Restablecimiento de contraseña sin VPN
Al restablecer contraseñas, las claves de cifrado para la API de Protección de Datos de Windows (DPAPI) deben actualizarse para que los usuarios puedan seguir utilizando las contraseñas de las aplicaciones guardadas. En escenarios donde no se puede acceder al Controlador de Dominio, por ejemplo, al trabajar de forma remota, el Navegador Seguro de Specops puede realizar dicha actualización sin necesidad de una VPN. La configuración de uReset Contraseñas de aplicaciones guardadas en Specops Authentication habilita este mecanismo de actualización.
El restablecimiento de contraseñas sin VPN con actualización de credenciales en caché utiliza la API de Protección de Datos integrada de Microsoft. DPAPI es un componente de Windows que permite el cifrado simétrico de cualquier tipo de datos. A menudo se utiliza para cifrar información sensible, como credenciales de inicio de sesión. En esos casos, DPAPI maneja las claves secretas sin que el usuario tenga que ingresar una contraseña en el momento del cifrado/descifrado. Dado que los datos sensibles de las aplicaciones almacenados en DPAPI (credenciales de correo, VPN, etc.) están vinculados a las credenciales de inicio de sesión de Windows, DPAPI permite una transición sin problemas en el uso de esas aplicaciones cada vez que se produce un restablecimiento de contraseña.
Specops Authentication utiliza DPAPI en combinación con el Gatekeeper para permitir el descifrado cada vez que se produce un restablecimiento de contraseña cuando un usuario no está conectado al Controlador de Dominio correspondiente.
Restablecimiento de contraseña sin VPN con funcionalidad de actualización de credenciales en caché
Dado que DPAPI es un componente de Windows, las credenciales de inicio de sesión para aplicaciones como correo, VPN y otras se actualizan automáticamente cada vez que se realiza un restablecimiento de contraseña de Windows, si el usuario que realiza el restablecimiento está conectado al Controlador de Dominio (DC) correcto. Una descripción simplificada del proceso sería la siguiente:
- El usuario (conectado al Controlador de Dominio correcto) restablece la contraseña.
- DPAPI contacta al DC y se actualiza con la nueva información de contraseña.
- Usando esta información actualizada, las aplicaciones pueden descifrar datos y continuar siendo utilizadas.
Sin embargo, cada vez que el usuario no está conectado al DC al restablecer la contraseña, la información de la contraseña no puede actualizarse, y los usuarios no pueden continuar usando las aplicaciones a menos que actualicen manualmente la información de la contraseña para esa aplicación. Esto puede resultar en pérdida de datos, pérdida de conectividad o pérdida de servicio.
Con el restablecimiento remoto de contraseña sin VPN, esta pérdida de continuidad se previene al hacer que el Gatekeeper actúe como intermediario. El mismo procedimiento de restablecimiento de contraseña utilizando el restablecimiento remoto de contraseña sin VPN resultará en información de contraseña actualizada utilizando el Gatekeeper para conectar DPAPI al Controlador de Dominio correcto.
En este caso, la continuidad se preserva sin requerir ninguna intervención del usuario.
Requisitos para el restablecimiento de contraseña sin VPN con actualización de credenciales en caché
Nota
El restablecimiento remoto de contraseña sin VPN necesita ser activado por Specops para su cuenta.
El entorno de su organización debe cumplir con los siguientes requisitos:
| Elemento | Requisito |
|---|---|
| Gatekeeper* | Build 8.23.21278.1 o posterior |
| Computadoras cliente |
|
Nota
*Todos los Gatekeepers asociados con el dominio deben estar actualizados para que la funcionalidad funcione.
Configuración de restablecimiento remoto de contraseña sin VPN
El restablecimiento remoto de contraseña sin VPN no está activado por defecto. Para utilizar la funcionalidad de restablecimiento de contraseña sin VPN con actualización de credenciales en caché, debe activarla.
- En Authentication Web vaya a uReset en la navegación izquierda.
- Haga clic en la pestaña Configuraciones.
- Marque la casilla para Permitir descifrar claves maestras de DPAPI.
Configuración de SecuredBrowser
El SecuredBrowser se puede configurar para usar proxy si se utiliza dentro de la organización. Puede configurar uno de estos (aunque no ambos):
- ProxyServerUrl (URL del Servidor Proxy para Secured Browser)
- ProxyServerPacUrl (URL del Servidor PAC Proxy para Secured Browser)
Estas configuraciones de proxy se administran a través de la plantilla ADMX.
Si se utiliza un servidor proxy directo, configure URL del Servidor Proxy para Secured Browser.
<string id="ProxyServerUrl">URL del Servidor Proxy para Secured Browser</string>
<string id="ProxyServerUrlExplain">Esta configuración permite el uso de un servidor proxy para el Secured Browser. Valor de ejemplo: "http://proxyserver:proxyport"</string>
Si se utiliza Proxy Auto-Config (PAC), configure la URL al servidor PAC en URL del Servidor PAC Proxy para Secured Browser.
<string id="ProxyServerPacUrl">URL del Servidor PAC Proxy para Secured Browser</string>
<string id="ProxyServerPacUrlExplain">Esta configuración permite el uso de un servidor proxy con Configuración Automática de Proxy (PAC) para el Secured
Browser. Valor de ejemplo: "http://proxyserver/proxy.pac"</string>
Nota
No configurar esto significa que se utilizan las configuraciones de proxy de Windows.