Cambios de contraseña y credenciales cacheadas
Mientras MiguelH nos habla de CachedLogonsCount, o lo que es lo mismo, de cómo funciona el sistema de credenciales cacheadas para que un usuario pueda iniciar sesión sin tener conectividad con el dominio, Oscar me me lanza una pregunta con la siguiente situación:
Un usuario con un portás está trabajando desde los donde la 3G le alcanza el mismo día en que le caduca la contraseña del dominio. Está iniciando sesión con las credenciales cacheadas asociadas a su usuario y contraseña, almacenadas la última vez que inició sesión contra un Controlador de Dominio. Cuando se conecta Exchange a leer su correo, tanto Outlook como OWA le solicitan que cambie la password. Tras devanarse un rato los sesos para cumplir con las políticas de complejidad e historial, atina con una nueva muy chula y por fin consigue leerse el cerro de emails que le aguardan. Apaga el portátil o lo bloquea, pero al rato recuerda que se ha dejado algo sin hacer y trata de volver a iniciar sesión en su equipo. Logicamente la contraseña que debe utilizar es la antigua, asociada a sus credenciales cacheadas, y la recién cambiada para acceder a Exchange de nuevo o para cualquier tarea que requiera un inicio de sesión en el dominio, como por ejemplo lanzar una VPN. ¿Hay algo que se pueda hacer para evitar esto y sincronizar la nueva contraseña con las credenciales cacheadas mientras se esta desconectado del dominio?. Lamentablemente para el usuario y por suerte para su seguridad, no.
Antes de nada. ¿Como es de seguro esto de llevar la información de credenciales cacheada por ahi?. Sería mucho más seguro CachedLogonsCount=0, pero en ese caso si no hay DC, no se trabaja. Mejor leerse esto "An attacker with physical access to a computer may be able to access files and other data", y recordar cómo Windows Server 2008 previene esto para Controladores de Dominio desplegados en localizaciones inseguras con los RODCs.
El caso es que cuando se cambian las contraseñas mediante Outlook, OWA o cualquier aplicación similar suceden dos cosas. La primera es que el cambio no se realiza directamente contre un Domain Contriller, y la segunda es que el sistema no es alertado mediante un SAS (Secure Attention Sequence) como sucede por ejemplo cuando se lanza un inicio de sesion interactivo (me encanta este artículo) o cuando se cambia la contraseña mediante Ctrl+Alt+Sup, por lo que no hay forma de actualizar la información de credenciales cacheadas. No estoy seguro de que fuera una buena idea que Outlook o Internet Explorer hicieran eso.
La única forma que se me ocurre de evitar el despiste del usuario, ademas de que se lea esto, es evitar la posibilidad de que realice estos cambios de contraseña y forzarle a que lo haga mediante una VPN. En ese caso se logra la deseada conectividad directa Cliente-DC, y el cambio puede realizar mediante Ctrl+Alt+Sup.
Gracias como siempre a mis compañeros Tolu, Paula, Raúl y Luis, que se las saben todas.
Saludos
Technorati tags: Miguel H, Seguridad, Contraseñas, Outlook