mivel a szervezetek a távoli munkaerő termelékenységének biztosításán dolgoznak, elkerülhetetlenül megjelenik a gyorsítótárazott hitelesítő adatok kérdése, ami problémát okoz az érintett felhasználónak és az informatikai szerviznek.
nem titok, hogy szinte minden munkaerő valamilyen anyagi része távolról működik. Az elmúlt néhány hónapot azzal töltötte, hogy távoli kapcsolatot, felhőalapú termelékenységet és a biztonságot magában foglaló valamilyen formát hozzon létre-mindezt azért, hogy távoli alkalmazottai elvégezzék munkájukat, miközben a lehető legjobban megfelelnek a biztonságra és a megfelelőségre vonatkozó vállalatirányítási követelményeknek. De a távoli munkaerő körülbelül 40% – a vállalati eszközöket használ otthoni munkavégzés közben, van egy olyan probléma, amely a sarkon lehet, és valószínűleg olyan problémává válik, amely magában foglalja a teljes távoli munkaerő ezen részhalmazát-a helyben tárolt hitelesítő adatok lejáratát.
azok számára, akik még nem ismerik a helyileg gyorsítótárazott hitelesítő adatokat, itt van a nagyon rövid alapozó: mivel a felhasználó Távoli, nem tudnak könnyen (ha egyáltalán) csatlakozni egy tartományvezérlőhöz (DC) A vállalati hálózaton. Tehát a Windows megőrzi a felhasználó hitelesítő adatainak másolatát a helyi eszközön, és a felhasználó szabadon bejelentkezhet helyileg, miközben távoli, anélkül, hogy csatlakoznia kellene a vállalati hálózathoz. Annak ellenére, hogy a Microsoft megöli azt a követelményt, hogy a felhasználóknak gyakran meg kell változtatniuk a jelszavakat, még mindig vannak olyan esetek, amikor a jelszavakat vissza kell állítani:
- a régi házirend továbbra is érvényben marad, és a jelszó lejár
- a felhasználó hitelesítő adatait gyaníthatóan bennfentes fenyegetés vagy kibertámadás veszélyeztette, ezért adminisztratívan vissza kell állítani
- a jelenleg létrehozott jelszó sérült/kiszivárgott jelszót használ, és adminisztratívan vissza kell állítani
- a felhasználó elfelejti a jelszavát (mint például olyan sokáig gyorsítótárban volt, hogy nem is tudják, mi az)
a felhasználó kérdés kéznél van, amikor a jelszót kell visszaállítani az Active Directory oldalán az egyenlet, hogyan frissíti a helyileg tárolt hitelesítő adatok? Az érintett felhasználónak csatlakoznia kell a vállalati hálózathoz (konkrétan egy tartományvezérlőhöz (DC)), hogy helyben újonnan létrehozott hitelesítő adatok gyorsítótárral rendelkezzen. Most néhányan már előttem gondolkodtak: “a felhasználóim VPN-t használnak, ezért logikusan a hálózaton vannak, tehát jól vagyunk.”De a Proofpoint nemrégiben készült tanulmánya szerint a felhasználóknak csak 39% – A rendelkezik VPN-vel, és ezeknek az embereknek csak 47% – a használja következetesen. Továbbá, sok VPN-kapcsolat a DC-vel a bejelentkezés után jön létre, így nem minden lehetséges forgatókönyv, amely felmerülhet, megoldódik informatikai támogatás nélkül.
röviden, végül a helyben tárolt hitelesítő adatok problémája utoléri Önt.
tehát milyen lehetőségei vannak a lejárt hitelesítő adatok frissítésére,és melyek a biztonsági következmények?
először is, mivel az a probléma, amelyet megoldunk, az, hogy a távoli végponteszköznek frissítenie kell a gyorsítótárazott hitelesítő adatokat, az alapul szolgáló folyamat nagyrészt ugyanaz: Az eszközt logikusan csatlakoztatni kell a vállalati hálózathoz (ismét, különösen a DC-hez való hozzáféréssel) VPN-en keresztül, és (feltételezve, hogy Windows 10 rendszert futtat) nyomja meg a Ctrl-Alt-Del billentyűt, és válassza a Jelszó módosítása lehetőséget.
amikor ezt a folyamatot gyakorlati alkalmazásban látja, néhány forgatókönyvet kell figyelembe venni a helyileg tárolt hitelesítő adatok frissítése körül, és hogy az egyes hatások hogyan hatnak a vállalati biztonságra és az IT-re.
1. Ismert, nem lejárt jelszó, amely képes csatlakozni-ez a lehetséges forgatókönyvek arany standardja. A tech-hozzáértő felhasználó egyszerűen csatlakozik a VPN-hez, megváltoztatja a jelszavát, és megy a napja. Tiszta ez nirvana.
2. Ismert, lejárt jelszó, nem tud csatlakozni – harmadik féltől származó jelszó-visszaállítási megoldások nélkül a VPN itt követelmény. A service desk részt vesz abban, hogy megkönnyítse legalább a “vállalati hálózathoz való csatlakozást” azáltal, hogy manuálisan visszaállítja a jelszavát a meglévőre, mint potenciális megoldást, és azonnal megváltoztatja azt, ami magában foglalhatja a jelszó megváltoztatásához szükséges kulcsok megtalálását.
3. Ismeretlen jelszó-félretéve a kapcsolódási problémát, itt kezdődik a valódi biztonsági kockázat. Amikor a felhasználók nem tudják, mi a jelszavuk, akkor nyilvánvalóan a service desk kezdeti visszaállítását igényli, majd az első bejelentkezéskor a jelszó megváltoztatását, akárcsak a fenti forgatókönyv. A biztonsági kockázat abban rejlik, hogy a felhasználót a hitelesítő adatok tulajdonosaként azonosítják, mielőtt átadnák a visszaállítási jelszót. Legalább az első forgatókönyvben tudták a régi jelszót, bár nem túl biztonságos ellenőrzési módszer ez a kezdet. Így, ebben az esetben, a második hitelesítési tényező valamilyen formája nélkül, amely túlmutat, “ki ez?”vagy” mi a munkavállalói azonosítója?”nagyon kockázatos.
4. Kényszerített Visszaállítás-azokban az esetekben, amikor a felhasználó hitelesítő adatainak visszaállítását kényszeríti (ismét olyan problémák miatt, mint például a gyanú, hogy a cyberattack veszélyeztette), az újonnan visszaállított jelszó kommunikálásához a felhasználóval való együttműködésnek magában kell foglalnia a hitelesítő adatok tulajdonosának érvényesítésének nagyon specifikus és biztonságos formáját, mielőtt átadná a visszaállítási jelszót.
a gyorsítótárazott hitelesítő adatok frissítése helyes
a probléma itt kétágú, a gyorsítótárazott hitelesítő adatok végső soron az informatikai támogatási hívások növekedéséhez és a termelékenység csökkenéséhez vezetnek, azonban itt van egy biztonsági probléma. A hitelesítő adatok tulajdonosának valló felhasználó és a hitelesítő adatok frissítésének megkönnyítése érdekében ideiglenes jelszót átadó service desk ügynök közötti átadás támadásoknak teheti ki a szervezetet.
a szervezeten belüli felhasználók különböző szintű hozzáféréssel rendelkeznek, és ezért eredendő kockázattal járnak. Tehát tegyük hozzá a keverékhez, hogy azoknak, akiknek magasabb szintű hozzáférése van az érzékeny, védett és egyébként értékes információkhoz, sokkal több érvényesítésre van szükségük, mint bármelyik egyszerű módszernek, amelyet gyakran használnak az IT service desk-nél.
a helyileg tárolt hitelesítő adatok frissítése biztonsági probléma. És a legjobb biztonság az, amiről a felhasználó nem tud. Ehhez hozzá kell tenni, hogy a legjobb megoldás az, amellyel nem kell részt vennie. A fenti forgatókönyvekből nyilvánvaló, hogy a proaktív, tech-hozzáértő felhasználót érintő forgatókönyv megfelel a kritériumoknak. De ez csak nem a valóság az idő nagy részében. Tehát szükség lehet harmadik féltől származó jelszó önkiszolgáló megoldásra, amely integrálódik a Windows bejelentkezési folyamatába, hogy megkönnyítse a cikkben említett három ismeretlent: a felhasználó technikai bátorsága, a vállalati hálózathoz való csatlakozás képessége, és a jelszó-visszaállítást kérő személy érvényesítésének képessége valójában a hitelesítő adatok tulajdonosa.
harmadik féltől származó megoldás nélkül a válasz egyszerű: VPN, változtassa meg a jelszót. Ha ez általában nem megvalósítható, azt javaslom, keressen olyan megoldást, amely megfelel a távoli munkaerőnek ott, ahol vannak, miközben segít fenntartani a termelékenységet és a vállalati biztonságot.