Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Корпорация Майкрософт рекомендует организациям блокировать запросы проверки подлинности с помощью устаревших протоколов, которые не поддерживают многофакторную проверку подлинности. На основе анализа Майкрософт более 97 процентов атак с учетными данными используют устаревшую проверку подлинности и более 99 процентов атак с распыления паролем используют устаревшие протоколы проверки подлинности. Атаки прекратятся, если простая проверка подлинности будет отключена или заблокирована.
Клиенты без лицензий, включающих условный доступ, могут использовать параметры безопасности по умолчанию для блокировки устаревшей проверки подлинности.
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи для экстренного вмешательства, чтобы предотвратить блокировку в случае неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения см. в статье Управление учетными записями экстренного доступа в Microsoft Entra ID.
-
Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.
Создание политики условного доступа
Следующие действия помогут создать политику условного доступа для блокировки устаревших запросов проверки подлинности. Эта политика переведена в режим отчётности, чтобы администраторы могли определить влияние, которое это оказывает на существующих пользователей. Когда администраторы уверены, что политика применяется как они предусмотрели, они могут переключиться на Вкл или поэтапно развернуть, добавляя определенные группы и исключая другие.
- Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора условного доступа.
- Перейдите к Entra ID>условному доступу>политикам.
- Выберите новую политику.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
- В разделе "Включить" выберите "Все пользователи".
- В разделе "Исключить" выберите "Пользователи и группы" и выберите все учетные записи, которые должны поддерживать возможность использования устаревшей проверки подлинности. Корпорация Майкрософт рекомендует исключить хотя бы одну учетную запись, чтобы предотвратить блокировку из-за неправильной настройки.
- В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее "Все облачные приложения").
- В разделе "> приложений установите значение "Настроить" в значение "Да".
- Установите флажки только для клиентов Exchange ActiveSync и других клиентов.
- Нажмите кнопку "Готово".
- В разделе Элементы управления доступом>Предоставление выберите Блокировать доступ.
- Нажмите кнопку "Выбрать".
- Подтвердите настройки и установите Включить политику в режим Только отчетность.
- Нажмите кнопку "Создать", чтобы включить политику.
После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".
Примечание.
Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.
Выявление использования устаревших методов аутентификации
Чтобы понять, есть ли у пользователей клиентские приложения, использующие устаревшую проверку подлинности, администраторы могут проверить индикаторы в журналах входа, выполнив следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум в роли Читателя отчетов.
- Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входов в систему.
- Добавьте столбец Client App, если он не отображается, щелкнув на Столбцы>Client App.
- Выберите "Добавить фильтры>" Клиентское приложение> выберите все устаревшие протоколы проверки подлинности и нажмите кнопку "Применить".
- Кроме того, выполните эти действия на вкладке "Вход пользователей" (неинтерактивный).
Фильтрация показывает попытки входа, выполненные устаревшими протоколами проверки подлинности. Щелкнув каждую отдельную попытку входа, вы можете получить дополнительные сведения. Поле "Клиентское приложение" на вкладке "Основные сведения" указывает, какой устаревший протокол проверки подлинности использовался. Эти журналы указывают пользователей, использующих клиенты, которые зависят от устаревшей проверки подлинности.
Кроме того, чтобы помочь в проверке устаревшей проверки подлинности в клиенте использовать входы с помощью книги устаревшей проверки подлинности.