O desafio de atualizar as credenciais em cache local

admin

como as organizações trabalham para garantir a produtividade remota da força de trabalho, a emissão de credenciais em cache inevitavelmente aparecerá, causando um problema para o usuário impactado, e o serviço de TI.não é segredo que uma parte material de quase todos os trabalhadores está a funcionar remotamente. Você passei os últimos meses correndo para estabelecer conectividade remota, de produtividade baseado na nuvem, e de alguma forma abrangente de segurança para permitir que seus funcionários remotos para fazer seu trabalho, enquanto reunião de governança corporativa requisitos de segurança e conformidade como um melhor grau possível. Mas com cerca de 40% de trabalhadores remotos usando dispositivos corporativos enquanto trabalham em casa, há um problema que pode estar logo ao virar da esquina que é provável à beira de se tornar um problema que irá envolver esse subconjunto de toda a sua força de trabalho remota – expirar credenciais localmente Cache.

para aqueles de vocês novos a ele que não estão familiarizados com as credenciais em cache local, aqui está o primer muito breve: como o Usuário é remoto, Eles não podem facilmente (se de todo) se conectar a um controlador de domínio (DC) na rede corporativa. Assim, o Windows mantém uma cópia das credenciais do usuário em cache no dispositivo local e o usuário pode acessar livremente localmente, enquanto remoto, sem precisar se conectar à rede corporativa. Apesar da Microsoft matar o requisito de exigir que os usuários mudem as senhas com frequência, ainda existem cenários onde as senhas precisam ser reinicializadas:

  • Velha política permanece no lugar e uma senha não expira
  • A credencial do usuário é suspeita de ter sido comprometido pela ameaça interna ou cibernético e precisa ser administrativamente reset
  • atualmente estabelecidas senha é encontrado para ser usando um comprometida/vazou-passe e é administrativamente reset
  • O usuário esquecer sua senha (como em, tem sido armazenada em cache por tanto tempo, eles não sabem mesmo o que é)

A questão é quando a senha precisa ser restabelecida no Active Directory lado da equação, como você atualizar o credenciais em cache local? O usuário afetado precisa ser conectado à rede corporativa (especificamente, a um controlador de domínio (DC)) para ter um novo conjunto de credenciais cache localmente. Agora, alguns de vocês já estão à minha frente pensando: “meus usuários usam um VPN e estão, portanto, logicamente na rede, então estamos bem.”Mas de acordo com um estudo recente do Proofpoint, apenas 39% dos usuários têm um VPN instalado e apenas 47% dessas pessoas o usam consistentemente. Além disso, muitas conexões VPN para o DC são estabelecidas após o login de modo que nem todos os cenários potenciais que podem surgir serão resolvidos sem o Suporte de TI.

em resumo, eventualmente, o problema das credenciais em cache local irá alcançá-lo.

então, quais são as suas opções para atualizar credenciais expiradas, e quais são as ramificações de segurança para cada uma?

Em Primeiro Lugar, porque o problema para o qual estamos resolvendo é que o dispositivo remoto endpoint precisa atualizar as credenciais cache, o processo subjacente é, em grande parte, o mesmo: O dispositivo precisa de ser logicamente ligado à rede corporativa (mais uma vez, especificamente com acesso a um DC) através de VPN, e terá de (assumindo que está a correr o Windows 10) carregar em Ctrl-Alt-Del e escolher Alterar uma senha.ao ver este processo em aplicação prática, há alguns cenários a considerar em torno da atualização de credenciais em cache local e como cada um impacta a segurança corporativa e a ti.1. Senha conhecida, não expirada, capaz de se conectar – este é o padrão-ouro de possíveis cenários. O usuário experiente em tecnologia simplesmente se conecta com o VPN, e muda sua senha, e vai sobre o seu dia. Puro nirvana.2. Senha conhecida, expirada, incapaz de se conectar – sem soluções de reset de senha de terceiros, O VPN é um requisito aqui. A central de atendimento vai estar envolvidos para ajudar a facilitar, pelo menos, o “conexão à rede corporativa”, redefinindo manualmente a palavra-passe para o existente como uma solução potencial e altere-a imediatamente, o que pode ajudar a achar as chaves necessárias para chegar ao Alterar uma palavra-Passe. 3. Senha desconhecida-pondo de lado a questão da conectividade, é aqui que começa o verdadeiro Risco de segurança. Quando os usuários não sabem qual é sua senha para começar, obviamente requer um reset inicial pela mesa de serviço, e então uma mudança de senha no primeiro logon, assim como o cenário acima. O risco de segurança vem na forma de identificar o usuário como o proprietário credencial antes de entregar a senha de reset. No primeiro cenário, pelo menos, eles sabiam a senha antiga, embora não um método de verificação muito seguro é um começo. Então, neste caso, sem alguma forma de um segundo fator de autenticação que vai além, ” quem é esse?”ou” qual é a sua identificação de empregado?”é muito arriscado.4. Reset forçado-nos casos em que obriga a uma redefinição da credencial de um utilizador (mais uma vez, devido a questões como suspeitar que foi comprometida por um ciberataque), o acto de trabalhar com o utilizador para comunicar uma nova senha precisa envolver alguma forma muito específica e segura de validar o dono da credencial antes de passar a senha de reset.

obter a atualização credencial em cache correta

a questão aqui é de duas pontas, as credenciais em cache irão, em última análise, levar a um aumento nas chamadas de suporte de TI e perda de produtividade no entanto, há uma questão de segurança em mãos aqui. A transferência entre o usuário que afirma ser o proprietário credencial e o agente de serviço que precisa entregar uma senha temporária para facilitar a atualização credencial pode deixar uma organização exposta a ataques.

os utilizadores dentro da sua organização têm diferentes níveis de acesso e, portanto, risco inerente. Então, adicione à mistura aqui que aqueles com níveis elevados de acesso a informações sensíveis, proprietárias e de outra forma valiosas precisam de muito mais validação do que qualquer um dos métodos simplistas muitas vezes utilizados no serviço de TI.

atualizar as credenciais em cache local é uma questão de segurança. E a melhor segurança é aquela que o utilizador não conhece. Além disso, a melhor solução é aquela com a qual não precisa se envolver. É óbvio, a partir dos cenários acima, que o cenário envolvendo um usuário proativo e experiente em tecnologia cumpre os critérios. Mas essa não é a realidade na maioria das vezes. Então, pode haver uma necessidade de olhar para a solução de auto-serviço de senha de terceiros que se integram com o processo de logon do Windows para ajudar a simplificar as três incógnitas que mencionei neste artigo: o prowess técnico do Usuário, sua capacidade de se conectar à rede corporativa, e é a capacidade de validar a pessoa que solicita um reset de senha é de fato o proprietário credencial.

sem qualquer solução de terceiros, a resposta é simples: VPN, alterar a senha. Quando isso não é geralmente viável, eu recomendo que você procure uma solução que atenda a sua força de trabalho remota onde eles estão, enquanto ajudam a manter a produtividade e a segurança corporativa.

Deixe uma resposta

O seu endereço de email não será publicado.