Microsoft отключит базовую аутентификацию в Exchange Online в октябре 2022 года

34
Новая атака DFSCoerce NTLM Relay позволяет захватить домен Windows

Последнее обновление 09.01.2023 — QGames

Microsoft объявила, что с 1 октября 2022 года базовая проверка подлинности будет отключена для всех протоколов во всех клиентах, чтобы защитить миллионы пользователей Exchange Online.

Это объявление было сделано после того, как компания отложила удаление базовой аутентификации из Exchange Online до второй половины 2021 года из-за пандемии COVID-19.

«Сегодня мы объявляем, что с 1 октября 2022 года мы начнем безвозвратно отключать базовую аутентификацию для всех клиентов, независимо от использования (за исключением SMTP Auth, которую можно будет снова включить после этого)», — Команда Exchange Online заявила ранее на этой неделе.

Microsoft уже начала отключать базовую аутентификацию в июне для клиентов, которые ее не использовали, а также объяснила, как клиенты могут повторно включить непреднамеренно затронутые протоколы.

Чтобы отключить обычную проверку подлинности в Exchange Online до того, как Microsoft полностью выведет ее из эксплуатации, необходимо создать и назначить политики проверки подлинности отдельным пользователям, выполнив действия, подробно описанные на веб-сайте поддержки Exchange Online .

По теме:  Что такое Mirai Malware и кто находится в группе риска?

«Отключение базовой аутентификации и требование современной аутентификации с MFA — одно из лучших действий, которые вы можете сделать для повышения безопасности данных в вашем клиенте, и это должно быть хорошо», — заявила Microsoft два года назад, когда обнаружила, что современная аутентификация будет быть принудительным для клиентов Exchange Online .

«Последнее, что нужно прояснить — это изменение касается только Exchange Online, мы ничего не меняем в локальных продуктах Exchange Server».

Почему отключена базовая аутентификация?

Хотя Microsoft не сообщила точную причину, по которой они решили сделать это объявление на этой неделе, причиной, вероятно, является отчет Guardicore, который показал, как сотни тысяч учетных данных домена Windows были утечкой в ​​виде простого текста из- за неправильно настроенных почтовых клиентов с использованием базовой аутентификации.

Амит Серпер, AVP Guardicore по исследованиям безопасности, автор отчета, также раскрыл атаку под названием «Старый переключатель», которая заставляет клиента Exchange согласовывать базовую аутентификацию.

Базовая проверка подлинности (также известная как проверка подлинности прокси) — это схема проверки подлинности на основе HTTP, с помощью которой приложения отправляют учетные данные с каждым запросом на подключение к серверам, конечным точкам или онлайн-службам, при этом пары имени пользователя и пароля часто хранятся локально на устройстве.

Хотя это значительно упрощает процесс аутентификации, базовая аутентификация также упрощает злоумышленникам возможность украсть учетные данные, когда соединения не защищены с помощью криптографического протокола TLS.

Что еще хуже, включить многофакторную аутентификацию (MFA) непросто при использовании базовой аутентификации; поэтому часто он вообще не используется.

Современная проверка подлинности (библиотека проверки подлинности Active Directory (ADAL) и проверка подлинности на основе токенов OAuth 2.0) позволяет приложениям использовать токены доступа OAuth с ограниченным временем жизни и не могут повторно использоваться для проверки подлинности на других ресурсах, кроме тех, для которых они были выпущены.

После включения современной аутентификации включение и применение MFA станет более простым, с улучшенной безопасностью данных в Exchange Online как прямым и немедленным результатом.

Демонстрационный видеоролик о добавлении MFA в почтовые ящики Exchange Online / локальные доступны в учетной записи Microsoft Ignite на YouTube.