Bloquear autenticação herdada para Azure AD com Acesso Condicional

Para fornecer aos usuários acesso fácil aos aplicativos na nuvem, o Azure AD (Azure Active Directory) dá suporte a uma ampla variedade de protocolos de autenticação, incluindo a autenticação herdada. No entanto, a autenticação herdada não dá suporte a coisas como a MFA (autenticação multifator). A MFA é um requisito comum para melhorar a postura de segurança nas organizações.

Observação

A partir de 1º de outubro de 2022, começaremos a desabilitar permanentemente a autenticação básica para o Exchange Online em todos os locatários do Microsoft 365 independentemente do uso, com exceção da autenticação SMTP. Para obter mais informações, confira o artigo Reprovação da autenticação básica no Exchange Online

Alex Weinert, diretor de segurança de identidade na Microsoft, enfatiza em sua postagem de blog Novas ferramentas para bloquear a autenticação herdada em sua organização do dia 12 de março de 2020 por que as organizações devem bloquear a autenticação herdada e quais ferramentas adicionais a Microsoft fornece para isso:

Para que o MFA seja eficaz, você também precisa bloquear a autenticação herdada. Isso ocorre porque os protocolos de autenticação herdados como POP, SMTP, IMAP e MAPI não podem impor o MFA, tornando-os pontos de entrada preferenciais para os adversários que atacam sua organização...

...Os números na autenticação herdada de uma análise do tráfego do Azure Active Directory (Azure AD) são fortes:

  • Mais de 99% dos ataques de pulverização de senha usam protocolos de autenticação herdados
  • Mais de 97% dos ataques de preenchimento de credenciais usam autenticação herdada
  • As contas do Azure AD em organizações que desabilitaram a autenticação herdada experimentaram 67% menos comprometimentos do que aquelas em que a autenticação herdada está habilitada

Se você estiver pronto para bloquear a autenticação herdada para melhorar a proteção do locatário, você poderá atingir essa meta com acesso condicional. Este artigo explica como você pode configurar políticas de acesso condicional que bloqueiam a autenticação herdada para todas as cargas de trabalho em seu locatário.

Ao distribuir a proteção de bloqueio de autenticação herdada, recomendamos uma abordagem em fases, em vez de desabilitá-la para todos os usuários de uma só vez. Os clientes podem optar por começar primeiro a desabilitar a autenticação básica por protocolo, aplicando as políticas de autenticação do Exchange Online políticas e (opcionalmente) também bloqueando a autenticação herdada por meio de políticas de acesso condicional quando estiver pronto.

Os clientes sem licenças que incluam o acesso condicional podem usar os padrões de segurança para bloquear a autenticação herdada.

Pré-requisitos

Este artigo pressupõe que você esteja familiarizado com os conceitos básicos do Acesso Condicional do Azure AD.

Observação

As políticas de Acesso Condicional são impostas após a conclusão do primeiro fator de autenticação. O Acesso Condicional não se destina à primeira linha de defesa de uma organização para cenários como ataques de DoS (negação de serviço), mas pode usar sinais desses eventos para determinar o acesso.

Descrição do cenário

O Azure AD dá suporte para os protocolos de autenticação e autorização mais amplamente utilizados, incluindo a autenticação herdada. A autenticação herdada não pode solicitar aos usuários a autenticação de segundo fator nem outros requisitos de autenticação necessários para atender diretamente às políticas de acesso condicional. Esse padrão de autenticação inclui a autenticação básica, um método de padrão industrial amplamente utilizado para coletar informações de nome de usuário e senha. Exemplos de aplicativos que normalmente ou usam apenas a autenticação herdada são:

  • Microsoft Office 2013 ou mais antigo.
  • Aplicativos que usam protocolos de email como POP, IMAP e autenticação SMTP.

Para obter mais informações sobre o suporte à autenticação moderna no Office, consulte Como funciona a autenticação moderna para aplicativos cliente do Office.

Autenticação de fator único (por exemplo, nome de usuário e senha) atualmente não é suficiente. Senhas são ruins porque são fáceis de adivinhar e nós (humanos) dificilmente escolhemos boas senhas. Senhas também são vulneráveis a uma variedade de ataques, como pulverização de senha e phishing. Uma das medidas de proteção contra ameaças à senha mais fáceis de adotar é a implementação da autenticação multifator (MFA). Com MFA, mesmo se um invasor possuir a senha de um usuário, somente a senha não será suficiente para autenticar e acessar os dados com êxito.

Como é possível impedir que aplicativos usando autenticação herdada acessem os recursos do locatário? A recomendação é apenas bloqueá-los com uma política de Acesso Condicional. Se necessário, você permite que apenas determinados usuários e locais de rede específicos usem aplicativos baseados em autenticação herdada.

Implementação

Esta seção explica como configurar uma política de Acesso Condicional para bloquear a autenticação herdada.

Protocolos de mensagens que dão suporte à autenticação herdada

Os seguintes protocolos de mensagens oferecem suporte à autenticação herdada:

  • SMTP autenticado – usado para enviar mensagens de email autenticadas.
  • Descoberta automática - usada pelos clientes do Outlook e do EAS para localizar e conectar-se às caixas de correio no Exchange Online.
  • Exchange ActiveSync (EAS) – usado para conectar-se a caixas de correio no Exchange Online.
  • Exchange Online PowerShell - usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator.
  • Serviços Web do Exchange (EWS) - uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
  • IMAP4 – usado por clientes de email IMAP.
  • MAPI sobre HTTP (mapi/http) – protocolo de acesso de caixa de correio primário usado pelo Outlook 2010 SP2 e posterior.
  • OAB (catálogo de endereços offline) – uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
  • Outlook em Qualquer Lugar (RPC sobre HTTP) – protocolo herdado de acesso de caixa de correio compatível com todas as versões atuais do Outlook.
  • POP3 - usado por clientes de email POP.
  • Serviços Web de relatórios - usados para recuperar dados de relatório no Exchange Online.
  • Outlook Universal – usado pelo aplicativo de email e calendário para Windows 10.
  • Outros clientes - outros protocolos identificados que utilizam a autenticação herdada.

Para saber mais sobre esses protocolos e serviços de autenticação, confira Relatórios de atividade de entrada no portal do Azure Active Directory.

Identificar uso de autenticação herdada

Antes de poder bloquear a autenticação herdada em seu diretório, primeiro você precisará entender se os usuários têm clientes que usam a autenticação herdada. Abaixo, você encontrará informações úteis para identificar e examinar o local em que os clientes estão usando a autenticação herdada.

Indicadores do Azure AD

  1. Navegue até o portal do Azure>Azure Active Directory>Logs de entrada.
  2. Adicione a coluna Aplicativo cliente se ela não for exibida clicando em Colunas>Aplicativo cliente.
  3. Selecione Adicionar filtros>Aplicativo cliente> escolha todos os protocolos de autenticação herdados e selecione Aplicar.
  4. Se você ativou a visualização de relatórios de atividade de novas entradas, repita as etapas acima também na guia Entradas do usuário (não interativa).

A filtragem mostrará apenas as tentativas de entrada feitas por protocolos de autenticação herdados. Ao clicar em cada tentativa de logon individual, você verá detalhes adicionais. O campo Aplicativo cliente na guia Informações básicas indicarão qual protocolo de autenticação herdado foi usado.

Esses logs indicarão o local em que os usuários estão usando clientes que ainda dependem da autenticação herdada. Para usuários que não aparecem nesses logs e são confirmados por não usar a autenticação herdada, implemente uma política de Acesso Condicional somente para esses usuários.

Além disso, para ajudar na triagem da autenticação herdada no locatário, utilize as Entradas usando a pasta de trabalho de autenticação herdada.

Indicadores do cliente

Para determinar se um cliente está usando a autenticação herdada ou moderna com base na caixa de diálogo apresentada na entrada, confira o artigo Substituição da autenticação básica no Exchange Online.

Considerações importantes

Muitos clientes que anteriormente só davam suporte à autenticação herdada agora permitem a autenticação moderna. Os clientes que dão suporte à autenticação herdada e moderna podem exigir a atualização de configuração para passar da autenticação herdada para a moderna. Se você vir cliente móvel moderno, cliente de desktop ou navegador para um cliente nos logs do Azure AD, ele está usando a autenticação moderna. Se ele tiver um nome de cliente ou protocolo específico, como Exchange ActiveSync, ele está usando a autenticação herdada. Os tipos de cliente no Acesso Condicional, nos logs de Entrada do Azure AD e na pasta de trabalho de autenticação herdada distinguem entre clientes de autenticação moderna e herdada para você.

  • Os clientes que dão suporte à autenticação moderna, mas não estão configurados para usá-la, devem ser atualizados ou reconfigurados para usar a autenticação moderna.
  • Todos os clientes que não dão suporte à autenticação moderna devem ser substituídos.

Importante

Exchange Active Sync com CBA (autenticação baseada em certificado)

Ao implementar o EAS (Exchange Active Sync) com CBA, configure os clientes para usar a autenticação moderna. Os clientes que não usam a autenticação moderna para EAS com CBA não são bloqueados com a Substituição da autenticação básica no Exchange Online. No entanto, esses clientes são bloqueados pelas políticas de Acesso Condicional configuradas para bloquear a autenticação herdada.

Para obter mais informações sobre como implementar o suporte para CBA com Azure AD e autenticação moderna, confira Como configurar a autenticação baseada em certificado do Azure AD (versão prévia). Como outra opção, a CBA executada em um servidor de federação pode ser usada com a autenticação moderna.

Se você estiver usando o Microsoft Intune, poderá alterar o tipo de autenticação usando o perfil de email que você envia ou implanta nos dispositivos. Se estiver usando dispositivos iOS (iPhones e iPads), você deverá dar uma olhada em Adicionar configurações de email para dispositivos iOS e iPadOS no Microsoft Intune.

Bloquear a autenticação herdada

Há duas maneiras de usar políticas de acesso condicional para bloquear a autenticação herdada.

Bloqueio direto da autenticação herdada

A maneira mais fácil de bloquear a autenticação herdada em toda a organização é configurando uma política de acesso condicional que se aplica especificamente aos clientes da autenticação herdada e bloqueia o acesso. Ao atribuir usuários e aplicativos à política, certifique-se de excluir usuários e contas de serviço que ainda precisem entrar usando a autenticação herdada. Ao escolher os aplicativos de nuvem aos quais aplicar essa política, selecione todos os aplicativos em nuvem, aplicativos de destino como Office 365 (recomendado) ou no mínimo Office 365 Exchange Online. As organizações podem usar a política disponível em modelos de Acesso Condicional ou a política comum Acesso condicional: bloquear a autenticação herdada como referência.

Bloqueio indireto da autenticação herdada

Mesmo que sua organização não esteja pronta para bloquear a autenticação herdada em todas as áreas da empresa, você deve garantir que as conexões feitas por ela não ignorem políticas que requeiram controles de concessão, como requerer a autenticação multifator ou dispositivos ingressados no Microsoft Azure AD híbrido/compatível. Durante a autenticação, os clientes da autenticação herdada não dão suporte ao envio de informações de MFA, conformidade de dispositivo ou estado de ingresso ao Azure AD. Portanto, aplique políticas com controles de concessão a todos os aplicativos cliente para que as conexões baseadas na autenticação herdada que não atenderem aos controles de concessão sejam bloqueadas. Com a disponibilidade geral da condição dos aplicativos cliente em agosto de 2020, as políticas de acesso condicional recém-criadas se aplicam a todos os aplicativos cliente por padrão.

O que você deve saber

Pode levar até 24 horas para que a política de acesso condicional entre em vigor.

Bloquear o acesso usando Outros clientes também bloqueia o Exchange Online PowerShell e o Dynamics 365 usando a autenticação básica.

A configuração de uma política para Outros clientes bloqueia determinados clientes, como SPConnect, para toda a organização. Esse bloqueio acontece porque os clientes mais antigos são autenticados de maneiras inesperadas. O problema não se aplica aos principais aplicativos do Office, como os antigos clientes do Office.

É possível selecionar todos os controles de concessão disponíveis para a condição de Outros clientes, no entanto, a experiência do usuário final será sempre a mesma - acesso bloqueado.

Próximas etapas