說明

Microsoft 指出: […]超過 97% 的憑證填充攻擊使用舊型驗證,還有超過 99% 的密碼噴濺攻擊使用舊型驗證通訊協定。

舊型驗證方法不支援諸如多因素驗證 (MFA) 等新式安全措施,無法滿足強化組織安全性的標準需求。

當您的租用戶允許舊型驗證請求時,此曝險指標可能會透過以下兩種方式發出警示:

請注意: 此 CAP 功能需要 Microsoft Entra ID P1 授權或更高版本,Microsoft Entra ID 免費授權無法使用。特別推薦給擁有複雜安全需求並致力於明確定義驗證準則的成熟型組織。

安全性預設值和條件式存取是相斥的,無法同時使用。請注意, 條件式存取原則僅適用於內建 Entra 角色,不包括管理單位範圍內的角色和自訂角色。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「封鎖舊版驗證」。

解決方案

在封鎖所有舊型驗證請求之前,需要先考量幾件重要事項。Microsoft 指出了需仰賴舊型驗證的訊息通訊協定,進而說明其影響。同時,Microsoft 還提供了辨別舊型驗證的方法以協助設定,排除仍需要使用舊型驗證方法登入的使用者和服務帳戶。 即便修復後此曝險指標 (IoE) 已符合規範,條件式存取原則也可能需要最多 24 小時才能生效,​在此期間仍可提出舊型驗證請求。

為了防止使用者與應用程式使用舊型驗證,Microsoft 提供了名為「封鎖舊型驗證」的條件式存取原則 (CAP) 範本。您也可以使用相同的設定自行設計範本。在實施此類 CAP 時,Tenable 建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引,以確保妥善規劃、管理變更,降低對仍需使用該功能之資源的影響。 此外,安全性預設值也可以透過強制封鎖舊型驗證通訊協定以及其他 Microsoft 建議的安全功能來實現此目標。請在實施前仔細評估每一項變更是否可能導致系統功能退化或意料之外的副作用。

指標詳細資料

名稱: 未封鎖舊型驗證

代碼名稱: LEGACY-AUTHENTICATION-NOT-BLOCKED

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: