Legacy-Authentifizierung nicht blockiert

Laut Microsoft:

[...] werden bei mehr als 97 Prozent der Credential-Stuffing-Angriffe veraltete Authentifizierungsverfahren eingesetzt und bei mehr als 99 Prozent der Passwort-Spraying-Angriffe veraltete Authentifizierungsprotokolle verwendet.

Legacy-Authentifizierungsmethoden unterstützen keine modernen Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA), eine Standardanforderung zur Verbesserung der Sicherheit in Organisationen.

Dieser Indicator of Exposure warnt Sie mit einer von zwei möglichen Methoden, wenn Ihr Mandant Legacy-Authentifizierungsanforderungen zulässt:

• Sicherheitsstandards: Vorkonfigurierte Sicherheitseinstellungen, die das Blockieren von Legacy-Authentifizierungsprotokollen beinhalten. Durch die Aktivierung dieser Einstellung werden gleichzeitig mehrere Sicherheitsmaßnahmen aktiviert, wie von Microsoft empfohlen.
• Richtlinien für bedingten Zugriff (CAP): Diese Richtlinien geben Ereignisse oder Anwendungen an, die die Verwendung von Legacy-Authentifizierungsprotokollen nicht zulassen. Obwohl diese Richtlinien ggf. solche Protokolle für bestimmte Benutzer und Anwendungen zulassen, gilt diese Zulassung nicht für alle Benutzer und Anwendungen. Dieser IoE überprüft, ob mindestens eine CAP aktiviert ist, die die Einstellungen der CAP-Vorlage „Blockieren älterer Authentifizierungsmethoden” definiert.

Hinweis: Diese CAP-Funktion erfordert eine Microsoft Entra ID-P1-Lizenz oder höher und ist nicht im Lieferumfang der Microsoft Entra ID-Free-Lizenz enthalten. Sie wird insbesondere für fortgeschrittene Organisationen mit komplexen Sicherheitsanforderungen empfohlen, die ihre Authentifizierungskriterien präzise definieren möchten.

Standardeinstellungen für Sicherheit und bedingter Zugriff schließen sich gegenseitig aus. Sie können nicht gleichzeitig verwendet werden. Beachten Sie, dass Richtlinien für bedingten Zugriff nur auf integrierte Entra-Rollen angewendet werden können, ausgenommen Rollen, die auf den Bereich der Verwaltungseinheit bezogen sind, und benutzerdefinierte Rollen.

Bevor Sie alle Legacy-Authentifizierungsanforderungen blockieren, müssen Sie einige wichtige Überlegungen beachten. Microsoft erläutert die Auswirkungen, indem es die Messaging-Protokolle angibt, die eine Legacy-Authentifizierung erfordern. Außerdem erhalten Benutzer Anleitungen zur Identifizierung von Legacy-Authentifizierungen, die dabei helfen, den Ausschluss von Benutzern und Dienstkonten zu konfigurieren, für die weiterhin eine Anmeldung mit Legacy-Authentifizierungsmethoden erforderlich ist. Selbst nachdem dieser IoE nach der Behebung konform ist, kann es bis zu 24 Stunden dauern, bis die Richtlinie für bedingten Zugriff wirksam wird. Während dieser Zeit sind Legacy-Authentifizierungsanforderungen weiterhin möglich.

Um zu verhindern, dass Benutzer und Anwendungen die Legacy-Authentifizierung verwenden, bietet Microsoft eine CAP-Vorlage (Conditional Access Policy, Richtlinie für bedingten Zugriff) namens Blockieren älterer Authentifizierungsmethoden an. Sie können auch Ihre eigene Vorlage mit denselben Einstellungen definieren. Um eine solche CAP anzuwenden, empfiehlt Tenable außerdem, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und die Auswirkungen auf Ressourcen zu begrenzen, die die ältere Richtlinie noch benötigen. Alternativ kann dieses Ziel durch Einhaltung von Sicherheitsstandards erreicht werden, indem neben anderen von Microsoft empfohlenen Sicherheitsmaßnahmen die Blockierung von Legacy-Authentifizierungsprotokollen vorgeschrieben wird. Wägen Sie im Voraus gründlich ab, ob eine Änderung zu Rückschritten oder unbeabsichtigten Nebenwirkungen in Ihrer Umgebung führen könnte.

Name: Legacy-Authentifizierung nicht blockiert

Codename: LEGACY-AUTHENTICATION-NOT-BLOCKED

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure