Microsoft heeft laten weten dat het Legacy Authentication protocol in de 2e helft van 2021 geblokkeerd zal worden. Om de security te verbeteren is het advies om de Legacy Authentication te blokkeren. De aankondiging van Microsoft is te lezen in een blogpost.
Waarom gaat Legacy Authentication beëindigen?
Legacy Authentication is alweer behoorlijk verouderd en heeft verschillende limitaties. De grootste beperking is het verplichte gebruik van een gebruikersnaam en wachtwoord. Met de verhoogde cyber risico’s is een gebruikersnaam + wachtwoord beperkt en zeker niet meer voldoende. Tegenwoordig denk je al snel aan Password-Less, MFA of Phone Sign-In voor een veiligere authenticatie. Deze nieuwere technieken kunnen niet overweg met het legacy protocol. Microsoft gaat in de 2e helft van 2021 het protocol definitief blokkeren, waarmee het verstandig is om het daarvoor al uit te faseren.
In dit blog een korte beschrijving van de mogelijkheden en acties welke vereist zijn om het protocol uit te schakelen. Hierbij niet alleen het blokkeren maar ook een stuk inzicht om de impact te bepalen.
De legacy protocollen zijn;
- Authenticated SMTP – Used by POP and IMAP client’s to send email messages.
- Autodiscover – Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
- Exchange Online PowerShell – Used to connect to Exchange Online with remote PowerShell. If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect.
- Exchange Web Services (EWS) – A programming interface that’s used by Outlook, Outlook for Mac, and third-party apps.
- IMAP4 – Used by IMAP email clients.
- MAPI over HTTP (MAPI/HTTP) – Used by Outlook 2010 and later.
- Offline Address Book (OAB) – A copy of address list collections that are downloaded and used by Outlook.
- Outlook Anywhere (RPC over HTTP) – Used by Outlook 2016 and earlier.
- Outlook Service – Used by the Mail and Calendar app for Windows 10.
- POP3 – Used by POP email clients.
- Reporting Web Services – Used to retrieve report data in Exchange Online.
- Other clients – Other protocols identified as utilizing legacy authentication.
Moderne authenticatie, Staat het wel aan?
Belangrijk is om te checken of de moderne authenticatie is geactiveerd op tenant niveau. Elke nieuwe tenant na 1 augustus 2017 is standaard voorzien van moderne authenticatie. Ter controle altijd goed om het te bevestigen of het inderdaad is geactiveerd.
De makkelijkste methode om het te checken is via; Microsoft 365 Admin Center. -> Settings -> Org Settings – > Modern Authentication. PowerShell is ook mogelijk via onderstaand commando via de Exchange Online Powershell connectie;
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
Via onderstaande commando kan je Moderne Authentication activeren;
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Naast Exchange Online is het mogelijk dat SharePoint Online en Skype for Business gebruik maken van het legacy protocol. Via Get-SPOTenant commandlet is het mogelijk om via PowerShell te achterhalen of het legacy protocol is geactiveerd.
OfficeClientADALDisabled False is modern authenticatie disabled
LegacyAuthProtocolsEnabled True is legacy authenticatie enabled
Beide moeten hierdoor op False staan.
In het geval van Skype For Business Online connect je met de Skype for Business Online PowerShell module;
Check of moderne authenticatie is geactiveerd
Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed
Modern autentication inschakelen
Get-CsOAuthConfiguration | Format-Table ClientAdalAuthOverride
Inzicht
Het begin is om vooral inzicht te krijgen in welke diensten het legacy protocol gebruiken. Applicaties als Office 2010 hebben geen ondersteuning voor de moderne authenticatie. Vanaf Office 2013 is dit mogelijk met een aanpassing.
Naast Office zullen er vast meer applicaties en diensten gebruik maken van het protocol. Via Log Analytics is dit eenvoudig inzichtelijk te krijgen;
Creëer een Log Analytics workbook in Azure
Allereerst is er een Log Analytics workspace nodig in Azure. Deze is vereist om de workbooks te configureren voor de sign-in informatie.
Wanneer de Log Analytics workspace is aangemaakt open de diagnostics settings;
- Ga naar Azure AD-> Diagnostic Settings
- Klik op Add Diagnostic Setting
- Selecteer de juiste logs ( in onderstaande geval gaat het om de SigninLogs/ AuditLogs )
- Selecteer: Send to Log Analytics
- Selecteer de aangemaakte subscription
- Selecteer de workspace
De koppeling is gemaakt. Vervolgens zijn de workbook templates aangemaakt. Om de workbooks voor de sign-ins te openen ga naar Azure Active Directory -> workbooks
Vervolgens zijn er een aantal workbooks beschikbaar; in dit geval gaat het om de Usage workbooks ( sign-ins en sign-ins using legacy authentication).
Voor de juiste werking is het belangrijk dat de workbooks kijken naar een enkele resource group. Indien nodig pas dit aan als er een dubbele resource groep is toegevoegd.
Legacy Authentication
In het geval van het workbook gericht op Legacy Authentication krijg je in één weergave een duidelijk beeld van de authenticaties welke nog op een legacy protocol plaatsvinden.
Via de Azure-AD Sign-Ins is het daarnaast ook mogelijk om inzichtelijk te krijgen welke useragent er van toepassing is. In het venster van de actieve Sign-Ins kan je legacy protocollen filteren.
Na het inzicht is het via Conditional Access mogelijk om het protocol te blokkeren. Voor de zekerheid is het aangeraden om de Conditional Access regel eerst te configureren op report only. Hiermee zie je direct een het effect op de regel;
Vervolgens heb je de mogelijkheid om via de Conditional Access workbooks de data te visualiseren vanwege de report-only voor de specifieke Conditional Access rule.
Report Conditional Access
Conditional Access configuratie:
- User and groups: All Users of gewenst een selecte groep
- Cloud Apps or actions: All
- Conditions Client apps:
- Access Controls: Block (1) (2)
- Enable Policy: Report only (3)
Block Conditional Access
Om het protocol volgens te blokkeren is het allen nog vereist om de juiste doelgroep te selecteren (indien niet van toepassing) en vervolgens bij Enable Policy, de policy te activeren.
Security defaults
Voor kleinere bedrijven is het ook mogelijk om de security defaults te activeren op tenant niveau. Hiermee is de standaard beveiliging aanwezig. In een techcommunity artikel van Microsoft is de security defaults functie uitgebreid besproken.
Conclusie
Afhankelijk van de organisatie kan er een behoorlijk impact zijn door het blokkeren van het legacy authenticatie protocol. Het is goed om niet af te wachten wanneer Microsoft het protocol definitief uit zal zetten, maar alvast daarvoor te beginnen met het uitzoekwerk en de voorbereiding tot uitschakeling. Met een workbook voor de Sign-Ins en Conditional Access regel op report-only is er een mooi begin qua inzicht en rapportage. Klein starten met inzicht is het advies, daarnaast is ook een pilot policy aangeraden om het gedrag voor een kleine groep te monitoren.
De visie van Microsoft is duidelijk dat Legacy Authentication geblokkeerd zal worden op alle tenants en niet past in de security strategie. Vanwege COVID-19 is dit uitgesteld – maar het staat nog steeds op de planning. Zeker met de huidige veiligheidsrisico’s is moderne authenticatie een harde eis met uiteraard MFA of een andere 2e factor.
Bronnen:
Microsoft: How to: Block legacy authentication to Azure AD with Conditional Access
Microsoft: Introducing security defaults