Périphériques ActiveSync provoquant le verrouillage des comptes

12

Lorsqu'un utilisateur modifie le mot de passe de son compte pour une raison quelconque (lire: expiré), et l'ancien mot de passe est stocké dans son appareil mobile connecté via EAS. Cela entraînera le verrouillage de son compte presque immédiatement - comme il se doit selon la politique de verrouillage définie dans l'AD. Il était facile de comprendre cette partie. Le plus dur est de l'empêcher de se produire. J'ai regardé partout. Rien. Fondamentalement, le casse-tête comprend quatre parties: l'appareil EAS, le serveur TMG (ISA), le protocole EAS et enfin l'AD. Aucun d'eux n'a un moyen d'empêcher le périphérique EAS de ne pas s'authentifier. J'ai donc pensé que je devrais trouver une solution de contournement intelligente. Et la seule chose que je pourrais trouver est de créer un groupe pour tous les utilisateurs d'EAS et de les exclure de la politique de verrouillage, ce qui va évidemment à l'encontre de l'objectif de la politique,

La question: pouvez-vous penser à un autre moyen d'empêcher EAS de verrouiller les comptes?

Environnement: principalement des appareils iOS via EAS. TMG 2010. Exchange 2007. AD 2008 R2.

active-directory exchange group-policy activesync microsoft-ftmg-2010 Abdullah
la source
grande question, sérieusement.
SpacemanSpiff
2
La stratégie de verrouillage doit être comprise entre 10 et 50 selon Microsoft Security Compliance Manager. Quel est le vôtre?
TristanK
Bonne question, je suis curieux de savoir s'il y aura une solution valable.
TheCleaner
Vous pourriez être extrêmement intelligent et implémenter un proxy direct qui façonne les tentatives d'authentification. AFAIK EAS est basé sur HTTPS. closedsrc.org/2010/11/…
Grizly

Réponses:

3

Normalement, ce que nous disons aux utilisateurs est de mettre l'appareil en mode "avion" ou "avion", en coupant l'accès au réseau lorsqu'ils sont prêts à changer de mot de passe, une fois qu'ils ont changé le mot de passe sur le bureau / ordinateur portable, ils peuvent entrer le nouveau mot de passe dans appareil et reconnectez-vous au réseau.

Bien sûr, nous envoyons également la notification d'expiration afin qu'ils soient bien préparés pour l'expiration du mot de passe.

KAPes
la source
C'est une bonne idée mais d'après mon expérience, dépendre des utilisateurs pour résoudre un problème créera plus de problèmes. Nous avons déjà une procédure en place pour changer le mot de passe sans être verrouillé, mais personne ne le suit.
Abdullah
J'ai oublié d'ajouter, les utilisateurs auront un peu de temps pour mettre à jour leurs mots de passe sans se bloquer, car l'authentification a lieu toutes les 15 minutes.
Abdullah
il s'agit d'un problème «de personnes» et essayer de résoudre en utilisant la technologie réduira la sécurité de l'environnement car il n'y a aucun moyen de réaliser le scénario idéal. Si c'était BlackBerry, cela n'aurait pas été un problème :)
KAPes
1

TMG SP2 dispose désormais de la fonction de verrouillage de compte pour éviter ce problème. Voir: Ici , ici et ici .

Pierro222
la source
Bien que cela puisse théoriquement répondre à la question, il serait préférable d'inclure ici les parties essentielles de la réponse et de fournir le lien de référence.
Scott Pack
Bien que la fonctionnalité de verrouillage de compte TMG puisse être utile pour de nombreux cas d'utilisation, elle ne couvre que l'authentification basée sur un formulaire. ActiveSync ne semble pas utiliser l'authentification basée sur un formulaire, il semble donc que cela ne fonctionnerait pas dans le scénario de l'affiche d'origine.
the-wabbit
1

J'ai également été mis au défi par cette question. En tant qu'option sérieuse, j'envisage une authentification ActiveSync basée sur un certificat. Avec la politique EAS de demander un code de mot de passe pour déverrouiller l'appareil mobile, cela devrait compter comme une authentification à deux facteurs (quelque chose que vous avez: certificat sur votre appareil mobile, quelque chose que vous savez: code de mot de passe pour votre appareil mobile). De cette façon, il n'y a aucun problème lorsque le mot de passe expire. J'espère que cela t'aides. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
la source
0

C'est à l'appareil de dire à l'utilisateur que l'authentification a échoué. Je pense qu'une meilleure réponse consiste à utiliser quelque chose comme Good messaging for enterprise sur les appareils ios qui, je crois, fournit un support EAS d'entreprise.

Jim B
la source
iOS affiche un message contextuel pour mettre à jour le mot de passe, mais le compte a déjà été verrouillé. Un bon message semble être une exagération, je pense.
Abdullah
0

C'est une bonne question. Malheureusement, je n'ai trouvé aucun moyen d'empêcher l'appareil de tenter de s'authentifier jusqu'à ce que le mot de passe soit mis à jour. La seule chose que vous pouvez faire est d'exclure l'utilisateur de la politique de mot de passe ou de documenter comment changer le mot de passe sur son appareil et lui rappeler à chaque fois que son mot de passe expire et qu'il a besoin que son compte soit déverrouillé.

Vous pouvez également utiliser un script ou un programme pour envoyer un e-mail aux gens indiquant que leur mot de passe va expirer dans x jours et inclure un rappel indiquant qu'ils doivent changer le mot de passe sur leur téléphone.

Je m'attendais à avoir ce problème chez mon employeur actuel depuis que j'ai mis en place une politique de mot de passe en novembre, mais jusqu'à présent, mes utilisateurs mobiles semblent assez avertis pour changer leurs mots de passe sans qu'on me le rappelle.

smassey
la source
Exclure les utilisateurs semble être la seule solution, mais pas très bonne, cependant. Nos utilisateurs reçoivent déjà une notification avant l'expiration de leur mot de passe avec des étapes complètes sur la façon de mettre à jour correctement leur mot de passe pour éviter le verrouillage, mais personne ne lit. Je vous suggère de tester votre politique, peut-être que cela ne fonctionne même pas, sauf si vous travaillez pour la NASA et même alors j'en doute.
Abdullah
0

Vous souhaiterez peut-être tester le comportement des tentatives d'authentification de l'appareil lorsque vous n'utilisez pas la fonctionnalité «Toujours à jour». Si un appareil est configuré pour interroger toutes les cinq minutes au lieu d'utiliser Always Up To Date, et que cela n'entraîne pas le taux d'échecs d'authentification qui déclenche le verrouillage du compte, cela peut être une solution de contournement viable.

Greg Askew
la source
J'ai essayé, le serveur TMG est configuré pour demander une authentification toutes les 15 minutes. Les utilisateurs auront le temps de mettre à jour leurs mots de passe avant la prochaine authentification, mais nous ne pouvons pas dépendre des utilisateurs. J'ai également essayé de savoir combien de fois iOS essaie de s'authentifier avant d'abandonner, mais je n'ai pas pu, ni en testant ni en consultant la documentation inutile d'Apple.
Abdullah
Il semble qu'il serait assez simple de déterminer le nombre de tentatives d'authentification en examinant les journaux IIS.
Greg Askew
Oui, après avoir posté mon commentaire hier, j'ai réalisé que je pouvais examiner le journal pour les informations, alors je l'ai fait. Je n'ai pas trouvé ce que je cherchais mais je vais continuer à chercher.
Abdullah
0

Cela semble être un problème d'appareil avec l'iPhone qui essaie trop souvent d'utiliser l'ancien mot de passe, incorrect entre-temps. Apple a publié une note technique sur ce problème, promettant une meilleure expérience avec les appareils sur iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
la source
-1

Bloquez l'adresse IP d'origine sur le pare-feu en face du serveur Exchange

Kevin
la source
1
Nous parlons d'utilisateurs légitimes qui sont en train de changer un mot de passe actuel, sans bloquer les utilisateurs malveillants.
Grizly