VPN-loses Passwort zurücksetzen
Beim Zurücksetzen von Passwörtern müssen die Verschlüsselungsschlüssel für die Windows Data Protection API (DPAPI) aktualisiert werden, damit Benutzer weiterhin gespeicherte Anwendungskennwörter verwenden können. In Szenarien, in denen der Domänencontroller nicht erreicht werden kann, z. B. beim Arbeiten aus der Ferne, kann der Specops Secured Browser ein solches Update ohne VPN durchführen. Die uReset-Einstellung Gespeicherte Anwendungskennwörter in Specops Authentication ermöglicht diesen Aktualisierungsmechanismus.
Das passwortlose Zurücksetzen von Passwörtern mit aktualisierten zwischengespeicherten Anmeldeinformationen nutzt die in Windows integrierte Data Protection API. DPAPI ist eine Windows-Komponente, die symmetrische Verschlüsselung jeder Art von Daten ermöglicht. Sie wird häufig verwendet, um sensible Informationen wie Anmeldeinformationen zu verschlüsseln. In diesen Fällen verwaltet DPAPI Geheimnisse, ohne dass der Benutzer zum Zeitpunkt der Verschlüsselung/Entschlüsselung ein Passwort eingeben muss. Da sensible Anwendungsdaten, die in DPAPI gespeichert sind (Mail-Anmeldeinformationen, VPN usw.), mit den Windows-Anmeldeinformationen verknüpft sind, ermöglicht DPAPI einen nahtlosen Übergang bei der Nutzung dieser Anwendungen, wann immer ein Passwort zurückgesetzt wird.
Specops Authentication verwendet DPAPI in Kombination mit dem Gatekeeper, um die Entschlüsselung zu ermöglichen, wann immer ein Passwort zurückgesetzt wird, wenn ein Benutzer nicht mit dem entsprechenden Domänencontroller verbunden ist.
Passwortloses Zurücksetzen von Passwörtern mit aktualisierten zwischengespeicherten Anmeldeinformationen
Da DPAPI eine Windows-Komponente ist, werden Anmeldeinformationen für Anwendungen wie Mail, VPN und andere automatisch aktualisiert, wann immer ein Windows-Passwort zurückgesetzt wird, wenn der Benutzer, der das Zurücksetzen durchführt, mit dem richtigen Domänencontroller (DC) verbunden ist. Eine vereinfachte Prozessbeschreibung wäre wie folgt:
- Benutzer (verbunden mit dem richtigen Domänencontroller) setzt das Passwort zurück.
- DPAPI kontaktiert den DC und aktualisiert die neuen Passwortinformationen.
- Mithilfe dieser aktualisierten Informationen können Anwendungen Daten entschlüsseln und weiterhin verwendet werden.
Wenn der Benutzer jedoch nicht mit dem DC verbunden ist, wenn das Passwort zurückgesetzt wird, können die Passwortinformationen nicht aktualisiert werden, und Benutzer können Anwendungen nicht weiter verwenden, es sei denn, sie aktualisieren die Passwortinformationen für diese Anwendung manuell. Dies kann zu Datenverlust, Verbindungsverlust oder Dienstverlust führen.
Mit dem passwortlosen Zurücksetzen von Passwörtern aus der Ferne wird dieser Verlust an Kontinuität verhindert, indem der Gatekeeper als Vermittler fungiert. Das gleiche Verfahren zum Zurücksetzen von Passwörtern mit passwortlosem Zurücksetzen aus der Ferne führt zu aktualisierten Passwortinformationen, indem der Gatekeeper verwendet wird, um DPAPI mit dem richtigen Domänencontroller zu verbinden.
In diesem Fall wird die Kontinuität gewahrt, ohne dass eine Benutzerintervention erforderlich ist.
Anforderungen für das passwortlose Zurücksetzen von Passwörtern mit aktualisierten zwischengespeicherten Anmeldeinformationen
Hinweis
Das passwortlose Zurücksetzen von Passwörtern aus der Ferne muss von Specops für Ihr Konto aktiviert werden.
Die Umgebung Ihrer Organisation muss die folgenden Anforderungen erfüllen:
| Element | Anforderung |
|---|---|
| Gatekeeper* | Build 8.23.21278.1 oder später |
| Client-Computer |
|
Hinweis
*Alle mit der Domäne verbundenen Gatekeeper müssen auf dem neuesten Stand sein, damit die Funktionalität funktioniert.
Einstellungen für das passwortlose Zurücksetzen von Passwörtern aus der Ferne
Das passwortlose Zurücksetzen von Passwörtern aus der Ferne ist standardmäßig nicht aktiviert. Um die Funktionalität des passwortlosen Zurücksetzens von Passwörtern mit aktualisierten zwischengespeicherten Anmeldeinformationen zu nutzen, müssen Sie es aktivieren.
- Gehen Sie in der Authentication Web zu uReset in der linken Navigation.
- Klicken Sie auf die Registerkarte Einstellungen.
- Aktivieren Sie das Kontrollkästchen für Entschlüsselung von DPAPI-Masterkeys zulassen.
Konfiguration des SecuredBrowser
Der SecuredBrowser kann so konfiguriert werden, dass er einen Proxy verwendet, wenn er innerhalb der Organisation verwendet wird. Sie können eines dieser (aber nicht beide) konfigurieren:
- ProxyServerUrl (Proxy-Server-URL für Secured Browser)
- ProxyServerPacUrl (Proxy-Server-PAC-URL für Secured Browser)
Diese Proxy-Einstellungen werden über die ADMX-Vorlage verwaltet.
Wenn ein direkter Proxy-Server verwendet wird, konfigurieren Sie Proxy-Server-URL für Secured Browser.
<string id="ProxyServerUrl">Proxy-Server-URL für Secured Browser</string>
<string id="ProxyServerUrlExplain">Diese Einstellung ermöglicht die Verwendung eines Proxy-Servers für den Secured Browser. Beispielwert: "http://proxyserver:proxyport"</string>
Wenn Proxy Auto-Config (PAC) verwendet wird, konfigurieren Sie die URL zum PAC-Server in Proxy-Server-PAC-URL für Secured Browser.
<string id="ProxyServerPacUrl">Proxy-Server-PAC-URL für Secured Browser</string>
<string id="ProxyServerPacUrlExplain">Diese Einstellung ermöglicht die Verwendung eines Proxy-Servers mit Proxy Auto-Configuration (PAC) für den Secured
Browser. Beispielwert: "http://proxyserver/proxy.pac"</string>
Hinweis
Wenn dies nicht konfiguriert wird, werden die Windows-Proxy-Einstellungen verwendet.