Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo deshabilitar la autenticación heredada en Exchange

Para habilitar MFA

[04/10/2019] Microsoft anunció recientemente que 99,9% de los ataques a las credenciales de Office 365 se pueden detener habilitando la autenticación multifactor (MFA). Deberían haber dejado en claro que debe hacer un esfuerzo extra y deshabilitar la autenticación básica o heredada.

La autenticación básica o heredada es lo que usa la mayoría de las personas cuando inician sesión en sitios web y redes: un nombre de usuario y contraseña. Si alguien descifra eso, ha recolectado el valor hash y puede reutilizarlo, o ha usado técnicas de fuerza bruta y password spraying para obtener acceso, está dentro. A menudo ni siquiera tienen que "descifrar" la contraseña; ya la tienen. La mayoría de las personas reutilizan las contraseñas, por lo que una vez que un atacante ha violado una base de datos, puede probar esa contraseña en su servidor u otros sitios.

Por lo tanto, debe desactivar la autenticación heredada al implementar MFA. ¿Cuáles son las consecuencias de eso? Es posible que las herramientas de terceros que se conectan a sus aplicaciones en línea ya no funcionen. Honestamente, esto es algo bueno, porque debe exigir que los proveedores dejen de usar un viejo método inseguro para conectarse a su información. Si usan autenticación heredada, básicamente están usando IMAP, POP, SMTP y otros protocolos más antiguos para conectarse.

Asegúrese de estar utilizando clientes de Outlook más nuevos para conectarse a Office 365. Outlook 2010 ya no es compatible para conectarse a Office 365, aunque algunos todavía usan la plataforma. Si deshabilita la autenticación heredada en Outlook 10, no podrá conectarse. El impacto del usuario se desarrolla en varios escenarios.

Deshabilite la autenticación básica en Office 365 y Exchange

Describí cómo deshabilitar la autenticación básica en Office 365 anteriormente, pero ¿qué pasa con Microsoft Exchange local? ¿No tiene los mismos riesgos que las implementaciones en la nube de Exchange? En una palabra, sí. Los atacantes pueden usar algunas de las mismas herramientas que usan para evaluar los riesgos en Office 365 de su servidor de Exchange local. Es por eso que debe deshabilitar la autenticación heredada para eso también. Necesitará Exchange 2019 para hacerlo. Las versiones anteriores de Exchange no pueden realizar los ajustes.

Revisemos lo que debe hacer para deshabilitar el posible agujero de seguridad. Primero, determine qué versión de Outlook o plataformas de correo usa para conectarse a Exchange. Las siguientes plataformas pueden conectarse a Exchange sin autenticación básica. Esto es cierto tanto para Office 365 como para Exchange 2019. Necesitará estos clientes actualizados para habilitar la autenticación moderna.

  • Outlook 2013 o posterior
  • Outlook 2016 para Mac o posterior
  • Outlook para iOS y Android
  • Correo para iOS 11.3.1 o posterior

Para Outlook 2013, debe habilitar su capacidad para admitir la autenticación moderna a través de una clave de registro. Desde el Editor del registro, vaya a "HK Current user, luego a "Software, "Microsoft, "Office, "15.0, luego a "Common, luego a "Identity. Agregue el valor "EnableADAL con el valor "Reg_Dword de "1.

HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL
REG_DWORD
1

A continuación, establezca el siguiente valor. Vaya al usuario "HK Current, luego a "Software, luego a "Microsoft, "Office, "15.0, luego a "Common, luego a "Identity. Agregue el valor "Version" con el valor "Reg_Dword de "1.

HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version
REG_DWORD
1

Elimine la configuración mediante Group Policy o las claves de registro.

Deshabilite la autenticación básica con el Editor del registro.
Seguridad Exchange

Ahora que ha configurado Outlook 2013 para admitir la autenticación moderna, también puede implementar la configuración en Office 365 o Exchange 2019. Los buzones deben estar alojados en buzones que se encuentren en un servidor CU2 de Exchange 2019. Para bloquear la autenticación heredada, prepare políticas de autenticación. En el Shell de administración de Exchange, ingrese el siguiente comando PowerShell:

New-AuthenticationPolicy -Name "Block Legacy Auth" -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover -BlockLegacyAuthImap -BlockLegacyAuthMapi -BlockLegacyAuthOfflineAddressBook -BlockLegacyAuthPop -BlockLegacyAuthRpc -BlockLegacyAuthWebServices

El comando bloquea los siguientes protocolos:

  • BlockLegacyAuthActiveSync bloquea el uso de Exchange Active Sync (EAS), que algunos clientes de correo electrónico usan en dispositivos móviles.
  • BlockLegacyAuthAutodiscover bloquea el uso de Autodiscover para buscar y conectarse a buzones en Exchange. Esto también impide que los atacantes puedan enumerar y descubrir buzones para transgredir más fácilmente los servidores de Exchange.
  • BlockLegacyAuthImap bloquea el uso de clientes de correo electrónico IMAP. Los atacantes a menudo usan IMAP en ataques de password spraying.
  • BlockLegacyAuthMapi es usado por Outlook 2013 y posterior para MAPI sobre HTTP.
  • BlockLegacyAuthOfflineAddressBook bloquea la capacidad de descargar colecciones de listas de direcciones que Outlook usa sobre la autenticación básica.
  • BlockLegacyAuthPop es utilizado por los clientes de correo electrónico POP.
  • BlockLegacyAuthRpc es utilizado por Outlook 2016 y versiones anteriores para Outlook en cualquier lugar (RPC sobre HTTP).
  • BlockLegacyAuthWebServices bloquea el uso de una interfaz de programación utilizada por Outlook, Outlook para Mac y aplicaciones de terceros como parte de los Servicios web de Exchange (EWS)

Una vez que haya configurado la política, deberá asignarla a los usuarios. Puede asignar la política individualmente o mediante atributos. Si sus nombres de usuario no tienen espacios, puede crear un archivo de texto que inyecte los nombres de usuario en el script.

$BLA = Get-Content "C:\Scripts\ListofUsersBlockLegacyAuth.txt"
$BLA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Legacy Auth"}

Prepare un archivo de texto de todos los usuarios de su organización para quienes desea bloquear la autenticación heredada, guarde la lista en ListofUsersBlockLegacyAuth.txt y ejecute el script.

Si desea establecer esto como la política predeterminada, use el siguiente comando para que todos los usuarios nuevos de la organización solo acepten la autenticación moderna.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Legacy Auth"

Esto configura a toda la organización para bloquear la autenticación heredada en el futuro.

En pocas palabras, planifique un futuro en el que los protocolos IMAP, POP y anteriores estén prohibidos en su red. Incluso si no puede deshabilitar la autenticación heredada ahora, evalúe el potencial en el futuro. Revise todas las herramientas de terceros que utiliza para conectarse a Exchange o que agrega a Exchange, y revise si pueden funcionar sin conectividad IMAP o POP.