[[426483]]

微軟宣布，從2022 年10月1 日起，將關閉所有租戶的基本身份驗證，以提高Exchange Online 的安全性。2021 年2月25日，微軟曾推遲租戶正在使用的協(xié)議，并將禁用基本身份驗證至下半年，但繼續(xù)對未使用的協(xié)議禁用基本身份驗證。

Exchange Online 團隊本周表示“今天，我們宣布，自 2022 年 10 月 1 日起，我們將永久關閉所有租戶的基本身份驗證，無論使用情況如何(SMTP 身份驗證除外，此后仍可重新啟用)。”

據(jù)悉，今年6月微軟已經(jīng)開始為未使用的租戶禁用基本身份驗證 ，并向受到影響的用戶解釋了如何重新啟用其協(xié)議。微軟在兩年前透露現(xiàn)代身份驗證將跨 Exchange Online 租戶強制執(zhí)行，而禁用基本身份驗證，并使用 MFA 進行現(xiàn)代身份驗證是當務之急。此更改僅影響 Exchange Online，并不會更改 Exchange Server 本地產(chǎn)品中的任何內容。

為什么基本身份驗證被禁用?

雖然微軟沒有具體說明本周決定發(fā)布此公告的具體原因，但據(jù)推測原因可能是因為一份來自網(wǎng)絡安全公司Guardicore的報告，該報告揭示了數(shù)十萬個 Windows 域憑證泄露。Guardicore 副總裁 Amit Serper 還披露了一種名為“The ol” switcheroo 的攻擊，包括向客戶端發(fā)送請求以降級到較弱的身份驗證方案(即HTTP 基本身份驗證)，而不是像 OAuth 或 NTLM 這樣的安全方法，提示電子郵件應用程序已明文形式發(fā)送域憑據(jù)。

雖然它極大地簡化了身份驗證過程，但基本身份驗證還使攻擊者在未使用傳輸層安全 (TLS) 加密協(xié)議保護連接時更容易竊取憑據(jù)。更糟糕的是，在使用基本身份驗證時啟用多因素身份驗證 (MFA) 并不容易;因此，通常它根本不被使用。

現(xiàn)代身份驗證(Active Directory 身份驗證庫 (ADAL) 和基于 OAuth 2.0 令牌的身份驗證)允許應用程序使用 OAuth 訪問的生命周期是有限的，并且不能重復用于為其提供的資源之外的其他資源進行身份驗證。

開啟現(xiàn)代身份驗證后，啟用和強制執(zhí)行 MFA 將變得更加簡單，直接快速是提高 Exchange Online 中的數(shù)據(jù)安全性。