Mentre le organizzazioni lavorano per garantire la produttività della forza lavoro remota, il problema delle credenziali memorizzate nella cache apparirà inevitabilmente, causando un problema per l’utente interessato e il service desk IT.
Non è un segreto che una parte materiale di quasi ogni forza lavoro funzioni da remoto. Hai trascorso gli ultimi mesi a correre per stabilire la connettività remota, la produttività basata sul cloud e una qualche forma di sicurezza completa, il tutto per consentire ai dipendenti remoti di svolgere il proprio lavoro soddisfacendo al contempo i requisiti di governance aziendale in materia di sicurezza e conformità nel miglior modo possibile. Ma con circa il 40% della forza lavoro remota che utilizza i dispositivi aziendali mentre lavora da casa, c’è un problema che potrebbe essere proprio dietro l’angolo che è probabilmente sul punto di diventare un problema che coinvolgerà quel sottoinsieme dell’intera forza lavoro remota – in scadenza credenziali memorizzate localmente.
Per quelli di voi che non hanno familiarità con le credenziali memorizzate nella cache locale, ecco il breve primer: poiché l’utente è remoto, non possono facilmente (se non del tutto) connettersi a un controller di dominio (DC) sulla rete aziendale. Pertanto, Windows conserva una copia delle credenziali dell’utente memorizzate nella cache sul dispositivo locale e l’utente può accedere liberamente in locale mentre è remoto senza dover connettersi alla rete aziendale. Nonostante Microsoft abbia eliminato il requisito di richiedere agli utenti di modificare frequentemente le password, ci sono ancora scenari in cui le password devono essere reimpostate:
- la Vecchia politica rimane al suo posto e una password scade
- Le credenziali dell’utente è sospettato di essere stato compromesso da insider minaccia o attacco e deve essere amministrativamente reset
- attualmente stabilite password è trovato ad utilizzare un compromesso/trapelato password e amministrativo reset
- L’utente dimentica la propria password (come in, è stato memorizzato nella cache per così tanto tempo, essi non sanno nemmeno di cosa si tratta)
Il problema è quando la password deve essere ristabilita in Active Directory lato dell’equazione, come si aggiorna il credenziali memorizzate nella cache locale? L’utente interessato deve essere connesso alla rete aziendale (in particolare, a un controller di dominio (DC)) per avere una nuova serie di credenziali cache localmente. Ora, alcuni di voi sono già davanti a me pensando, ” i miei utenti utilizzano una VPN e sono, quindi, logicamente sulla rete, quindi stiamo bene.”Ma secondo un recente studio di Proofpoint, solo il 39% degli utenti ha una VPN installata e solo il 47% di quelle persone la usa in modo coerente. Inoltre, molte connessioni VPN al DC sono stabilite dopo il login, quindi non tutti i potenziali scenari che potrebbero sorgere saranno risolti senza il supporto IT.
In breve, alla fine, il problema delle credenziali memorizzate nella cache locale ti raggiungerà.
Quindi, quali sono le opzioni per aggiornare le credenziali scadute e quali sono le ramificazioni di sicurezza per ciascuna?
Prima di tutto, poiché il problema che stiamo risolvendo è che il dispositivo endpoint remoto deve aggiornare le credenziali memorizzate nella cache, il processo sottostante è in gran parte lo stesso: Il dispositivo deve essere connesso logicamente alla rete aziendale (di nuovo, in particolare con l’accesso a un DC) tramite VPN, e dovrà (supponendo che tu stia eseguendo Windows 10) premere Ctrl-Alt-Canc e scegliere Modifica password.
Quando si vede questo processo in applicazione pratica, ci sono alcuni scenari da considerare intorno all’aggiornamento delle credenziali memorizzate nella cache locale e come ogni impatto sulla sicurezza aziendale e IT.
1. Password nota, non scaduta, in grado di connettersi: questo è il gold standard dei possibili scenari. L’utente tech-savvy si collega semplicemente alla VPN, e cambia la loro password, e va circa la loro giornata. Puro nirvana.
2. Password nota, scaduta, impossibile connettersi-senza soluzioni di reimpostazione della password di terze parti, la VPN è un requisito qui. Il service desk sarà coinvolto per contribuire a facilitare almeno la “connessione alla rete aziendale”, reimpostando manualmente la password a quella esistente come potenziale soluzione e facendola cambiare immediatamente, il che può comportare l’aiuto nel trovare le chiavi necessarie per arrivare a cambiare una password.
3. Password sconosciuta-Mettendo da parte il problema della connettività, è qui che inizia il vero rischio per la sicurezza. Quando gli utenti non sanno quale sia la loro password per cominciare, ovviamente richiede un reset iniziale da parte del service desk, e quindi una modifica della password al primo accesso, proprio come lo scenario sopra. Il rischio per la sicurezza si presenta sotto forma di identificare l’utente come proprietario delle credenziali prima di consegnare la password di reset. Nel primo scenario, almeno, conoscevano la vecchia password anche se non è un metodo di verifica molto sicuro, è un inizio. Quindi, in questo caso, senza una qualche forma di secondo fattore di autenticazione che va oltre, ” chi è questo?”o” qual è il tuo ID dipendente?”è davvero rischioso.
4. Reset forzato – nei casi in cui costringe un reset delle credenziali di un utente (di nuovo, a causa di problemi come il sospetto che sia stato compromesso da un attacco informatico), l’atto di lavorare con l’utente per comunicare una nuova password di reset deve coinvolgere una forma molto specifica e sicura di convalida del proprietario delle credenziali prima di consegnare la
Ottenere le credenziali memorizzate nella cache aggiornando correttamente
Il problema qui è duplice, le credenziali memorizzate nella cache alla fine porteranno ad un aumento delle chiamate di supporto IT e alla perdita di produttività, tuttavia c’è un problema di sicurezza a portata di mano qui. Il passaggio tra l’utente che dichiara di essere il proprietario delle credenziali e l’agente di service desk che deve consegnare una password temporanea per facilitare l’aggiornamento delle credenziali può lasciare un’organizzazione esposta ad attacchi.
Gli utenti all’interno dell’organizzazione hanno diversi livelli di accesso e, quindi, rischio intrinseco. Quindi, aggiungi al mix qui che quelli con livelli elevati di accesso a informazioni sensibili, proprietarie e altrimenti preziose hanno bisogno di molta più convalida di uno qualsiasi dei metodi semplicistici spesso utilizzati al service desk IT.
L’aggiornamento delle credenziali memorizzate nella cache locale è un problema di sicurezza. E la migliore sicurezza è quella che l’utente non conosce. Aggiungete a ciò, la soluzione migliore è quella con cui non ha bisogno di essere coinvolti. È ovvio, dagli scenari di cui sopra, lo scenario che coinvolge un utente proattivo e esperto di tecnologia soddisfa i criteri. Ma questa non è la realtà la maggior parte del tempo. Così, ci può essere la necessità di guardare a password di terze parti soluzione self-service che si integrano con il processo di accesso di Windows per aiutare a semplificare le tre incognite che ho citato in questo articolo: prodezza tecnica dell’utente, la loro capacità di connettersi alla rete aziendale, ed è la capacità di convalidare la persona che richiede una reimpostazione della password è in realtà il proprietario delle credenziali.
Senza alcuna soluzione di terze parti, la risposta è semplice: VPN, cambiare la password. Quando ciò non è generalmente fattibile, ti consiglio di cercare una soluzione che soddisfi la tua forza lavoro remota dove si trova, contribuendo al contempo a mantenere la produttività e la sicurezza aziendale.