Поделиться через

Блокировка устаревших методов аутентификации с помощью условного доступа

  • Статья

Корпорация Майкрософт рекомендует организациям блокировать запросы проверки подлинности с помощью устаревших протоколов, которые не поддерживают многофакторную проверку подлинности. На основе анализа Майкрософт более 97 процентов атак с учетными данными используют устаревшую проверку подлинности и более 99 процентов атак с распыления паролем используют устаревшие протоколы проверки подлинности. Эти атаки будут остановлены с помощью простой проверки подлинности, отключенной или заблокированной.

Клиенты без лицензий с условным доступом могут использовать параметры безопасности по умолчанию, чтобы блокировать прежние версии проверки подлинности.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие действия помогут создать политику условного доступа для блокировки устаревших запросов проверки подлинности. Эта политика помещается в режим только для отчетов, чтобы администраторы могли определить влияние, которое они оказывают на существующих пользователей. Когда администраторы проверят действие политики, они могут включить ее или выполнить промежуточное развертывание, добавляя определенные группы и исключая другие.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и укажите учетные записи, которые должны сохранить возможность устаревшей проверки подлинности. Корпорация Майкрософт рекомендует исключить хотя бы одну учетную запись, чтобы предотвратить блокировку из-за неправильной настройки.
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включите все ресурсы (ранее — "Все облачные приложения").
  7. В разделе Условия>Клиентские приложения установите для параметра Настроить значение Да.
    1. Установите только флажки Клиенты Exchange ActiveSync и Другие клиенты.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
    1. Выберите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Выявление использования устаревших методов аутентификации

Чтобы понять, есть ли у пользователей клиентские приложения, использующие устаревшую проверку подлинности, администраторы могут проверить индикаторы в журналах входа, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
  3. Добавьте столбец клиентского приложения, если он не отображается, щелкнув клиентское приложение столбцов>.
  4. Выберите "Добавить фильтры>" Клиентское приложение> выберите все устаревшие протоколы проверки подлинности и нажмите кнопку "Применить".
  5. Кроме того, выполните эти действия на вкладке "Вход пользователей" (неинтерактивный).

Фильтрация показывает попытки входа, выполненные устаревшими протоколами проверки подлинности. Щелкнув каждую отдельную попытку входа, вы можете получить дополнительные сведения. Поле "Клиентское приложение" на вкладке "Основные сведения" указывает, какой устаревший протокол проверки подлинности использовался. Эти журналы указывают пользователей, использующих клиенты, которые зависят от устаревшей проверки подлинности.

Кроме того, чтобы упростить сортировку устаревших методов проверки подлинности в вашем клиенте, используйте Операции входа с использованием устаревшей книги проверки подлинности.

Связанный контент