Wyzwanie związane z aktualizacją lokalnie przechowywanych poświadczeń

admin

gdy organizacje pracują nad zapewnieniem zdalnej wydajności pracowników, problem z przechowywanymi poświadczeniami nieuchronnie pojawi się, powodując problem dla dotkniętego użytkownika i działu obsługi IT.

nie jest tajemnicą, że część materialna prawie każdej siły roboczej funkcjonuje zdalnie. Przez ostatnie kilka miesięcy starałeś się stworzyć zdalną łączność, produktywność opartą na chmurze i pewną formę kompleksowych zabezpieczeń-wszystko po to, aby Twoi zdalni pracownicy mogli wykonywać swoją pracę, spełniając jednocześnie wymogi ładu korporacyjnego dotyczące bezpieczeństwa i zgodności w jak najlepszym stopniu. Ale około 40% pracowników zdalnych korzysta z urządzeń firmowych podczas pracy w domu, istnieje problem, który może być tuż za rogiem, który prawdopodobnie stanie się problemem, który obejmie ten podzbiór całej zdalnej siły roboczej-wygasające lokalnie buforowane poświadczenia.

dla tych z Was, którzy nie są zaznajomieni z lokalnie buforowanymi poświadczeniami, oto bardzo krótki element: ponieważ użytkownik jest zdalny, nie może łatwo (jeśli w ogóle) połączyć się z kontrolerem domeny (DC) w sieci firmowej. Tak więc System Windows przechowuje kopię poświadczeń użytkownika w pamięci podręcznej na urządzeniu lokalnym, a użytkownik może swobodnie logować się lokalnie, gdy jest zdalny, bez potrzeby łączenia się z siecią firmową. Pomimo tego, że Microsoft zabija wymóg częstej zmiany haseł przez użytkowników, nadal istnieją scenariusze, w których hasła muszą zostać zresetowane:

  • stara Polityka pozostaje na miejscu, a hasło wygasa
  • dane uwierzytelniające użytkownika są podejrzewane o naruszenie przez Zagrożenie wewnętrzne lub cyberatak i muszą zostać zresetowane administracyjnie
  • Obecnie ustalone hasło jest używane przez zainfekowane/wyciekłe hasło i jest zresetowane administracyjnie
  • użytkownik zapomina swoje hasło (jak w, to było buforowane przez tak długo, że nawet nie wie, co to jest)

problem polega na tym, że hasło musi zostać przywrócone po stronie Active Directory, jak zaktualizować lokalnie buforowane poświadczenia? Użytkownik, którego to dotyczy, musi być podłączony do sieci firmowej (w szczególności do kontrolera domeny (DC)), aby lokalnie mieć nowo utworzony zestaw poświadczeń cache. Teraz niektórzy z was już wyprzedzają mnie myśląc: „moi użytkownicy korzystają z VPN i są w związku z tym logicznie w sieci, więc nic nam nie jest.”Ale zgodnie z niedawnym badaniem przeprowadzonym przez Proofpoint, tylko 39% użytkowników ma zainstalowaną sieć VPN, a tylko 47% z nich korzysta z niej konsekwentnie. Ponadto wiele połączeń VPN z DC jest nawiązywanych po zalogowaniu, więc nie wszystkie potencjalne scenariusze, które mogą się pojawić, zostaną rozwiązane bez wsparcia IT.

w skrócie, w końcu problem z lokalnie buforowanymi poświadczeniami dogoni cię.

Jakie są więc Opcje aktualizacji wygasłych poświadczeń i jakie są konsekwencje bezpieczeństwa dla każdego z nich?

Po pierwsze, ponieważ problem, który rozwiązujemy, polega na tym, że zdalne urządzenie końcowe musi zaktualizować zapisane w pamięci podręcznej poświadczenia, proces bazowy jest w dużej mierze taki sam: Urządzenie musi być logicznie połączone z siecią firmową (ponownie, konkretnie z dostępem do DC) za pośrednictwem VPN i będzie musiało (zakładając, że używasz systemu Windows 10) nacisnąć Ctrl-Alt-Del i wybrać Zmień hasło.

widząc ten proces w praktycznym zastosowaniu, istnieje kilka scenariuszy do rozważenia wokół aktualizacji lokalnie przechowywanych poświadczeń i tego, jak każdy z nich wpływa na bezpieczeństwo korporacyjne i IT.

1. Znane, nie wygasłe hasło, możliwość połączenia-to złoty standard możliwych scenariuszy. Doświadczony technologicznie użytkownik po prostu łączy się z VPN, zmienia hasło i zajmuje się swoim dniem. Czysta Nirwana.

2. Znane, wygasłe hasło, nie można się połączyć – bez rozwiązań resetowania hasła innych firm, VPN jest tutaj wymogiem. Service desk będzie zaangażowany w ułatwianie przynajmniej „łączenia się z siecią korporacyjną”, poprzez ręczne Resetowanie hasła do istniejącego jako potencjalnego rozwiązania i natychmiastową zmianę go, co może obejmować pomoc w znalezieniu kluczy potrzebnych do zmiany hasła.

3. Nieznane hasło-odkładając na bok problem z łącznością, tutaj zaczyna się prawdziwe zagrożenie bezpieczeństwa. Gdy użytkownicy nie wiedzą, jakie jest ich hasło, oczywiście wymaga to wstępnego zresetowania przez service desk, a następnie zmiany hasła przy pierwszym logowaniu, tak jak w powyższym scenariuszu. Zagrożenie bezpieczeństwa polega na zidentyfikowaniu użytkownika jako właściciela poświadczenia przed przekazaniem zresetowanego hasła. W pierwszym scenariuszu przynajmniej znali stare hasło, chociaż nie jest to bardzo bezpieczna metoda weryfikacji, to początek. Więc, w tym przypadku, bez jakiejś formy drugiego czynnika uwierzytelniającego, który wykracza poza: „kto to jest?”lub” jaki jest Twój Identyfikator pracownika?”to naprawdę ryzykowne.

4. Wymuszony Reset – w przypadkach, gdy wymusza to reset poświadczeń użytkownika (ponownie z powodu problemów, takich jak podejrzenie, że zostały naruszone przez cyberatak), czynność współpracy z użytkownikiem w celu przekazania nowo zresetowanego hasła musi obejmować bardzo konkretną i bezpieczną formę weryfikacji właściciela poświadczeń przed przekazaniem zresetowanego hasła.

uzyskanie poprawnej aktualizacji poświadczeń w pamięci podręcznej

problem jest dwojaki, buforowane poświadczenia ostatecznie doprowadzą do wzrostu liczby połączeń wsparcia IT i utraty wydajności, jednak istnieje problem bezpieczeństwa pod ręką. Przekazanie danych między użytkownikiem podającym się za właściciela poświadczeń a agentem service desk, który musi przekazać tymczasowe hasło w celu ułatwienia aktualizacji poświadczeń, może narażać organizację na ataki.

użytkownicy w Twojej organizacji mają różny poziom dostępu, a tym samym nieodłączne ryzyko. Dodajmy więc do tego, że osoby o podwyższonym poziomie dostępu do wrażliwych, zastrzeżonych i cennych informacji potrzebują znacznie więcej walidacji niż jakakolwiek z uproszczonych metod często stosowanych w dziale obsługi IT.

aktualizacja lokalnie przechowywanych poświadczeń jest problemem bezpieczeństwa. A najlepszym zabezpieczeniem jest to, o którym Użytkownik nie wie. Dodajmy do tego, że najlepszym rozwiązaniem jest to, z którym nie musi się angażować. Z powyższych scenariuszy wynika, że scenariusz z udziałem proaktywnego, zaawansowanego technologicznie użytkownika spełnia kryteria. Ale to nie jest rzeczywistość przez większość czasu. Może więc zaistnieć potrzeba skorzystania z samoobsługowego rozwiązania haseł innych firm, które integruje się z procesem logowania systemu Windows, aby uprościć trzy niewiadome, o których wspomniałem w tym artykule: sprawność techniczna Użytkownika, jego zdolność do łączenia się z siecią korporacyjną i zdolność do weryfikacji osoby żądającej zresetowania hasła jest w rzeczywistości właścicielem poświadczeń.

bez rozwiązania innej firmy odpowiedź jest prosta: VPN, Zmień hasło. Jeśli nie jest to zazwyczaj wykonalne, zalecam znalezienie rozwiązania, które zaspokoi potrzeby pracowników zdalnych tam, gdzie są, jednocześnie pomagając utrzymać produktywność i bezpieczeństwo korporacyjne.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.