Sprievodca prechodom od starších protokolov overovania v Microsoft 365

Microsoft 365 (M365), predtým nazývaný Office 365 (O365), je vlajkový produkt cloudovej stratégie spoločnosti Microsoft s veľkými zmenami, ktoré sú pred nami, ako je napríklad ukončenie podpory ich starších overovacích protokolov.

Protokoly Basic Authentication, ktoré sú často uložené alebo uložené v zariadení, sa spoliehajú na odosielanie používateľských mien a hesiel s každou požiadavkou, čím sa zvyšuje riziko, že útočníci získajú poverenia používateľov, najmä ak nie sú chránené TLS. Základná autentifikácia, hoci je potrebná pre spoločnosti používajúce starší softvér, nie je schopná vynútiť MFA a je nahradená modernou autentizáciou.

Staršie nastavenia boli na radare Microsoftu, aby ich opravoval už roky. V roku 2018 spoločnosť Microsoft oznámila, že zavedie sériu zmien – a v konečnom dôsledku ukončenie podpory – svojich kontrolných mechanizmov overovania ako prostriedku, ktorý pomôže organizáciám zmierniť riziko. Tieto zmeny sa mali uskutočniť v priebehu niekoľkých rokov a v septembri 2021 oznámili, že začnú natrvalo deaktivovať Basic Auth u všetkých nájomníkov bez ohľadu na použitie, s výnimkou SMTP Auth do konca roka 2022.

S cieľom umožniť hladký prechod z týchto starších protokolov do moderného prostredia vytvoril Adaptive Shield podrobného sprievodcu, ktorý vám pomôže znížiť riziko a posilniť zabezpečenie M365 vašej organizácie.

Adaptive Shield tiež vyvinul a uvoľnil skript PowerShell, ktorý vytvára jednotnú zostavu na zmapovanie pozície organizácie, aby ste vedeli, ktorí používatelia majú povolené staršie protokoly – na kopírovanie a prilepenie. Tento článok obsahuje hlavné časti príručky z techník zisťovania a procesov blokovania prístupu a zároveň vám ukazuje, ako zaobchádzať so špeciálnymi vylúčeniami.

Ak si chcete stiahnuť celú príručku so všetkými skriptami, kliknite sem.

Zoznam základných overovacích protokolov

Ak chcete zabezpečiť nasadenie organizácie, prvým krokom je vedieť, aké typy základných autentifikačných protokolov existujú. V rámci spoločnosti Microsoft medzi základné/staršie protokoly patria:

  • Autentizovaný SMTP – Používajú ho klienti POP a IMAP na odosielanie e-mailových správ
  • Autodiscover – Používajú ho klienti Outlook a EAS na vyhľadanie a pripojenie k poštovým schránkam v Exchange Online
  • Exchange ActiveSync (EAS) – Používa sa na pripojenie k poštovým schránkam v Exchange Online
  • Exchange Online PowerShell – Používa sa na pripojenie k Exchange Online pomocou vzdialeného PowerShell
  • Exchange Web Services – Programovacie rozhranie, ktoré používajú Outlook, Outlook pre Mac a aplikácie tretích strán
  • IMAP – Používajú sa e-mailovými klientmi IMAP a umožňujú používateľom pristupovať k e-mailom odkiaľkoľvek a z akéhokoľvek zariadenia
  • MAPI cez HTTP – používa ho Outlook 2010 a novší
  • OAB (Offline Address Book) – kópia kolekcií zoznamu adries, ktoré sú stiahnuté a používané programom Outlook
  • Služba Outlook – používa ju aplikácia Mail and Calendar for Windows 10
  • POP3 – Používajú sa e-mailovými klientmi POP na stiahnutie nových správ a ich odstránenie z e-mailového servera Reporting Web Services
  • Iní klienti – Akékoľvek iné protokoly identifikované ako používajúce starú autentifikáciu

Tieto autentifikačné protokoly nepodporujú moderné autentifikačné mechanizmy, ako je viacfaktorová autentifikácia (MFA), čo znamená, že povolenie MFA nestačí.

Na zvýšenie bezpečnosti a zníženie rizika musia organizácie nájsť všetkých používateľov a služby, ktoré používajú staršie protokoly, prejsť na moderné protokoly a zablokovať tie základné.

Táto biela kniha vás prevedie procesom zisťovania a blokovania, okrem zdieľania pokynov pre ďalšie ovládacie prvky, ako sú služby poštových schránok a zásady podmieneného prístupu, ktoré môžu posilniť vašu pozíciu zabezpečenia v Microsoft 365.

Objav: Poznajte svoju polohu

Pred vypnutím všetkých starších protokolov v rámci organizácie je dôležité identifikovať používateľov a služby, ktoré používajú základnú autentifikáciu. Namiesto znižovania produktivity a vytvárania frustrácie používateľov je dôležité dať používateľom vedieť, že sa systém aktualizuje, čo pomôže vyhnúť sa prerušeniam podnikania a podporiť bezbolestný prechod na moderné protokoly.

Existuje niekoľko spôsobov, ako sa dozvedieť o postavení vašej organizácie pomocou týchto metód:

  • Powershell skript – zobrazuje, ktorí používatelia majú povolené protokoly výmeny
  • Správa o podmienenom prístupe – zobrazuje aktuálne využitie základných autentifikačných protokolov
  • Prihlasovacie denníky Azure AD – zobrazuje prihlásenia vykonané so staršími klientmi overovania

Skript PowerShell

Spustenie skriptu PowerShell funguje ako dobrý východiskový bod na zmapovanie prostredia používateľov a služieb, ktoré je potrebné zmierniť.

Po spustení niekoľkých cmdletov Powershell vytvoril tím Adaptive Shield tento skript PowerShell (Pozrite si kompletnú príručku pre skript ) zlúčiť ich všetky do jednej jednotnej správy. Skript vygeneruje súbor: BasicProtocolsReport.csv. Tento súbor zobrazí používateľov a ich stavy staršieho protokolu. Stav každého protokolu sa testuje podľa pravidiel overovania, služieb poštových schránok a konfigurácie transportu. Nižšie je uvedený zoznam celého užitočného zaťaženia:

  • užívateľ
  • has_mailbox – Označuje, či má používateľ licencovanú poštovú schránku
  • zablokované – stav účtu (povolené/zakázané)
  • mfa – Stav registrácie multifaktorovej autentifikácie
  • auth_policy – ​​názov účinnej zásady overovania (ak je nastavená)
  • is_ap_def – Označuje, či je efektívna politika autentifikácie predvolená v organizácii alebo či je konkrétne priradená používateľovi
  • stĺpce protokolu (activesync, imap, mapi, pop, smtp, outlookservice, powershell, ExchangeWebServices, autodiscover, OfflineAddressBook, rpc, ReportingWebServices) – Stav (TRUE – povolené; FALSE – zablokované)
  • Protocl_method stĺpce (activesync, imap, mapi, pop, smtp, outlookservice) – každý z týchto protokolov je možné zablokovať pomocou nastavení služieb poštových schránok, politiky autentifikácie a konfigurácie transportu (globálne nastavenia pre SMTP) podrobnosti tohto stĺpca, ktoré metódy sa používajú na blokovanie tieto protokoly.

Podmienený prístup – iba prehľad

Vytvorte prehľad s podmieneným prístupom (pozri obrázok 1), ktorá simuluje používateľov a služby, ktoré by boli ovplyvnené, ak by ste zablokovali základné overovacie protokoly. Tento prehľad vám poskytuje prehľad o používateľoch a službách, ktoré skutočne používajú staršie protokoly.

Navrhovaná doba spustenia tohto prehľadu je tri mesiace počas obchodného štvrťroka, aby sa zachytili nečinní používatelia a sporadické alebo časovo naplánované služby.

Obrázok 1: Vytvorenie správy o používateľovi a službách cez a 3- mesačné obdobie

Kontrola zostavy a krížové odkazovanie na výsledky skriptov PowerShell vám pomôže získať lepší obraz o používaných starších protokoloch, čím sa zníži možnosť chýbajúcich služieb alebo používateľov, ktorí stále majú v hre základné overovacie protokoly.

Prihlasovacie denníky Azure AD

Prihlasovacie denníky Azure AD sú ďalším užitočným spôsobom, ako zistiť svoju polohu. Ponorenie sa do denníkov a filtrovanie „klientskej aplikácie“ môže odhaliť prihlásenia vykonané so staršími autentifikačnými klientmi.

Obrázok 2: Odhalenie prihlásení vykonaných so starými autentifikačnými klientmi

Upozorňujeme, že uchovávanie prihlasovacích denníkov Azure je až 30 dní a ak je to jediná použitá taktika, môžu vám chýbať používatelia a služby.

Zistite, ako môže riešenie SSPM automatizovať tento proces za vás.

Blokovanie prístupu

Po dôkladnom preskúmaní a objavení všetkých spôsobov použitia základných autentifikačných protokolov je čas ich zablokovať.

Existuje niekoľko dobre známych prístupov k blokovaniu autentifikačných protokolov, z ktorých populárny je pomocou zásad podmieneného prístupu.

Používanie podmieneného prístupu ako prvej obrannej línie má však svoje nevýhody.

Politiky podmieneného prístupu sú spracované príspevok prvofaktorové overenie. To znamená, že prihlasovacie údaje môžu byť ohrozené (keďže spätná väzba bude klientovi stále poskytovaná, výhoda napríklad pri útoku hrubou silou), takže poštová schránka nemusela byť narušená, ale útočník môže overené heslo vyskúšať na iných systémoch.

Zásady overovania

Začnite pri zdroji. Spoločnosť Microsoft má špeciálnu funkciu na blokovanie základných overovacích protokolov, čo uľahčuje ovládanie pomocou správcovskej konzoly.

Prejdite do centra spravovania balíka Office -> Nastavenia -> Nastavenia organizácie -> Moderné overenie a zrušte začiarknutie všetkých základných overovacích protokolov (uistite sa, že je začiarknuté moderné overenie). Pozri obrázok 3.

Obrázok 3: Všetky základné autentifikačné protokoly nie sú začiarknuté

Zmena nastavení v centre spravovania vytvorí novú politiku overovania a nastaví ju ako predvolenú politiku organizácie.

Použite PowerShell na overenie:

$default_policy = Get-OrganizationConfig | Vyberte Predvolenú politiku overovania;

Get-AuthenticationPolicy $default_policy.DefaultAuthenticationPolicy;

Pomocou príkazov prostredia PowerShell môžete nastaviť výnimky a priradiť rôzne politiky overovania konkrétnym používateľom:

New-AuthenticationPolicy -Názov “Engineering Group” -AllowBasicAuthImap

Set-User -Identity -AuthenticationPolicy

Tento príklad vytvorí novú politiku autentifikácie s názvom Engineering Group, ktorá umožňuje základnú autentifikáciu pomocou protokolu IMAP a priradí ju používateľovi.

Zásady autentizácie sú nevyhnutnosťou, ale nestačia na to, aby zastavili riziko hrozby samotných týchto starších protokolov. Zásady overovania sa vzťahujú na starších klientov, protokoly poštových schránok, ako sú IMAP a SMTP, a ďalších klientov, ako je PowerShell. Avšak, podobne ako podmienený prístup, aj keď je služba zablokovaná, niektorí klienti budú stále poskytovať spätnú väzbu (umožňujúc určitým kybernetickým útokom úspešne získať heslo pre aplikáciu v iných aplikáciách SaaS). Aby ste sa vyhli tejto usvedčujúcej spätnej väzbe, službu úplne vypnite.

Vypnutie služby je možné vykonať iba pre poštové schránky, ktoré pokrýva šesť protokolov z 13. Blokovanie politiky autentifikácie pokrýva zvyšok.

Služby poštových schránok a konfigurácia dopravy

Zakázanie služby poštovej schránky (alebo povolenie v prípade vylúčenia) je možné vykonať pomocou používateľského rozhrania pre každého používateľa.

Prejdite do centra správy balíka Office -> Používatelia -> Aktívni používatelia -> vyberte používateľa (s poštovou schránkou) -> karta Pošta -> Spravovať e-mailové aplikácie a zrušte začiarknutie základných overovacích protokolov: POP, IMAP, SMTP. Pozri obrázok 4.

Upozorňujeme, že SMTP, MAPI over HTTP a Mobile (Exchange ActiveSync) podporujú základnú aj modernú autentifikáciu.

Obrázok 4. Základné overovacie protokoly nie sú začiarknuté

Neexistuje žiadna hromadná úprava viacerých schránok SMTP (hromadnú úpravu POP a IMAP nájdete v klasickom Exchange Admin Center).

Transport config riadi celú organizáciu Exchange a jednou z jeho možností je vypnúť službu SMTP (základnú aj modernú).

Použite príkaz PowerShell na globálne vypnutie SMTP.

Set-TransportConfig -SmtpClientAuthenticationDisabled $true

Ak chcete zablokovať základné overovacie protokoly pre všetky poštové schránky alebo podmnožinu, použite rutiny Powershell:

$Users = Get-CASMailbox -ResultSize neobmedzená

$Users | foreach {Set-CASMailbox -Identity $_ -SmtpClientAuthenticationDisabled $true -ActiveSyncEnabled $false -ImapEnabled $false -MapiEnabled $false -PopEnabled $false -OWAEnabled $false}

Výluky

Existujú prípady, pri ktorých by ste mohli zvážiť vylúčenie a povolenie starších protokolov. Napríklad správca, ktorý používa staršie zariadenie alebo skript, ktorý bol vyvinutý pomocou starších protokolov a teraz je potrebné ho prepracovať, môže vyžadovať vylúčenie.

V týchto prípadoch sa dôrazne odporúča:

  • Dokument: Majte zavedený postup pre žiadosti a ich zdôvodnenie
  • Limit: Zaveďte časové obdobie, ktoré poskytne žiadateľovi čas na vyriešenie problému, že potrebuje staršie protokoly, či už ide o výmenu zariadenia alebo čas na prepísanie kódu atď.
  • Podmienený prístup: Použite kompenzačné ovládacie prvky povolením iba konkrétnych zariadení alebo zaveďte obmedzenia IP, geofencing a ďalšie pomocou zásad podmieneného prístupu.

Záver

Správa konfigurácií SaaS v podniku je komplikovaná a táto príručka má pomôcť zmierniť bolesť a uľahčiť prechod zo starších protokolov M365 do moderného prostredia. Proces má viacero krokov a vyžaduje neustály dohľad. Od objavenia starých autentifikačných protokolov otvorených a používaných používateľmi a obchodnými procesmi až po blokovanie prístupu a implementáciu a správu vylúčení musia bezpečnostné tímy ponoriť sa, opraviť a zvládnuť každé problematické použitie autentifikačného protokolu.

Vo veľkých prostrediach, kde sa zmeny vždy dejú a konfigurácie sú v tisícoch, sa odporúča spravovať nesprávne konfigurácie SaaS pomocou automatizovaného riešenia SaaS Security Posture Management (SSPM).