Bloquear autenticação herdada com o Acesso Condicional do Microsoft Entra
Para dar aos seus utilizadores acesso fácil às suas aplicações na nuvem, o Microsoft Entra ID suporta uma ampla variedade de protocolos de autenticação, incluindo autenticação herdada. No entanto, a autenticação herdada não suporta coisas como autenticação multifator (MFA). O MFA é um requisito comum para melhorar a postura de segurança nas organizações.
Com base na análise da Microsoft, mais de 97% dos ataques de preenchimento de credenciais usam autenticação herdada e mais de 99% dos ataques de pulverização de senha usam protocolos de autenticação herdados. Esses ataques parariam com a autenticação básica desativada ou bloqueada.
Nota
A partir de 1º de outubro de 2022, começaremos a desabilitar permanentemente a Autenticação Básica para o Exchange Online em todos os locatários do Microsoft 365, independentemente do uso, exceto para a Autenticação SMTP. Para obter mais informações, consulte o artigo Substituição da autenticação básica no Exchange Online
Alex Weinert, Diretor de Segurança de Identidade da Microsoft, em sua postagem de blog de 12 de março de 2020 Novas ferramentas para bloquear a autenticação herdada em sua organização enfatiza por que as organizações devem bloquear a autenticação herdada e quais outras ferramentas a Microsoft fornece para realizar essa tarefa:
Este artigo explica como você pode configurar políticas de Acesso Condicional que bloqueiam a autenticação herdada para todas as cargas de trabalho em seu locatário.
Ao implementar a proteção de bloqueio de autenticação herdada, recomendamos uma abordagem em fases, em vez de desativá-la para todos os usuários de uma só vez. Os clientes podem optar por primeiro começar a desativar a autenticação básica por protocolo, aplicando políticas de autenticação do Exchange Online e, em seguida, (opcionalmente) também bloqueando a autenticação herdada por meio de políticas de Acesso Condicional quando estiverem prontos.
Os clientes sem licenças que incluam Acesso Condicional podem usar padrões de segurança para bloquear a autenticação herdada.
Pré-requisitos
Este artigo pressupõe que você esteja familiarizado com os conceitos básicos do Microsoft Entra Conditional Access.
Nota
As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.
Descrição do cenário
O Microsoft Entra ID suporta os protocolos de autenticação e autorização mais utilizados, incluindo autenticação herdada. A autenticação herdada não pode solicitar aos usuários a autenticação de segundo fator ou outros requisitos de autenticação necessários para satisfazer diretamente as políticas de Acesso Condicional. Esse padrão de autenticação inclui a autenticação básica, um método padrão do setor amplamente usado para coletar informações de nome de usuário e senha. Exemplos de aplicativos que comumente ou usam apenas a autenticação herdada são:
- Microsoft Office 2013 ou anterior.
- Aplicativos que usam protocolos de email como POP, IMAP e SMTP AUTH.
Para obter mais informações sobre o suporte à autenticação moderna no Office, consulte Como funciona a autenticação moderna para aplicativos cliente do Office.
A autenticação de fator único (por exemplo, nome de usuário e senha) não é suficiente nos dias de hoje. As palavras-passe são más, pois são fáceis de adivinhar e nós (humanos) somos maus a escolher boas palavras-passe. As senhas também são vulneráveis a vários ataques, como phishing e spray de senha. Uma das coisas mais fáceis que você pode fazer para se proteger contra ameaças de senha é implementar a autenticação multifator (MFA). Com o MFA, mesmo que um invasor fique em posse da senha de um usuário, a senha por si só não é suficiente para autenticar e acessar os dados com êxito.
Como você pode impedir que aplicativos que usam autenticação herdada acessem os recursos do seu locatário? A recomendação é apenas bloqueá-los com uma política de Acesso Condicional. Se necessário, você permite que apenas determinados usuários e locais de rede específicos usem aplicativos baseados em autenticação herdada.
Implementação
Esta seção explica como configurar uma política de Acesso Condicional para bloquear a autenticação herdada.
Protocolos de mensagens que suportam autenticação herdada
Os seguintes protocolos de mensagens oferecem suporte à autenticação herdada:
- SMTP autenticado - Usado para enviar mensagens de e-mail autenticadas.
- Descoberta Automática - Usada por clientes Outlook e EAS para localizar e se conectar a caixas de correio no Exchange Online.
- Exchange ActiveSync (EAS) - Usado para se conectar a caixas de correio no Exchange Online.
- PowerShell do Exchange Online - Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação Básica para o PowerShell do Exchange Online, precisará usar o Módulo PowerShell do Exchange Online para se conectar. Para obter instruções, consulte Conectar-se ao PowerShell do Exchange Online usando a autenticação multifator.
- Serviços Web do Exchange (EWS) - Uma interface de programação usada pelo Outlook, Outlook para Mac e aplicativos de terceiros.
- IMAP4 - Usado por clientes de e-mail IMAP.
- MAPI sobre HTTP (MAPI/HTTP) - Protocolo de acesso à caixa de correio principal usado pelo Outlook 2010 SP2 e posterior.
- Catálogo de Endereços Offline (OAB) - Uma cópia das coleções de listas de endereços baixadas e usadas pelo Outlook.
- Outlook em Qualquer Lugar (RPC sobre HTTP) - Protocolo de acesso à caixa de correio herdada suportado por todas as versões atuais do Outlook.
- POP3 - Usado por clientes de e-mail POP.
- Reporting Web Services - Usado para recuperar dados de relatório no Exchange Online.
- Universal Outlook - Usado pelo aplicativo Email e Calendário para Windows 10.
- Outros clientes - Outros protocolos identificados como utilizando autenticação herdada.
Para obter mais informações sobre esses protocolos e serviços de autenticação, consulte Detalhes da atividade do log de entrada.
Identificar o uso de autenticação herdada
Antes de bloquear a autenticação herdada em seu diretório, você precisa primeiro entender se os usuários têm aplicativos cliente que usam autenticação herdada.
Indicadores de registo de início de sessão
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
- Adicione a coluna Aplicativo Cliente se ela não for mostrada clicando em Colunas>Aplicativo Cliente.
- Selecione Adicionar filtros>, Aplicativo> Cliente, escolha todos os protocolos de autenticação herdados e selecione Aplicar.
- Se tiver ativado a pré-visualização dos novos relatórios de atividade de início de sessão, repita os passos acima também no separador Iniciar sessão de utilizador (não interativo).
A filtragem mostra as tentativas de entrada feitas por protocolos de autenticação herdados. Clicar em cada tentativa de início de sessão individual mostra-lhe mais detalhes. O campo Aplicativo Cliente na guia Informações básicas indica qual protocolo de autenticação herdado foi usado.
Esses logs indicam onde os usuários estão usando clientes que ainda dependem da autenticação herdada. Para usuários que não aparecem nesses logs e há confirmação de que não estão usando autenticação herdada, implemente uma política de Acesso Condicional apenas para esses usuários.
Além disso, para ajudar a triar a autenticação herdada em seu locatário, use a pasta de trabalho Entradas usando autenticação herdada.
Indicadores do cliente
Para determinar se um cliente está usando autenticação herdada ou moderna com base na caixa de diálogo apresentada na entrada, consulte o artigo Substituição da autenticação básica no Exchange Online.
Considerações importantes
Muitos clientes que anteriormente suportavam apenas a autenticação herdada agora oferecem suporte à autenticação moderna. Os clientes que suportam autenticação herdada e moderna podem precisar de atualização de configuração para passar da autenticação herdada para a autenticação moderna. Se vir um telemóvel, cliente de ambiente de trabalho ou browser moderno para um cliente nos registos de início de sessão, está a utilizar a autenticação moderna. Se ele tiver um nome de cliente ou protocolo específico, como o Exchange ActiveSync, está usando a autenticação herdada. Os tipos de cliente em Acesso Condicional, Logs de entrada e a pasta de trabalho de autenticação herdada distinguem entre clientes de autenticação modernos e herdados para você.
- Os clientes que oferecem suporte à autenticação moderna, mas não estão configurados para usar a autenticação moderna, devem ser atualizados ou reconfigurados para usar a autenticação moderna.
- Todos os clientes que não suportam autenticação moderna devem ser substituídos.
Importante
Exchange Ative Sync com autenticação baseada em certificado (CBA)
Ao implementar o Exchange Ative Sync (EAS) com o CBA, configure os clientes para usar a autenticação moderna. Os clientes que não usam autenticação moderna para EAS com CBA não são bloqueados com a Substituição da autenticação Básica no Exchange Online. No entanto, esses clientes são bloqueados por políticas de Acesso Condicional configuradas para bloquear a autenticação herdada.
Para obter mais informações sobre como implementar o suporte para CBA com ID do Microsoft Entra e autenticação moderna, consulte: Como configurar a autenticação baseada em certificado do Microsoft Entra (Visualização). Como outra opção, o CBA realizado em um servidor de federação pode ser usado com autenticação moderna.
Se estiver a utilizar o Microsoft Intune, poderá conseguir alterar o tipo de autenticação utilizando o perfil de e-mail que envia por push ou implementa nos seus dispositivos. Se estiver a utilizar dispositivos iOS (iPhones e iPads), deve consultar Adicionar definições de correio eletrónico para dispositivos iOS e iPadOS no Microsoft Intune.
Bloquear a autenticação legada
Há duas maneiras de usar políticas de Acesso Condicional para bloquear a autenticação herdada.
Bloquear diretamente a autenticação legada
A maneira mais fácil de bloquear a autenticação herdada em toda a organização é configurando uma política de Acesso Condicional que se aplica especificamente a clientes de autenticação herdados e bloqueia o acesso. Ao atribuir usuários e aplicativos à política, certifique-se de excluir usuários e contas de serviço que ainda precisam entrar usando autenticação herdada. Ao escolher os aplicativos na nuvem nos quais aplicar essa política, selecione Todos os aplicativos na nuvem, aplicativos direcionados, como o Office 365 (recomendado) ou, no mínimo, o Office 365 Exchange Online. As organizações podem usar a política disponível em modelos de Acesso Condicional ou a política comum Acesso Condicional: Bloquear autenticação herdada como referência.
Bloquear indiretamente a autenticação legada
Se sua organização não estiver pronta para bloquear completamente a autenticação herdada, você deve garantir que os logins usando autenticação herdada não estejam ignorando políticas que exigem controles de concessão, como a autenticação multifator. Durante a autenticação, os clientes de autenticação herdados não suportam o envio de MFA, conformidade de dispositivo ou informações de estado de junção para o Microsoft Entra ID. Portanto, aplique políticas com controles de concessão a todos os aplicativos cliente para que as entradas baseadas em autenticação herdada que não podem satisfazer os controles de concessão sejam bloqueadas. Com a disponibilidade geral da condição de aplicativos cliente em agosto de 2020, as políticas de Acesso Condicional recém-criadas aplicam-se a todos os aplicativos cliente por padrão.
O que deve saber
Pode levar até 24 horas para que a política de Acesso Condicional entre em vigor.
Bloquear o acesso usando Outros clientes também bloqueia o PowerShell do Exchange Online e o Dynamics 365 usando autenticação básica.
A configuração de uma política para Outros clientes bloqueia toda a organização de determinados clientes, como o SPConnect. Esse bloqueio acontece porque clientes mais antigos se autenticam de maneiras inesperadas. O problema não se aplica aos principais aplicativos do Office, como os clientes mais antigos do Office.
Você pode selecionar todos os controles de concessão disponíveis para a condição Outros clientes , no entanto, a experiência do usuário final é sempre a mesma - acesso bloqueado.
Próximos passos
- Determinar o efeito usando o modo somente relatório de Acesso Condicional
- Se você ainda não estiver familiarizado com a configuração de políticas de Acesso Condicional, consulte Exigir MFA para aplicativos específicos com o Acesso Condicional do Microsoft Entra para obter um exemplo.
- Para obter mais informações sobre o suporte à autenticação moderna, consulte Como funciona a autenticação moderna para aplicativos cliente do Office
- Como configurar um dispositivo multifuncional ou aplicativo para enviar email usando o Microsoft 365
- Habilitar a autenticação moderna no Exchange Online
- Habilitar a autenticação moderna para o Office 2013 em dispositivos Windows
- Como configurar o Exchange Server no local para utilizar a Autenticação Moderna Híbrida
- Como usar a autenticação moderna com o Skype for Business