未阻止旧版身份验证

根据 Microsoft 的说法：

[……]超过 97% 的凭据填充攻击使用旧版身份验证，而超过 99% 的密码喷洒攻击使用旧版身份验证协议。

旧版身份验证方法不支持新式安全措施，如多因素身份验证 (MFA)，而多因素身份验证是增强组织安全性的标准要求。

当租户通过以下两种可能方法之一允许旧版身份验证请求时，此风险暴露指标会向您发出警报：

• 安全默认设置：预配置的安全设置，其中包括阻止旧版身份验证协议。启用此设置会同时激活多个安全功能，正如 Microsoft 所建议的那样。
• 条件访问策略 (CAP)：这些策略可指定不允许使用旧版身份验证协议的事件或应用程序。虽然它们可能会为特定用户和应用程序允许此类协议，但该允许并不会扩展到所有用户和应用程序。该 IoE 会检查是否至少有一个已启用的 CAP 定义了“阻止旧版身份验证”CAP 模板的设置。

注意：此 CAP 功能需要 Microsoft Entra ID P1 或更高级别的许可证，并且不包含在 Microsoft Entra ID 免费许可证中。特别建议有复杂安全需求，试图精确定义身份验证标准的成熟组织使用此功能。

安全默认设置和条件访问是互斥的，您不能同时使用它们。请注意，条件访问策略只能针对内置的 Entra 角色，不包括管理单位范围的角色和自定义角色。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“阻止旧版身份验证”。

在阻止所有旧版身份验证请求之前，有几点重要的考虑事项需要注意。Microsoft 通过指出需要旧版身份验证的消息协议来解释其影响。Microsoft 还提供了有关识别旧版身份验证的指南，以帮助配置排除仍需要使用旧版身份验证方法进行登录的用户和服务帐户。 即使这一 IoE 在修复后满足合规性要求，条件访问策略仍可能需要长达 24 小时才会生效​，在此期间，传统身份验证请求仍然可被接受。

为防止用户和应用程序使用旧版身份验证，Microsoft 提供了一个名为“阻止旧版身份验证”的条件访问策略 (CAP) 模板。您也可以使用相同的设置来定义自己的模板。要应用此类 CAP，Tenable 还建议您遵循 Microsoft 文档“规划条件访问部署”，以确保实施正确的规划和变更管理，从而减少对仍然需要旧版身份验证的资源的影响。 或者，通过强制执行阻止旧版身份验证协议等 Microsoft 建议的安全功能，您也可以借助安全默认设置实现这一目的。应提前全面评估是否有任何变更可能导致环境中发生功能退化或意外副作用。

名称: 未阻止旧版身份验证

代码名称: LEGACY-AUTHENTICATION-NOT-BLOCKED

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure