อุปกรณ์ ActiveSync ทำให้บัญชีถูกปิดใช้งาน

12

เมื่อผู้ใช้เปลี่ยนรหัสผ่านบัญชีของเขาด้วยเหตุผลใดก็ตาม (อ่าน: หมดอายุ) และรหัสผ่านเก่าถูกเก็บไว้ในอุปกรณ์มือถือของเขาที่เชื่อมต่อผ่าน EAS นี่จะทำให้บัญชีของเขาถูกปิดใช้งานเกือบจะในทันที - ตามที่ควรเป็นไปตามนโยบายการล็อคที่กำหนดไว้ในโฆษณา มันง่ายที่จะเข้าใจส่วนนั้น ส่วนที่ยากคือการป้องกันไม่ให้เกิดขึ้น ฉันดูทุกที่ ไม่มีอะไร โดยพื้นฐานแล้วมีสี่ส่วนสำหรับปริศนา: อุปกรณ์ EAS, เซิร์ฟเวอร์ TMG (ISA), โปรโตคอล EAS และในที่สุดโฆษณา พวกเขาไม่มีวิธีที่จะหยุดอุปกรณ์ EAS จากการล้มเหลวในการตรวจสอบ ดังนั้นฉันคิดว่าฉันจะต้องแก้ปัญหาที่ชาญฉลาด และสิ่งเดียวที่ฉันจะทำได้คือสร้างกลุ่มสำหรับผู้ใช้ EAS ทั้งหมดและแยกพวกเขาออกจากนโยบายการปิดซึ่งเห็นได้ชัดว่าเอาชนะวัตถุประสงค์ทั้งหมดของนโยบาย

คำถาม: คุณนึกถึงวิธีอื่นในการป้องกัน EAS จากการล็อคบัญชีไม่ได้หรือไม่

สภาพแวดล้อม: อุปกรณ์ iOS ส่วนใหญ่ทั้งหมดผ่าน EAS TMG 2010 Exchange 2007 AD 2008 R2

— อับดุลลาห์
แหล่งที่มา

คำถามที่ดีอย่างจริงจัง

— SpacemanSpiff

2

นโยบายการล็อกควรอยู่ระหว่าง 10 และ 50 ตาม Microsoft Security Compliance Manager คุณตั้งค่าเป็นอะไร

— TristanK

เป็นคำถามที่ดีฉันอยากรู้ว่าจะมีวิธีแก้ไขที่คู่ควรหรือไม่

— TheCleaner

คุณอาจฉลาดกว่าและใช้พร็อกซีการส่งต่อที่กำหนดความพยายามในการตรวจสอบความถูกต้อง AFAIK EAS ใช้ HTTPS Closedsrc.org/2010/11/…

— Grizly

3

โดยปกติสิ่งที่เราบอกผู้ใช้คือการทำให้อุปกรณ์อยู่ในโหมด "เครื่องบิน" หรือ "เครื่องบิน" ตัดการเข้าถึงเครือข่ายเมื่อพวกเขาพร้อมที่จะเปลี่ยนรหัสผ่านเมื่อพวกเขาเปลี่ยนรหัสผ่านบนเดสก์ท็อป / แล็ปท็อปแล้วพวกเขาก็สามารถป้อนรหัสผ่านใหม่ อุปกรณ์และเชื่อมต่อกลับไปที่เครือข่าย

แน่นอนเรายังส่งการแจ้งเตือนการหมดอายุเพื่อให้พวกเขามีความพร้อมสำหรับรหัสผ่านที่หมดอายุ

— KAPes
แหล่งที่มา

นั่นเป็นความคิดที่ดี แต่จากประสบการณ์ของฉันขึ้นอยู่กับผู้ใช้ในการแก้ปัญหาจะสร้างปัญหามากขึ้น เรามีขั้นตอนในการเปลี่ยนรหัสผ่านโดยไม่ต้องล็อค แต่ก็ไม่มีใครติดตามได้

— Abdullah

ฉันลืมที่จะเพิ่มผู้ใช้จะมีเวลาในการปรับปรุงรหัสผ่านของพวกเขาโดยไม่ต้องล็อคเพราะการตรวจสอบจะเกิดขึ้นทุก 15 นาที

— อับดุลลาห์

นี่คือปัญหา "คน" และการพยายามแก้ปัญหาโดยใช้เทคโนโลยีจะช่วยลดความปลอดภัยของสภาพแวดล้อมเนื่องจากไม่มีวิธีที่จะบรรลุสถานการณ์ในอุดมคติ หากนี่คือ BlackBerry นี่คงไม่ใช่ปัญหา :)

— KAPes

1

TMG SP2 มีคุณสมบัติการล็อคบัญชีเพื่อป้องกันปัญหานี้แล้ว โปรดดูที่: ที่นี่ , ที่นี่และที่นี่

— Pierro222
แหล่งที่มา

ในขณะที่สิ่งนี้อาจตอบคำถามในทางทฤษฎีมันก็ควรที่จะรวมส่วนสำคัญของคำตอบที่นี่และให้ลิงค์สำหรับการอ้างอิง

— Scott Pack

ในขณะที่คุณสมบัติการล็อกบัญชี TMG อาจมีประโยชน์สำหรับการใช้งานหลายกรณี แต่ครอบคลุมเฉพาะการตรวจสอบสิทธิ์แบบฟอร์ม ActiveSync ดูเหมือนว่าจะไม่ใช้การรับรองความถูกต้องตามแบบฟอร์มดังนั้นดูเหมือนว่าจะไม่สามารถใช้งานได้ในสถานการณ์ของโปสเตอร์ต้นฉบับ

— the-wabbit

1

ฉันถูกท้าทายด้วยคำถามนี้เช่นกัน เป็นตัวเลือกที่ร้ายแรงฉันกำลังพิจารณาการรับรองความถูกต้องของ ActiveSync เมื่อใช้ร่วมกับนโยบาย EAS เพื่อขอรหัสผ่านสำหรับการปลดล็อคอุปกรณ์พกพาสิ่งนี้ควรนับเป็นการรับรองความถูกต้องด้วยสองปัจจัย (สิ่งที่คุณมี: ใบรับรองบนอุปกรณ์มือถือของคุณสิ่งที่คุณรู้: รหัสผ่านสำหรับอุปกรณ์มือถือของคุณ) วิธีนี้จะไม่มีปัญหาเมื่อรหัสผ่านหมดอายุ หวังว่านี่จะช่วยได้ http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

— Reinto
แหล่งที่มา

0

มันขึ้นอยู่กับอุปกรณ์ที่จะบอกผู้ใช้ว่าการตรวจสอบล้มเหลว ฉันคิดว่าคำตอบที่ดีกว่าคือการใช้สิ่งที่ดีเช่นการส่งข้อความที่ดีสำหรับองค์กรบนอุปกรณ์ iOS ซึ่งฉันเชื่อว่าให้การสนับสนุน EAS องค์กร

— จิมข
แหล่งที่มา

iOS จะแสดงข้อความป็อปอัพเพื่ออัปเดตรหัสผ่าน แต่เมื่อบัญชีถูกล็อคแล้ว ฉันคิดว่าการส่งข้อความที่ดีนั้นมากเกินไป

— อับดุลลาห์

0

นี่เป็นคำถามที่ดี น่าเสียดายที่ฉันยังไม่พบวิธีที่จะป้องกันไม่ให้อุปกรณ์พยายามพิสูจน์ตัวตนจนกว่ารหัสผ่านจะได้รับการอัปเดต สิ่งเดียวที่คุณทำได้คือแยกผู้ใช้ออกจากนโยบายรหัสผ่านหรือเอกสารวิธีการเปลี่ยนรหัสผ่านบนอุปกรณ์ของพวกเขาและเตือนพวกเขาทุกครั้งที่รหัสผ่านหมดอายุและพวกเขาต้องปลดล็อคบัญชีของพวกเขา

คุณสามารถใช้สคริปต์หรือโปรแกรมเพื่อส่งอีเมลถึงผู้คนว่ารหัสผ่านของพวกเขากำลังจะหมดอายุในจำนวน x วันและมีการแจ้งเตือนว่าพวกเขาต้องเปลี่ยนรหัสผ่านบนโทรศัพท์ของพวกเขา

ฉันคาดหวังว่าจะมีปัญหานี้กับนายจ้างปัจจุบันของฉันเนื่องจากฉันใช้นโยบายรหัสผ่านในเดือนพฤศจิกายน แต่จนถึงตอนนี้ผู้ใช้มือถือของฉันดูเหมือนจะเข้าใจดีพอที่จะเปลี่ยนรหัสผ่านโดยไม่ได้รับการเตือน

— smassey
แหล่งที่มา

การยกเว้นผู้ใช้ดูเหมือนว่าจะเป็นเพียงโซลูชันเดียว แต่ไม่ใช่วิธีที่ดีมาก ผู้ใช้ของเราได้รับการแจ้งเตือนก่อนรหัสผ่านหมดอายุด้วยขั้นตอนที่สมบูรณ์เกี่ยวกับวิธีการอัปเดตรหัสผ่านอย่างถูกต้องเพื่อหลีกเลี่ยงการล็อก แต่ไม่มีใครอ่าน ฉันขอแนะนำให้คุณทดสอบนโยบายของคุณบางทีมันอาจไม่ทำงานจนกว่าคุณจะทำงานให้กับ NASA และฉันก็สงสัย

— อับดุลลาห์

0

คุณอาจต้องการทดสอบความพยายามในการตรวจสอบความถูกต้องของอุปกรณ์เมื่อไม่ใช้ฟังก์ชัน "ทันสมัยเสมอ" หากอุปกรณ์ได้รับการกำหนดค่าให้โพลทุก ๆ ห้านาทีแทนที่จะใช้ Always Up To Date และไม่ได้รับอัตราความล้มเหลวในการตรวจสอบความถูกต้องที่ทริกเกอร์การปิดใช้บัญชีนี่อาจเป็นวิธีแก้ปัญหาได้

— เกร็กเบน
แหล่งที่มา

ฉันลองแล้วเซิร์ฟเวอร์ TMG ได้รับการกำหนดค่าให้ขอการรับรองความถูกต้องทุก 15 นาที ผู้ใช้จะมีเวลาในการอัปเดตรหัสผ่านก่อนที่จะมีการตรวจสอบสิทธิ์ครั้งต่อไป แต่เราไม่สามารถพึ่งพาผู้ใช้ได้ ฉันพยายามค้นหาว่า iOS พยายามพิสูจน์ตัวตนกี่ครั้งก่อนที่จะยอมแพ้ แต่ไม่สามารถทำได้โดยการทดสอบหรือดูเอกสารที่ไม่มีประโยชน์ของ Apple

— Abdullah

ดูเหมือนว่ามันจะตรงไปตรงมาพอสมควรที่จะกำหนดจำนวนครั้งในการตรวจสอบความถูกต้องโดยการตรวจสอบบันทึก IIS

— Greg Askew

ใช่หลังจากโพสต์ความคิดเห็นของฉันเมื่อวานนี้ฉันรู้ว่าฉันสามารถตรวจสอบบันทึกเพื่อดูข้อมูลได้ดังนั้นฉันจึงทำเช่นนั้น ฉันไม่พบสิ่งที่ฉันกำลังมองหา แต่ฉันจะดูต่อไป

— อับดุลลาห์มี. ค.

0

นี่เป็นปัญหาของอุปกรณ์ที่ iPhone พยายามบ่อยเกินไปโดยใช้รหัสผ่านเก่าซึ่งไม่ถูกต้องในขณะเดียวกัน Apple โพสต์ technote เกี่ยวกับปัญหานี้ซึ่งให้ประสบการณ์ที่ดีขึ้นกับอุปกรณ์ใน iOS7: http://support.apple.com/kb/TS4583

— cbrandlehner
แหล่งที่มา

-1

บล็อกไม่ให้ที่อยู่ IP เริ่มต้นบนไฟร์วอลล์หน้าเซิร์ฟเวอร์ Exchange

— เควิน
แหล่งที่มา

1

เรากำลังพูดถึงผู้ใช้ที่ถูกกฎหมายที่อยู่ในกระบวนการเปลี่ยนคู่ครองรหัสผ่านปัจจุบันไม่ใช่การบล็อกผู้ใช้ที่เป็นอันตราย

— Grizly