微软今天警告客户,从 2022 年 10 月 1 日开始,它将最终禁用全球随机租户的基本身份验证,以提高 Exchange Online 的安全性。
今天的公告是在该公司在过去三年中发布的多次提醒和警告之后发布的,首次发布于2019 年 9 月。
该公司再次要求客户在2021 年 9 月和2022年 5 月关闭基本身份验证,因为他们中的许多人尚未将其客户和应用程序迁移到现代身份验证。
“自我们近三年前首次发布以来,我们已经看到数百万用户放弃基本身份验证,我们已经在数百万租户中禁用它以主动保护他们。但我们还没有完成,不幸的是使用’还没有为零。尽管如此,我们将开始为以前未禁用的租户关闭几个协议的基本身份验证,“Exchange 团队今天表示。
“从 10 月 1 日开始,我们将开始随机选择租户并禁用 MAPI、RPC、脱机通讯簿 (OAB)、Exchange Web 服务 (EWS)、POP、IMAP、Exchange ActiveSync (EAS) 和远程 PowerShell 的基本身份验证访问。 ”
雷德蒙德说,宣布这一举措的消息将在部署开始前 7 天发布到 Windows 消息中心。禁用基本身份验证时,将通过服务运行状况仪表板通知通知每个租户。
对于将禁用此身份验证方案的租户,在 2022 年 12 月之前,客户仍然可以使用自助服务诊断为每个协议重新启用一次。但是,“将永久禁用基本身份验证使用协议”在 2023 年 1 月的第一周,无法再次使用基本身份验证。
到目前为止,微软表示它已经在数百万未使用它的租户中禁用了基本身份验证,并且还在仍在使用它的租户中关闭未使用的协议,以保护他们免受利用这种不安全身份验证方案的攻击。
通过 Microsoft 365 管理中心 (Microsoft) 手动禁用基本身份验证
为什么 Microsoft 禁用基本身份验证?
基本身份验证(又名传统身份验证或代理身份验证)是一种基于 HTTP 的身份验证方案,应用程序用于将纯文本凭据发送到服务器、端点或各种在线服务。
不幸的是,这允许威胁参与者在通过 TLS 的中间人攻击中窃取凭据,或者在密码喷射攻击中猜测它们。他们可以通过多种策略使用基本身份验证从应用程序中窃取明文凭据,包括社交工程和信息窃取恶意软件。
现代身份验证(多重身份验证和授权方法的总称)使用 OAuth 访问令牌,这些令牌不能重复用于在其他资源上进行身份验证,除了为它们颁发的资源。
更糟糕的是,基本身份验证使启用多因素身份验证 (MFA) 变得相当复杂,这意味着它通常根本不会被使用。启用 Modern Auth 使启用 MFA 的复杂性大大降低,从而提高了 Exchange Online 的安全性。
虽然在 Exchange Online 中切换到现代身份验证背后有很多原因,但 Guardicore 的一份报告在 2021 年 9 月将另一个添加到列表中。
它进一步强调了这一举措的重要性,展示了数十万个 Windows 域凭据如何通过使用基本身份验证的错误配置的电子邮件客户端以纯文本形式泄露到外部域。
“从最初的沟通到现在,这项工作已经花费了三年时间,即使这样也没有足够的时间来确保所有客户都了解这一变化并采取所有必要的步骤。IT 和变革可能很困难,而且大流行改变了许多人的优先事项我们当中,但每个人都想要同样的东西:为他们的用户和数据提供更好的安全性,”微软补充道。
您可以在今天发布的博文 The Exchange Team中找到有关准备 10 月份强制基本身份验证弃用以及预先禁用基本身份验证的最佳方法的更多信息。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软为了提高Exchange Online 的安全性,禁用全球随机租户的基本身份验证
