Блокировка устаревшей проверки подлинности с помощью условного доступа Microsoft Entra

  • Статья

Чтобы предоставить пользователям простой доступ к облачным приложениям, Microsoft Entra ID поддерживает широкий спектр протоколов проверки подлинности, включая устаревшие. Тем не менее устаревшие методы проверки подлинности не поддерживают, к примеру, многофакторную проверку подлинности (MFA). MFA является общим требованием для повышения уровня безопасности в организациях.

На основе анализа Майкрософт более 97 процентов атак на заполнение учетных данных используют устаревшую проверку подлинности, а более 99 процентов атак с распылением паролей используют устаревшие протоколы проверки подлинности. Эти атаки будут остановлены, если обычная проверка подлинности отключена или заблокирована.

Примечание

Начиная с 1 октября 2022 г. мы начнем окончательно отключать обычную проверку подлинности для Exchange Online во всех клиентах Microsoft 365 независимо от того, используется ли она, за исключением проверки подлинности SMTP. Дополнительные сведения см. в статье Прекращение обычной проверки подлинности в Exchange Online

Алекс Вайнерт (Alex Weinert), директор по безопасности идентификационных данных в корпорации Майкрософт, в записи блога от 12 марта 2020 года про новые инструменты для блокировки устаревших методов аутентификации в организации рассказывает о том, почему организациям следует блокировать такие методы и какие дополнительные инструменты предоставляет для этого корпорация Майкрософт.

В этой статье объясняется, как настроить политики условного доступа для блокирования устаревших методов проверки подлинности для всех рабочих нагрузок в клиенте.

При развертывании блокировки устаревших методов проверки подлинности рекомендуется поэтапный подход, а не отключение сразу для всех пользователей. Клиенты могут начать с отключения обычной проверки подлинности для отдельных протоколов, применяя политики проверки подлинности Exchange Online, а затем (при желании) также блокировать устаревшие методы проверки подлинности с помощью политик условного доступа.

Клиенты без лицензий с условным доступом могут использовать параметры безопасности по умолчанию, чтобы блокировать прежние версии проверки подлинности.

Предварительные требования

В этой статье предполагается, что вы знакомы с основными понятиями Microsoft Entra условного доступа.

Примечание

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Описание сценария

Microsoft Entra ИД поддерживает наиболее широко используемые протоколы проверки подлинности и авторизации, включая устаревшие. Устаревшая проверка подлинности не может запрашивать у пользователей второй фактор проверки подлинности или другие требования к проверке подлинности, необходимые для выполнения политик условного доступа напрямую. Этот шаблон проверки подлинности включает обычную проверку подлинности — широко применяемый и являющийся отраслевым стандартом метод сбора сведений об имени пользователя и пароле. Примеры приложений, которые используют в основном или исключительно устаревшую проверку подлинности:

  • Microsoft Office 2013 или более поздней версии;
  • приложения, поддерживающие почтовые протоколы POP, IMAP и SMTP.

Дополнительные сведения о современной проверке подлинности для клиентских приложений Office см. в этой статье.

В наше время однофакторной проверки подлинности (например, имени пользователя и пароля) уже недостаточно. Пароли работают плохо, так как их можно легко угадать, и люди плохо умеют выбирать правильные пароли. Пароли также уязвимы к разным видам атак, например фишингу и подбору. Один из простейших способов защиты от связанных с паролями угроз — это многофакторная проверка подлинности (MFA). При наличии многофакторной проверки подлинности злоумышленник не сможет пройти проверку подлинности и получить доступ к данным, даже если получит пароль пользователя в свое распоряжение.

Как же запретить доступ к ресурсам клиента всем приложениям, которые используют устаревшую проверку подлинности? Мы рекомендуем заблокировать их при помощи политики условного доступа. Если потребуется, вы сможете разрешить отдельным пользователям использовать конкретные приложения с устаревшей проверкой подлинности из конкретных сетевых расположений.

Реализация

В этом разделе объясняется, как настроить политику условного доступа для блокировки устаревших методов аутентификации.

Протоколы обмена сообщениями, поддерживающие устаревшую проверку подлинности

Следующие протоколы обмена сообщениями поддерживают устаревшую проверку подлинности:

  • SMTP с проверкой подлинности — используется для отправки сообщений электронной почты, прошедших проверку подлинности;
  • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
  • Exchange ActiveSync (EAS) — используется для подключения к почтовым ящикам в Exchange Online.
  • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
  • Веб-службы Exchange (EWS) — программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
  • IMAP4 — используется клиентами электронной почты IMAP.
  • MAPI через HTTP (MAPI/HTTP) — основной протокол доступа к почтовым ящикам, используемый в Outlook 2010 с пакетом обновления 2 (SP2) и более поздних версиях;
  • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
  • Outlook Anywhere (RPC поверх HTTP) — устаревший протокол доступа к почтовым ящикам, поддерживаемый всеми текущими версиями Outlook;
  • POP3 — используется клиентами электронной почты POP.
  • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.
  • Универсальный Outlook — используется приложениями "Почта" и "Календарь" для Windows 10;
  • Другие клиенты — другие протоколы, которые определены как использующие устаревший механизм аутентификации.

Дополнительные сведения об этих протоколах и службах проверки подлинности см. в разделе Сведения о действиях журнала входа.

Выявление использования устаревших методов аутентификации

Прежде чем блокировать устаревшую проверку подлинности в каталоге, необходимо сначала понять, есть ли у пользователей клиентские приложения, использующие устаревшую проверку подлинности.

Индикаторы журнала входа

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
  2. Перейдите в страницуЖурналы входа всистему мониторинга &>удостоверений>.
  3. Добавьте столбец Клиентское приложение , если он не отображается, щелкнув Столбцы>Клиентское приложение.
  4. Щелкните Добавить фильтры>Клиентское приложение> , выберите все устаревшие протоколы проверки подлинности и нажмите кнопку Применить.
  5. Если вы активировали новую предварительную версию отчетов об активности входа, повторите описанные выше действия на вкладке Входы пользователя в систему (неинтерактивные).

Фильтрация показывает попытки входа, выполненные устаревшими протоколами проверки подлинности. При щелчке по каждой отдельной попытке входа отображаются дополнительные сведения. Поле Клиентское приложение на вкладке Основные сведения указывает, какой устаревший протокол проверки подлинности использовался.

Эти журналы указывают, где пользователи используют клиенты, которые по-прежнему зависят от устаревшей проверки подлинности. Для пользователей, которые не отображаются в этих журналах и точно не используют устаревшие методы проверки подлинности, можно реализовать политику условного доступа.

Кроме того, чтобы упростить сортировку устаревших методов проверки подлинности в вашем клиенте, используйте Операции входа с использованием устаревшей книги проверки подлинности.

Индикаторы от клиента

Чтобы определить, использует ли клиент устаревшую или современную проверку подлинности в соответствии с диалоговым окном, отображаемым при входе, см. статью Прекращение поддержки обычной проверки подлинности в Exchange Online.

Важные замечания

Многие клиенты, которые ранее поддерживали устаревшую проверку подлинности, теперь поддерживают современную проверку подлинности. Клиентам, поддерживающим как устаревшую, так и современную проверку подлинности, может потребоваться обновление конфигурации для перехода с устаревшей на современную проверку подлинности. Если вы видите современный мобильный, настольный клиент или браузер для клиента в журналах входа, он использует современную проверку подлинности. Если указано конкретное имя клиента или протокола, например Exchange ActiveSync, значит он использует устаревшую проверку подлинности. Типы клиентов в условном доступе, журналах входа и книге проверки подлинности прежних версий различают современные и устаревшие клиенты проверки подлинности.

  • Клиенты, поддерживающие современную проверку подлинности, но не настроенные для ее использования, должны быть обновлены или перенастроены, чтобы начать использовать современную проверку подлинности.
  • Все клиенты, не поддерживающие современную проверку подлинности, должны быть заменены.

Важно!

Exchange Active Sync с проверкой подлинности на основе сертификатов (CBA)

При реализации Exchange Active Sync (EAS) с CBA настройте клиенты для использования современной проверки подлинности. Клиенты, не использующие современную проверку подлинности для EAS с CBA, не блокируются с прекращением поддержки обычной проверки подлинности в Exchange Online. Однако эти клиенты блокируются политиками условного доступа, настроенными на блокировку устаревшей проверки подлинности.

Дополнительные сведения о реализации поддержки CBA с идентификатором Microsoft Entra и современной проверкой подлинности см. в статье Настройка проверки подлинности на основе сертификата Microsoft Entra (предварительная версия). В качестве альтернативы можно использовать CBA, выполняемую на сервере федерации, с современной проверкой подлинности.

Если вы используете Microsoft Intune, вы можете изменить тип проверки подлинности с помощью профиля электронной почты, который вы отправляете или развертываете на устройствах. Если вы используете устройства iOS (iPhone и iPad), ознакомьтесь со статьей Добавление параметров электронной почты для устройств iOS и iPadOS в Microsoft Intune.

Блокировка устаревших методов проверки подлинности

Существует два способа блокировки устаревшего механизма проверки подлинности с использованием политик условного доступа.

Прямая блокировка устаревшей проверки подлинности

Для блокировки устаревшей проверки подлинности во всей организации проще всего настроить политику условного доступа, которая будет применяться только к клиентам с устаревшей проверкой подлинности и блокировать доступ. Назначая политику пользователям и приложениям, не забудьте исключить учетные записи тех пользователей и служб, которым по-прежнему требуется устаревшая проверка подлинности для входа в систему. При выборе облачных приложений, в которых будет применяться эта политика, выберите все облачные приложения, целевые приложения, такие как Office 365 (рекомендуется), или как минимум Office 365 Exchange Online. Организации могут использовать политику, доступную в шаблонах условного доступа , или общую политику Условный доступ: блокировать устаревшую проверку подлинности в качестве ссылки.

Косвенная блокировка устаревшей проверки подлинности

Если ваша организация не готова полностью заблокировать устаревшую проверку подлинности, убедитесь, что входы с устаревшей проверкой подлинности не обходят политики, требующие предоставления элементов управления, таких как многофакторная проверка подлинности. Во время проверки подлинности устаревшие клиенты проверки подлинности не поддерживают отправку MFA, соответствия устройств или сведений о состоянии присоединения к Microsoft Entra идентификатору. Поэтому необходимо применять ко всем клиентским приложениям политики с условием предоставления доступа, чтобы блокировать попытки входа с использованием устаревшей проверки подлинности, не удовлетворяющие условиям предоставления доступа. С августа 2020 г., когда условие для клиентских приложений стало общедоступным, вновь созданные политики условного доступа по умолчанию применяются ко всем клиентским приложениям.

Необходимая информация

Чтобы политика условного доступа вступила в силу, может потребоваться до 24 часов.

Блокировка доступа с помощью условия Другие клиенты также блокирует PowerShell в Exchange Online и Dynamics 365, использующие обычную аутентификацию.

Если задать для политики параметр Другие клиенты, доступ из определенных клиентов, например SPConnect, заблокируется для всей организации. Эта блокировка выполняется, так как клиенты предыдущих версий выполняют аутентификацию непредвиденным образом. Эта проблема не касается основных приложений Office, таких как клиенты Office прежних версий.

Вы можете настроить все доступные элементы управления для условия Другие клиенты, но для пользователей по сути ничего не изменится — доступ будет заблокирован.

Дальнейшие действия