SMTP、POP、MAPI 和 IMAP 等传统身份验证协议无法强制执行 2FA/ MFA，这使它们成为攻击的目标端点。这种和其他潜在的危害使得 Microsoft Legacy Authentication 在商业环境中不受欢迎。  

要使 MFA/2FA 有效，您需要阻止旧版身份验证，因为 SMTP、POP、IMAP、MAPI 等旧版身份验证无法强制执行 MFA，从而使它们成为攻击和对手的切入点。 

因此，在这篇文章中，我们将讨论什么是遗留身份验证以及为什么您应该阻止它以保护您的企业免受网络攻击和威胁。 

让我们开始吧。

什么是 Microsoft 旧版身份验证?

Microsoft 旧版身份验证是指用于登录邮件或其他 Microsoft 应用程序和云服务的基本或旧身份验证协议。

它是由以下任一方提出的身份验证请求:

没有现代身份验证的旧版 Office 客户端（例如 Office 2010 客户端），或支持旧邮件协议/请求（如 POP3SMTP/IMAP）的 Microsoft 应用程序或客户端。

Microsoft 旧版身份验证协议不是单一协议。它们指的是不支持或不允许多重身份验证 (MFA) 或 2FA 的任何事物。这种薄弱的安全协议使它们容易受到可能的未经授权的访问试验和其他攻击。  

许多企业的妥协登录尝试通常是从旧的身份验证客户端生成的。 

传统身份验证与现代身份验证

现代身份验证协议是那些支持和允许 MFA 的协议是现代身份验证。现代身份验证协议的示例是 ADAL 和 OAuth。它们通常用于Microsoft 365、Azure AD 和其他 Microsoft 应用程序或云服务。

现代身份验证身份管理提供更安全、更可靠的身份验证和用户授权。用户可以使用 ID 提供程序（例如 Azure AD）的 Web 对话框而不是应用程序（例如 Outlook）或操作系统（例如 Windows）以交互方式验证登录。这使得处理用户凭据安全、可靠和私密，因为只有 ID 提供者才能处理凭据和颁发令牌。 

在传统身份验证（也称为基本身份验证）中，即使用户使用终结点检测和响应，也不会受到保护。 

让我们在下表中查看现代身份验证与传统身份验证的比较: 

传统身份验证

现代认证

客户端或网络协议无法支持身份验证，因为它缺少配置或无能力。

允许 MFA/2FA 的客户端或服务。可以使用 OpenID Connect、SAML 和/或 OAuth 2.0 身份验证。

交互发生在客户端和应用程序（而不是用户）之间。该协议将登录名（用户名）和密码发送到用户的电子邮件或应用程序，而不是用户的。

交互发生在客户端和用户（而不是应用程序/服务）之间。该协议将身份验证重定向到 ID 提供者，后者生成用户必须验证的令牌。

应用程序/服务（而非用户）使用 ID（登录名和密码）获取登录令牌。

用户与 ID 信息（登录名和密码）交互以生成发送给用户（而不是应用程序）的令牌。

为什么我应该阻止旧版身份验证?

答:Legacy认证是一种基本的身份认证方式，存在安全漏洞，容易被账号泄露。它可以轻松地让黑客通过一条或多条“后门”访问途径访问组织的数据。

虽然现代身份验证理解并支持双因素身份验证 (2FA)或多因素身份验证 (MFA)，但传统身份验证不支持。 

这就是为什么传统身份验证极易受到自动破坏和恶意软件攻击（例如暴力破解、键盘记录和密码喷洒）的原因。

微软表示，遗留身份验证安全统计数据的趋势令人担忧。例如:

超过 99% 的密码喷洒和超过 97% 的撞库攻击都来自遗留身份验证协议。

与启用旧身份验证的帐户相比，禁用旧身份验证的 Azure AD 帐户遭受的危害或攻击减少 67%。 

此外，即使您启用了 2FA/MFA 策略，旧版身份验证协议仍然可以让不良行为者绕过您的 MFA。因此，保护??您的帐户免受攻击者和恶意身份验证的唯一可靠方法是阻止旧协议。 

事实上，微软将于2022 年 10 月 1 日 对所有Microsoft 365客户端禁用旧版身份验证。 

如何阻止 Microsoft 旧版身份验证?

有多种方法可以阻止 Microsoft 365 和相关应用中的旧版身份验证。 

第一个是默认阻塞。例如，如果你的 Microsoft 365 或客户端启用了安全默认值（手动或 2019 年 10 月之后创建的租户），旧版身份验证已在租户级别被阻止。

直接阻止旧版身份验证。您还可以直接在 Microsoft 365、Azure Directory 或 Exchange Online 中阻止旧版身份验证。

如何使用条件访问策略阻止旧版身份验证 

下面显示的步骤将向您展示如何使用条件访问策略阻止旧版（基本）身份验证:

第 1 步:检查您是否拥有 Azure AD Premium P1 许可证  

如果你拥有 Azure AD Premium P1 或 P2 的 Microsoft 许可，则只能通过条件访问 (CA) 阻止旧版身份验证。

要检查您的许可证:

登录到 Microsoft Azure 门户。

转到 Azure Active Directory > 然后是概述

检查 Azure AD 高级许可证:P1 或 P2 许可证。  

确认您的许可证后，您可以根据您的许可证启动新策略。 

第 2 步:创建新的（条件访问）策略

你现在可以为你在 Azure AD premium 上拥有的许可证类型创建条件访问策略:许可证 P1 或 P2。条件策略将强制阻止目录中所有用户的旧版身份验证。  

如果您愿意，您可以只选择要阻止的特定用户/员工组。但我们建议为所有应用程序和用户禁用旧版身份验证。

要创建新策略，请使用以下步骤:

打开 Azure AD 门户 > 转到 Azure Active Directory 主页

导航到安全部分。

打开条件访问 > 打开策略。

选择并单击新建策略。 

当您点击新政策按钮时，您需要为您的政策命名。

第 3 步:输入名称和分配 

在“新条件访问策略”下，您将为策略命名并为其分配:  

导航到 Name* > 并为其命名（显示策略的目标）:例如，[BLOCK] Legacy authentication。

导航到分配 > 并单击用户和组 > 选择包括 > 以选择所有用户。这将阻止所有用户。

使用条件访问策略，您可以选择用户和组，如目录角色、来宾和外部用户。您将根据您想要的结果选择您想要的政策模式。 

第 4 步。指定云应用程序或操作

您将在云应用程序或操作部分指定云应用程序和操作。这将允许您使用条件身份验证/访问策略指定客户端。

步骤是:

尽管如此，在同一窗格中，单击“云应用程序”选项。

选择，包括（立即）在云应用程序下。

选择所有云应用程序。

如果您只想选择特定的应用程序，您可以指定您希望使用条件访问/身份验证的应用程序。 

第 5 步。设置应用程序使用条件

选择特定应用程序后，您将设置使用条件。按着这些次序:

单击条件 > 选择客户端应用 > 单击（或切换）是。

导航到传统身份验证客户端下 > 选择移动和桌面客户端。

单击 Exchange ActiveSync 客户端和其他客户端。

最后，单击完成。这将按照您的意愿设置策略。 

 

步骤 6. 授予和启用策略

下一步是仅授予并启用您设置的策略:

单击授予。 导航到控制用户访问实施以阻止或授予访问权限，然后选择阻止访问。 

在“阻止访问”选项下方的底部，单击“选择”。

在 Grant 下面，单击 On 开关。此选择将启用您设置的策略。

选择“我知道我的帐户将受到此政策的影响。仍然继续。”单击创建并退出。 恭喜!您已使用条件访问策略阻止旧版身份验证。你会在条件访问策略列表中看到此策略。 如果它没有立即显示，请不要担心，因为它最多可能需要 24 小时。结论，这就是为什么您应该禁用旧版身份验证以及如何使用条件访问来做到这一点。 此设置将帮助您保护数据免受攻击和明显的恶意身份验证请求。我们希望上述方法能帮助您阻止旧版身份验证用户和应用程序。