Пристрої ActiveSync, які призводять до блокування облікових записів


12

Коли користувач з будь-якої причини змінює пароль свого облікового запису (прочитано: термін дії), а старий пароль зберігається на своєму мобільному пристрої, підключеному через EAS. Це призведе до блокування його акаунта майже негайно - як слід відповідно до політики блокування, визначеної в AD. Зробити цю частину було легко. Важка частина утримує його від цього. Я дивився скрізь. Нічого. В основному головоломки є чотири частини: пристрій EAS, сервер TMG (ISA), протокол EAS і нарешті AD. Жоден з них не має можливості зупинити пристрій EAS від невдалої автентифікації. Тож я зрозумів, що мені доведеться придумати розумний спосіб вирішення. І єдине, що я міг би придумати, це створити групу для всіх користувачів EAS та виключити їх із політики блокування, яка, очевидно, перешкоджає цілі політики,

Питання: Чи можете ви придумати будь-який інший спосіб запобігти EAS закрити рахунки?

Навколишнє середовище: переважно пристрої iOS через систему EAS. TMG 2010. Обмін 2007. AD 2008 R2.


велике запитання, серйозно.
SpacemanSpiff

2
Відповідно до диспетчера безпеки безпеки Microsoft, політика виходу повинна бути від 10 до 50. На що твій набір?
ТрістанК

Добре запитання, мені цікаво, чи знайдеться гідне рішення.
TheCleaner

Ви можете бути розумними і реалізувати прямий проксі, який формує спроби аутентифікації. AFAIK EAS має HTTPS. closedsrc.org/2010/11/…
Grizly

Відповіді:


3

Зазвичай, що ми говоримо користувачам, це перевести пристрій у режим "польоту" або "літака", відключивши доступ до мережі, коли вони готові змінити пароль, як тільки вони змінять пароль на Desktop / Laptop, щоб вони могли ввести новий пароль у пристрою та підключитися назад до мережі.

Звичайно, ми також надсилаємо повідомлення про закінчення терміну дії, щоб вони були добре підготовлені до закінчення терміну дії пароля.


Це гарна ідея, але, з мого досвіду, залежно від користувачів вирішити проблему створить більше проблем. У нас вже є процедура, як змінити пароль, не вимикаючись, але ніхто не дотримується цього.
Абдулла

Я забув додати, що користувачі матимуть деякий час, щоб оновити свої паролі, не вимикаючись, оскільки аутентифікація відбувається кожні 15 хвилин.
Абдулла

це проблема "людей" і намагання вирішити за допомогою технології знизить безпеку навколишнього середовища, оскільки немає можливості досягти ідеального сценарію. Якби це BlackBerry, це не було б проблемою :)
KAPes

1

TMG SP2 тепер має функцію блокування облікових записів, щоб запобігти цій проблемі. Дивіться: Тут , тут і тут .


Хоча це теоретично може відповісти на питання, бажано було б сюди включити істотні частини відповіді та надати посилання для довідки.
Скотт Пак

Хоча функція блокування облікового запису TMG може стати корисною для багатьох випадків використання, вона охоплює лише автентифікацію на основі форми. Схоже, ActiveSync не використовує auth на основі форми, тому схоже, що це не вийде в сценарії оригінального афіші.
wabbit

1

Мене також оскаржило це питання. Як серйозний варіант я розглядаю сертифікацію ActiveSync на основі сертифікатів. Разом з політикою EAS, щоб вимагати код пароля для розблокування мобільного пристрою, це має розглядатися як двофакторна автентифікація (щось у вас є: сертифікат на мобільному пристрої, щось, що ви знаєте: код пароля для вашого мобільного пристрою). Таким чином не виникає проблем, коли термін дії пароля закінчується. Сподіваюсь, це допомагає. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx


0

Це залежить від пристрою, щоб повідомити користувачеві, що аутентифікація не вдалася. Я вважаю, що кращою відповіддю є використання чогось на зразок Гарного обміну повідомленнями для підприємств на пристроях ios, які, на мою думку, надають підтримку EAS підприємства.


iOS показує спливаюче повідомлення для оновлення пароля, але до того часу обліковий запис уже заблоковано. Хороший обмін повідомленнями здається непосильним, я думаю.
Абдулла

0

Це гарне запитання. На жаль, я не натрапив на спосіб заборонити пристрою намагатися пройти автентифікацію до моменту оновлення пароля. Єдине, що ви можете зробити - це виключити користувача з політики щодо паролів або документувати, як змінити пароль на своєму пристрої та нагадувати їм кожного разу, коли термін дії їх пароля закінчується, і їм потрібно розблокувати їх рахунок.

Ви також можете використовувати скрипт або програму, щоб надіслати електронною поштою людям, що термін дії їхніх паролів закінчується через x кількість днів, і включити нагадування про необхідність зміни пароля на телефоні.

Я очікував, що це питання виникне у мого нинішнього роботодавця, оскільки я застосував політику щодо паролів у листопаді, але поки що мої мобільні користувачі здаються достатньо кмітливими, щоб змінити свої паролі без нагадування.


Виключення користувачів здається єдиним рішенням, але не дуже хорошим. Наші користувачі вже отримують сповіщення до закінчення терміну дії пароля, виконавши повні дії щодо того, як правильно оновити свій пароль, щоб уникнути блокування, але ніхто не читає. Я б запропонував вам перевірити свою політику, можливо, вона навіть не працює, якщо ви не працюєте в NASA, і навіть тоді я сумніваюся в цьому.
Абдулла

0

Ви можете перевірити, як поводяться спроби аутентифікації пристроїв (пристроїв), коли не використовується функція "Завжди в курсі". Якщо пристрій налаштовано на опитування кожні п’ять хвилин замість того, щоб використовувати Завжди оновлені дати, і це не спричиняє частоти збоїв аутентифікації, що викликає блокування облікового запису, це може бути життєздатним рішенням.


Я спробував це, сервер TMG налаштований просити автентифікацію кожні 15 хвилин. Користувачі матимуть час оновити свої паролі до наступної автентифікації, але ми не можемо залежати від користувачів. Я також намагався з’ясувати, скільки разів iOS намагається пройти автентифікацію перед тим, як відмовитись, але не зміг, ні тестуючи, ні вивчаючи марну документацію Apple.
Абдулла

Здається, було б досить просто визначити кількість спроб аутентифікації шляхом вивчення журналів IIS.
Грег Аскеу

Так, після публікації свого коментаря вчора я зрозумів, що можу вивчити журнал для отримання інформації, тому зробив саме це. Я не знайшов того, що шукав, але продовжую шукати.
Абдулла

0

Здається, це проблема пристрою, коли iPhone надто часто намагається використовувати старий, тим часом неправильний пароль. Apple опублікувала технічну записку щодо цієї проблеми, що обіцяє кращий досвід роботи з пристроями на iOS7: http://support.apple.com/kb/TS4583


-1

Блокуйте початкову IP-адресу на брандмауері перед сервером Exchange


1
Ми говоримо про законних користувачів, які змінюють поточну пару паролів, а не блокують шкідливих користувачів.
Grizly
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.