微软宣布,从2022年10月1日起,所有租户的基本身份验证将关闭,以提高Exchange Online 的安全性。2021年2月25日,微软推迟了租户正在使用的协议,并将禁止基本身份验证到下半年,但未使用的协议将继续禁止基本身份验证。
Exchange Online 团队本周表示“今天,我们宣布,无论使用情况如何,我们都将永久关闭所有租户的基本身份验证,从 2022年 10个月 起(SMTP 除身份验证外,此后仍可重用)。”
据悉,今年6月,微软开始对未使用的租户禁用基本身份进行验证,并向受影响的用户解释如何重新启用协议。微软两年前透露,现代身份验证将跨 Exchange Online 租户强制执行,禁止基本身份验证,并使用 MFA 进行现代身份验证是当务之急。此更改仅影响 Exchange Online, 不会改变Exchange Server 本地产品中的任何内容。
为什么禁止基本身份验证?
虽然微软没有具体说明本周决定发布该公告的具体原因,但可能是因为网络安全公司Guardicore该报告揭示了数十万个 Windows 域凭证泄露。Guardicore 副总裁 Amit Serper 还披露了一个名字“The ol” switcheroo 攻击包括向客户端发送降级到弱的身份验证方案(即HTTP 基本身份验证)而不是 OAuth 或 NTLM 这种安全方法提示电子邮件应用程序已以明确的形式发送域凭证。
虽然极大地简化了身份验证过程,但基本身份验证也使攻击者在未使用传输层的情况下安全 (TLS) 加密协议在保护连接时更容易窃取凭证。更糟糕的是,在使用基本身份验证时,使用多因素身份验证 (MFA) 不容易;所以一般根本不用。
现代身份验证(Active Directory 身份验证库 (ADAL) 和基于 OAuth 2.0 令牌身份验证)允许应用程序使用 OAuth 访问的生命周期有限,除提供的资源外,不能重复用于身份验证。
开启现代身份验证后,启用并强制执行 MFA 会变得更简单,直接快速提高 Exchange Online 数据安全。