Compartir vía

Bloqueo de la autenticación heredada en Azure AD con acceso condicional

  • Artículo

Microsoft recomienda que las organizaciones bloqueen las solicitudes de autenticación mediante protocolos heredados que no admiten la autenticación multifactor. En función del análisis de Microsoft, más del 97 % de los ataques de relleno de credenciales usan la autenticación heredada y más del 99 % de los ataques de difusión de contraseñas usan protocolos de autenticación heredados. Estos ataques se detendrían con la autenticación básica deshabilitada o bloqueada.

Los clientes sin licencias que incluyen el acceso condicional pueden usar losvalores predeterminados de seguridad para bloquear la autenticación heredada.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

  • Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a configuración errónea de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Cuentas de servicio y Entidades de servicio , como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Implementación de plantilla

A la hora de implementar esta directiva, las organizaciones pueden optar por seguir los pasos que se describen a continuación o usar las plantillas de acceso condicional.

Creación de una directiva de acceso condicional

Los pasos siguientes le ayudan a crear una directiva de acceso condicional para bloquear las solicitudes de autenticación heredadas. Esta directiva se coloca en modo de solo informe para comenzar, de modo que los administradores puedan establecer el impacto que tendrán en los usuarios existentes. Cuando los administradores se sientan cómodos con que la directiva se aplique según lo previsto, pueden cambiar a Activado o ensayar la implementación agregando grupos específicos y excluyendo otros.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección>Acceso condicional>Directivas.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y elija las cuentas que deben mantener la capacidad para usar la autenticación heredada. Microsoft recomienda excluir al menos una cuenta para evitar que se bloquee debido a una configuración incorrecta.
  6. En Recursos de destino>(anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
  7. En Condiciones>Aplicaciones cliente, establezca Configurar en .
    1. Active solo las casillas Clientes de Exchange ActiveSync y Otros clientes.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Bloquear acceso.
    1. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Nota:

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.

Identificación del uso de la autenticación heredada

Para comprender si los usuarios tienen aplicaciones cliente que usan la autenticación heredada, los administradores pueden comprobar si hay indicadores en los registros de inicio de sesión con los pasos siguientes:

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
  2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
  3. Agregue la columna Aplicación cliente si no se muestra; para ello, haga clic en Columnas>Aplicación cliente.
  4. Seleccione Agregar filtros>Aplicación cliente> seleccione todos los protocolos de autenticación heredados y haga clic en Aplicar.
  5. Realice también estos pasos en la pestaña Inicios de sesión de usuario ( no interactivos).

Al filtrar se muestran los intentos de inicio de sesión realizados mediante protocolos de autenticación heredados. Al hacer clic en cada intento de inicio de sesión individual se muestran más detalles. El campo Aplicación cliente en la pestaña Información básica indicará qué protocolo de autenticación heredada se usó. Estos registros indican a los usuarios que usan clientes que dependen de la autenticación heredada.

Además, para ayudar a realizar una evaluación de prioridades de la autenticación heredada en el inquilino, use Inicios de sesión que utilizan una autenticación heredada.

Contenido relacionado