Authentification héritée non bloquée

Selon Microsoft :

[…] Plus de 97 % des attaques par envoi massif d'identifiants utilisent une authentification héritée et plus de 99 % des attaques par pulvérisation de mot de passe utilisent des protocoles d'authentification hérités.

Les méthodes d'authentification héritées ne prennent pas en charge les mesures de sécurité modernes telles que l'authentification multifacteur (MFA), qui est une exigence standard pour renforcer la sécurité dans les organisations.

Cet indicateur d'exposition vous alerte lorsque votre tenant autorise les demandes d'authentification héritées avec l'une des deux méthodes possibles :

• Paramètres de sécurité par défaut : paramètres de sécurité préconfigurés qui incluent le blocage des protocoles d'authentification hérités. L'activation simultanée de ce paramètre active plusieurs fonctionnalités de sécurité, comme le recommande Microsoft.
• Stratégies d'accès conditionnel (CAP) : ces stratégies spécifient les événements ou les applications qui n'autorisent pas l'utilisation de protocoles d'authentification hérités. Bien qu'ils puissent autoriser l'utilisation de ces protocoles pour des utilisateurs et des applications spécifiques, cette autorisation ne s'applique pas à tous les utilisateurs et applications. Cet IoE vérifie s'il existe au moins une CAP activée qui définit les paramètres du modèle de CAP « Bloquer l'authentification héritée ».

Remarque : cette fonctionnalité de CAP nécessite une licence Microsoft Entra ID P1 ou supérieure et n'est pas fournie avec la licence Microsoft Entra ID Free. Elle est particulièrement recommandée pour les organisations matures qui ont des besoins de sécurité complexes et qui souhaitent définir précisément leurs critères d'authentification.

Les Paramètres de sécurité par défaut et l'Accès conditionnel s'excluent mutuellement ; vous ne pouvez pas les utiliser simultanément. Notez que les stratégies d'accès conditionnel ne peuvent cibler que les rôles Entra intégrés, à l'exclusion des rôles à l'échelle d'une unité d'administration et des rôles personnalisés.

Vous devez tenir compte de plusieurs points importants avant de bloquer toutes les demandes d'authentification héritées. Microsoft explique cet impact en ciblant les protocoles de messagerie qui nécessitent une authentification héritée. Microsoft fournit également des conseils sur l'identification des authentifications héritées, afin de configurer l'exclusion des utilisateurs et des comptes de service qui nécessitent toujours une connexion à l'aide de méthodes d'authentification héritées. Même après que cet IoE est devenu conforme après la remédiation, l'application de la stratégie d'accès conditionnel peut prendre jusqu'à 24 heures, pendant lesquelles les demandes d'authentification héritées sont toujours possibles.

Afin d'empêcher les utilisateurs et les applications d'utiliser l'authentification héritée, Microsoft propose un modèle de stratégie d'accès conditionnel (CAP) appelé Bloquer l'authentification héritée. Vous pouvez également définir votre propre modèle en utilisant les mêmes paramètres. Pour appliquer une telle CAP, Tenable recommande de suivre la documentation Microsoft « Planifier un déploiement d’accès conditionnel », afin d'assurer une planification et une gestion des modifications appropriées, et ainsi de limiter l'impact sur les ressources qui l'exigent encore. Sinon, les paramètres de sécurité par défaut peuvent remplir cet objectif en imposant le blocage des protocoles d'authentification hérités, entre autres fonctionnalités de sécurité recommandées par Microsoft. Déterminez soigneusement à l'avance si un changement pourrait entraîner une régression ou des effets secondaires non intentionnels dans votre environnement.

Nom: Authentification héritée non bloquée

Nom de code: LEGACY-AUTHENTICATION-NOT-BLOCKED

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure