Jako organizace práce, aby bylo zajištěno dálkové produktivitu pracovní síly, vydávání pověření uložená v mezipaměti, bude nevyhnutelně objeví, což způsobuje problém pro zasaženého uživatele a IT service desk.
není žádným tajemstvím, že nějaká materiální část téměř každé pracovní síly funguje na dálku. Jste strávil posledních několik měsíců pobíhá navázat vzdálené připojení, cloud-based produktivitu, a nějakou formu zahrnující bezpečnost – všechny umožnit vzdálené zaměstnance, aby si jejich práci a zároveň splňují firemní požadavky v oblasti správy zabezpečení a souladu, jako nejlepší titul, jak je to možné. Ale s přibližně 40% vzdálené pracovní síly pomocí firemní zařízení při práci z domova, je tam problém, že může být jen za rohem, že je pravděpodobné, že na prahu stává problém, který bude zahrnovat, že podmnožina celého vzdálené pracovní síly – končící místně v mezipaměti pověření.
Pro ty z vás, na TO, kdo nejsou obeznámeni s místně v mezipaměti pověření, tady je velmi stručný primer: Protože uživatel je vzdálené, že nemohou snadno (pokud vůbec) se připojit k řadiči domény (DC) v podnikové síti. Takže, Windows uchovává kopii pověření uživatele do mezipaměti na místní zařízení a uživatel si může svobodně přihlásit lokálně, zatímco dálkový ovladač bez nutnosti připojení k firemní síti. Navzdory tomu, že Microsoft zabíjí požadavek vyžadovat, aby uživatelé často měnili hesla, stále existují scénáře, kdy je třeba hesla resetovat:
- Staré politiky zůstává na místě a heslo má vypršet
- uživatel je pověření je podezření, že byly ohroženy zasvěcených hrozby nebo kyber-útokem takovým způsobem a musí být administrativně reset
- v současné době stanovena heslo je zjištěno pomocí ohrožen/unikly heslo a je administrativně reset
- uživatel zapomene své heslo (stejně jako v, bylo to v mezipaměti tak dlouho, oni ani nevědí, co to je)
otázkou je, kdy heslo musí být obnoveno na Active Directory straně rovnice, jak si aktualizovat místní pověření uložená v mezipaměti? Postižený uživatel musí být připojen k podnikové síti (konkrétně k řadiči domény (DC)), aby měl nově vytvořenou sadu mezipaměti pověření lokálně. Někteří z vás už přede mnou přemýšlejí: „moji uživatelé používají VPN, a proto jsou logicky v síti ,takže jsme v pořádku.“Ale podle nedávné studie společnosti Proofpoint má VPN nainstalovanou pouze 39% uživatelů a pouze 47% těchto lidí ji používá důsledně. Kromě toho je mnoho připojení VPN k DC navázáno po přihlášení, takže ne všechny potenciální scénáře, které mohou nastat, budou vyřešeny bez podpory IT.
Stručně řečeno, nakonec vás problém s místně uloženými pověřeními dohoní.
jaké jsou tedy vaše možnosti aktualizace pověření, jejichž platnost vypršela, a jaké jsou bezpečnostní důsledky pro každou z nich?
za Prvé, protože problém, který řešíme, je, že vzdálený koncový bod zařízení musí aktualizovat pověření uložená v mezipaměti, základní proces je do značné míry stejné: Zařízení musí být logicky připojen k podnikové síti (opět, konkrétně s přístupem k DC) přes VPN, a bude muset (za předpokladu, že jste se systémem Windows 10) stiskněte Ctrl-Alt-Del a vyberte možnost Změnit Heslo.
Když vidíme tento proces v praktické aplikaci, existuje několik scénářů, aby zvážila kolem aktualizace místní mezipaměti pověření a jak každý dopadů firemní bezpečnosti, a TO.
1. Známé, Neexpirované heslo, schopné připojení-To je zlatý standard možných scénářů. Technicky zdatný uživatel se jednoduše připojí k VPN, a změní své heslo, a jde o svůj den. Čistá nirvána.
2. Známé, prošlé heslo, nelze se připojit – bez řešení pro resetování hesla třetích stran je zde VPN požadavkem. Service desk je, aby se zapojili do pomoci usnadnit alespoň „připojení k firemní síti“, ruční resetování své heslo pro existující jako potenciální řešení, a mít je okamžitě změnit, což může zahrnovat pomoc s hledáním klíče potřebné k Změnit Heslo.
3. Neznámé heslo-odložením problému s připojením stranou začíná skutečné bezpečnostní riziko. Když uživatelé nevědí, co jejich heslo je začít s, to samozřejmě vyžaduje počáteční reset service desk, a pak změnit heslo při prvním přihlášení, stejně jako výše zmíněný scénář. Bezpečnostní riziko přichází ve formě Identifikace uživatele jako vlastníka pověření před předáním resetovacího hesla. Alespoň v prvním scénáři znali staré heslo, i když ne velmi bezpečnou metodu ověření, je to začátek. Tak, v tomto případě, bez nějaké formy druhého autentizačního faktoru, který přesahuje, “ kdo je to?“nebo“ jaké je vaše ID zaměstnance?“je opravdu riskantní.
4. Nucený Reset – v případech, kde síly obnovit pověření uživatele (opět, vzhledem k problémům, jako je podezření, že byla porušena tím, kyber-útokem takovým způsobem), zákona o práci s uživateli komunikovat nově obnovit heslo musí zahrnovat některé velmi konkrétní a zabezpečené formě ověření pověření majitele před předáním resetovat heslo.
získání cached pověření aktualizace správné
problém je zde dva hroty, cached pověření nakonec povede ke zvýšení volání podpory IT a ztrátu produktivity, ale tam je bezpečnostní problém po ruce zde. Předávka mezi uživatelem tvrdí, že pověření majitele a service desk agent, který potřebuje předat dočasné heslo pro usnadnění pověření aktualizace může opustit organizaci vystaveni útokům.
uživatelé ve vaší organizaci mají různou úroveň přístupu, a tedy i vlastní riziko. Takže, přidejte do směsi zde, že lidé s zvýšené hladiny přístup k citlivým, proprietární, a jinak cenné informace, je třeba mnohem více potvrzení, než kterýkoli z zjednodušující metody často využívány na service desk.
aktualizace místně uložených pověření je bezpečnostní problém. A nejlepší bezpečnost je ta, o které uživatel neví. Přidejte k tomu, nejlepším řešením je to, do kterého se nemusí zapojit. Z výše uvedených scénářů je zřejmé, že scénář zahrnující proaktivní, technicky zdatný uživatel splňuje kritéria. Ale to prostě není realita většinu času. Tak, tam může být třeba podívat se na třetí-party hesla self-service řešení, která integrují s Windows logon proces pomoci zjednodušit třech neznámých jsem se již zmínil v tomto článku: uživatel je technická zdatnost, jejich schopnost se připojit k podnikové síti, a TO je schopnost, k ověření osoby, která žádá o obnovení hesla, je ve skutečnosti pověření majitele.
bez jakéhokoli řešení třetí strany je odpověď jednoduchá: VPN, změňte heslo. Pokud to není obecně proveditelné, doporučuji vám hledat řešení, které splňuje vaši vzdálenou pracovní sílu tam, kde jsou, a zároveň pomáhá udržovat produktivitu a firemní bezpečnost.