Microsoft, milyonlarca değişim çevrimiçi kullanıcısını korumak için 1 Ekim 2022'den itibaren tüm kiracılardaki tüm protokoller için temel kimlik doğrulamasının kapatılacağını açıkladı.
Bu duyuru, şirketin, Covid-19 pandemik nedeniyle 2021'in ikinci yarısına kadar Exchange Online'dan Temel Kimlik Doğrulamasının kaldırılmasını erteledi.
"Bugün, 1 Ekim 2022'dir, kullanımdan bağımsız olarak (bundan sonra tekrar etkinleştirilebilen SMTP yetkisi hariç)," Exchange Online Takımı bu hafta erken saatlerde söyledi.
Microsoft, zaten kullanmayan kiracılar için Haziran ayında temel kimliği devre dışı bırakmaya başladı ve ayrıca müşterilerin yanlışlıkla etkilenen protokolleri nasıl yeniden etkinleştirebileceğini açıkladı.
Exchange Çevrimiçi olarak temel kimlik doğrulamasını devre dışı bırakmak için, Microsoft tamamen kayıtsızlar önce, bireysel kullanıcılara Exchange Online Destek web sitesinde ayrıntılı olan adımları kullanarak bireysel kullanıcılara yönlendirilmiştir.
MicA ile temel kimlik doğrulamasını devre dışı bırakmak ve MFA ile modern kimlik doğrulaması gerektiren, kiracınızdaki verilerin güvenliğini arttırmak için yapabileceğiniz en iyi şeylerden biridir, "dedi Microsoft, iki yıl önce modern kimlik belgelerini ortaya çıkardığında Exchange Online Kiracıların karşısında uygulanabilir.
"Net hale getirilecek son şey - bu değişiklik sadece Exchange Online'ı etkiler, Borsa sunucusundaki herhangi bir şeyi değiştirmiyoruz."
Microsoft bu hafta bu duyuruyu yapmaya karar vermelerinin tam nedenini sağlamadığı zaman, sebep olası bir Guardicore raporu, yüz binlerce Windows etki alanı kimlik bilgilerinin, Missconfigured e-posta istemcileri tarafından temel kimliği kullanan yanlış metinlerde nasıl sızdırıldığını ortaya koyan bir Guardicore raporudur.
Guardicore'un raporu yazdığı güvenlik araştırması olan Guardicore'un AVP'si de, bir değişim istemcisini temel kimlik doğrulamasında pazarlık etmeye zorlayan 'OL' Switcheroo 'adında bir saldırı açıkladı.
Rica ederim. pic.twitter.com/9jwhcfa8if
Temel kimlik doğrulama (proxy kimlik doğrulaması olarak da bilinir), uygulamaların sunuculara, bitiş noktalarına veya çevrimiçi hizmetlere yapılan her bağlantı isteğine sahip kimlik bilgileri gönderdiği bir HTTP tabanlı kimlik doğrulama şemasıdır, kullanıcı adı / şifre çiftleri genellikle cihazda yerel olarak depolanır.
Kimlik doğrulama işlemini önemli ölçüde basitleştirirken, Temel Auth, saldırganların, bağlantı katmanı güvenliği (TLS) şifreleme protokolü kullanılarak güvenli olmadığında, saldırganların kimlik bilgilerini çalmasını kolaylaştırır.
Bir şeyleri daha da kötü hale getirmek için, çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmek kolay değildir, Temel Auth Kullanırken Kolay Değildir; Bu nedenle, genellikle hiç kullanılmaz.
Modern kimlik doğrulama (Active Directory Kimlik Doğrulama Kütüphanesi (ADAL) ve OAUTH 2.0 belirteci tabanlı kimlik doğrulaması), Uygulamaların, OAuth Access belirteçlerini sınırlı bir ömre sahip kullanmalarını sağlar ve onlar için verilenlerin yanı sıra diğer kaynakları doğrulamak için yeniden kullanılamaz.
Modern taciz edildikten sonra, MFA'yı etkinleştirmek ve uygulamak, doğrudan ve hemen bir sonuç olarak çevrimiçi olarak geliştirilmiş veri güvenliği ile daha kolay hale gelecektir.
MFA eklemek için MFA eklemek için bir demo videosu Microsoft Ignite YouTube hesabında mevcuttur.
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Yeni pencereler 11 Script'i yükleyin TPM, sistem gereksinimlerini kullanarak
Yeni Microsoft Exchange Hizmeti, yüksek riskli hataları otomatik olarak azaltır
Windows 10 Acil Durum Güncellemesi KB5005565 uygulamasını dondurur, çöküyor
Bu 60 $ 'lık paket ile Microsoft Azure Uzmanı Olun
Kaynak: Bleeping Computer