Microsoft Eski Kimlik Doğrulamasını Neden Engellemelisiniz?

Microsoft, IMAP, MAPI vb. gibi eski kimlik doğrulama protokolleri MFA’yı zorlayamaz ve bu da onları kötü amaçlı yazılım saldırıları için rakip giriş noktaları haline getirir. Onları nasıl engelleyeceğinizi öğrenin.

Microsoft Eski Kimlik Doğrulaması, sistemlerinizi güvenlik ihlali riskine sokabilir. Neden?

SMTP, POP, MAPI ve IMAP gibi eski kimlik doğrulama protokolleri 2FA/MFA’yı zorlayamaz ve bu da onları saldırılar için hedeflenen uç noktalar haline getirir. Bu ve diğer olası zararlar, Microsoft Eski Kimlik Doğrulaması’nı bir iş ortamında istenmeyen hale getirir.

MFA/2FA’nın etkili olması için eski kimlik doğrulamasını engellemeniz gerekir, çünkü SMTP, POP, IMAP, MAPI vb. gibi eski kimlik doğrulamaları MFA’yı zorlayamaz ve bu da onları saldırılar ve düşmanlar için giriş noktaları haline getirir.

Bu nedenle, bu yazıda, eski kimlik doğrulamanın ne olduğunu ve işletmenizi siber saldırılardan ve tehditlerden korumak için neden engellemeniz gerektiğini tartışacağız.

Haydi başlayalım.

Microsoft Eski Kimlik Doğrulaması nedir?

Microsoft Eski kimlik doğrulaması, bir postada veya diğer Microsoft uygulamalarında ve bulut hizmetlerinde oturum açmak için kullanılan temel veya eski kimlik doğrulama protokolünü ifade eder. Aşağıdakilerden biri tarafından yapılan bir kimlik doğrulama isteğidir:

Modern kimlik doğrulaması olmayan eski Office istemcileri (Office 2010 istemcisi gibi) veya
POP3SMTP/IMAP gibi eski posta protokollerini/isteklerini destekleyen Microsoft uygulamaları veya istemcisi.

Microsoft Eski kimlik doğrulama protokolleri tek bir protokol değildir. Çok faktörlü kimlik doğrulamayı (MFA) veya 2FA’yı desteklemeyen veya izin vermeyen herhangi bir şeyi ifade ederler. Bu zayıf güvenlik protokolü, onları olası yetkisiz erişim denemelerine ve diğer saldırılara karşı savunmasız hale getirir.

Birçok kuruluşun ödün veren oturum açma girişimleri genellikle eski kimlik doğrulama istemcilerinden oluşturulur.

Eski Kimlik Doğrulaması ve Modern Kimlik Doğrulaması Karşılaştırması

Modern kimlik doğrulama protokolleri, MFA’nın modern kimlik doğrulaması olmasını destekleyen ve izin veren protokollerdir. Modern kimlik doğrulama protokollerine örnek olarak ADAL ve OAuth verilebilir. Genellikle Microsoft 365, Azure AD ve diğer Microsoft uygulamalarında veya bulut hizmetlerinde kullanılırlar.

Modern kimlik doğrulama kimlik yönetimi, daha güvenli ve daha güvenli kimlik doğrulama ve kullanıcı yetkilendirmesi sunar. Kullanıcılar, bir uygulama (Outlook gibi) veya İşletim Sistemi (Windows gibi) yerine kimlik sağlayıcısının (Azure AD gibi) web iletişim kutusuyla oturum açma bilgilerini etkileşimli olarak doğrulayabilir. Bu, yalnızca kimlik sağlayıcısı kimlik bilgilerini işleyebildiğinden ve belirteçler verebildiğinden, kullanıcı kimlik bilgilerinin işlenmesini güvenli, emniyetli ve özel hale getirir.

Eski kimlik doğrulamasında (temel kimlik doğrulaması olarak da adlandırılır), kullanıcılar uç nokta algılama ve yanıtını kullansalar bile korunmaz.

Eski Kimlik Doğrulamasını Neden Engellemeliyim?

Yanıt: Eski kimlik doğrulaması, güvenlik zayıflıkları olan temel bir kimlik doğrulama yöntemidir ve hesap ihlallerine karşı savunmasızdır. Bilgisayar korsanlarının bir kuruluşun verilerine bir veya daha fazla ‘arka kapı’ erişim yoluna kolayca izin verebilir.

Modern kimlik doğrulama, iki faktörlü kimlik doğrulamayı (2FA) veya çok faktörlü kimlik doğrulamayı (MFA) anlar ve desteklerken, eski kimlik doğrulaması bunu yapmaz.

Bu nedenle eski kimlik doğrulaması, otomatik ihlallere ve kaba kuvvet, tuş günlüğü ve parola püskürtme gibi kötü amaçlı yazılım saldırılarına karşı oldukça hassastır.

Microsoft, eski kimlik doğrulama güvenlik istatistiklerinin eğilimlerinin endişe verici olduğunu söylüyor. Mesela:

Parola püskürtme saldırılarının %99’undan fazlası ve kimlik bilgisi doldurma saldırılarının %97’sinden fazlası eski kimlik doğrulama protokollerinden gelir.
Devre dışı bırakılmış eski kimlik doğrulamasına sahip Azure AD hesapları, etkinleştirilmiş eski kimlik doğrulamasına sahip hesaplara göre %67 daha az güvenlik açığı veya saldırıyla karşılaşır.

Ayrıca, bir 2FA/MFA ilkesini etkinleştirmiş olsanız bile, eski bir kimlik doğrulama protokolü kötü niyetli kişilerin MFA’nızı atlamasına izin verebilir. Bu nedenle, hesabınızı saldırganlardan ve kötü amaçlı kimlik doğrulamasından korumanın tek kesin yolu, eski protokolleri engellemektir.

Aslında Microsoft, 1 Ekim 2022’de tüm Microsoft 365 istemcileri için eski kimlik doğrulamasını devre dışı bırakacaktır.

Windows 10 ve daha birçok işletim sistemi lisansları için windows ürünlerimize bakabilirsiniz.

Microsoft Eski Kimlik Doğrulamasını Nasıl Engellerim?

Çeşitli yöntemler, Microsoft 365 ve ilgili uygulamalarda eski kimlik doğrulamasını engelleyebilir.

Birincisi varsayılan olarak engellemedir. Örneğin, Microsoft 365 veya istemcinizde güvenlik varsayılanları etkinleştirilmişse (el ile veya Ekim 2019’dan sonra oluşturulan bir kiracı) eski kimlik doğrulaması kiracı düzeyinde zaten engellenmiştir.

Eski kimlik doğrulamasını doğrudan engelleyin. Eski kimlik doğrulamasını doğrudan Microsoft 365, Azure Directory veya Exchange Online’da da engelleyebilirsiniz.

Koşullu Erişim İlkesi ile Eski Kimlik Doğrulamasını Engelleme

Adım 1: Azure AD Premium P1 lisansına sahip olup olmadığınızı denetleyin

Eski kimlik doğrulamasını yalnızca Azure AD Premium P1 veya P2 ile Microsoft lisansınız varsa koşullu erişim (CA) aracılığıyla engelleyebilirsiniz.

Lisansınızı kontrol etmek için:

Microsoft Azure portalında oturum açın.
Azure Active Directory > ardından Genel Bakış’a gidin
Azure AD premium lisansını denetleyin: P1 veya P2 lisansı.

Lisansınızı onayladıktan sonra, lisansınıza dayalı yeni bir ilke başlatabilirsiniz.

Adım 2: Yeni (Koşullu Erişim) İlkesi Oluşturma

Artık Azure AD Premium üzerinde sahip olduğunuz lisans türü için koşullu erişim ilkesi oluşturabilirsiniz: lisans P1 veya P2. Koşullu bir ilke, dizininizdeki tüm kullanıcılar için eski kimlik doğrulamasını zorunlu olarak engeller.

İsterseniz engellemek için yalnızca belirli bir kullanıcı/çalışan grubunu seçebilirsiniz. Ancak tüm uygulamalar ve kullanıcılar için eski kimlik doğrulamasını devre dışı bırakmanızı öneririz.

Yeni bir ilke oluşturmak için aşağıdaki adımları kullanın:

Azure AD portalını açın > Azure Active Directory Giriş sayfasına gidin
Güvenlik bölümüne gidin.
Açık İlkeler > Koşullu Erişim’i açın.
Yeni ilke’yi seçin ve tıklayın.

Yeni İlke düğmesine tıkladığınızda, politikanıza bir ad vermeniz gerekir.

3. Adım: Giriş Adı ve Atamalar

“Yeni koşullu erişim ilkesi” altında, ilkeyi adlandırır ve atamalar verirsiniz:

Ad* > gidin ve ona bir ad verin (politikanın hedefini gösteren): Örneğin, [BLOCK] Eski kimlik doğrulaması.

atamalara gidin ve Kullanıcılar ve gruplar’ı tıklatın > Tüm kullanıcılar’ı seçmek için > Dahil et’i seçin. Bu, tüm kullanıcıları engeller.

Koşullu erişim ilkesini kullanarak, dizin rolleri, konuklar ve dış kullanıcılar gibi kullanıcıları ve grupları seçebilirsiniz. İstediğiniz sonuca bağlı olarak istediğiniz politika modunu seçersiniz.

4. Adım. Bulut uygulamalarını veya eylemlerini belirtme

Bulut uygulamalarını ve eylemlerini Bulut uygulamaları veya eylemleri bölümünde belirteceksiniz. Bu, koşullu kimlik doğrulama/erişim ilkesini kullanarak istemcileri belirtmenize olanak tanır. Adımlar şunlardır:

Yine de, aynı bölmede, ‘Bulut uygulamaları’ seçeneğini tıklayın.
Bulut uygulamaları altına dahil et’i (hemen) seçin.
Tüm bulut uygulamaları’nı seçin.

Yalnızca belirli uygulamaları seçmek isterseniz, koşullu erişim/kimlik doğrulaması kullanmak istediklerinizi belirtebilirsiniz.

5. Adım. Uygulama kullanımı için Koşulları ayarlama

Belirli uygulamaları seçtikten sonra, kullanım koşullarını ayarlarsınız. Şu adımları izleyin:

Koşullar’a tıklayın > İstemci uygulamaları’nı seçin > Evet’e tıklayın (veya değiştirin).
Mobil ve masaüstü istemcileri seçmek > eski kimlik doğrulama istemcileri altına gidin.
Exchange ActiveSync istemcileri ve Diğer istemciler’i tıklatın.
Son olarak, tıklayın Bitti. Bu, politikayı istediğiniz gibi ayarlayacaktır.

6. Adım. İzin Ver ve Etkinleştir politikası

Bir sonraki adım şimdi yalnızca belirlediğiniz politikayı vermek ve etkinleştirmektir:

İzin Ver’i tıklayın.
Erişimi engellemek veya erişim izni vermek için kullanıcı erişimi zorlamasını kontrol altında bölümüne gidin ve ardından Erişimi engelle’yi seçin.
Erişimi engelle seçeneğinin altında, alt kısımda Seç’i tıklayın.
İzin Ver’in altında, Açık düğmesini tıklatın. Bu seçim, belirlediğiniz politikayı etkinleştirir.
“Hesabımın bu politikadan etkileneceğini anlıyorum. Yine de devam et.”
Oluştur ve çık’ı tıklayın.

Tebrikler! Koşullu Erişim İlkesi’ni kullanarak Eski Kimlik Doğrulaması’nı engellediniz. Bu ilkeyi koşullu erişim ilkeleri listenizde görürsünüz.

Hemen ortaya çıkmazsa endişelenmeyin çünkü 24 saate kadar sürebilir.

Kaynak: https://softwarekeep.com/blog/block-microsoft-legacy-authentication