Microsoft holder i disse dager på å deaktivere legacy-autentisering mot Exchange Online for alle kunder, men hva betyr det?
Jo, det betyr at metoder som er velkjent for mange nå fases ut. Metoder som:
- Exchange ActiveSync
- POP
- IMAP
- MAPI
- OAB (Offline Address Book)
Hvorfor blir disse metodene faset ut?
Først og fremst er disse metodene basert på utdatert teknologi og gamle protokoller, noe som kan være med på å kompromittere dine data. Microsoft har allerede protokoller klare for å øke sikkerheten i form av Modern Authentication, noe som tar over for legacy-autentisering, som Microsoft begynte å deaktivere 1. oktober 2022.
Med de gamle metodene var kontoer blant annet mer utsatt når det kom til brute force-angrep. Dette er angrep hvor ondsinnede aktører forsøker å få tilgang til en brukerkonto ved å bruke verktøy som prøver å logge inn på kontoen med forskjellige passord. En annen ting som forbedres er bruk av Conditional Access. Conditional Access er regelsett som gjør at man blant annet kan kreve bruk av multifaktor-autentisering (MFA), nekte pålogging fra uønskede lokasjoner eller kreve at enheten som benyttes er godkjent av bedriften. Med andre ord får man et større spillerom og sikrere data.
Ved å bruke Conditional Access reduseres mulighetene for eksterne aktører drastisk når det gjelder angrep på din bedrift. For eksempel vil et brute force-angrep bli stoppet ved de første forsøkene på pålogging ved at krav til MFA trer i kraft.
Hva om min bedrift fortsatt bruker legacy-autentisering?
En konto som er aktivert for legacy-autentisering utgjør en trussel for din organisasjon og dine data. Aktører kan enklere få tilgang til en konto som ikke er beskyttet med multifaktor-autentisering. Når først én av din bedrifts kontoer er kompromittert, er det enklere for aktører å benytte denne kontoen for å få enda flere tilganger i ditt miljø.
Fra 1. oktober i år begynte Microsoft å deaktivere legacy-autentisering mot Exchange Online for sine kunder. Om du bruker Exchange Online i din bedrift er du forhåpentligvis ferdig med overgangen til Modern Authentication for dine tjenester.
Men hva med tjenester som ikke går mot Exchange Online?
Microsoft deaktiverer kun støtte for legacy-autentisering mot Exchange Online i denne omgang. Men ved å la kontoer få tilgang til å benytte legacy-autentisering mot andre tjenester som Teams og Sharepoint, utsetter du fremdeles din bedrift for et angrep.
En god løsning for å forhindre at noen kontoer og systemer bruker legacy-autentisering er å benytte Conditional Access-regler for å blokkere bruk av legacy-autentisering mot dine tjenester.
Ved å bruke tjenester som MS Graph API i Azure, kan man enkelt konfigurere støtte for Modern Authentication for dine applikasjoner. Etter å ha registrert din applikasjon i Azure-portalen, kan du velge hvilket nivå av rettigheter applikasjonen behøver, og hvilke brukere/kontoer som skal få tilgang.
Så hva gjør jeg nå?
- Analyser logger for innlogging, identifiser legacy-autentisering
- Om det er kontoer som benytter legacy-autentisering i din bedrift:
o Klargjør applikasjoner med Modern Authentication
o Sørg for at ansatte benytter nyeste versjon av Outlook
- Lag Conditional Access regler for å blokkere Legacy-autentisering
o Når autentisering er byttet ut for kontoer som benytter eldre autentisering, kan du aktivere blokk av legacy-autentisering
