Il n'y a pas de bon moyen de le faire. Vous avez quelques options (qui ne sont pas vraiment des solutions puisqu'elles ne règlent pas le problème réel) qui vous permettront de réduire les retombées de cette situation, mais aucune d'entre elles ne résoudra complètement le problème. Voici ce à quoi nous avons abouti, et ce à quoi nous avons finalement recours dans notre organisation :
A) Increase the threshold of invalid attempts; nous aimons garder le nôtre assez élevé (50 pour le moment) car certaines personnes peuvent ne pas vérifier leur téléphone pendant une période prolongée (disons 4-8 heures ou plus) et même si nous ne pouvons pas garantir qu'elles le vérifieront avant que le seuil ne les verrouille, nous pouvons au moins essayer d'augmenter le temps dont elles disposent avant d'être verrouillées en ayant un seuil de verrouillage élevé.
B) Set up a script (VB or PowerShell) that emails users warning them that their passwords are about to expire; vous pouvez également inclure dans ce courriel un rappel indiquant qu'ils devront changer le mot de passe sur leur téléphone une fois qu'ils l'auront changé sur leur ordinateur. Encore une fois, cette méthode ne fonctionne que partiellement, comme vous pouvez le deviner. Je serais heureux de vous fournir le code PowerShell que j'ai utilisé pour faire cela si vous le souhaitez, faites-le moi savoir.
C) Exclude the group of users who use EAS from the lockout policy; Cela va à l'encontre de l'objectif de la politique de verrouillage et constitue un grand risque pour la sécurité. Ce n'est donc pas quelque chose que je recommande, mais c'est néanmoins une solution de contournement/option.
Apparemment, TMG 2010 SP2 et les versions supérieures disposent d'une fonction de verrouillage des comptes. par ceci mais si vous n'utilisez pas le TMG, cela n'a pas d'importance.
0 votes
Augmentez le seuil de verrouillage du compte de manière significative (c'est-à-dire 50 tentatives environ), ainsi que la durée du verrouillage de manière proportionnelle. De cette façon, l'utilisateur aura plus de temps pour mettre à jour le dispositif ActiveSync, et l'efficacité longitudinale des tentatives de force brute reste inchangée.
0 votes
Quels téléphones utilisez-vous ? Je sais que nous n'avons pas cet effet de verrouillage sur les iPhones et les Windows Mobiles, mais nous l'avons constaté sur certains de nos appareils Android que nous utilisons avec ActiveSync.
0 votes
Nous les recevons à la fois sur les appareils Android et iphone.
0 votes
Quelqu'un utilise-t-il des certificats pour ce faire ? des informations sur la façon de configurer ce système avec des certificats pour résoudre ce problème ?
0 votes
Sur quelle version d'iOS et d'Android ces utilisateurs se répartissent-ils ?