¿Cómo puedo detectar a los usuarios que han solicitado a los administradores de AD que reutilicen una contraseña caducada?

Hay más de una forma de configurar la auditoría en la Política de grupo, pero creo que la principal forma antigua (en Windows Server 2003) es abrir GPMC, editar la Política de dominio predeterminada (o cualquier política de dominio que esté activa en la OU y objetos con los que está trabajando), y desplácese desde el nodo Políticas a través de Configuración de Windows a Configuración de seguridad, para abrir la rama Política de auditoría de políticas locales. Hay una sección de "Administración de cuentas de auditoría" que puede definir.

Lo anterior solo le permite auditar los cambios en la cuenta, pero debe hacer que sea procesable relacionándolo con los criterios de éxito, como que la contraseña de un usuario haya caducado recientemente. Al aprovechar OSSIM (u otro motor de correlación fuerte), puede combinar scripts ADSI que verifican todos los mensajes de administración de cuentas de auditoría para ver si fue un cambio de contraseña y para ver si la contraseña expiró recientemente. Luego, se podrían hacer coincidir los hashes, etc. Incluso se podría iniciar OpenVAS para probar y aplicar la fuerza bruta a la contraseña, aunque probablemente sería mejor realizar esta tarea con más datos.

Esto se convierte en un ejercicio de personalización para el cliente, el servidor y otra infraestructura de fortalecimiento / monitoreo. Le gustaría mover la madurez de toda su infraestructura a un nivel más alto, por lo que asumo que ya ha hecho gran parte del trabajo prescrito por El Centro para la Seguridad de Internet (CIS) y / o NIST .

Si es más nuevo y no ha implementado soluciones personalizadas como esta en el pasado, sería mejor pasar a una solución a prueba de futuro como OpenIDM de ForgeRock. Esto sería un proyecto multimillonario de seis años, aproximadamente.

Si se encuentra en una operación de instalación industrial de gran tamaño, como Fortune 500, sería mejor identificar su IAM, IDM, Directorio, ESB y otros componentes de backoffice existentes para analizar correctamente dónde se ajusta la identidad Problemas de gestión del ciclo de vida, como el restablecimiento de la contraseña de usuario. Puede ser que un proveedor de soluciones existente, como SAP, Oracle, TIBCO o Microsoft tenga una respuesta fácil.

Si solo eres una tienda de Microsoft (100 por ciento), entonces es probable que quieras hablar sobre su ILM 2007 , FIM 2010 , y soluciones relacionadas. Microsoft tiene una forma desagradable de cancelar estas líneas de productos, o cambiarlas drásticamente, por lo que es bueno estar a la vanguardia y discutir directamente con ILM / FIM y otros gerentes de productos (PM) en lugar de solo un administrador de cuentas. (AM) o sus sitios web e información comercial.

Hay otras soluciones más puntuales, como el ChangeAuditor for AD del software Quest, pero desconfíe de esto, solo solucione un problema a corto plazo, cuando claramente existe un proceso de negocios y un gran conjunto de problemas de madurez de negocios / infraestructura.

quizás la respuesta aquí no sea solo tecnología, sino también procesos. Esta cortesía, no debe hacerse, las acciones de los administradores deben ser auditadas y los administradores que hacen eso deben ser castigados. A menos que cumpla con la política de seguridad (si tiene una)

En el nivel técnico, el problema fundamental aquí es que la mesa de ayuda puede restablecer la contraseña y dejar la casilla de verificación "el usuario debe cambiar la contraseña" sin marcar.

No conozco una forma de forzar dejando esta casilla de verificación marcada. Puede haber uno, pero no sé cómo.

Una forma de evitar esto podría ser no permitir que el personal de la mesa de ayuda delegue el acceso a Usuarios y computadoras de AD, sino que cree un script que use LDAP para restablecer la contraseña y establezca la marca "el usuario debe cambiar la contraseña en el próximo inicio de sesión" en al mismo tiempo. Puede hacer que este script sea aún más conveniente (para la mesa de ayuda): genere automáticamente una contraseña corta y simple como contraseña temporal, y luego envíela por correo electrónico (o entréguela) al usuario.

Dicho esto: en última instancia, esto no es un problema técnico. Con la gran cantidad de contraseñas con las que los usuarios no técnicos están lidiando hoy, siento completamente su dolor. Algunas personas de seguridad han afirmado que las contraseñas más largas, pero fáciles de memorizar, que rara vez o nunca se cambian, en realidad podrían ser mejores.

A menudo, incluso sin la "extensión de cortesía", los usuarios anulan el mecanismo de cambio de contraseña usando siempre la misma contraseña simple y corta con un contador adjunto, y compartiendo la misma contraseña en los sistemas vulnerables y sensibles. O bien, quejándose a la alta dirección y cambiando la política para "nunca cambiar las contraseñas".

Por lo tanto, su mejor estrategia es abordar este problema en el nivel superior de administración. Si la alta gerencia no apoya la resolución de este problema, sus intentos de lidiar con eso a nivel técnico pueden ser contraproducentes. Y si la administración superior apoya para resolver este problema, es posible que no necesite una solución técnica; el personal de la mesa de ayuda simplemente obtendrá una nueva política que prohíbe específicamente tales acciones de cortesía.