Movilidad

¿Por qué mi antigua contraseña funciona a través de ActiveSync?

Parafraseando a Han Solo de Star Wars, he estado en TI durante más de 20 años y he visto muchas cosas raras. He visto fallar los servicios de Exchange porque alguien (excepto yo) pensó que sería una buena idea eliminar los archivos de Microsoft .NET 2.0 en lugar de desinstalarlos. He visto monitores CRT arrojados a la basura y rebotaron dos veces y aterrizaron con algunos rasguños. He visto sistemas de fritura resucitados misteriosamente. He visto scripts de texto sin formato que se niegan a funcionar, aunque los mismos comandos ingresados ​​directamente en la computadora funcionan bien. Actualmente estoy trabajando en un problema extraño en el que los registros DNS de Active Directory desaparecen repentinamente, incluso sin que la limpieza de DNS esté activada.

En resumen, vi algo que no debería haber sucedido pero aún sucedió. Sé que siempre hay una explicación técnica detrás de todo (o debería haber una), pero debido a la falta de horas del día, tuve que atribuirle algunas rarezas al famoso eslogan de Walter Cronkite («Eso es todo»). unos pocos de segunda categoría.

Quiero hablar de algo tan extraño hoy porque parece un poco demasiado importante y demasiado extraño para dejar de lado con «bueno, lo pensaré cuando tenga tiempo para descansar». De hecho, cualquiera que trabaje o dirija un departamento de TI debería ser consciente de esto.

Me estoy conectando al servidor de Exchange local de mi empresa a través de ActiveSync en un Samsung Galaxy S3. Mi contraseña de Active Directory (cambiada regularmente) controla el acceso a mi correo electrónico.

La semana anterior, cambié mi contraseña en la oficina y nunca más volví a pensar en eso. Mi Droid continúa funcionando normalmente y no tiene problemas para acceder al correo electrónico. No fue sino hasta el día siguiente, aproximadamente 30 horas después del cambio de contraseña, que mi teléfono finalmente me solicitó la contraseña actualizada.

He visto que esto suceda antes, pero no es un gran problema hasta que reflexiono que esto podría representar un riesgo de seguridad significativo para la empresa. Si bien este retraso en la actualización de la contraseña puede estar bien para los empleados actuales a quienes no les importa si tienen que actualizar las contraseñas almacenadas en sus teléfonos hoy o mañana, piense en lo que les sucede a los ex empleados. Un empleado despedido, uno furioso, puede haber accedido ilegalmente al sistema de correo electrónico de una empresa durante todo el día. En esta era de políticas de traiga su propio dispositivo (BYOD), puede ser difícil para los administradores de TI ocupados asegurarse de que los empleados que se van desconecten la cuenta de correo electrónico de su teléfono del servidor de correo de la empresa, lo que RR. HH. no siempre sabe que debe ser requerido. paso de.

¿Por qué está pasando esto?

Primero, investigué cómo y por qué sucede esto. Después de todo, la conexión debería ser sencilla, ¿verdad?

Nota: el escenario basado en la nube aparecerá de manera similar, con acceso a Internet a servidores externos y un firewall entre ellos y el teléfono inteligente.

Lógicamente, parece que el teléfono inteligente debe atravesar el firewall hasta el servidor de acceso de cliente de Exchange, autenticarse con la cuenta de Active Directory del usuario y luego acceder al correo electrónico en el servidor de buzones de correo de Exchange. Entonces, ¿no tiene sentido que si se cambia la contraseña en Active Directory, el teléfono inteligente se corte inmediatamente hasta que la contraseña también se actualice allí?

Bueno, es un poco más complicado que eso. Cuando un teléfono inteligente se autentica en Exchange, emite lo que se llama un token de usuario. Este token se puede utilizar para el acceso posterior, por un tiempo limitado, sin necesidad de que el dispositivo presente la contraseña cada vez que el teléfono va a recoger el correo electrónico. Piense en ello como una pulsera de un parque acuático que le permite seguir empapando los toboganes mojados sin mostrar constantemente su boleto al asistente. Entonces, en realidad es más como esto:

activesync fig b

Tenga en cuenta la sección «Favorable para futuras visitas». Parece que en algunos casos, incluso después de que se haya cambiado la contraseña en Active Directory, el token de usuario permite la autenticación durante un período de tiempo considerable. La clave aquí parece ser que mi teléfono está usando push directo para recibir nuevos correos electrónicos lo antes posible. Esto también se ha informado para cuentas de Active Directory deshabilitadas. En ambos casos, sin embargo, si el teléfono inteligente se reinicia, parece solicitar una nueva contraseña la próxima vez que intente recopilar correo electrónico. Entonces, obviamente, el token de usuario solo es válido por un tiempo y debe actualizarse la próxima vez que se reinicie el teléfono.

¿Cómo se sienten los proveedores al respecto?

Una Artículos de Microsoft Reclamaciones «Por motivos de rendimiento, IIS almacena en caché los tokens de usuario y los actualiza cada 15 minutos.» IIS es el servicio web que permite el acceso al correo electrónico de Exchange.Microsoft dice que este intervalo se puede ajustar en el registro para establecerlo por debajo de los 15 minutos, y reiniciar todos los servicios de IIS (mediante el comando iisreset) actualizará la memoria caché del token (esta información también aparece en artículo separado).

Esta no parece ser la respuesta correcta, ya que mis contraseñas son válidas por más de un día (aparentemente 15 minutos), pero representa un grano de sal al que me acostumbré al leer los artículos de soporte de Microsoft, que en mi experiencia son conocidos por decirle que el problema de tal y tal ha sido solucionado por un paquete de servicio que ha estado en el sistema de problemas durante años. Por lo general, hay mejores respuestas proporcionadas por Google (aunque te encuentras con algunas pistas falsas como el popular «Creo que es un problema de DNS», que parece ser todo, desde la calvicie de patrón masculino hasta los ovnis. La causa de los secuestros, al menos en algunos círculos).

Investigué un poco más y descubrí que si bien, sí, un reinicio de IIS solucionaría el problema, no es factible reiniciar un servicio crítico cada vez que se despide a un empleado, ya que podría afectar a otros empleados. También puede lograr lo mismo restableciendo el grupo de aplicaciones utilizado por ActiveSync (en un servidor de acceso de cliente de Exchange, haga clic en Inicio, haga clic en Herramientas administrativas, haga clic en Administrador de Internet Information Services (IIS), luego expanda el nombre del servidor, haga clic en Grupos de aplicaciones, a la derecha -haga clic en MSExchangeSyncAppPool y haga clic en Reciclar). Además, mover los buzones de correo de los empleados que se fueron a otra base de datos de Exchange podría resolver el problema, pero todo esto es un poco más complicado de lo que debería ser.

¿Cuáles son las mejores prácticas para despedir empleados?

Debe coordinar una política de BYOD por escrito o una política de dispositivo móvil a través de RR. que todas las cuentas, datos y otra información de la empresa se han eliminado. Luego, el dispositivo debe desasociarse de la cuenta de usuario y ActiveSync debe desactivarse para esa cuenta. Una o más de sus políticas también deben incluir el principio de que si se considera que los pasos anteriores no se han implementado por completo, el departamento de TI puede, a su entera discreción, borrar estos dispositivos de forma remota.

Si este es el caso o simplemente necesita eliminar la asociación telefónica entre el dispositivo y la cuenta de usuario, asegúrese de seguir los pasos adecuados. Por ejemplo, en Exchange 2010, accedería a la Consola de administración de Microsoft Exchange, expandiría la Confirmación del destinatario, seleccionaría Buzón, buscaría y haría clic en el usuario y luego haría clic en Administrar teléfonos en las opciones establecidas a la derecha.

activesync fig c

Seleccione «Eliminar socio del teléfono celular» o «Realizar un borrado remoto para borrar los datos del teléfono celular» según sus necesidades, luego haga clic en «Eliminar».

Ahora vaya a las propiedades de la cuenta de usuario en Exchange (visite la Consola de administración de Microsoft Exchange, expanda la Confirmación del destinatario, seleccione Buzón, busque y haga clic con el botón derecho en el usuario y seleccione Propiedades, luego seleccione la pestaña Características del buzón) y deshabilite ActiveSync. También deshabilite Outlook Web App mientras esté allí:

activesync fig d

En conclusión

Este es un gran ejemplo de lo que significa hacer que la tecnología funcione de manera más fácil y eficiente, pero también puede ser un problema si no se administra adecuadamente. El hecho de que el token de usuario permita el acceso después de cambiar la contraseña es preferible a bloquear la cuenta de usuario debido a un intento fallido de inicio de sesión, pero puede tener efectos más nefastos. Las buenas políticas y la gestión de usuarios/dispositivos son las claves para superar este riesgo de seguridad, ¡no olvide mantener una comunicación saludable entre RR. HH. y TI para que pueda ver dónde van y vienen sus empleados!

LEER  Android N podría significar No App Drawer: por qué es un error épico

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba