når organisasjoner arbeider for å sikre ekstern arbeidsstyrke produktivitet, problemet med bufret legitimasjon vil uunngåelig vises, forårsaker et problem for den berørte brukeren, OG IT service desk.
Det er ingen hemmelighet at noen materiell del av nesten alle arbeidsstyrker fungerer eksternt. Du har brukt de siste månedene på å scurrying for å etablere ekstern tilkobling, skybasert produktivitet og en form for omfattende sikkerhet-alt for å la dine eksterne ansatte få jobben sin, samtidig som de oppfyller krav til bedriftsstyring rundt sikkerhet og samsvar i best mulig grad. Men med omtrent 40% av eksterne arbeidsstyrker som bruker bedriftsenheter mens de jobber hjemmefra, er det et problem som kan være rett rundt hjørnet som sannsynligvis er i ferd med å bli et problem som vil innebære at delsettet av hele den eksterne arbeidsstyrken utløper lokalt bufret legitimasjon.
for de av dere som ikke er kjent med lokalt bufret legitimasjon, er det veldig kort primer: fordi brukeren er ekstern, kan de ikke lett (hvis i det hele tatt) koble til en domenekontroller (DC) på bedriftsnettverket. Så, Windows holder en kopi av brukerens legitimasjon bufret på den lokale enheten, og brukeren kan fritt logge inn lokalt mens ekstern uten å måtte koble til bedriftsnettverket. Til Tross For At Microsoft dreper kravet om å kreve at brukerne endrer passord ofte, er det fortsatt scenarier der passord må tilbakestilles:
problemet ved hånden er når passordet Må Gjenopprettes på active directory-siden av ligningen, hvordan oppdaterer Du lokalt bufret legitimasjon? Den berørte brukeren må være koblet til bedriftsnettverket (spesielt Til En Domenekontroller (DC)) for å ha et nyetablert sett med legitimasjon cache lokalt. Nå er noen av dere allerede foran meg og tenker: «mine brukere bruker EN VPN og er derfor logisk på nettverket, så vi har det bra .»Men Ifølge En Nylig Studie Av Proofpoint, har bare 39% av brukerne EN VPN installert og bare 47% av disse folkene bruker det konsekvent. I tillegg er MANGE VPN-tilkoblinger til DC etablert etter innlogging, slik at ikke alle potensielle scenarier som kan oppstå, vil bli løst uten IT-støtte.
Kort sagt, til slutt vil problemet med lokalt bufret legitimasjon komme opp med deg.
Så, hva er alternativene dine for å oppdatere utløpt legitimasjon, og hva er sikkerhetsrammene for hver?Først av, fordi problemet vi løser for, er at den eksterne endepunktenheten må oppdatere de bufrede legitimasjonene, er den underliggende prosessen stort sett den samme: Enheten må være logisk koblet til bedriftsnettverket (igjen, spesielt med tilgang TIL EN DC) VIA VPN, og må (forutsatt at Du kjører Windows 10) trykke Ctrl-Alt-Del og velg Endre Et Passord.
når du ser denne prosessen i praktisk anvendelse, er det noen scenarier å vurdere rundt oppdatering av lokalt bufret legitimasjon og hvordan hver påvirker bedriftens sikkerhet og IT.
1. Kjent, Ikke-Utløpt Passord, I Stand til Å Koble til – dette er gullstandarden for mulige scenarier. Den teknisk kunnskapsrike brukeren kobler bare TIL VPN, og endrer passordet sitt, og går om dagen. Ren DET nirvana.
2. Kjent, Utløpt Passord, Kan Ikke Koble til-UTEN tredjeparts passord reset løsninger, VPN ER et krav her. Servicedesken skal være involvert for å bidra til å lette minst «koble til bedriftsnettverket», ved å manuelt tilbakestille passordet til det eksisterende som en potensiell løsning og få dem til å endre det umiddelbart, noe som kan innebære å hjelpe med å finne nøklene som trengs for Å Få Til Å Endre Et Passord.
3. Ukjent Passord-Å Sette tilkoblingsproblemet til side, det er her sann sikkerhetsrisiko begynner. Når brukerne ikke vet hva passordet deres skal begynne med, krever det åpenbart en innledende tilbakestilling av service desk, og deretter en passordendring ved første pålogging, akkurat som scenariet ovenfor. Sikkerhetsrisikoen kommer i form av å identifisere brukeren som legitimasjonseier før overlevering av tilbakestillingspassordet. I det første scenariet visste de i det minste det gamle passordet, men ikke en veldig sikker bekreftelsesmetode, det er en start. Så, i dette tilfellet, uten noen form for en annen autentiseringsfaktor som går utover, » hvem er dette?»eller» hva er din ansatt ID ?»det er virkelig risikabelt.
4. Tvunget Tilbakestilling – i tilfeller der det tvinger en tilbakestilling av brukerens legitimasjon (igjen, på grunn av problemer som mistanke om at det har blitt kompromittert av cyberattack), må arbeidet med å jobbe med brukeren for å kommunisere et nylig tilbakestilt passord, involvere en veldig spesifikk og sikker form for validering av legitimasjonseieren før overlevering av tilbakestillingspassordet.
Få bufret legitimasjon oppdatere riktig
problemet her er todelt, vil bufret legitimasjon til slutt føre til en økning I IT-støtte samtaler og tap i produktivitet, men det er et sikkerhetsproblem for hånden her. Handoff mellom brukeren som hevder å være legitimasjonseier og service desk-agenten som trenger å levere et midlertidig passord for å lette legitimasjonsoppdateringen, kan la en organisasjon bli utsatt for angrep.
Brukere i organisasjonen har varierende tilgangsnivåer og derfor iboende risiko. Så legg til blandingen her at de med forhøyede nivåer av tilgang til sensitiv, proprietær og ellers verdifull informasjon trenger mye mer validering enn noen av de forenklede metodene som ofte brukes PÅ IT service desk.
Oppdatering av lokalt bufret legitimasjon er et sikkerhetsproblem. Og den beste sikkerheten er den brukeren ikke vet om. Legg til det, den beste løsningen er den den ikke trenger å bli involvert med. Det er åpenbart, fra scenariene ovenfor, scenariet som involverer en proaktiv, teknisk kunnskapsrik bruker oppfyller kriteriene. Men det er bare ikke virkeligheten mesteparten av tiden. Så det kan være behov for å se på tredjeparts passord selvbetjeningsløsning som integreres Med Windows-påloggingsprosessen for å forenkle de tre ukjente jeg har nevnt i denne artikkelen: brukerens tekniske dyktighet, deres evne til å koble til bedriftsnettverket, og det er evnen til å validere personen som ber om tilbakestilling av passord, er faktisk legitimasjonseieren.
uten tredjeparts løsning er svaret enkelt: VPN, endre passordet. Når det ikke er generelt mulig, anbefaler jeg at du ser etter en løsning som oppfyller din eksterne arbeidsstyrke der de er, samtidig som du bidrar til å opprettholde produktivitet og bedriftssikkerhet.