6 lutego 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Zarządzanie politykami haseł w domenie jest dla wielu administratorów trudnym tematem.
W wielu domenach istnieje pojedyncza polityka, dotycząca wszystkich użytkowników znajdujących się w domenie. Taka konfiguracja zostaje na stałe w naszym środowisku. Od czasów istnienia Active Directory, domyślny model polityki haseł nie zmienił się.
Dla niektórych jest to problem, gdyż niekoniecznie wszyscy użytkownicy muszą posiadać dokładnie taką samą politykę haseł. Na przykład, zwykli użytkownicy powinni posiadać zupełnie inną politykę niż kluczowe osoby w organizacji. Jak sobie z tym radzić?

W celu zmiany tego zachowania możemy posłużyć się obiektami, nazwanymi FGGPs(Fine Grained Password Policies). Są to elementy w domenie, dzięki którym możemy dowolnie zmodyfikować politykę haseł dla konkretnej grupy użytkowników lub samych użytkowników.

By móc zastosować takie polityki, mamy dwie możliwe ścieżki:

a.) Utworzyć politykę domenową, która będzie wyżej niż domyślna polityka domenowa. Również nie będzie wymagała żadnych ustawień dotyczących haseł.

b.) Zmodyfikować domyślną politykę domeny i wyłączyć odpowiednie wpisy dotyczące haseł.

Tego typu obiekty niestety, ale nie pozwalają nam na rozszerzenie wymagań co do hasła. Przykładowo nie możemy wymusić, by hasło nie zawierało określonych wzorców, typu ”qwerty”, ”zxcv”, ”asdf” i innych podobnych ciągów, które użytkownicy mogą często stosować w celu “przejścia” polityki haseł.

Kolejną kwestią, są zbyt wysokie wymagania co do haseł. Wielu użytkowników dość często zapomina swojego hasła, czy to przez możliwość logowania poprzez PIN lub przez logowania przy pomocy odcisku palca. Gdy hasło wygaśnie, użytkownicy potrzebują zapomnianego hasła, by móc zmienić je na nowe. Również zdarza się to pracownikom zdalnym, wówczas gdy nie mogą dostać się do zasobów firmy przy pomocy VPN’a. Wtedy użytkownicy piszą do administratorów lub wsparcia, by Ci zmienili im hasło. Często również zakładają zgłoszenie w systemie wsparcia. Ten proces nie jest optymalny i niepotrzebnie angażuje administratorów.

Taka sytuacja dla jednego użytkownika wydaje się błahym problemem. Zajmuje to od 5 do 10 minut pracy odpowiedniej osoby i użytkownik ma przypisane nowe hasło. Przy większej ilości użytkowników problem staje się całkiem poważny. Zakładając, że użytkownicy średnio zapominają hasła co 3 miesiące, przy organizacji liczącej 1000 osób jest to około 41 dni pracy w roku na sam restart haseł użytkowników. Ten czas administratorzy mogliby spożytkować w lepszy sposób, rozwiązując pilniejsze problemy.

Pod uwagę należałoby wziąć jeszcze inne systemy lub inne domeny, do których użytkownik ma dostęp. Ten czas mnoży się o każdy kolejny system.

Inną kwestią jest audytowanie prób zmiany hasła oraz częstotliwość ich zmian.
ActiveDirectory nie pozwala na proste raportowanie, kiedy użytkownikom wygaśnie hasło. Może być to cenna informacja dla administratorów lub samych użytkowników, by móc ich wcześniej powiadomić o takim fakcie. Również brakuje możliwości szybkiego podejrzenia, kiedy ostatni raz hasło zostało zmienione.
Moglibyśmy oprzeć się o Powershell’a, który wylistuje nam takich użytkowników. Jednak taki format danych nie jest przyjazny dla administratorów ani wsparcia. Dodatkowo, przydałaby się osoba z odpowiednimi kompetencjami, która potrafiłaby poprawnie obsłużyć Powershell’a.

Podsumowując, problemy z jakimi spotykamy się przy hasłach najczęściej to:

  • Problematyczna konfiguracja haseł per grupa użytkowników,
  • Ograniczenia Active Directory w zakresie złożonych polityk haseł,
  • Użytkownicy zapominający swoich haseł,
  • Wygaśnięcie hasła, wiążące się z brakiem możliwości dostępu zdalnego,
  • Czasochłonne restartowanie haseł,
  • Brak prostego sposobu na audyt środowiska AD.

Rozwiązanie tych problemów możliwe jest z użyciem jednego z naszych systemów, jakim jest ADSelfService Plus.

ADSelfService Plus jest narzędziem, które automatyzuje proces restartowania hasła użytkownika, w oparciu o wiele metod weryfikacji tożsamości, do których należą m.in.:

  • Pytania zabezpieczające,
  • Wiadomość e-mail,
  • Wiadomość SMS,
  • Google Authenticator,
  • Yubikey,
  • Odcisk palca.

ADSelfService Plus działa w postaci portalu Internetowego, przez który możemy zrestartować hasło do domeny. By to zrobić, użytkownik musi udać się pod ustalony adres np: restarthasla.domena.pl i wybrać opcję restartu hasła:

Po wpisaniu loginu, pojawią się możliwe do wyboru opcje, związane z restartem hasła:

Po wybraniu odpowiedniej metody oraz pomyślnym jej przejściu, użytkownik ma możliwość zmiany hasła.
Tym sposobem, użytkownik bez pomocy osób ze wsparcia, może samodzielnie zmienić swoje hasło

Od strony panelu administratora możemy dowolnie ustawiać, dla każdej grupy użytkowników/dowolnego OU, wybrane metody autoryzacji lub złożoności polityki hasła.
Mamy możliwość tworzenia wielu polityk, dla odrębnych grup.

Na załączonym zrzucie ekranu widzimy listę dostępnych polityk. Dla każdej z nich możemy ustawić osobne ustawienia dotyczące złożoności hasła:

Mamy możliwość ustawienia podstawowych elementów złożoności haseł oraz możemy rozszerzyć je również o dodatkowe własności, takie jak:

  • Blokada palindromowych haseł, np.: AsdFFdsA
  • Blokada użycia wyrazów ze słownika,
  • Blokada użycia znaków z nazwy użytkownika.

Odnośnie kwestii autoryzacji użytkownika, mamy możliwość sprecyzowania jej dla każdej polityki z osobna oraz wymuszenia, które polityki będą aktualnie działały.

Dodatkowo, możemy wymusić, by któryś sposób zawsze został użyty podczas resetu hasła.

Jednak aplikacja Internetowa nie rozwiązuje problemu w obliczu, gdy nie możemy zalogować się do komputera. Użytkownik nie ma dostępu do przeglądarki.
Ten aspekt został rozwiązany, poprzez użycia agenta GINA. Jest to mała aplikacja dla stacji roboczych, która pozwala na restart hasła, z poziomu ekranu logowania.

ADSelfService Plus pozwala również na synchronizację haseł pomiędzy domenami oraz innymi systemami. Nie zawsze jednak nazwa logowania z ActiveDirectory, pokrywa się z nazwami z innych systemów. Stąd system potrafi powiązywać użytkowników na podstawie innych pól, takich jak:

  • Adres e-mail,
  • Departament,
  • Numer telefonu.

Ostatnią kwestią, do której warto się odnieść jest możliwość raportowania. W ADSelfService Plus mamy przygotowane raporty, które pozwolą nam na analizę danych naszego środowiska. Są to m.in.:

  • Raport zablokowanych użytkowników.
  • Audyt prób zmian hasła.

Aplikacja ADSelfService Plus dodaje nam wiele możliwości w zakresie zarządzania hasłami w naszej domeny. Zaczynając od dodatkowych właściwości hasła, poprzez reset i odblokowanie konta, kończąc na synchronizacji haseł pomiędzy domenami. Dzięki niej, administratorzy zaoszczędzą swój cenny czas, a użytkownicy końcowi staną się bardziej samodzielni.

 

6 lutego 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Stanisław Rogasik

Stanisław Rogasik

ISAM Team Leader

Posiada obszerną wiedzę związaną z zarządzaniem Active Directory oraz zabezpieczaniem organizacji przed atakami z zewnątrz. Pasjonat bezpieczeństwa IT oraz konfiguracji całego środowiska, aż do najmniejszego elementu. Na co dzień zajmuje się zarządzaniem środowiskiem, bazami danych oraz dostosowywaniem rozwiązań pod nowe wymagania. W MWT Solutions odpowiedzialny za koordynację działu ISAM, wdrażanie i obsługę systemów technicznych marki ManageEngine z zakresu IT Operations Management, IT Security oraz Active Directory.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.
ul. Szyperska 14, 61-754 Poznań

+48 61 622 23 94

Napisz do nas