Блокировать устаревшую проверку подлинности с помощью условного доступа Microsoft Entra

Чтобы предоставить пользователям простой доступ к облачным приложениям, идентификатор Microsoft Entra поддерживает широкий спектр протоколов проверки подлинности, включая устаревшую проверку подлинности. Тем не менее устаревшие методы проверки подлинности не поддерживают, к примеру, многофакторную проверку подлинности (MFA). MFA является общим требованием для повышения уровня безопасности в организациях.

На основе анализа Майкрософт более 97 процентов атак с учетными данными используют устаревшую проверку подлинности и более 99 процентов атак с распыления паролем используют устаревшие протоколы проверки подлинности. Эти атаки будут остановлены с помощью простой проверки подлинности, отключенной или заблокированной.

Примечание.

Начиная с 1 октября 2022 г. мы начнем окончательно отключать обычную проверку подлинности для Exchange Online во всех клиентах Microsoft 365 независимо от того, используется ли она, за исключением проверки подлинности SMTP. Дополнительные сведения см. в статье об отмене базовой проверки подлинности в Exchange Online

Алекс Вайнерт (Alex Weinert), директор по безопасности идентификационных данных в корпорации Майкрософт, в записи блога от 12 марта 2020 года про новые инструменты для блокировки устаревших методов аутентификации в организации рассказывает о том, почему организациям следует блокировать такие методы и какие дополнительные инструменты предоставляет для этого корпорация Майкрософт.

В этой статье объясняется, как настроить политики условного доступа для блокирования устаревших методов проверки подлинности для всех рабочих нагрузок в клиенте.

При развертывании блокировки устаревших методов проверки подлинности рекомендуется поэтапный подход, а не отключение сразу для всех пользователей. Клиенты могут начать отключение базовой проверки подлинности на основе протокола, применяя политики проверки подлинности Exchange Online, а затем (необязательно), блокируя устаревшую проверку подлинности с помощью политик условного доступа при готовности.

Клиенты без лицензий с условным доступом могут использовать параметры безопасности по умолчанию, чтобы блокировать прежние версии проверки подлинности.

Необходимые компоненты

В этой статье предполагается, что вы знакомы с основными понятиями условного доступа Microsoft Entra.

Примечание.

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Описание сценария

Идентификатор Microsoft Entra поддерживает наиболее широко используемые протоколы проверки подлинности и авторизации, включая устаревшую проверку подлинности. Устаревшая проверка подлинности не может запрашивать пользователей на второй фактор проверки подлинности или другие требования проверки подлинности, необходимые для выполнения политик условного доступа напрямую. Этот шаблон проверки подлинности включает обычную проверку подлинности — широко применяемый и являющийся отраслевым стандартом метод сбора сведений об имени пользователя и пароле. Примеры приложений, которые используют в основном или исключительно устаревшую проверку подлинности:

  • Microsoft Office 2013 или более поздней версии;
  • приложения, поддерживающие почтовые протоколы POP, IMAP и SMTP.

Дополнительные сведения о современной проверке подлинности для клиентских приложений Office см. в этой статье.

В наше время однофакторной проверки подлинности (например, имени пользователя и пароля) уже недостаточно. Пароли работают плохо, так как их можно легко угадать, и люди плохо умеют выбирать правильные пароли. Пароли также уязвимы к разным видам атак, например фишингу и подбору. Один из простейших способов защиты от связанных с паролями угроз — это многофакторная проверка подлинности (MFA). При наличии многофакторной проверки подлинности злоумышленник не сможет пройти проверку подлинности и получить доступ к данным, даже если получит пароль пользователя в свое распоряжение.

Как же запретить доступ к ресурсам клиента всем приложениям, которые используют устаревшую проверку подлинности? Мы рекомендуем заблокировать их при помощи политики условного доступа. Если потребуется, вы сможете разрешить отдельным пользователям использовать конкретные приложения с устаревшей проверкой подлинности из конкретных сетевых расположений.

Внедрение

В этом разделе объясняется, как настроить политику условного доступа для блокировки устаревших методов аутентификации.

Протоколы обмена сообщениями, поддерживающие устаревшую проверку подлинности

Следующие протоколы обмена сообщениями поддерживают устаревшую проверку подлинности:

  • SMTP с проверкой подлинности — используется для отправки сообщений электронной почты, прошедших проверку подлинности;
  • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
  • Exchange ActiveSync (EAS) — используется для подключения к почтовым ящикам в Exchange Online.
  • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
  • Веб-службы Exchange (EWS) — интерфейс программирования, используемый приложениями Outlook, Outlook для Mac и не microsoft.
  • IMAP4 — используется клиентами электронной почты IMAP.
  • MAPI через HTTP (MAPI/HTTP) — основной протокол доступа к почтовым ящикам, используемый в Outlook 2010 с пакетом обновления 2 (SP2) и более поздних версиях;
  • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
  • Outlook Anywhere (RPC поверх HTTP) — устаревший протокол доступа к почтовым ящикам, поддерживаемый всеми текущими версиями Outlook;
  • POP3 — используется клиентами электронной почты POP.
  • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.
  • Универсальный Outlook — используется приложениями "Почта" и "Календарь" для Windows 10;
  • Другие клиенты — другие протоколы, которые определены как использующие устаревший механизм аутентификации.

Дополнительные сведения об этих протоколах проверки подлинности и службах см. в сведениях о действиях журнала входа.

Выявление использования устаревших методов аутентификации

Прежде чем блокировать устаревшую проверку подлинности в каталоге, необходимо сначала понять, есть ли у пользователей клиентские приложения, использующие устаревшую проверку подлинности.

Индикаторы журнала входа

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
  3. Добавьте столбец клиентского приложения, если он не отображается, щелкнув клиентское приложение столбцов>.
  4. Выберите "Добавить фильтры>" Клиентское приложение> выберите все устаревшие протоколы проверки подлинности и нажмите кнопку "Применить".
  5. Кроме того, выполните эти действия на вкладке "Вход пользователей" (неинтерактивный).

Фильтрация показывает попытки входа, выполненные устаревшими протоколами проверки подлинности. Щелкнув каждую отдельную попытку входа, вы можете получить дополнительные сведения. Поле "Клиентское приложение" на вкладке "Основные сведения" указывает, какой устаревший протокол проверки подлинности использовался.

Эти журналы указывают, где пользователи используют клиенты, которые по-прежнему зависят от устаревшей проверки подлинности. Для пользователей, которые не отображаются в этих журналах и точно не используют устаревшие методы проверки подлинности, можно реализовать политику условного доступа.

Кроме того, чтобы упростить сортировку устаревших методов проверки подлинности в вашем клиенте, используйте Операции входа с использованием устаревшей книги проверки подлинности.

Индикаторы от клиента

Чтобы определить, использует ли клиент устаревшую или современную проверку подлинности в соответствии с диалоговым окном, отображаемым при входе, см. статью Прекращение поддержки обычной проверки подлинности в Exchange Online.

Важные замечания

Клиентам, поддерживающим устаревшую и современную проверку подлинности, может потребоваться обновление конфигурации для перехода от устаревшей к современной проверке подлинности. Если вы видите современный мобильный, классический клиент или браузер для клиента в журналах входа, он использует современную проверку подлинности. Если указано конкретное имя клиента или протокола, например Exchange ActiveSync, значит он использует устаревшую проверку подлинности. Типы клиентов в условный доступ, журналы входа и устаревшая книга проверки подлинности отличаются от современных и устаревших клиентов проверки подлинности.

  • Клиенты, поддерживающие современную проверку подлинности, но не настроенные для ее использования, должны быть обновлены или перенастроены, чтобы начать использовать современную проверку подлинности.
  • Все клиенты, не поддерживающие современную проверку подлинности, должны быть заменены.

Внимание

Активная синхронизация Exchange с проверкой подлинности на основе сертификатов (CBA)

При реализации Exchange Active Sync (EAS) с CBA настройте клиенты для использования современной проверки подлинности. Клиенты, не использующие современную проверку подлинности для EAS с CBA, не блокируются с прекращением поддержки обычной проверки подлинности в Exchange Online. Однако эти клиенты блокируются политиками условного доступа, настроенными на блокировку устаревшей проверки подлинности.

Дополнительные сведения о реализации поддержки CBA с идентификатором Microsoft Entra ID и современной проверкой подлинности см. в статье настройка проверки подлинности на основе сертификата Microsoft Entra (предварительная версия). В качестве альтернативы можно использовать CBA, выполняемую на сервере федерации, с современной проверкой подлинности.

Если вы используете Microsoft Intune, вы можете изменить тип проверки подлинности с помощью профиля электронной почты, который вы отправляете или развертываете на устройствах. Если вы используете устройства iOS (iPhone и iPad), ознакомьтесь со статьей Добавление параметров электронной почты для устройств iOS и iPadOS в Microsoft Intune.

Блокировать устаревших методов проверки подлинности

Существует два способа блокировки устаревшего механизма проверки подлинности с использованием политик условного доступа.

Прямая блокировка устаревшей проверки подлинности

Для блокировки устаревшей проверки подлинности во всей организации проще всего настроить политику условного доступа, которая будет применяться только к клиентам с устаревшей проверкой подлинности и блокировать доступ. Назначая политику пользователям и приложениям, не забудьте исключить учетные записи тех пользователей и служб, которым по-прежнему требуется устаревшая проверка подлинности для входа в систему. При выборе облачных приложений, в которых применяется эта политика, выберите все ресурсы, целевые приложения, такие как Office 365 (рекомендуется) или по крайней мере Office 365 Exchange Online. Организации могут использовать политику, доступную в шаблонах условного доступа или обычном условном доступе политики: блокировать устаревшую проверку подлинности в качестве ссылки.

Косвенная блокировка устаревшей проверки подлинности

Если ваша организация не готова полностью заблокировать устаревшую проверку подлинности, убедитесь, что входы, использующие устаревшую проверку подлинности, не обходят политики, требующие предоставления таких элементов управления, как многофакторная проверка подлинности. Во время проверки подлинности устаревшие клиенты проверки подлинности не поддерживают отправку MFA, соответствия устройств или присоединение сведений о состоянии к идентификатору Microsoft Entra. Поэтому необходимо применять ко всем клиентским приложениям политики с условием предоставления доступа, чтобы блокировать попытки входа с использованием устаревшей проверки подлинности, не удовлетворяющие условиям предоставления доступа. С августа 2020 г., когда условие для клиентских приложений стало общедоступным, вновь созданные политики условного доступа по умолчанию применяются ко всем клиентским приложениям.

Что нужно знать

Чтобы политика условного доступа вступила в силу, может потребоваться до 24 часов.

Блокировка доступа с помощью условия Другие клиенты также блокирует PowerShell в Exchange Online и Dynamics 365, использующие обычную аутентификацию.

Если задать для политики параметр Другие клиенты, доступ из определенных клиентов, например SPConnect, заблокируется для всей организации. Эта блокировка выполняется, так как клиенты предыдущих версий выполняют аутентификацию непредвиденным образом. Эта проблема не касается основных приложений Office, таких как клиенты Office прежних версий.

Вы можете настроить все доступные элементы управления для условия Другие клиенты, но для пользователей по сути ничего не изменится — доступ будет заблокирован.

Следующие шаги