ActiveSync设备导致帐户锁定


12

当用户出于任何原因更改其帐户密码(读取:已过期)时,旧密码存储在通过EAS连接的移动设备中。这将导致其帐户几乎立即被锁定-就像根据广告中定义的锁定策略一样。很容易弄清楚那部分。困难的部分是阻止它发生。我到处看。没有。基本上,这个难题包括四个部分:EAS设备,TMG(ISA)服务器,EAS协议以及最后是AD。他们都没有办法阻止EAS设备无法通过身份验证。所以我认为我必须想出一个聪明的解决方法。我唯一能想到的就是为所有EAS用户创建一个组,并将他们从锁定策略中排除,这显然违反了策略的整个目的,

问题:您能想到其他方法来防止EAS锁定帐户吗?

环境:大多数iOS设备都通过EAS。TMG2010。Exchange2007。AD2008 R2。


很好的问题,认真。
SpacemanSpiff 2012年

2
根据Microsoft Security Compliance Manager,锁定策略应在10到50之间。你打算做什么?
TristanK 2012年

好问题,我很好奇是否会有一个有价值的解决方案。
TheCleaner

您可能会非常聪明,并实现了塑造身份验证尝试的正向代理。.AFAIK EAS基于HTTPS。closedsrc.org/2010/11/...
Grizly

Answers:


3

通常,我们告诉用户的是将设备置于“飞行”或“飞机”模式,准备更改密码时切断网络访问,一旦他们在台式机/笔记本电脑上更改了密码,便可以在设备并重新连接到网络。

当然,我们还会发送过期通知,以便为密码过期做好充分的准备。


这是一个好主意,但根据我的经验,取决于用户解决问题会带来更多问题。我们已经有一个如何更改密码而不被锁定的过程,但是没有人遵循。
阿卜杜拉2012年

我忘了补充,因为每15分钟进行一次身份验证,用户将有一些时间来更新密码而不会被锁定。
阿卜杜拉2012年

这是“人”的问题,尝试解决使用技术的问题会降低环境的安全性,因为无法实现理想的方案。如果这是BlackBerry,这可能不是问题:)
KAPes 2012年

1

TMG SP2现在具有帐户锁定功能来防止此问题。请参阅: 这里这里这里


尽管从理论上讲这可以回答问题,但最好在此处包括答案的基本部分,并提供链接以供参考。
Scott Pack

尽管TMG帐户锁定功能可在许多用例中派上用场,但它仅涵盖基于表单的身份验证。ActiveSync似乎不使用基于表单的身份验证,因此在原始发布者的场景中看起来不可行。
the-wabbit 2013年

1

我也受到这个问题的挑战。作为一个严肃的选择,我正在考虑基于证书的ActiveSync身份验证。与要求提供用于解锁移动设备的密码的EAS策略一起,这应视为两步验证(您拥有的东西:移动设备上的证书,某些您知道的东西:移动设备的密码)。这样,密码过期时就没有问题。希望这可以帮助。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx


0

由设备决定是否通知用户身份验证失败。我认为一个更好的答案是在ios设备上使用诸如企业良好消息传递之类的东西,我相信它可以提供企业EAS支持。


iOS确实会显示一条弹出消息以更新密码,但此时该帐户已被锁定。我认为,良好的消息传递似乎是一种矫kill过正。
阿卜杜拉2012年

0

这是一个很好的问题。不幸的是,在更新密码之前,我还没有找到防止设备尝试进行身份验证的方法。您唯一可以做的就是将用户从密码策略中排除,或者记录如何在其设备上更改密码,并在密码每次过期并且需要解锁帐户时提醒他们。

您还可以使用脚本或程序向人们发送电子邮件,告知他们密码将在x天后过期,并提醒他们需要更改手机上的密码。

自从我在11月实施密码政策以来,我一直希望当前的雇主遇到这个问题,但是到目前为止,我的移动用户似乎足够聪明,可以在不被提醒的情况下更改密码。


但是,排除用户似乎是唯一的解决方案,但不是一个很好的解决方案。我们的用户已经在密码过期之前收到通知,其中包含有关如何正确更新密码以避免锁定的完整步骤,但没有人读。我建议您测试一下您的策略,除非您为NASA工作,否则它甚至无法生效,即使那样我也对此表示怀疑。
阿卜杜拉2012年

0

您可能需要测试在不使用“始终保持最新”功能时设备身份验证尝试的行为。如果将设备配置为每五分钟轮询一次而不是使用“始终保持最新状态”,并且不会引起触发帐户锁定的身份验证失败率,那么这可能是一个可行的解决方法。


我尝试过,将TMG服务器配置为每15分钟请求一次身份验证。用户将有时间在下一次身份验证发生之前更新其密码,但是我们不能依赖用户。我还试图通过放弃测试或研究Apple的无用文档来找出iOS在放弃之前尝试进行身份验证的次数,但无法进行。
阿卜杜拉2012年

似乎很容易通过检查IIS日志来确定身份验证尝试的次数。
格雷格·阿斯克

是的,昨天发表我的评论后,我意识到我可以检查日志中的信息,所以我做到了。我没有找到想要的东西,但我会继续寻找。
阿卜杜拉


-1

阻止Exchange服务器前面的防火墙上的原始IP地址


1
我们谈论的是正在更改当前密码伙伴的合法用户,而不是阻止恶意用户。
2012年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.