Provocarea actualizării acreditărilor în cache local

pe măsură ce organizațiile lucrează pentru a asigura productivitatea forței de muncă la distanță, problema acreditărilor în cache va apărea inevitabil, provocând o problemă utilizatorului afectat și Biroului de servicii IT.

nu este un secret faptul că o parte materială din aproape fiecare forță de muncă funcționează de la distanță. Ați petrecut ultimele luni încercând să stabiliți conectivitatea la distanță, productivitatea bazată pe cloud și o formă de securitate cuprinzătoare-toate pentru a permite angajaților dvs. la distanță să își facă treaba în timp ce îndeplinesc cerințele de guvernanță corporativă în ceea ce privește securitatea și conformitatea cât mai bine posibil. Dar, cu aproximativ 40% din forța de muncă la distanță care utilizează dispozitive corporative în timp ce lucrează de acasă, există o problemă care poate fi chiar după colț, care este probabil pe punctul de a deveni o problemă care va implica acel subset al întregii forțe de muncă la distanță – care expiră acreditările cache local.

pentru cei dintre voi noi care nu sunt familiarizați cu acreditările cache local, iată un primer foarte scurt: deoarece utilizatorul este la distanță, nu se pot conecta cu ușurință (dacă este deloc) la un controler de domeniu (DC) din rețeaua corporativă. Deci, Windows păstrează o copie a acreditărilor utilizatorului în cache pe dispozitivul local și utilizatorul se poate conecta liber la nivel local în timp ce se află la distanță, fără a fi nevoie să se conecteze la rețeaua corporativă. În ciuda faptului că Microsoft a ucis cerința de a solicita utilizatorilor să schimbe frecvent parolele, există încă scenarii în care parolele trebuie resetate:

  • politica veche rămâne în vigoare și o parolă expiră
  • acreditarea utilizatorului este suspectată că a fost compromisă de amenințarea din interior sau de atacul cibernetic și trebuie resetată administrativ
  • parola stabilită în prezent se dovedește a utiliza o parolă compromisă/scursă și este resetată administrativ
  • utilizatorul își uită parola (ca în, a fost stocată în cache atât de mult timp, nici măcar nu știu ce este)

problema la îndemână este atunci când parola trebuie să fie restabilită pe partea Active Directory a ecuației, cum actualizați acreditări cache local? Utilizatorul afectat trebuie să fie conectat la rețeaua corporativă (în special, la un controler de domeniu (DC)) pentru a avea un set nou stabilit de cache de acreditări la nivel local. Acum, unii dintre voi sunt deja înaintea mea gândindu-mă: „utilizatorii mei folosesc un VPN și, prin urmare, sunt logic în rețea, deci suntem bine.”Dar, potrivit unui studiu recent realizat de Proofpoint, doar 39% dintre utilizatori au instalat un VPN și doar 47% dintre acești oameni îl folosesc în mod consecvent. În plus, multe conexiuni VPN la DC sunt stabilite după autentificare, astfel încât nu toate scenariile potențiale care pot apărea vor fi rezolvate fără suport IT.

pe scurt, în cele din urmă, problema acreditărilor cache la nivel local se va prinde cu tine.

deci, care sunt opțiunile dvs. de actualizare a acreditărilor expirate și care sunt ramificațiile de securitate pentru fiecare?

În primul rând, deoarece problema pe care o rezolvăm este că dispozitivul final de la distanță trebuie să actualizeze acreditările din cache, procesul de bază este în mare parte același: Dispozitivul trebuie să fie conectat logic la rețeaua corporativă (din nou, în special cu acces la un DC) prin VPN și va trebui să (presupunând că executați Windows 10) apăsați Ctrl-Alt-Del și alegeți schimbați o parolă.

când vedeți acest proces în aplicare practică, există câteva scenarii de luat în considerare în jurul actualizării acreditărilor cache local și a modului în care fiecare are impact asupra securității corporative și IT.

1. Parola cunoscută, neexpirată, capabilă să se conecteze – acesta este standardul de aur al scenariilor posibile. Utilizatorul tech-savvy pur și simplu se conectează la VPN, și își schimbă parola, și merge despre ziua lor. Pur-l nirvana.

2. Parolă cunoscută, expirată, incapabilă să se conecteze – fără soluții de resetare a parolei terță parte, VPN este o cerință aici. Biroul de service va fi implicat pentru a facilita cel puțin” conectarea la rețeaua corporativă”, resetând manual parola la cea existentă ca soluție potențială și făcându-i să o schimbe imediat, ceea ce poate implica ajutarea la găsirea cheilor necesare pentru a obține schimbarea unei parole.

3. Parolă necunoscută-lăsând problema conectivității deoparte, aici începe adevăratul risc de securitate. Atunci când utilizatorii nu știu ce parola lor este de a începe cu, este nevoie, evident, o resetare inițială de birou de service, și apoi o schimbare parola la prima logon, la fel ca scenariul de mai sus. Riscul de securitate vine sub forma identificării utilizatorului ca proprietar de acreditare înainte de predarea parolei de resetare. Cel puțin în primul scenariu, știau parola veche, deși nu este o metodă de verificare foarte sigură, este un început. Deci, în acest caz, fără o formă de un al doilea factor de autentificare care merge dincolo, ” cine e asta?”sau” care este ID-ul dvs. de angajat?”este foarte riscant.

4. Resetare forțată – în cazurile în care forțează o resetare a acreditării unui utilizator (din nou, din cauza unor probleme cum ar fi suspectarea că a fost compromisă de atac cibernetic), actul de a lucra cu utilizatorul pentru a comunica o parolă nou resetată trebuie să implice o formă foarte specifică și sigură de validare a proprietarului acreditării înainte de a preda parola de resetare.

obținerea actualizării corecte a acreditărilor în cache

problema aici este în două direcții, acreditările în cache vor duce în cele din urmă la o creștere a apelurilor de asistență IT și la pierderea productivității, dar există o problemă de securitate la îndemână aici. Transferul dintre utilizatorul care pretinde că este proprietarul acreditării și agentul Service desk care trebuie să predea o parolă temporară pentru a facilita actualizarea acreditării poate lăsa o organizație expusă atacurilor.

utilizatorii din cadrul organizației dvs. au niveluri diferite de acces și, prin urmare, riscuri inerente. Deci, adăugați la mix aici că cei cu niveluri ridicate de acces la informații sensibile, proprietare și altfel valoroase au nevoie de mult mai multă validare decât oricare dintre metodele simpliste utilizate adesea la biroul de servicii IT.

actualizarea acreditărilor cache local este o problemă de securitate. Și cea mai bună securitate este cea despre care utilizatorul nu știe. În plus, cea mai bună soluție este cea cu care nu trebuie să se implice. Este evident, din scenariile de mai sus, scenariul care implică un utilizator proactiv, tech-savvy îndeplinește criteriile. Dar asta nu este realitatea de cele mai multe ori. Deci, poate fi nevoie să căutați o soluție de autoservire a parolei terță parte care se integrează cu procesul de conectare Windows pentru a ajuta la simplificarea celor trei necunoscute pe care le-am menționat în acest articol: priceperea tehnică a utilizatorului, capacitatea sa de a se conecta la rețeaua corporativă și capacitatea sa de a valida persoana care solicită resetarea parolei este de fapt proprietarul acreditării.

fără nicio soluție terță parte, răspunsul este simplu: VPN, schimbați parola. Atunci când acest lucru nu este în general fezabil, vă recomand să căutați o soluție care să răspundă forței de muncă la distanță acolo unde se află, ajutând în același timp la menținerea productivității și a securității corporative.

Lasă un răspuns

Adresa ta de email nu va fi publicată.