In mijn eerste blog van deze reeks heb ik uitgelegd wat Legacy Authenticatie inhoudt. Vervolgens ben ik in een volgend blog verder ingegaan waarom je Legacy Authenticatie uit wilt schakelen, voordat Microsoft dit doet. Hier heb ik ook high-level de stappen omschreven om dit voor elkaar te krijgen. Nu in deel 3, deze blogpost, “the final chapter” komt dan ook the (technical) good stuff aan bod. Hoe pakken we het stoppen met Legacy Authenticatie concreet aan?

Legacy Authenticatie vs. moderne authenticatie

Ik merk dat er vaak nog wat onduidelijkheid is over Legacy Authenticatie en wat het inhoudt. Daarom even een opmerking om het misverstand wat ik vaker hoor de wereld uit te helpen:

Legacy authenticatie is niet “de authenticatie middels gebruikersnaam en wachtwoord”, maar juist de manier waarop authenticatie wordt overgebracht. Wat ik daarmee wil zeggen is dat hoewel moderne authenticatie je in staat stelt om bijvoorbeeld MFA te doen, moderne authenticatie een volledig andere manier van authentiseren is. Dit gaat over de volledige verkeersstroom en de protocollen die op de achtergrond gebruikt worden, waarbij veel meer mogelijk is en security centraal staat. Maar moderne authenticatie is dus niet per definitie “MFA”, het kan je wel in staat stellen om bijvoorbeeld MFA te gaan gebruiken en bijvoorbeeld password-less te gaan werken!

Belangrijk, maar toch uitgesteld

Microsoft heeft aangegeven het uitschakelen van Legacy Authenticatie voor Exchange Online vanuit hun kant te hebben uitgesteld naar de 2e helft van 2021, waarbij ze Corona aangrijpen als reden. Maar het is wel belangrijk, toch? Jazeker! De risico’s die we eerder omschreven hebben, worden er niet minder op, dus het is van belang alsnog op zo kort mogelijke termijn actie te ondernemen.

Top, gaan we doen! Maar hoe?

In de vorige blogs heb ik omschreven wat de overkoepelende stappen zijn om Legacy Authenticatie uit te (kunnen) schakelen. Hieronder nog even dat lijstje ter naslag:

Hieronder zal ik een aantal bovenstaande stappen in meer detail uitleggen.

Schakel Moderne authenticatie in

Voorheen kon dit (alleen) via Powershell, tegenwoordig kan dit ook via de Microsoft 365 Admin portal pagina.

Open hiervoor het Microsoft 365 admin center en klik “Settings” > “Org settings” > “Modern Authentication” en zet het vinkje aan bij “Enable Modern authentication” zoals hieronder weergegeven.

1 blog legacy authentication

Je maakt hiermee de moderne manier van authentiseren mogelijk, wat normaal gesproken geen (negatieve) impact heeft op clients of beschikbaarheid. Houd er wel rekening mee dat, wanneer je Conditional Access gebruikt en bepaalde zaken afdwingt voor Moderne Authenticatie clients, deze policies (ineens) van kracht zullen worden. Is dat in jouw organisatie het geval, controleer even goed wat je kunt verwachten. Twijfels? Laat het ons weten en we denken met je mee.

Verder hebben, zoals eerder aangegeven, Office 2013 clients nog een extra wijziging nodig om geforceerd moderne authenticatie te gaan gebruiken, naast dat zij een minimale versie nodig hebben.

Zijspoor: Security Defaults

Ik wil je graag even wijzen op een nieuwe feature die Microsoft beschikbaar heeft gemaakt: de security defaults. Je kunt via deze defaults met 1 druk op de knop (de) gro(ots)te risico’s in jouw Office 365 en Azure mitigeren:

2 blog legacy authentication

Ken je de “Baseline policies” nog in Conditional Access? Die worden binnenkort weggehaald (tenzij jij ze ingeschakeld hebt) en worden vervangen voor deze baseline policies.

Let even op; deze baseline policy is krachtig en easy-to-use, maar niet bedoeld voor grote organisaties, tenzij jij precies weet wat je aan het doen bent kun je dit in jou omgeving aanzetten. Microsoft en InSpark bevelen dan ook zeker aan de punten die deze security baseline oplost, ook aan te pakken. Maar voor grote organisaties is het goed dit stap-voor-stap te doen en goed te kijken wanneer je welke functionaliteit uitrolt. Dus door gelijksoortige (Conditional Access) policies aan te maken en die gecontroleerd door te voeren. Lees meer over wat deze security defaults inhouden.

Validatie applicatie-ondersteuning voor moderne authenticatie

Er zijn weinig organisaties die een overkoepelend overzicht hebben van exact welke applicaties gebruikt worden en waar zij mee integreren, heeft jouw organisatie dat wel? Mijn complimenten!

Maar hoe krijg je nou inzicht in welke applicaties integreren met Office 365 en hoe zij authenticeren? Dat inzicht krijgen we de door logging aan te zetten binnen Conditional Access. Om volledig van Conditional Access gebruik te kunnen maken heb je Azure AD Premium P1 licenties nodig “of hoger” (zoals Enterprise Management + Security, EMS, E3 of -E5). Even verderop vertel ik je hoe je de verzameling van deze logging met Conditional Access inschakelt. Houdt er rekening mee dat, wanneer je de “security defaults” gebruikt je niet gaat kijken welke applicaties verbinden met legacy authenticatie, maar dit per direct glashard uit zet. Super om te doen als je weet wat je doet en dat het geoorloofd is, maar misschien een stap te ver om ineens te doen?

Laten we beginnen met loggen wat er nu daadwerkelijk via Legacy Authenticatie verbindt.

Zet logging aan via conditional access

Je kunt deze logging op meerdere manieren doen, maar in dit voorbeeld doen we de logging op basis van een Conditional Access Report-Only policy, gecombineerd met de Azure Sign-In logs.

We gaan via Conditional Access de logging aanzetten voor alles wat middels legacy authenticatie verbindt. We gaan dus nog niks blokkeren maar alleen de analyse starten. Dat doen we als volgt:

  1. Log in op de Azure-portal (of het Intune-portaal) en open Conditional Access

3 blog legacy authentication

2. Maak een nieuwe Conditional Access-policy aan met een logische, herkenbare naam. Zoals “[ORGNAAM]-CONDACC-EMS-LOG-LEGACYAUTH” binnen onze eigen naam conventie

4 blog legacy authentication

3. Creëer de policy volgens de onderstaande configuratie:

5 blog legacy authentication

Let op!: Belangrijk is dat je deze policy instelt op “Report-only” zodat we statistieken gaan loggen, maar niet daadwerkelijk verbindingen gaan blokkeren

  1. Voilà! De policy is aangemaakt en gaat bijhouden welke verbindingen via Legacy Authenticatie worden geauthentiseerd. We blokkeren die op dit moment nog niet.

Analyseer logging en onderneem actie

De volgende stap is om de logging te gaan analyseren (je verwacht het niet! 😉).

Dit doe je door de volgende stappen te doorlopen:

  1. Open de Azure Active Directory in de Azure-portal kies de “Sign-ins” onder het kopje Monitoring:6 blog legacy authentication
  2. Kies bij het veld “Date” het tijdbereik waarin je je analyse wilt doen
  3. Kies de optie “Add filters” en selecteer “Client app”. Druk vervolgens “Apply”
  4. Doe nogmaals hetzelfde en kies ook “Conditional Access”
  5. Selecteer nu in de Client App-filter alle Legacy Authentication Clients, en daarnaast bij Conditional Access de “Not Applied” optie:7 blog legacy authentication
  6. De query ziet er nu ongeveer zo uit:8 blog legacy authentication
  7. Dit zorgt ervoor dat je alle legacy authenticatie clients te zien krijgt, waarbij je de tabbladen onderaan iedere entry kunt gebruiken om details te zien over welk apparaat, welke app etc. zich schuldig maakt aan legacy authenticatie
  8. Selecteer een entry en kies het “Report-only” tabblad, hierbij kun je verifiëren dat je applicatie inderdaad geraakt wordt door de report-only policy
  9. Verifieer de boosdoeners en houdt hiervan een lijstje bij. Kijk of je de applicaties om kunt zetten naar Moderne Authenticatie of er nieuwere versie beschikbaar zijn die dit kunnen. Nog mooier: kijk naar een mogelijke SaaS-variant die je aan de Azure AD kunt koppelen voor authenticatie

Wil je dieper ingaan op de analyse? Dan kun je dat doen door Conditional Access Insights aan te zetten, waarbij je specifiekere query’s kunt doen op de verzamelde gegevens. Hier kun je meer lezen over hoe je dit kunt doen.

It’s an imperfect world

Soms krijg je het helaas niet waterdicht… Die ene Office add-in die ooit door die oud-collega ontworpen is en toch wel ècht moet blijven werken. Het officiële en eerlijke antwoord: Zoek een alternatief, deze app levert nu een beveiligings-risico op. Maar wat als je de app toch ècht, voor nu, nog nodig hebt?

Dan kun je een uitzondering maken op de Conditional Access regel waarbij je een zo specifiek mogelijke uitzondering maakt. Denk hierbij aan een uitzondering voor het specifieke account dat Legacy Auth doet, waarbij je het account uitzondert van de eerder gemaakt Conditional Access regel, die nu nog rapporteert maar straks echt gaat blokkeren (tijdelijk, totdat je de bron hebt kunnen aanpakken).

Zoals gezegd, maak die uitzondering zo specifiek en beperkt mogelijk. Kijk of je wellicht (tijdelijk) een extra Conditional Access policy wilt aanmaken die specifiek op dat account gericht is en alléén toegang verschaft vanaf het IP-adres van jouw datacenter/bedrijfslocatie, en specifiek voor de Cloud App: Exchange Online. Zo zorg dat er niet meer dan het strikt noodzakelijk openstaat.

All done! En nu?

Klaar? Alles om naar Moderne Authenticatie? Helemaal top! Dan wordt het nu tijd voor de proef op de som: de blokkade oprichten. Je kunt dat simpelweg doen door de eerder aangemaakte Conditional Access policy “[ORGNAAM]-CONDACC-EMS-LOG-LEGACYAUTH” om te zetten van “Report-only” naar “On”. Pas direct even de naam aan waarbij je van “LOG” schakelt naar “BLOCK”, voor de netheid.

Houdt uiteraard goed je sign-ins in de gaten dat het gedrag is zoals je verwacht.

Authentication Policies op Exchange (Online)

Je wilt starten met het uitzetten van Legacy authenticatie, maar dat gaat niet over 1 nacht ijs. Toch wil je “wagenwijd openstaande voordeur” alvast een kier zetten? Dat kan!

In de praktijk zien we dat de risico’s die het gebruik van Legacy authenticatie met zich meebrengt met name uitgebuit worden bij gebruik van Exchange (Online). Daarom heeft Microsoft Authentication Policies op Exchange in het leven geroepen. Het concept is vrij rechttoe, rechtaan: Je maakt een policy die aangeeft op wat voor manieren er geauthenticeerd/verbonden mag worden met een mailbox, zie hieronder een voorbeeld:

9 blog legacy authentication

Dit stelt je in staat om zonder het gebruik van Conditional Access alsnog Legacy Authenticatie uit te schakelen op Exchange Online en op de laatste versie van Exchange on-premises, Exchange 2019 vanaf CU2 (wat vaak over het hoofd gezien wordt, maar waarbij het risico net zo groot is).

Waarschijnlijk weet je al dat je in Exchange altijd al per mailbox losse protocollen kan enablen en disablen (met het Set-CASMailbox commando). Wordt er geen IMAP/POP3 meer gebruikt in jouw organisatie? Zet dit dan ook voor alle mailboxes hard uit, dan wel per mailbox, dan wel via een authentication policy (als je die optie al hebt binnen jouw Exchange-versie). Schakel daarnaast de gerelateerde services op de Exchange-servers uit, en zorg dat de gerelateerde poorten ook niet beschikbaar/ge-NAT zijn, neem daarin geen risico.

Goed; Authentication policies. Deze kun je creëren op zowel Exchange Online als op Exchange 2019 vanaf CU2. Je maakt een policy welke je toe kunt kennen per user, of als standaard voor jouw organisatie.

De stappen zijn grofweg als volgt:

  1. Verbind naar Exchange (Online) met Powershell en maak een nieuwe Authentication policy aan. Bijvoorbeeld met het volgende commando:
    New-AuthenticationPolicy -Name “Blokkeer Legacy Authenticatie” -BlockLegacyAuthImap -BlockLegacyAuthPop
  1. Ken de policy mailbox voor mailbox toe, of in batches (waarbij je uiteraard goed eventuele klachten die binnenkomen in de gaten houdt):
    Set-User -Identity jop.gommans@inspark.com -AuthenticationPolicy “Blokkeer Legacy Authenticatie”
  1. Alle mailboxes omgezet, of dit direct op alle mailboxes instellen als standaardpolicy? Gebruik het volgende commando:
    Set-OrganizationConfig -DefaultAuthenticationPolicy “Blokkeer Legacy Authenticatie”

Zie dit artikel voor een uitgebreide uitleg van Authentication policies.

Let op!: Heeft jouw organisatie nog een on-premises Skype for Business omgeving, dan communiceert die ook met je Exchange-omgeving. Valideer de benodigde acties die er nodig zijn om dit proces niet te laten breken in deze actie hier.

Exchange on-premises en modern authentication?

Stel, je organisatie is zo gehecht aan haar Exchange on-premises omgeving dat ze die graag behoudt. Toch is wel de wens qua security Legacy authenticatie uit te schakelen. Ook dat kan.

Er bestaat de mogelijkheid de authenticatie van Exchange (on-premises) te “integreren” met Azure/Office 365. Dat betekent dat de authenticatie van connecties naar jouw on-premises Exchange-omgeving wordt gedelegeerd naar de Azure AD, waardoor je ook gebruik kunt maken van Conditional Access, een groot voordeel!

De authenticatie-stroom ziet er dan als volgt uit:

10 blog legacy authentication

(Bovenstaande afbeelding met dank aan het Microsoft Exchange Team)

Dit wordt ondersteund op Exchange 2013 (vanaf CU19) -2016 (CU8) en -2019 (CU1), in combinatie met Outlook 2013 of hoger. Hierdoor kun je Legacy authenticatie uitbannen in jouw omgeving en je beveiligingsniveau een grote stap laten nemen! Je kunt gebruik gaan maken van de Azure AD back-end en Conditional Access, daar heb je wel de nodige licenties voor nodig.

Geïnteresseerd? Lees hier meer en neem met ons contact op om te kijken naar de mogelijkheden.

Nieuws: moderne authenticatie voor interactieve IMAP & POP3 authenticatie

Microsoft heeft gezien dat er nog behoefte is aan Moderne Authenticatie (bij bestaande/verouderde apps) voor apps die nog protocollen gebruiken als IMAP en POP3. Daarom werkt Microsoft aan het beschikbaar maken van interactieve authenticatie met POP3 en IMAP. Let op! Dit is dus niet voor applicaties die op de achtergrond willen authentiseren.

Conclusie

Legacy authenticatie vormt tegenwoordig een groot risico voor organisaties. Helaas zien we in de praktijk nog steeds (en steeds meer) succesvolle aanvallen door middel hiervan. Zonde! Want je kunt zelf actie ondernemen om dit (zoveel mogelijk) uit te bannen. We hopen niet dat de put pas gedempt wordt als het kalf verdronken is bij jouw organisatie, dus onderneem actie!

Security gaat vaak ten koste van gebruiksgemak, maar dat is geval van het uitzetten van Legacy authenticatie niet het geval. Integendeel: Door gebruik van moderne authenticatie zet je ook de eerste stap in de reis om password-less te gaan werken.Hopelijk helpen we je met dit artikel goed op weg om zelf actie te ondernemen. Loop je vast, zoek je hulp in de details of juist de overkoepelende aanpak? Geënthousiasmeerd door Password-less, of gewoon benieuwd naar de laatste ontwikkelingen op de moderne werkplek of Azure? Laat het ons weten! We helpen je erg graag 😀

SHARE
Jop Gommans
Share

Gerelateerde blogs

Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!