레거시 인증 차단 안 됨

Microsoft에 따르면:

[...] 크리덴셜 스터핑 공격의 97% 이상은 레거시 인증을 사용하고, 비밀번호 스프레이 공격의 99% 이상이 레거시 인증 프로토콜을 사용합니다.

레거시 인증 방법은 조직 내 보안 강화를 위한 일반적인 요구 사항인 다단계 인증(MFA)과 같은 최신 보안 수단을 지원하지 않습니다.

이 위험 노출 지표는 테넌트가 가능한 다음 두 가지 방법 중 하나로 레거시 인증 요청을 허용하면 사용자에게 알립니다.

• 보안 기본값: 레거시 인증 프로토콜 차단을 포함하는 사전 구성된 보안 설정입니다. 이 설정을 사용하면 Microsoft 권장 사항대로 여러 보안 기능을 동시에 활성화합니다.
• 조건부 액세스 정책(CAP): 레거시 인증 프로토콜 사용을 허용하지 않는 이벤트 또는 애플리케이션을 지정하는 정책입니다. 이 정책은 특정 사용자와 애플리케이션에 대하여 그러한 프로토콜을 허용할 수는 있지만, 모든 사용자와 애플리케이션으로 허용을 확대하지는 않습니다. 이 IoE는 "레거시 인증 차단" CAP 템플릿 설정을 정의하는 CAP가 하나 이상 사용으로 설정되어 있는지 검사합니다.

참고: 이 CAP 기능은 Microsoft Entra ID P1 라이선스 이상을 필요로 하며, Microsoft Entra ID Free 라이선스에는 기본 제공되지 않습니다. 이 기능은 보안 요구 사항이 복잡해서 인증 기준을 정밀하게 정의하려는 중견 기업 조직에 특히 권장합니다.

보안 기본값과 조건부 액세스는 상호 배타적이므로 동시에 사용할 수는 없습니다. 조건부 액세스 정책은 기본 제공된 Entra 역할만을 대상으로 하며, 관리 단위 범위 역할과 사용자 지정 역할은 제외됩니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "레거시 인증 차단"을 권장합니다.

모든 레거시 인증 요청을 차단하기 전에 고려해야 할 몇 가지 중요한 고려 사항이 있습니다. Microsoft에서는 레거시 인증이 필요한 메시징 프로토콜을 표시하여 차단의 영향을 설명합니다. 또한 여전히 레거시 인증 방법을 사용한 로그인이 필요한 사용자와 서비스 계정을 제외하도록 구성할 때 도움이 될 수 있도록 레거시 인증을 식별하는 방법에 대한 참고 자료도 제공합니다. 수정한 이후 이 IoE가 규정 준수 상태가 되더라도, 조건부 액세스 정책이 적용되려면 최대 24시간이 걸릴 수 있고​ 그 동안에는 여전히 레거시 인증 요청을 할 수 있습니다.

Microsoft에서는 사용자와 애플리케이션이 레거시 인증을 사용하지 않도록 하기 위해 레거시 인증 차단이라는 조건부 액세스 정책(CAP) 템플릿을 제공합니다. 같은 설정을 사용해 자체적으로 템플릿을 정의할 수도 있습니다. 그러한 CAP를 적용하려면 Microsoft 설명서 "조건부 액세스 배포 계획"을 따라 레거시 인증이 여전히 필요한 리소스에 미치는 영향을 제한하기 위해 적절한 계획과 관리 변경을 보장하는 것이 좋습니다. 또는 기타 Microsoft 권장 보안 기능 중에서 레거시 인증 프로토콜 차단을 필수로 지정하여 보안 기본값으로 이 목표를 달성할 수도 있습니다. 변경 사항으로 인해 환경에 성능 저하 또는 의도치 않은 부작용이 발생할 가능성이 있는지 미리 철저히 평가해야 합니다.

이름: 레거시 인증 차단 안 됨

코드명: LEGACY-AUTHENTICATION-NOT-BLOCKED

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure