微软将于2022年10月正式弃用Exchange Online基本身份验证

发布时间：2021-09-28 11:33:44来源：E安全

微软宣布，从2022年10月1日起，将关闭所有租户的基本身份验证，以提高ExchangeOnline的安全性。2021年2月25日，微软曾推迟租户正在使用的协议，并将禁用基本身份验证至下半年，但继续对未使用的协议禁用基本身份验证。

ExchangeOnline团队本周表示“今天，我们宣布，自2022年10月1日起，我们将永久关闭所有租户的基本身份验证，无论使用情况如何（SMTP身份验证除外，此后仍可重新启用）。”

据悉，今年6月微软已经开始为未使用的租户禁用基本身份验证，并向受到影响的用户解释了如何重新启用其协议。微软在两年前透露现代身份验证将跨ExchangeOnline租户强制执行，而禁用基本身份验证，并使用MFA进行现代身份验证是当务之急。此更改仅影响ExchangeOnline，并不会更改ExchangeServer本地产品中的任何内容。

为什么基本身份验证被禁用？

虽然微软没有具体说明本周决定发布此公告的具体原因，但据推测原因可能是因为一份来自网络安全公司Guardicore的报告，该报告揭示了数十万个Windows域凭证泄露。Guardicore副总裁AmitSerper还披露了一种名为“Theol”switcheroo的攻击，包括向客户端发送请求以降级到较弱的身份验证方案（即HTTP基本身份验证），而不是像OAuth或NTLM这样的安全方法，提示电子邮件应用程序已明文形式发送域凭据。

虽然它极大地简化了身份验证过程，但基本身份验证还使攻击者在未使用传输层安全(TLS)加密协议保护连接时更容易窃取凭据。更糟糕的是，在使用基本身份验证时启用多因素身份验证(MFA)并不容易；因此，通常它根本不被使用。

现代身份验证（ActiveDirectory身份验证库(ADAL)和基于OAuth2.0令牌的身份验证）允许应用程序使用OAuth访问的生命周期是有限的，并且不能重复用于为其提供的资源之外的其他资源进行身份验证。

开启现代身份验证后，启用和强制执行MFA将变得更加简单，直接快速是提高ExchangeOnline中的数据安全性。

注：本文由E安全编译报道。

E安全新设沟通交流社群

定期更新咨询，还有活动小礼物可参与，欢迎加入

合作、入群请加微信！