Устройства ActiveSync, вызывающие блокировку учетных записей

12

Когда пользователь по какой-либо причине меняет пароль своей учетной записи (читай: истек), а старый пароль сохраняется на его мобильном устройстве, подключенном через EAS. Это приведет к тому, что его учетная запись будет заблокирована почти сразу - как и должно быть в соответствии с политикой блокировки, определенной в AD. Было легко понять эту часть. Самое сложное - не допустить этого. Я посмотрел везде. Ничего. По сути, головоломка состоит из четырех частей: устройство EAS, сервер TMG (ISA), протокол EAS и, наконец, AD. Ни у одного из них нет способа остановить аутентификацию устройства EAS. Поэтому я подумал, что мне придется придумать умный обходной путь. И единственное, что я могу придумать, - это создать группу для всех пользователей EAS и исключить их из политики блокировки, которая, очевидно, наносит ущерб всей цели политики,

Вопрос: можете ли вы придумать какой-либо другой способ предотвратить блокировку учетных записей EAS?

Окружающая среда: в основном устройства iOS через EAS. TMG 2010. Exchange 2007. AD 2008 R2.

active-directory exchange group-policy activesync microsoft-ftmg-2010 Абдулла
источник
отличный вопрос, серьезно.
SpacemanSpiff
2
Политика блокировки должна быть от 10 до 50 в соответствии с Microsoft Security Compliance Manager. На что ты настроен?
TristanK
Хороший вопрос, мне интересно, будет ли достойное решение.
TheCleaner
Вы можете быть очень умным и реализовать прямой прокси, который формирует попытки аутентификации. AFAIK EAS основан на HTTPS. closedsrc.org/2010/11/…
Grizly

Ответы:

3

Обычно мы говорим пользователям о том, чтобы перевести устройство в режим «полета» или «полета», отключив доступ к сети, когда они будут готовы сменить пароль, как только они изменят пароль на настольном компьютере / ноутбуке, тогда они могут ввести новый пароль в устройство и подключиться обратно к сети.

Конечно, мы также отправляем уведомление об истечении срока действия, чтобы они были хорошо подготовлены к истечению срока действия пароля.

Kapes
источник
Это хорошая идея, но по моему опыту, зависимость от пользователей для решения проблемы создаст больше проблем. У нас уже есть процедура смены пароля без блокировки, но никто не следует ей.
Абдулла
Я забыл добавить, что у пользователей будет время обновить свои пароли без блокировки, поскольку аутентификация происходит каждые 15 минут.
Абдулла
это проблема «людей», и попытка решить ее с помощью технологии снизит безопасность окружающей среды, поскольку идеального сценария достичь невозможно. Если бы это был BlackBerry, это не было бы проблемой :)
KAPes
1

TMG SP2 теперь имеет функцию блокировки учетной записи, чтобы предотвратить эту проблему. Смотрите: здесь , здесь и здесь .

Pierro222
источник
Хотя это может теоретически ответить на вопрос, было бы предпочтительным включить сюда основные части ответа и предоставить ссылку для справки.
Скотт Пак
Хотя функция блокировки учетной записи TMG может пригодиться для многих случаев использования, она охватывает только аутентификацию на основе форм. Похоже, что ActiveSync не использует аутентификацию на основе форм, поэтому похоже, что это не сработает в сценарии исходного плаката.
The Wabbit
1

Меня тоже оспаривает этот вопрос. В качестве серьезного варианта я рассматриваю проверку подлинности ActiveSync на основе сертификатов. Вместе с политикой EAS требовать код пароля для разблокировки мобильного устройства это должно считаться двухфакторной аутентификацией (что у вас есть: сертификат на вашем мобильном устройстве, что вы знаете: код пароля для вашего мобильного устройства). Таким образом, нет никаких проблем, когда срок действия пароля истекает. Надеюсь это поможет. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
источник
0

Это зависит от устройства, чтобы сообщить пользователю, что аутентификация не удалась. Я думаю, что лучший ответ - это использовать что-то вроде Хорошего обмена сообщениями для предприятий на устройствах ios, которые, как я считаю, обеспечивают корпоративную поддержку EAS.

Джим Б
источник
iOS показывает всплывающее сообщение для обновления пароля, но к тому времени учетная запись уже заблокирована. Думаю, хорошее общение кажется излишним.
Абдулла
0

Это хороший вопрос. К сожалению, я не нашел способа предотвратить попытки аутентификации устройства до тех пор, пока пароль не будет обновлен. Единственное, что вы можете сделать, это исключить пользователя из политики паролей или документа о том, как сменить пароль на своем устройстве, и напоминать ему каждый раз, когда истекает срок действия его пароля и ему нужна разблокированная учетная запись.

Вы также можете использовать сценарий или программу для отправки по электронной почте пользователям сообщения о том, что срок действия их паролей истекает через x дней, а также напоминание о том, что им нужно сменить пароль на своем телефоне.

Я ожидал, что эта проблема возникнет у моего нынешнего работодателя, так как в ноябре я применил политику паролей, но пока что мои мобильные пользователи достаточно опытны, чтобы менять свои пароли без напоминания.

smassey
источник
Исключение пользователей кажется единственным решением, но не очень хорошим. Наши пользователи уже получают уведомление до истечения срока действия своего пароля, выполняя полные инструкции о том, как правильно обновить свой пароль, чтобы избежать блокировки, но никто не читает. Я бы посоветовал вам проверить свою политику, может быть, она даже не работает, если вы не работаете в НАСА, и даже тогда я сомневаюсь в этом.
Абдулла
0

Возможно, вы захотите проверить, как ведут себя попытки аутентификации устройства, если не использовать функцию «Всегда в курсе». Если устройство настроено на опрос каждые пять минут вместо использования «Всегда в курсе», и это не приводит к частоте сбоев аутентификации, которые приводят к блокировке учетной записи, это может быть приемлемым обходным путем.

Грег Аскью
источник
Я попробовал это, сервер TMG настроен на запрос аутентификации каждые 15 минут. У пользователей будет время обновить свои пароли до следующей аутентификации, но мы не можем зависеть от пользователей. Я также пытался выяснить, сколько раз iOS пытается пройти аутентификацию, прежде чем сдаться, но не смог ни протестировать, ни изучив бесполезную документацию Apple.
Абдулла
Похоже, было бы довольно просто определить количество попыток аутентификации, изучив журналы IIS.
Грег Аскью
Да, после публикации моего комментария вчера я понял, что могу просмотреть журнал на предмет информации, поэтому я сделал именно это. Я не нашел то, что искал, но я буду продолжать искать.
Абдулла
0

Похоже, это проблема устройства с iPhone, который слишком часто пытается использовать старый, но неверный пароль. Apple опубликовала технический комментарий по этой проблеме, обещающий лучший опыт работы с устройствами на iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
источник
-1

Заблокируйте исходный IP-адрес на брандмауэре перед сервером Exchange

Kevin
источник
1
Мы говорим о законных пользователях, которые находятся в процессе смены текущего пароля, а не блокируют злоумышленников.
Grizly