ActiveSync-Geräte, bei denen Konten gesperrt werden

12

Wenn ein Benutzer sein Kontokennwort aus irgendeinem Grund ändert (gelesen: abgelaufen) und das alte Kennwort auf seinem über EAS verbundenen Mobilgerät gespeichert wird. Dies führt dazu, dass sein Konto fast sofort gesperrt wird - wie es gemäß der in der AD definierten Sperrrichtlinie der Fall sein sollte. Es war einfach, diesen Teil herauszufinden. Der schwierige Teil ist es, dies zu verhindern. Ich habe überall geschaut. Nichts. Das Puzzle besteht im Wesentlichen aus vier Teilen: dem EAS-Gerät, dem TMG (ISA) -Server, dem EAS-Protokoll und schließlich dem AD. Keiner von ihnen kann verhindern, dass sich das EAS-Gerät nicht authentifiziert. Also dachte ich mir, ich muss eine clevere Lösung finden. Und das Einzige, was ich mir einfallen lassen könnte, ist, eine Gruppe für alle EAS-Benutzer zu erstellen und sie von der Sperrrichtlinie auszuschließen, was offensichtlich den gesamten Zweck der Richtlinie zunichte macht.

Die Frage: Können Sie sich eine andere Möglichkeit vorstellen, um zu verhindern, dass EAS die Konten sperrt?

Umgebung: Meist iOS-Geräte über EAS. TMG 2010. Exchange 2007. AD 2008 R2.

active-directory exchange group-policy activesync microsoft-ftmg-2010 Abdullah
quelle
große Frage, im Ernst.
SpacemanSpiff
2
Die Sperrrichtlinie sollte laut Microsoft Security Compliance Manager zwischen 10 und 50 liegen. Was ist deine Einstellung?
TristanK
Gute Frage, ich bin gespannt, ob es eine angemessene Lösung gibt.
TheCleaner
Sie könnten äußerst clever sein und einen Forward-Proxy implementieren, der die Authentifizierungsversuche beeinflusst. AFAIK EAS basiert auf HTTPS. closedsrc.org/2010/11/…
Grizly

Antworten:

3

Normalerweise teilen wir den Benutzern mit, dass sie das Gerät in den "Flug" - oder "Flugzeug" -Modus versetzen und den Netzwerkzugriff unterbrechen sollen, wenn sie bereit sind, das Passwort zu ändern. Sobald sie das Passwort auf dem Desktop / Laptop ändern, können sie das neue Passwort eingeben Gerät und verbinden Sie sich wieder mit dem Netzwerk.

Natürlich versenden wir auch die Ablaufbenachrichtigung, damit sie für den Ablauf des Passworts gut vorbereitet sind.

KAPes
quelle
Das ist eine gute Idee, aber aus meiner Erfahrung, abhängig von den Benutzern, um ein Problem zu lösen, wird es mehr Probleme geben. Wir haben bereits ein Verfahren zur Änderung des Passworts eingerichtet, ohne dass es gesperrt wird, aber es wird von niemandem befolgt.
Abdullah
Ich habe vergessen hinzuzufügen, dass die Benutzer einige Zeit haben werden, um ihre Passwörter zu aktualisieren, ohne gesperrt zu werden, da die Authentifizierung alle 15 Minuten erfolgt.
Abdullah
Dies ist ein "Menschen" -Problem, und der Versuch, es mithilfe von Technologie zu lösen, verringert die Sicherheit der Umwelt, da es keine Möglichkeit gibt, das ideale Szenario zu erreichen. Wenn dies BlackBerry wäre, wäre dies kein Problem gewesen :)
KAPes
1

TMG SP2 verfügt jetzt über die Kontosperrfunktion, um dieses Problem zu vermeiden. Siehe: Hier , hier und hier .

Pierro222
quelle
Während dies theoretisch die Frage beantworten mag, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
Scott Pack
Während die TMG-Kontosperrfunktion für viele Anwendungsfälle nützlich sein kann, deckt sie nur die formularbasierte Authentifizierung ab. ActiveSync scheint keine formularbasierte Authentifizierung zu verwenden, daher scheint dies im Szenario des ursprünglichen Posters nicht zu funktionieren.
the-wabbit
1

Diese Frage hat mich ebenfalls herausgefordert. Als ernsthafte Option erwäge ich die zertifikatsbasierte ActiveSync-Authentifizierung. Zusammen mit der EAS-Richtlinie zur Anforderung eines Kennwortcodes zum Entsperren des Mobilgeräts sollte dies als Zwei-Faktor-Authentifizierung gelten (etwas, das Sie haben: Zertifikat auf Ihrem Mobilgerät, etwas, das Sie wissen: Kennwortcode für Ihr Mobilgerät). Auf diese Weise gibt es kein Problem, wenn das Kennwort abläuft. Hoffe das hilft. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
quelle
0

Es liegt an dem Gerät, dem Benutzer mitzuteilen, dass die Authentifizierung fehlgeschlagen ist. Ich denke, eine bessere Antwort ist die Verwendung von Good Messaging für Unternehmen auf den iOS-Geräten, die meiner Meinung nach EAS-Unterstützung für Unternehmen bieten.

Jim B
quelle
iOS zeigt eine Popup-Meldung an, um das Passwort zu aktualisieren, aber bis dahin wurde das Konto bereits gesperrt. Gute Nachrichten scheinen mir ein Übermaß zu sein.
Abdullah
0

Das ist eine gute Frage. Leider habe ich keine Möglichkeit gefunden, um zu verhindern, dass das Gerät versucht, sich zu authentifizieren, bis das Kennwort aktualisiert wurde. Sie können den Benutzer nur von der Kennwortrichtlinie ausschließen oder dokumentieren, wie er das Kennwort auf seinem Gerät ändert, und ihn jedes Mal daran erinnern, wenn sein Kennwort abläuft und sein Konto entsperrt werden muss.

Sie können auch ein Skript oder Programm verwenden, um Personen per E-Mail mitzuteilen, dass ihre Kennwörter in x Tagen ablaufen, und eine Erinnerung an die Änderung des Kennworts auf ihrem Telefon hinzuzufügen.

Ich hatte erwartet, dass dieses Problem bei meinem derzeitigen Arbeitgeber auftritt, da ich im November eine Kennwortrichtlinie eingeführt habe. Bisher scheinen meine mobilen Benutzer jedoch klug genug zu sein, ihre Kennwörter zu ändern, ohne daran erinnert zu werden.

schmuddelig
quelle
Das Ausschließen der Benutzer scheint die einzige, aber keine sehr gute Lösung zu sein. Unsere Benutzer erhalten bereits eine Benachrichtigung, bevor ihr Passwort abläuft. Sie erfahren, wie Sie Ihr Passwort ordnungsgemäß aktualisieren, um die Sperre zu umgehen, aber niemand liest. Ich würde vorschlagen, dass Sie Ihre Richtlinie testen. Vielleicht funktioniert es nicht einmal, wenn Sie nicht für die NASA arbeiten, und selbst dann bezweifle ich es.
Abdullah
0

Möglicherweise möchten Sie testen, wie sich die Authentifizierungsversuche des Geräts verhalten, wenn die Funktion "Immer auf dem neuesten Stand" nicht verwendet wird. Wenn ein Gerät so konfiguriert ist, dass es alle fünf Minuten abruft, anstatt Immer auf dem neuesten Stand zu sein, und dies nicht die Häufigkeit von Authentifizierungsfehlern verursacht, die eine Kontosperrung auslösen, kann dies eine praktikable Problemumgehung sein.

Greg Askew
quelle
Ich habe versucht, dass der TMG-Server so konfiguriert ist, dass alle 15 Minuten eine Authentifizierung angefordert wird. Die Benutzer haben Zeit, ihre Kennwörter zu aktualisieren, bevor die nächste Authentifizierung erfolgt. Wir können uns jedoch nicht auf die Benutzer verlassen. Ich habe auch versucht herauszufinden, wie oft iOS versucht, sich vor dem Aufgeben zu authentifizieren, konnte dies jedoch weder durch Testen noch durch Durchsuchen der nutzlosen Dokumentation von Apple tun.
Abdullah
Es scheint ziemlich einfach zu sein, die Anzahl der Authentifizierungsversuche anhand der IIS-Protokolle zu ermitteln.
Greg Askew
Ja, nachdem ich gestern meinen Kommentar gepostet hatte, wurde mir klar, dass ich das Protokoll nach Informationen durchsuchen konnte, also habe ich genau das getan. Ich habe nicht gefunden, wonach ich gesucht habe, aber ich werde weiter suchen.
Abdullah
0

Dies scheint ein Geräteproblem zu sein, bei dem das iPhone zu oft versucht, das alte, mittlerweile falsche Passwort zu verwenden. Apple hat einen technischen Hinweis zu diesem Problem veröffentlicht, der bessere Erfahrungen mit Geräten unter iOS7 verspricht: http://support.apple.com/kb/TS4583

cbrandlehner
quelle
-1

Blockieren Sie die ursprüngliche IP-Adresse in der Firewall vor dem Exchange-Server

Kevin
quelle
1
Es handelt sich um legitime Benutzer, die gerade einen aktuellen Kennwortpartner ändern und keine böswilligen Benutzer blockieren.
Grizly