[[426483]]

微軟宣布，從2022 年10月1 日起，將關(guān)閉所有租戶的基本身份驗(yàn)證，以提高Exchange Online 的安全性。2021 年2月25日，微軟曾推遲租戶正在使用的協(xié)議，并將禁用基本身份驗(yàn)證至下半年，但繼續(xù)對(duì)未使用的協(xié)議禁用基本身份驗(yàn)證。

Exchange Online 團(tuán)隊(duì)本周表示“今天，我們宣布，自 2022 年 10 月 1 日起，我們將永久關(guān)閉所有租戶的基本身份驗(yàn)證，無論使用情況如何(SMTP 身份驗(yàn)證除外，此后仍可重新啟用)。”

據(jù)悉，今年6月微軟已經(jīng)開始為未使用的租戶禁用基本身份驗(yàn)證 ，并向受到影響的用戶解釋了如何重新啟用其協(xié)議。微軟在兩年前透露現(xiàn)代身份驗(yàn)證將跨 Exchange Online 租戶強(qiáng)制執(zhí)行，而禁用基本身份驗(yàn)證，并使用 MFA 進(jìn)行現(xiàn)代身份驗(yàn)證是當(dāng)務(wù)之急。此更改僅影響 Exchange Online，并不會(huì)更改 Exchange Server 本地產(chǎn)品中的任何內(nèi)容。

為什么基本身份驗(yàn)證被禁用?

雖然微軟沒有具體說明本周決定發(fā)布此公告的具體原因，但據(jù)推測(cè)原因可能是因?yàn)橐环輥碜跃W(wǎng)絡(luò)安全公司Guardicore的報(bào)告，該報(bào)告揭示了數(shù)十萬個(gè) Windows 域憑證泄露。Guardicore 副總裁 Amit Serper 還披露了一種名為“The ol” switcheroo 的攻擊，包括向客戶端發(fā)送請(qǐng)求以降級(jí)到較弱的身份驗(yàn)證方案(即HTTP 基本身份驗(yàn)證)，而不是像 OAuth 或 NTLM 這樣的安全方法，提示電子郵件應(yīng)用程序已明文形式發(fā)送域憑據(jù)。

雖然它極大地簡(jiǎn)化了身份驗(yàn)證過程，但基本身份驗(yàn)證還使攻擊者在未使用傳輸層安全 (TLS) 加密協(xié)議保護(hù)連接時(shí)更容易竊取憑據(jù)。更糟糕的是，在使用基本身份驗(yàn)證時(shí)啟用多因素身份驗(yàn)證 (MFA) 并不容易;因此，通常它根本不被使用。

現(xiàn)代身份驗(yàn)證(Active Directory 身份驗(yàn)證庫 (ADAL) 和基于 OAuth 2.0 令牌的身份驗(yàn)證)允許應(yīng)用程序使用 OAuth 訪問的生命周期是有限的，并且不能重復(fù)用于為其提供的資源之外的其他資源進(jìn)行身份驗(yàn)證。

開啟現(xiàn)代身份驗(yàn)證后，啟用和強(qiáng)制執(zhí)行 MFA 將變得更加簡(jiǎn)單，直接快速是提高 Exchange Online 中的數(shù)據(jù)安全性。