Flexible Security for Your Peace of Mind
Cached Credentials

Wie Sie Passwörter zurücksetzen und die lokalen Cached Credentials für Mitarbeiter im Home Office aktualisieren.

Wenn Sie Ihren Benutzer, die Remote arbeiten, die Möglichkeit geben wollen, ihre Passwörter eigenständig zurückzusetzen, aber aktuell keine Self Service Password Reset Lösung im Einsatz haben, dann sind Sie vielleicht auf der Suche nach einem Work Around für den Fall, dass die Passwörter Ihre Mitarbeiter ablaufen. Das Problem mit ablaufenden Kennwörtern für Nutzer, die Remote arbeiten, liegt in den Cached Credentials. Normalerweise erlauben sie es Benutzern, sich zu authentifizieren, wenn der Domänencontroller nicht erreichbar ist. Wenn Sie Ihr Passwort aber ändern oder zurücksetzen wollen und Remote arbeiten, dann ist das ein Problem. Die alten Anmeldeinformation (Cached Credentials) werden zwischengespeichert und nicht automatisch durch die neuen Anmeldeinformationen des neuen Passwortes ersetzt. Das Ergebnis ist, dass der Benutzer aus seinem Account ausgesperrt wird oder er sich an sein altes und neues Passwort erinnern muss, was sehr verwirrend sein kann. Dieser Blogbeitrag bietet Ihnen einige Behelfslösungen, um dem Problem mit ablaufenden Passwörtern zu begegnen.

Sollten Sie Passwörter so erstellen, dass sie nie ablaufen?

Eine nahe liegende Lösung wäre es, das Passwort niemals ablaufen zu lassen. Einige offizielle Stellen behaupten, dass das Konzept, Passwörter ablaufen zu lassen, bereits am Aussterben ist. Dies empfiehlt auch das BSI. Sollten Ihre Nutzer aber schwache oder kompromittierte Passwörter verwenden, sollten Sie diesen Vorschlag noch einmal überdenken. Bevor Sie den Wechsel vornehmen, sollten Sie mit unserem kostenlosen Tool Specops Password Auditor überprüfen, welche Konten in Active Directory kompromittierte Passwörter verwenden. Das Tool kann auch feststellen, welche Konten dies Selben Standardpasswörter verwenden. Bevor Sie Ihre Passwortrichtlinien also so aufsetzen, dass Passwörter niemals ablaufen, können Sie diese Informationen dazu nutzen, die Nutzer zu motivieren, starke Passwörter zu verwenden.

Versendung von Erinnerungs-E-Mails, dass das Passwort abläuft.

Wenn Sie hingegen den Empfehlungen, Passwörter nicht mehr ablaufen zu lassen, ablaufende Kennwörter durchsetzen müssen, müssen Sie sicherstellen, dass Remote-Benutzer, während sie mit einem VPN mit dem Unternehmensnetzwerk verbunden sind, ihre Kennwörter ändern, bevor sie abgelaufen sind. Sie können dies tun, indem Sie E-Mail-Erinnerungen zum Ablauf der Gültigkeitsdauer von Passwörtern an Benutzer senden. Denken Sie daran, dass viele vorhandene Bildschirmerinnerungen auch über VPN nicht mehr funktionieren. Specops Software bietet mit Specops Password Notification ein Kennwort-Benachrichtigungstool an, das das pwdLastSet-Attribut mit dem maximalen Kennwortalter in der Standard-Domänenrichtlinie oder der feinkörnigen Kennwortrichtlinie vergleicht, um Erinnerungs-E-Mails an Benutzer zu senden, die von einer konfigurierten Passwortgruppenrichtlinie betroffen sind. Indem Sie Benutzer dazu ermutigen, ihre Passwörter vor Ablauf der Gültigkeitsdauer zu ändern, können Sie das Cached Credential Problem vollständig verhindern.

Remote Passwort Reset: Schritt für Schritt erklärt

Ist der Fall eingetreten, dass die Passwörter abgelaufen sind, müssen sich die Benutzer an den Service Desk wenden, um Ihr Passwort zurückzusetzen. Verfügt Ihr Service Desk über eine sichere Möglichkeit, den Benutzer auf der anderen Seite des Telefons zu authentifizieren? Die meisten Organisationen verfügen nicht über ein sicheres Verfahren. Wenn Sie sich nur auf die Namen von Managern, MitarbeiterIDs oder Sicherheitsfragen verlassen, machen Sie den Service Desk anfällig für Social Engineering-Angriffe.

Sobald der Service Desk den Benutzer verifiziert hat, kann er sein Passwort zurücksetzen. Wenn er dies tut, muss er das Kästchen “user must change password at next logon” deaktivieren, da dies das Problem der Cached Credentials weiter beeinflusst, und der Benutzer hat normalerweise keine Möglichkeit, dies zu tun, wenn er aus der Ferne arbeitet. Dies wirft ein neues Sicherheitsproblem auf, da der Service Desk jetzt das Passwort des Benutzers kennt. Da die meisten Service-Desk-Mitarbeiter bei einer Passwortänderung Standardpasswörter verwenden, kann das Passwort leicht erraten werden, wenn es unverändert belassen wird.

Sobald der Service Desk das Kennwort geändert hat, muss er dem Nutzer die folgenden Punkte mitteilen. Je nach technischem Wissensstand des Nutzers kann dies zusätzliche Probleme aufwerfen.

  • Stellen Sie sicher das jedes Gerät, z. B. Handy, das versucht, sich mit Ihrem Konto mit dem ablaufenden Kennwort zu verbinden, ausgeschaltet ist.
  • Loggen Sie sich in den Computer mit dem abgelaufenen (cached) Kennwort ein.
  • Verbinden Sie sich dem Unternehmen via VPN (normalerweise erfordert dies das neue Kennwort, welches vom Service Desk erstellt wurde.)
  • Klicken Sie CTRL+Alt+Delete, ändern Sie das Kennwort und geben sie das vom Service Desk zur Verfügung gestellte Passwort ein)
  • Erstellen Sie ein neues Passwort, welches nur Ihnen bekannt ist und das dem Service Desk nicht bekannt ist, und bestätigen Sie es erneut.
  • Sperren Sie den Bildschirm und entsperren Sie ihn mit dem neuen Passwort, um die Cached Credentials mit den Credential des Active Directory zu synchronisieren

Wenn der Service Desk Glück hat, war der Benutzer erfolgreich. Wenn nicht, muss der Service Desk die Fehlersuche fortsetzen, bis der Benutzer wieder einsatzbereit ist. Dies kann schon einmal passieren, kann aber besonders umständlich sein, wenn die gesamte Organisation Remote arbeitet.

Cached Credentials mit Kennwortrücksetzung aktualisieren

Wenn Sie IT-Ressourcen freisetzen müssen, benötigen Sie eine Self-Service-Lösung zur Verwaltung von Remote-Passwortrücksetzungen. Unser Tool zum Zurücksetzen von Passwörtern ermöglicht es Benutzern, ihre Active Directory-Passwörter direkt vom Windows-Anmeldebildschirm aus sicher zurückzusetzen. Die Lösung verhindert auch Kontosperren, indem sie die lokal zwischen-gespeicherten Anmeldeinformationen aktualisiert, selbst wenn ein Domänencontroller nicht erreicht werden kann.

Kontaktieren Sie uns für weitere Informationen zu unserer Lösung uReset zum Zurücksetzen von Passwörtern oder fordern Sie eine kostenlose Testversion an.

(Zuletzt aktualisiert am 29/08/2023)

Tags: , ,

Zurück zum Blog