Tạo quy trình công việc xung quanh việc xác minh đặt lại mật khẩu có thể là một thách thức đối với các tổ chức, đặc biệt là vì nhiều tổ chức đã chuyển công việc do đại dịch toàn cầu COVID-19.
Với số lượng các cuộc tấn công mạng nhằm vào các doanh nghiệp bùng nổ và thông tin đăng nhập bị xâm phạm thường là thủ phạm, các công ty phải tăng cường bảo mật xung quanh việc đặt lại mật khẩu trên tài khoản người dùng.
Làm cách nào các tổ chức có thể tăng cường bảo mật cho việc đặt lại mật khẩu cho nhân viên từ xa? Một quy trình bảo mật có thể liên quan đến việc có sự chấp thuận của người quản lý trước khi kỹ thuật viên bộ phận trợ giúp CNTT có thể thay đổi mật khẩu của nhân viên từ xa. Bằng cách này, người quản lý của người dùng tham gia vào quá trình.
Ngoài ra, một số tổ chức có thể chọn cho phép chính người quản lý khả năng thay đổi mật khẩu của người dùng cuối. Làm cách nào để cấu hình điều này trong Active Directory? Ngoài ra, có giải pháp liền mạch hơn để yêu cầu người quản lý phê duyệt đặt lại mật khẩu không?
Tại sao bảo mật đặt lại mật khẩu lại quan trọng
Năm vừa qua chắc chắn đã tạo ra nhiều thách thức cho nhân viên bộ phận trợ giúp CNTT, bao gồm hỗ trợ lực lượng lao động chủ yếu là nhân viên làm việc từ xa. Một trong những khó khăn liên quan đến nhân viên từ xa là thách thức bảo mật xung quanh việc đặt lại mật khẩu.
Tội phạm mạng đang ngày càng sử dụng các cuộc tấn công danh tính để xâm phạm môi trường. Nó thường cung cấp “con đường ít kháng cự nhất” vào một môi trường. Nếu thông tin xác thực hợp lệ bị xâm phạm, đây thường là phương tiện dễ dàng nhất để tấn công và xâm phạm dữ liệu và hệ thống quan trọng của doanh nghiệp.
Với nhân viên làm việc từ xa, các kỹ thuật viên bộ phận trợ giúp CNTT hỗ trợ mở khóa tài khoản và thay đổi mật khẩu không còn tương tác trực tiếp với nhân viên làm việc “bên trong” môi trường tại chỗ.
Các tổ chức có thể đủ lớn để các kỹ thuật viên CNTT có thể không biết từng nhân viên có thể đang làm việc từ xa. Nó giới thiệu khả năng kẻ tấn công mạo danh nhân viên hợp pháp và nhân viên bộ phận trợ giúp kỹ thuật xã hội để đặt lại mật khẩu tài khoản hợp pháp.
Ngoài ra, thiết bị khách của người dùng cuối bị xâm phạm có thể dẫn đến việc đặt lại mật khẩu bất hợp pháp cho tài khoản người dùng cuối.
Nhận ra các mối đe dọa danh tính mới mà các tổ chức phải đối mặt ngày nay, quản trị viên CNTT có thể muốn được sự chấp thuận của quản lý đối với việc đặt lại mật khẩu tài khoản của nhân viên. Nhiệm vụ này thậm chí có thể được giao cho người quản lý người dùng cuối làm việc trong bộ phận của họ. Làm cách nào để người quản lý bộ phận có thể nhanh chóng đặt lại mật khẩu bằng các tính năng tích hợp sẵn trong Active Directory?
Ủy quyền cho phép đặt lại mật khẩu trong Active Directory
Microsoft Active Directory chứa một tính năng cho phép ủy quyền quyền cho một số người dùng hoặc nhóm nhất định để thực hiện các tác vụ rất chi tiết. Những nhiệm vụ này bao gồm đặt lại mật khẩu. Để định cấu hình ủy quyền quyền đặt lại mật khẩu, bạn có thể làm theo quy trình bên dưới.
 |
| Bắt đầu định cấu hình các tùy chọn Kiểm soát ủy quyền trong Active Directory |
Nó khởi chạy Ủy quyền của thuật sĩ kiểm soát, điều này trước tiên cho phép chọn người dùng hoặc nhóm bạn muốn chỉ định quyền. Bạn bấm vào đây Thêm vào… để thêm người dùng hoặc nhóm. Chúng tôi đã thêm nhóm được hiển thị bên dưới – DLGRP_PasswordReset, một nhóm cục bộ miền được tạo trong Active Directory. Như một phương pháp hay nhất, luôn tốt hơn nếu sử dụng các nhóm để quản lý việc ủy quyền. Nó cho phép nhanh chóng và dễ dàng thêm hoặc xóa những người dùng cụ thể mà không cần phải thông qua trình hướng dẫn ủy quyền mỗi lần.
 |
| Chọn những người dùng và nhóm sẽ đảm nhận quyền |
Trên Nhiệm vụ để ủy quyền màn hình, dưới Ủy quyền các nhiệm vụ chung sau, chọn Đặt lại mật khẩu người dùng và buộc thay đổi mật khẩu ở lần đăng nhập tiếp theo Lựa chọn. Nhấp chuột Kế tiếp.
 |
| Chọn tùy chọn Đặt lại mật khẩu người dùng và buộc thay đổi mật khẩu ở tùy chọn đăng nhập tiếp theo |
Hoàn tất việc ủy quyền trình hướng dẫn điều khiển.
 |
| Hoàn thành Ủy quyền của Trình hướng dẫn Kiểm soát |
Chỉ định người quản lý đặt lại mật khẩu
Sử dụng quy trình hiển thị ở trên, quản trị viên có thể thêm người quản lý vào nhóm được ủy quyền quyền đặt lại mật khẩu. Nó cho phép trỏ đến một người dùng hoặc một nhóm cụ thể để ủy quyền cho việc đặt lại mật khẩu.
Như đã đề cập, cách tốt nhất là khi tạo ủy quyền quyền trong Active Directory là gán quyền này cho một nhóm, ngay cả khi bạn đang ủy quyền cho một người dùng. Làm theo cách này giúp việc quản lý vòng đời của ủy quyền quyền dễ quản lý hơn nhiều.
Tuy nhiên, tài nguyên nhóm Active Directory khá tĩnh trong ngữ cảnh này. Bên ngoài Microsoft Exchange Server và nhóm phân phối động, Active Directory không tích hợp sẵn cách gốc để tạo năng động nhóm an ninh được điền dựa trên các thuộc tính Active Directory.
Có cách nào để có nhóm bảo mật động trong Active Directory bằng cách sử dụng phương pháp tiếp cận theo tập lệnh? Có, có. Sử dụng PowerShell và get-aduser lệnh ghép ngắn và một vài lệnh ghép ngắn PowerShell liên quan đến Active Directory khác, bạn có thể truy vấn hiệu quả Active Directory cho những người dùng có chứa các đặc điểm cụ thể và sau đó thêm hoặc xóa những người dùng đó khỏi các nhóm cụ thể.
Bạn có thể tạo các tập lệnh PowerShell tùy chỉnh để thực hiện điều này. Tuy nhiên, một số tài nguyên có thể giúp bạn tăng tốc nhanh chóng với tập lệnh PowerShell tùy chỉnh để thêm và xóa người dùng khỏi nhóm bảo mật dựa trên vị trí, thuộc tính của người dùng và các tính năng khác.
Hãy nghĩ về một trường hợp sử dụng liên quan đến phê duyệt của người quản lý đối với việc đặt lại mật khẩu. Giả sử bạn muốn cấp cho người quản lý quyền đặt lại mật khẩu. Trong trường hợp đó, bạn có thể thực hiện một số kịch bản PowerShell kết hợp với trình hướng dẫn ủy quyền và có một quy trình tự động để thêm và xóa người quản lý khỏi Active Directory vào một nhóm được định cấu hình để đặt lại mật khẩu.
Lưu ý các tài nguyên PowerShell sau cho điều này:
Dưới đây là một ví dụ dựa trên Mã OSHub của Windows về cách bạn có thể sử dụng PowerShell và tìm kiếm “Trình quản lý” trong tiêu đề thuộc tính.
Bạn có thể lập lịch để tập lệnh PowerShell ở trên chạy theo các khoảng thời gian đã lên lịch với tác vụ đã lên lịch để thêm hoặc xóa người dùng khỏi quyền đặt lại mật khẩu được ủy quyền theo nhóm động.
Specops uReset – Một cách tiếp cận tốt hơn để phê duyệt trình quản lý đặt lại mật khẩu
Phần mềm Specops cung cấp một cách tiếp cận tự động tốt hơn nhiều để cho phép người quản lý phê duyệt việc đặt lại mật khẩu. Specops uReset là một giải pháp đặt lại mật khẩu tự phục vụ (SSPR) cho phép người dùng cuối đặt lại mật khẩu của họ một cách an toàn.
Ngoài ra, với Specops uReset, bạn có thể thêm khả năng Nhận dạng người quản lý. Khi người dùng xác thực bằng Nhận dạng người quản lý, yêu cầu xác thực sẽ gửi đến người quản lý của họ dưới dạng tin nhắn văn bản hoặc liên lạc qua email. Người quản lý của người dùng sau đó phải xác nhận danh tính của người dùng để phê duyệt yêu cầu đặt lại mật khẩu.
Nó tăng cường đáng kể tính bảo mật của chức năng đặt lại mật khẩu vì có hai người tham gia. Nó cũng giúp cung cấp quy trình kiểm soát thay đổi cho yêu cầu đặt lại mật khẩu và đường dẫn kiểm tra.
Specops cần có hai yêu cầu để sử dụng phê duyệt của người quản lý:
- Mỗi tài khoản người dùng phải có người quản lý được chỉ định cho họ trong Active Directory.
- Mỗi tài khoản người quản lý phải có địa chỉ email / số điện thoại di động được liên kết với tài khoản của họ trong Active Directory để có thể nhận được yêu cầu xác thực từ người dùng.
Để chỉ định người quản lý bằng PowerShell cho tất cả thành viên nhóm Active Directory, bạn có thể sử dụng mã Powershell sau.
get-aduser -filter “Department -eq ‘Accounting’ -AND samaccountname | set-aduser -manager jdoe
Trong quản trị Specops uReset Dịch vụ nhận dạng cấu hình, bạn có thể cấu hình Nhận dạng người quản lý. Bạn có thể chọn giữa thông báo email và văn bản.
 |
| Định cấu hình nhận dạng người quản lý trong Specops uReset |
Kết thúc
Đặt lại mật khẩu an toàn là một lĩnh vực quan trọng mà các tổ chức bảo mật cần giải quyết để đảm bảo an toàn cho tài khoản người dùng cuối từ xa. Mặc dù bạn có thể sử dụng phương pháp PowerShell theo tập lệnh để tạo các nhóm bảo mật Active Directory động, nhưng việc duy trì và mở rộng quy mô không tốt có thể có vấn đề.
Specops uReset cung cấp một cách dễ dàng để thực hiện đặt lại mật khẩu tự phục vụ (SSPR) với các kiểm tra bảo mật bổ sung như phê duyệt của người quản lý. Sử dụng Specops uReset, các doanh nghiệp có thể dễ dàng yêu cầu người quản lý phê duyệt yêu cầu đặt lại mật khẩu cho người dùng cuối.
Học nhiều hơn về Specops uReset đặt lại mật khẩu tự phục vụ với các tính năng phê duyệt của người quản lý.
