Freigeben über

Cambios de contraseña y credenciales cacheadas

  • Artikel

Mientras MiguelH nos habla de CachedLogonsCount, o lo que es lo mismo, de cómo funciona el sistema de credenciales cacheadas para que un usuario pueda iniciar sesión sin tener conectividad con el dominio, Oscar me me lanza una pregunta con la siguiente situación:

Un usuario con un portás está trabajando desde los donde la 3G le alcanza el mismo día en que le caduca la contraseña del dominio. Está iniciando sesión con las credenciales cacheadas asociadas a su usuario y contraseña, almacenadas la última vez que inició sesión contra un Controlador de Dominio. Cuando se conecta Exchange a leer su correo, tanto Outlook como OWA le solicitan que cambie la password. Tras devanarse un rato los sesos para cumplir con las políticas de complejidad e historial, atina con una nueva muy chula y por fin consigue leerse el cerro de emails que le aguardan. Apaga el portátil o lo bloquea, pero al rato recuerda que se ha dejado algo sin hacer y trata de volver a iniciar sesión en su equipo. Logicamente la contraseña que debe utilizar es la antigua, asociada a sus credenciales cacheadas, y la recién cambiada para acceder a Exchange de nuevo o para cualquier tarea que requiera un inicio de sesión en el dominio, como por ejemplo lanzar una VPN. ¿Hay algo que se pueda hacer para evitar esto y sincronizar la nueva contraseña con las credenciales cacheadas mientras se esta desconectado del dominio?. Lamentablemente para el usuario y por suerte para su seguridad, no.

Antes de nada. ¿Como es de seguro esto de llevar la información de credenciales cacheada por ahi?. Sería mucho más seguro CachedLogonsCount=0, pero en ese caso si no hay DC, no se trabaja. Mejor leerse esto "An attacker with physical access to a computer may be able to access files and other data", y recordar cómo Windows Server 2008 previene esto para Controladores de Dominio desplegados en localizaciones inseguras con los RODCs.

El caso es que cuando se cambian las contraseñas mediante Outlook, OWA o cualquier aplicación similar suceden dos cosas. La primera es que el cambio no se realiza directamente contre un Domain Contriller, y la segunda es que el sistema no es alertado mediante un SAS (Secure Attention Sequence) como sucede por ejemplo cuando se lanza un inicio de sesion interactivo (me encanta este artículo) o cuando se cambia la contraseña mediante Ctrl+Alt+Sup, por lo que no hay forma de actualizar la información de credenciales cacheadas. No estoy seguro de que fuera una buena idea que Outlook o Internet Explorer hicieran eso.

La única forma que se me ocurre de evitar el despiste del usuario, ademas de que se lea esto, es evitar la posibilidad de que realice estos cambios de contraseña y forzarle a que lo haga mediante una VPN. En ese caso se logra la deseada conectividad directa Cliente-DC, y el cambio puede realizar mediante Ctrl+Alt+Sup.

Gracias como siempre a mis compañeros Tolu, Paula, Raúl y Luis, que se las saben todas.

Saludos

David Cervigón

Technorati tags: Miguel H, Seguridad, Contraseñas, Outlook

Comments

  • Anonymous
    January 01, 2003
    Si hay varios DCs en el entorno, es normal un pequeño perido hasta que entre ellos se replique el cambio. Si esto no acaba sucediendo, hay un problema de replicación Otra explicación es que se esten cambiando las contraseñas de usuarios locales.... Saludos

  • Anonymous
    January 01, 2003
    Hola Tu problema parece ser que el DC contra el que cambias la contraseña cuando estas en la red Wireless y el DC que autentica a los clientes en la LAN no se hablan correctamente. O lo que es peor, que los sistemas de autenticación esten duplicados (p.e. usuarios creados a mano en los puntos de acceso o servidores RADIUS que autentiquen la red Wireless) Saludos

  • Anonymous
    January 01, 2003
    Miguel Si entras con la VPN te dice que la contraseña ha caducado y te pide que la cambies con Ctrl+Alt+Sup Sobre la autenticación/autorización usando rpc sobre https o similares, si, eso se hace sin problemas. Y cuantas más tecnologías de seguridad implementes, mejor. Aunque aun con todas las que mencionas, puedes tener spyware, keyloggers y guarrerías similares. Lo que discutimos si se permite actualizar las credenciales cacheadas, permitiendo a las aplicaciones lanzar un SAS sin conexion directa con el DC. Aqui lo explican bien: http://blogs.technet.com/jesper_johansson/archive/2005/08/19/409512.aspx Sobre que fuera Outlook-Exchange los que lo pudieran llegar a hacer. Mira lo que se dice aqui: 895276 When you use Outlook to connect to your Exchange server mailbox by using RPC over HTTP, you receive messages that continuously prompt you for your network password http://support.microsoft.com/default.aspx?scid=kb;EN-US;895276 "Additionally, Microsoft Windows provides no secure, programmatic way for password changes for Outlook clients that are outside the network." Nos vemos mañana. Saludos

  • Anonymous
    November 19, 2007
    Pues sí, forzar que cambie la contraseña via VPN y CachedLogonsCount=1  si el usuario "1" no es un administrador, es lo más seguro. ¿Pero y si ha caducado y se valida en la VPN con su usario? ¿Tu crees que no hay tecnología hoy en día para crear una validación tipo rpc bajo https? ¿Sería inseguro permitir validación remota en un equipo con cifrado bitlocker y habiendo comprobado, tarjeta smart card + comprobación biométrica + certificado de equipo?. Si al menos existiese la posibilidad, cada administrador podría elegir si implantarla o no.

  • Anonymous
    November 19, 2007
    Claaro, pero no me refería a una validación de usuario tal cual tipo Outlook que claro que existe, si no a un inicio de sesión remoto de un equipo con todo el intercambio que conlleva. Que outlook pide incesántemente la contraseña al validar cuando esta caduca .... pufff, hubo un momento que contestaba eso al descolgar el móvil. Al final creo que nos vemos en Murcia, el miércoles. Saludos.

  • Anonymous
    April 01, 2008
    Hola En el area que trabajo, utilizamos el AD, tengo un problema con varios usuarios que tienen 2 maquinas, una que utiliza inalambrica y otra por medio del cable UTP, el caso es que cuando se cambia la contraseña en una de ellas entra sin problema alguno, pero cuando entra a la otra le dice que sus credenciales no son validas, no importa si entra por inalambrica o por UTP, sucede lo mismo en ambos casos. Por que sucede esto

  • Anonymous
    April 03, 2008
    Gracias por tu respuesta, deja lo reviso y te comento.

  • Anonymous
    November 11, 2009
    Que tal , no se si alguien me puede orientar al respecto con un problema que se presenta en la red de la empresa en donde trabajo. tenemos trabajando un servidor que emite certificados y los empleamos en la red wireless, pero al momento de resetear el password el usuario en su maquina con ctrl+alt+supr,  despues no le permite ingresar con la contraseña que cambio si no que necesariamente tiene que ingresar la anterior pero la red wireless ya tiene registrada la ultima contraseña. la unica solucion que se ha encontrado es conectar el equipo a una toma de datos UTP y proporcionarle el password que se cambio a personal de redes para que lo cambie de manera manual a traves del AD y posteriormente queda funcionando correctamente . Alguien sabe como se puede evitar este problema de conectar a la red alambrica el equipo portatil para cambiar el password y no llevarlo a cabo desde la red wireless??. saludos

  • Anonymous
    December 05, 2013
    las credenciales de inicio de sesion proporcionadas no eran validas.deve cambiar la contraseña antes de iniciar sesion.

  • Anonymous
    December 05, 2013
    Saludos, espero me puedan ayudar. Cuando configuro mi outlook con mi dominio propio me sale este error: las credenciales de inicio de sesion proporcionadas no eran validas.deve cambiar la contraseña antes de iniciar sesion.