuando estén listos para cambiar la contraseña, una vez que cambien la contraseña en la computadora de escritorio / portátil, entonces pueden ingresar la nueva contraseña en dispositivo y conectarse de nuevo a la red.

Por supuesto, también enviamos la notificación de caducidad para que estén bien preparados para la caducidad de la contraseña.

CAPAS
fuente
Esa es una buena idea, pero según mi experiencia, dependiendo de los usuarios para resolver un problema creará más problemas. Ya tenemos un procedimiento sobre cómo cambiar la contraseña sin quedar bloqueado, pero nadie la sigue.
Abdullah
Olvidé agregar, los usuarios tendrán tiempo para actualizar sus contraseñas sin bloquearse ya que la autenticación ocurre cada 15 minutos.
Abdullah
Este es un problema de "personas" y tratar de resolver usando tecnología reducirá la seguridad del medio ambiente ya que no hay forma de lograr el escenario ideal. Si esto fuera BlackBerry, esto no habría sido un problema :)
KAPes
1

TMG SP2 ahora tiene la función de bloqueo de cuenta para evitar este problema. Ver: Aquí , aquí y aquí .

Pierro222
fuente
Si bien esto puede responder teóricamente la pregunta, sería preferible incluir aquí las partes esenciales de la respuesta y proporcionar el enlace para referencia.
Scott Pack
Si bien la función de bloqueo de cuenta de TMG puede ser útil para muchos casos de uso, solo cubre la autenticación basada en formularios. ActiveSync parece no usar autenticación basada en formularios, por lo que parece que no funcionaría en el escenario del póster original.
the-wabbit
1

Esta pregunta también me ha desafiado. Como una opción seria, estoy considerando la autenticación ActiveSync basada en certificados. Junto con la política de EAS para exigir un código de contraseña para desbloquear el dispositivo móvil, esto debería contar como autenticación de dos factores (algo que tiene: certificado en su dispositivo móvil, algo que sabe: código de contraseña para su dispositivo móvil). De esta manera, no hay problema cuando la contraseña caduca. Espero que esto ayude. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
fuente
0

Depende del dispositivo decirle al usuario que la autenticación falló. Creo que una mejor respuesta es usar algo como Buena mensajería para empresas en los dispositivos ios que creo que proporciona soporte EAS empresarial.

Jim B
fuente
iOS muestra un mensaje emergente para actualizar la contraseña, pero para entonces la cuenta ya estaba bloqueada. Un buen mensaje parece una exageración, creo.
Abdullah
0

Esta es una buena pregunta. Desafortunadamente, no he encontrado una manera de evitar que el dispositivo intente autenticarse hasta que se haya actualizado la contraseña. Lo único que puede hacer es excluir al usuario de la política de contraseñas o documentar cómo cambiar la contraseña en su dispositivo y recordarles cada vez que caduque su contraseña y necesiten desbloquear su cuenta.

También puede usar un script o un programa para enviar un correo electrónico a las personas que sus contraseñas expirarán en x número de días e incluir un recordatorio de que necesitan cambiar la contraseña en su teléfono.

Esperaba tener este problema en mi empleador actual desde que implementé una política de contraseñas en noviembre, pero hasta ahora, mis usuarios de dispositivos móviles parecen lo suficientemente inteligentes como para cambiar sus contraseñas sin que me lo recuerden.

smassey
fuente
Sin embargo, excluir a los usuarios parece ser la única solución, pero no una muy buena. Nuestros usuarios ya reciben una notificación antes de que caduque su contraseña con pasos completos sobre cómo actualizar su contraseña correctamente para evitar el bloqueo, pero nadie lee. Te sugiero que pruebes tu política, tal vez ni siquiera esté funcionando a menos que estés trabajando para la NASA e incluso entonces lo dudo.
Abdullah
0

Es posible que desee probar cómo se comportan los intentos de autenticación de los dispositivos cuando no utiliza la funcionalidad "Siempre actualizada". Si un dispositivo está configurado para sondear cada cinco minutos en lugar de usar Siempre actualizado, y eso no incurre en la tasa de fallas de autenticación que desencadena el bloqueo de la cuenta, esta puede ser una solución viable.

Greg Askew
fuente
Intenté eso, el servidor TMG está configurado para solicitar autenticación cada 15 minutos. Los usuarios tendrán tiempo para actualizar sus contraseñas antes de que ocurra la próxima autenticación, pero no podemos depender de los usuarios. También intenté averiguar cuántas veces iOS intenta autenticarse antes de darse por vencido, pero no pude, ni probando ni investigando la documentación inútil de Apple.
Abdullah
Parece que sería bastante sencillo determinar el número de intentos de autenticación al examinar los registros de IIS.
Greg Askew
Sí, después de publicar mi comentario ayer me di cuenta de que podía examinar el registro de la información, así que hice exactamente eso. No encontré lo que estaba buscando, pero seguiré buscando.
Abdullah
0

Esto parece ser un problema de dispositivo con el iPhone que intenta con demasiada frecuencia usar la contraseña antigua, mientras tanto incorrecta. Apple publicó una nota técnica sobre este problema prometiendo una mejor experiencia con dispositivos en iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
fuente
-1

Bloquee la dirección IP de origen en el firewall frente al servidor de Exchange

Kevin
fuente
1
Estamos hablando de usuarios legítimos que están en el proceso de cambiar una contraseña actual, sin bloquear usuarios maliciosos.
Grizly