Autenticación heredada no bloqueada

Según Microsoft:

[…] más del 97 % de los ataques de relleno de credenciales usan la autenticación heredada y más del 99 % de los ataques de difusión de contraseñas usan protocolos de autenticación heredados.

Los métodos de autenticación heredados no admiten medidas de seguridad modernas, como la autenticación multifactor (MFA), un requisito estándar para mejorar la seguridad en las organizaciones.

Este indicador de exposición le alerta cuando un inquilino permite solicitudes de autenticación heredadas con cualquiera de los dos métodos posibles:

• Valores predeterminados de seguridad: opciones de seguridad preconfiguradas que incluyen el bloqueo de protocolos de autenticación heredados. Al habilitar esta opción, se activan simultáneamente varias funcionalidades de seguridad según lo recomendado por Microsoft.
• Directivas de acceso condicional (CAP): estas directivas especifican eventos o aplicaciones que no permiten el uso de protocolos de autenticación heredados. Si bien pueden permitir dichos protocolos para usuarios y aplicaciones en particular, esta autorización no se extiende a todos los usuarios y aplicaciones. Este IoE comprueba si hay al menos una CAP habilitada que defina la configuración de la plantilla de CAP “Bloqueo de la autenticación heredada”.

Nota: Esta funcionalidad de la CAP requiere una licencia de Microsoft Entra ID P1 o superior y no viene con la licencia de Microsoft Entra ID gratis. Se recomienda especialmente para organizaciones consolidadas con necesidades de seguridad complejas que buscan definir con precisión sus criterios de autenticación.

Los valores predeterminados de seguridad y el acceso condicional son mutuamente excluyentes; no pueden usarse a la vez. Tenga en cuenta que las directivas de acceso condicional solo pueden dirigirse a roles de Entra integrados, de modo que quedan excluidos los roles con alcance de unidad administrativa y los roles personalizados.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que se bloquee la autenticación heredada.

Hay aspectos importantes que deben tenerse en cuenta antes de bloquear todas las solicitudes de autenticación heredadas. Microsoft explica el impacto al indicar los protocolos de mensajería que requieren autenticación heredada. También ofrece orientación sobre cómo detectar autenticaciones heredadas como ayuda para configurar la exclusión de cuentas de usuario y de servicio que aún requieren iniciar sesión a través de métodos de autenticación heredados. Incluso cuando este IoE se vuelva compatible después de la corrección, la directiva de acceso condicional puede tardar hasta 24 horas en entrar en vigencia, plazo durante el cual las solicitudes de autenticación heredadas aún son posibles.

Para evitar que los usuarios y las aplicaciones utilicen la autenticación heredada, Microsoft ofrece una plantilla de directiva de acceso condicional (CAP) llamada Bloqueo de la autenticación heredada. También puede definir su propia plantilla con la misma configuración. Para aplicar dicha CAP; Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas para limitar el impacto en los recursos que aún la requieran. Como alternativa, los valores predeterminados de seguridad pueden cumplir este objetivo al exigir el bloqueo de los protocolos de autenticación heredados, entre otras funcionalidades de seguridad recomendadas por Microsoft. Evalúe minuciosamente de antemano si algún cambio podría provocar regresiones o efectos secundarios no deseados en su entorno.

Nombre: Autenticación heredada no bloqueada

Nombre en clave: LEGACY-AUTHENTICATION-NOT-BLOCKED

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure