Wenn Unternehmen daran arbeiten, die Produktivität von Remote-Mitarbeitern sicherzustellen, wird das Problem der zwischengespeicherten Anmeldeinformationen unweigerlich auftreten und ein Problem für den betroffenen Benutzer und den IT-Servicedesk verursachen.
Es ist kein Geheimnis, dass ein wesentlicher Teil fast jeder Belegschaft remote funktioniert. Sie haben die letzten Monate damit verbracht, Remote-Konnektivität, Cloud–basierte Produktivität und eine Form umfassender Sicherheit zu etablieren – alles, damit Ihre Remote-Mitarbeiter ihre Arbeit erledigen und gleichzeitig die Corporate-Governance-Anforderungen in Bezug auf Sicherheit und Compliance so gut wie möglich erfüllen können. Da jedoch ungefähr 40% der Remote-Mitarbeiter Unternehmensgeräte verwenden, während Sie von zu Hause aus arbeiten, steht möglicherweise ein Problem vor der Tür, das wahrscheinlich kurz davor steht, ein Problem zu werden, das diese Teilmenge Ihrer gesamten Remote–Belegschaft betrifft – lokal zwischengespeicherte Anmeldeinformationen.
Für diejenigen unter Ihnen, die neu in der IT sind und mit lokal zwischengespeicherten Anmeldeinformationen nicht vertraut sind, finden Sie hier eine kurze Einführung: Da der Benutzer remote ist, kann er sich (wenn überhaupt) nicht einfach mit einem Domänencontroller (DC) im Unternehmensnetzwerk verbinden. Daher speichert Windows eine Kopie der Anmeldeinformationen des Benutzers auf dem lokalen Gerät im Cache, und der Benutzer kann sich lokal frei anmelden, während er remote ist, ohne eine Verbindung zum Unternehmensnetzwerk herstellen zu müssen. Obwohl Microsoft die Anforderung aufgehoben hat, dass Benutzer Kennwörter häufig ändern müssen, gibt es immer noch Szenarien, in denen Kennwörter zurückgesetzt werden müssen:
- Die alte Richtlinie bleibt bestehen und ein Passwort läuft ab
- Die Anmeldeinformationen des Benutzers stehen im Verdacht, durch eine Insider-Bedrohung oder einen Cyberangriff kompromittiert worden zu sein und müssen administrativ zurückgesetzt werden
- Das derzeit festgelegte Passwort verwendet ein kompromittiertes / durchgesickertes Passwort und wird administrativ zurückgesetzt
- Der Benutzer vergisst sein Passwort (wie in, es wurde so lange zwischengespeichert, sie wissen nicht einmal, was es ist)
Das Problem wenn das Kennwort auf der Active Directory-Seite der Gleichung wiederhergestellt werden muss, wie aktualisieren Sie die lokal zwischengespeicherte Anmeldeinformationen? Der betroffene Benutzer muss mit dem Unternehmensnetzwerk verbunden sein (insbesondere mit einem Domänencontroller (DC)), damit ein neu erstellter Satz von Anmeldeinformationen lokal zwischengespeichert werden kann. Nun, einige von Ihnen sind mir bereits voraus und denken: „Meine Benutzer verwenden ein VPN und sind daher logischerweise im Netzwerk, also geht es uns gut.“ Aber laut einer aktuellen Studie von Proofpoint haben nur 39% der Benutzer ein VPN installiert und nur 47% dieser Leute verwenden es konsequent. Darüber hinaus werden viele VPN-Verbindungen zum DC nach der Anmeldung hergestellt, sodass nicht alle möglichen Szenarien ohne IT-Unterstützung gelöst werden können.
Kurz gesagt, irgendwann wird das Problem der lokal zwischengespeicherten Anmeldeinformationen Sie einholen.
Welche Optionen haben Sie also, um abgelaufene Anmeldeinformationen zu aktualisieren, und welche Auswirkungen hat dies auf die Sicherheit?
Da das Problem, das wir lösen, darin besteht, dass das Remote-Endgerät die zwischengespeicherten Anmeldeinformationen aktualisieren muss, ist der zugrunde liegende Prozess weitgehend derselbe: Das Gerät muss logisch über VPN mit dem Unternehmensnetzwerk verbunden sein (wiederum speziell mit Zugriff auf ein DC) und muss (vorausgesetzt, Sie verwenden Windows 10) Strg-Alt-Entf drücken und wählen Passwort ändern.
Wenn Sie diesen Prozess in der praktischen Anwendung sehen, sollten Sie einige Szenarien für die Aktualisierung lokal zwischengespeicherter Anmeldeinformationen und die Auswirkungen auf die Unternehmenssicherheit und die IT in Betracht ziehen.
1. Bekanntes, nicht abgelaufenes Passwort, verbindungsfähig – das ist der Goldstandard möglicher Szenarien. Der technisch versierte Benutzer stellt einfach eine Verbindung zum VPN her, ändert sein Passwort und geht seinem Tag nach. Rein ES Nirvana.
2. Bekanntes, abgelaufenes Passwort, Keine Verbindung möglich – ohne Passwort-Reset-Lösungen von Drittanbietern ist das VPN hier eine Voraussetzung. Der Service Desk wird beteiligt sein, um zumindest die „Verbindung zum Unternehmensnetzwerk“ zu erleichtern, indem das Kennwort manuell auf das vorhandene Kennwort als potenzielle Lösung zurückgesetzt und sofort geändert wird.
3. Unbekanntes Passwort – Das Konnektivitätsproblem beiseite legen, Hier beginnt das wahre Sicherheitsrisiko. Wenn Benutzer zunächst nicht wissen, wie ihr Kennwort lautet, ist offensichtlich ein anfängliches Zurücksetzen durch den Service Desk und dann eine Kennwortänderung bei der ersten Anmeldung erforderlich, genau wie im obigen Szenario. Das Sicherheitsrisiko besteht darin, den Benutzer als Inhaber der Anmeldeinformationen zu identifizieren, bevor das Kennwort zum Zurücksetzen übergeben wird. Zumindest im ersten Szenario kannten sie das alte Passwort, obwohl es keine sehr sichere Überprüfungsmethode ist. Also, in diesem Fall, ohne irgendeine Form eines zweiten Authentifizierungsfaktors, der darüber hinausgeht, „Wer ist das?“ oder „was ist Ihre Mitarbeiter-ID?“ ist wirklich riskant.
4. Erzwungenes Zurücksetzen – In Fällen, in denen ein Zurücksetzen der Anmeldeinformationen eines Benutzers erzwungen wird (wiederum aufgrund von Problemen wie dem Verdacht, dass er durch einen Cyberangriff kompromittiert wurde), muss die Zusammenarbeit mit dem Benutzer zur Übermittlung eines neu zurückgesetzten Kennworts eine sehr spezifische und sichere Form der Validierung des Anmeldeinhabers vor der Übergabe des zurückgesetzten Kennworts beinhalten.
Getting cached credential updating correct
Das Problem hier ist zweigleisig, zwischengespeicherte Anmeldeinformationen werden letztendlich zu einer Zunahme der IT-Support-Anrufe und Produktivitätsverluste führen, aber hier gibt es ein Sicherheitsproblem. Die Übergabe zwischen dem Benutzer, der behauptet, der Inhaber der Anmeldeinformationen zu sein, und dem Service Desk-Agenten, der ein temporäres Kennwort übergeben muss, um die Aktualisierung der Anmeldeinformationen zu erleichtern, kann dazu führen, dass eine Organisation Angriffen ausgesetzt ist.
Benutzer in Ihrer Organisation haben unterschiedliche Zugriffsebenen und damit inhärente Risiken. Fügen Sie also hinzu, dass Personen mit erhöhtem Zugriff auf sensible, proprietäre und ansonsten wertvolle Informationen viel mehr Validierung benötigen als jede der vereinfachten Methoden, die häufig am IT-Service-Desk verwendet werden.
Das Aktualisieren der lokal zwischengespeicherten Anmeldeinformationen ist ein Sicherheitsproblem. Und die beste Sicherheit ist die, von der der Benutzer nichts weiß. Hinzu kommt, dass die beste Lösung die ist, mit der man sich nicht beschäftigen muss. Aus den obigen Szenarien geht hervor, dass das Szenario mit einem proaktiven, technisch versierten Benutzer die Kriterien erfüllt. Aber das ist einfach nicht die Realität die meiste Zeit. Daher muss möglicherweise eine Self-Service-Lösung für Kennwörter von Drittanbietern in Betracht gezogen werden, die in den Windows-Anmeldeprozess integriert werden kann, um die drei Unbekannten, die ich in diesem Artikel erwähnt habe, zu vereinfachen: Die technischen Fähigkeiten des Benutzers, seine Fähigkeit, sich mit dem Unternehmensnetzwerk zu verbinden, und seine Fähigkeit, die Person zu validieren, die ein Zurücksetzen des Kennworts anfordert, ist tatsächlich der Inhaber der Anmeldeinformationen.
Ohne Drittanbieterlösung ist die Antwort einfach: VPN, ändern Sie das Passwort. Wenn dies im Allgemeinen nicht möglich ist, empfehle ich Ihnen, nach einer Lösung zu suchen, die Ihre Remote-Mitarbeiter dort trifft, wo sie sich befinden, und gleichzeitig zur Aufrechterhaltung der Produktivität und Unternehmenssicherheit beiträgt.