Блокировка устаревших методов проверки подлинности в Azure AD с помощью условного доступа

Чтобы предоставить пользователям удобный доступ к облачным приложениям, Azure Active Directory (AAD) поддерживает широкий набор протоколов проверки подлинности, часть из которых уже устарела. Тем не менее устаревшие методы проверки подлинности не поддерживают, к примеру, многофакторную проверку подлинности (MFA). MFA является общим требованием для повышения уровня безопасности в организациях.

Примечание

Начиная с 1 октября 2022 г. мы начнем окончательно отключать обычную проверку подлинности для Exchange Online во всех клиентах Microsoft 365 независимо от того, используется ли она, за исключением проверки подлинности SMTP. Дополнительные сведения см. здесь.

Алекс Вайнерт (Alex Weinert), директор по безопасности идентификационных данных в корпорации Майкрософт, в записи блога от 12 марта 2020 года про новые инструменты для блокировки устаревших методов аутентификации в организации рассказывает о том, почему организациям следует блокировать такие методы и какие дополнительные инструменты предоставляет для этого корпорация Майкрософт.

Чтобы обеспечить эффективность многофакторной проверки подлинности, необходимо также заблокировать устаревшие методы аутентификации. Это связано с тем, что устаревшие протоколы аутентификации, такие как POP, SMTP, IMAP и MAPI, не могут применять многофакторную проверку подлинности, что делает их предпочтительными направлениями атаки злоумышленников на вашу организацию.

...Результаты для устаревших методов аутентификации, полученные на основе анализа трафика Azure Active Directory (Azure AD), очень показательны:

  • Более 99 % атак путем распыления пароля используют устаревшие методы аутентификации.
  • Более 97 % атак с подстановкой учетных данных используют устаревшие методы аутентификации.
  • Учетные записи Azure AD в организациях, в которых устаревшие методы аутентификации отключены, взламывают на 67 % реже, чем те, в которых эти методы включены.

Если вы готовы к тому, чтобы запретить устаревшие методы проверки подлинности для повышения уровня защиты клиента, это можно выполнить с помощью условного доступа. В этой статье объясняется, как настроить политики условного доступа для блокирования устаревших методов проверки подлинности для всех рабочих нагрузок в клиенте.

При развертывании блокировки устаревших методов проверки подлинности рекомендуется поэтапный подход, а не отключение сразу для всех пользователей. Клиенты могут начать с отключения обычной проверки подлинности для отдельных протоколов, применяя политики проверки подлинности Exchange Online, а затем (при желании) также блокировать устаревшие методы проверки подлинности с помощью политик условного доступа.

Клиенты без лицензий с условным доступом могут использовать параметры безопасности по умолчанию, чтобы блокировать прежние версии проверки подлинности.

Предварительные требования

Предполагается, что вы знакомы с основными понятиями условного доступа в Azure Active Directory.

Примечание

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Описание сценария

AAD поддерживает широко распространенные протоколы проверки подлинности и авторизации, часть из которых уже устарела. Устаревший механизм проверки подлинности не может напрямую запрашивать у пользователей двухфакторную проверку подлинности или другие требования проверки подлинности, необходимые для выполнения политик условного доступа. Этот шаблон проверки подлинности включает обычную проверку подлинности — широко применяемый и являющийся отраслевым стандартом метод сбора сведений об имени пользователя и пароле. Примеры приложений, которые используют в основном или исключительно устаревшую проверку подлинности:

  • Microsoft Office 2013 или более поздней версии;
  • приложения, поддерживающие почтовые протоколы POP, IMAP и SMTP.

Дополнительные сведения о современной проверке подлинности для клиентских приложений Office см. в этой статье.

В наше время однофакторной проверки подлинности (например, имени пользователя и пароля) уже недостаточно. Пароли работают плохо, так как их можно легко угадать, и люди плохо умеют выбирать правильные пароли. Пароли также уязвимы к разным видам атак, например фишингу и подбору. Один из простейших способов защиты от связанных с паролями угроз — это многофакторная проверка подлинности (MFA). При наличии многофакторной проверки подлинности злоумышленник не сможет пройти проверку подлинности и получить доступ к данным, даже если получит пароль пользователя в свое распоряжение.

Как же запретить доступ к ресурсам клиента всем приложениям, которые используют устаревшую проверку подлинности? Мы рекомендуем заблокировать их при помощи политики условного доступа. Если потребуется, вы сможете разрешить отдельным пользователям использовать конкретные приложения с устаревшей проверкой подлинности из конкретных сетевых расположений.

Реализация

В этом разделе объясняется, как настроить политику условного доступа для блокировки устаревших методов аутентификации.

Протоколы обмена сообщениями, поддерживающие устаревшую проверку подлинности

Следующие протоколы обмена сообщениями поддерживают устаревшую проверку подлинности:

  • SMTP с проверкой подлинности — используется для отправки сообщений электронной почты, прошедших проверку подлинности;
  • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
  • Exchange ActiveSync (EAS) — используется для подключения к почтовым ящикам в Exchange Online.
  • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
  • Веб-службы Exchange (EWS) — программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
  • IMAP4 — используется клиентами электронной почты IMAP.
  • MAPI через HTTP (MAPI/HTTP) — основной протокол доступа к почтовым ящикам, используемый в Outlook 2010 с пакетом обновления 2 (SP2) и более поздних версиях;
  • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
  • Outlook Anywhere (RPC поверх HTTP) — устаревший протокол доступа к почтовым ящикам, поддерживаемый всеми текущими версиями Outlook;
  • POP3 — используется клиентами электронной почты POP.
  • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.
  • Универсальный Outlook — используется приложениями "Почта" и "Календарь" для Windows 10;
  • Другие клиенты — другие протоколы, которые определены как использующие устаревший механизм аутентификации.

Дополнительные сведения об этих протоколах и службах аутентификации см. в статье Отчеты о действиях входа на портале Azure Active Directory.

Выявление использования устаревших методов аутентификации

Прежде чем блокировать устаревшие методы аутентификации в каталоге, сначала определите, есть ли у пользователей клиенты, использующие такие методы. Ниже вы найдете полезную информацию для выявления и сортировки клиентов, использующих устаревшие способы проверки подлинности.

Индикаторы из Azure AD

  1. Откройте портал Azure>Azure Active Directory>События входа.
  2. Если столбец «Клиентское приложение» не отображается, щелкните Столбцы>Клиентское приложение.
  3. Add filters (Добавить фильтры)>Client App (Клиентское приложение)> выберите все устаревшие протоколы проверки подлинности. Щелкните за пределами диалогового окна фильтрации, чтобы применить выбранные значения и закрыть диалоговое окно.
  4. Если вы активировали новую предварительную версию отчетов об активности входа, повторите описанные выше действия на вкладке Входы пользователя в систему (неинтерактивные).

После применения фильтра будут показаны только попытки входа с использованием устаревших протоколов аутентификации. При выборе попытки входа будут показаны дополнительные сведения. В поле Client App (Клиентское приложение) на вкладке Basic Info (Основные сведения) указывается, какой протокол аутентификации использовался ранее.

Эти журналы указывают на то, где пользователи используют клиенты, которые все еще применяют устаревший механизм проверки подлинности. Для пользователей, которые не отображаются в этих журналах и точно не используют устаревшие методы проверки подлинности, можно реализовать политику условного доступа.

Кроме того, чтобы упростить сортировку устаревших методов проверки подлинности в вашем клиенте, используйте Операции входа с использованием устаревшей книги проверки подлинности.

Индикаторы от клиента

Чтобы определить, использует ли клиент устаревшую или современную проверку подлинности в соответствии с диалоговым окном, отображаемым при входе, см. статью Прекращение поддержки обычной проверки подлинности в Exchange Online.

Важные замечания

Многие клиенты, которые ранее поддерживали устаревшую проверку подлинности, теперь поддерживают современную проверку подлинности. Клиентам, поддерживающим как устаревшую, так и современную проверку подлинности, может потребоваться обновление конфигурации для перехода с устаревшей на современную проверку подлинности. Если для клиента в журналах Azure AD отображается modern mobile, desktop client (современный мобильный или классический клиент) или browser (браузер), значит он использует современную проверку подлинности. Если указано конкретное имя клиента или протокола, например Exchange ActiveSync, значит он использует устаревшую проверку подлинности. Типы клиентов в условном доступе, журналах входа Azure AD и устаревшей книге проверки подлинности позволяют различать клиенты с современными и устаревшими версиями проверки подлинности.

  • Клиенты, поддерживающие современную проверку подлинности, но не настроенные для ее использования, должны быть обновлены или перенастроены, чтобы начать использовать современную проверку подлинности.
  • Все клиенты, не поддерживающие современную проверку подлинности, должны быть заменены.

Важно!

Exchange Active Sync с проверкой подлинности на основе сертификата (CBA)

При реализации Exchange Active Sync (EAS) с CBA настройте клиенты для использования современной проверки подлинности. Клиенты, не использующие современную проверку подлинности для EAS с CBA, не блокируются с прекращением поддержки обычной проверки подлинности в Exchange Online. Однако эти клиенты блокируются политиками условного доступа, настроенными на блокировку устаревшей проверки подлинности.

Дополнительные сведения о реализации поддержки CBA с Azure AD и современной проверкой подлинности см. в разделе Настройка проверки подлинности на основе сертификатов Azure AD (предварительная версия). В качестве альтернативы можно использовать CBA, выполняемую на сервере федерации, с современной проверкой подлинности.

Если вы используете Microsoft Intune, вы можете изменить тип проверки подлинности с помощью профиля электронной почты, который вы отправляете или развертываете на устройствах. Если вы используете устройства iOS (iPhone и iPad), ознакомьтесь со статьей Добавление параметров электронной почты для устройств iOS и iPadOS в Microsoft Intune.

Блокировка устаревших методов проверки подлинности

Существует два способа блокировки устаревшего механизма проверки подлинности с использованием политик условного доступа.

Прямая блокировка устаревшей проверки подлинности

Для блокировки устаревшей проверки подлинности во всей организации проще всего настроить политику условного доступа, которая будет применяться только к клиентам с устаревшей проверкой подлинности и блокировать доступ. Назначая политику пользователям и приложениям, не забудьте исключить учетные записи тех пользователей и служб, которым по-прежнему требуется устаревшая проверка подлинности для входа в систему. При выборе облачных приложений, в которых будет применяться эта политика, выберите все облачные приложения, целевые приложения, такие как Office 365 (рекомендуется), или как минимум Office 365 Exchange Online. Чтобы настроить условия для клиентских приложений, выберите пункты Exchange ActiveSync clients (Клиенты Exchange ActiveSync) и Other clients (Другие клиенты) . Чтобы заблокировать доступ для этих клиентских приложений, настройте соответствующие элементы управления доступом.

Условие для клиентских приложений, настроенное для блокировки устаревшей проверки подлинности

Косвенная блокировка устаревшей проверки подлинности

Если вы пока не готовы блокировать устаревшие методы проверки подлинности во всей организации, убедитесь в том, что попытки входа с их использованием не идут в обход политик, требующих такие элементы управления, как многофакторная проверка подлинности или использование соответствующего требованиям устройства либо устройства с гибридным присоединением к Azure AD. Во время проверки подлинности клиенты, использующие устаревший метод, не поддерживают отправку сведений об MFA, соответствии устройств требованиям или состоянии присоединения в Azure Active Directory. Поэтому необходимо применять ко всем клиентским приложениям политики с условием предоставления доступа, чтобы блокировать попытки входа с использованием устаревшей проверки подлинности, не удовлетворяющие условиям предоставления доступа. С августа 2020 г., когда условие для клиентских приложений стало общедоступным, вновь созданные политики условного доступа по умолчанию применяются ко всем клиентским приложениям.

Конфигурация условия для клиентских приложений, используемая по умолчанию

Необходимая информация

Чтобы политика условного доступа вступила в силу, может потребоваться до 24 часов.

Блокировка доступа с помощью условия Другие клиенты также блокирует PowerShell в Exchange Online и Dynamics 365, использующие обычную аутентификацию.

Если задать для политики параметр Другие клиенты, доступ из определенных клиентов, например SPConnect, заблокируется для всей организации. Эта блокировка выполняется, так как клиенты предыдущих версий выполняют аутентификацию непредвиденным образом. Эта проблема не касается основных приложений Office, таких как клиенты Office прежних версий.

Вы можете настроить все доступные элементы управления для условия Другие клиенты, но для пользователей по сути ничего не изменится — доступ будет заблокирован.

Дальнейшие действия