Microsoft, HTTP tabanlı kimlik doğrulama şeması Temel Kimlik Doğrulamayı devre dışı bırakmaya başlayacağını duyurdu.
Hareket, 1 Ekim 2022’den itibaren dünya çapında Exchange Online kullanan rastgele kiracıları etkileyecek.
Geçmişi 90’lı yılların başına kadar uzanan eski usul kimlik doğrulama prosedürünü iptal etme hamlesi, pandemi nedeniyle başlangıçta ertelendikten sonra Eylül 2021’de duyuruldu.
Temel Kimlik Doğrulama nedir?
Temel Kimlik Doğrulama, örneğin bir web tarayıcısı gibi bir HTTP kullanıcı aracısının bir istekte bulunurken bir kullanıcı adı ve parola sağlamasına izin veren bir yöntemdir.
Microsoft, Ekim 2022’den sonra istisna talep etmenin bir yolu olmayacağını söylüyor.
Ancak, Microsoft’un Kimlik Doğrulama İlkeleri kullanılarak, kullanıcının seçtiği anda Temel Kimlik Doğrulama devre dışı bırakılabilir.
Kullanıcılar ne yapmalı?
Microsoft’un dokümantasyon sayfası kullanıcılar arasında en sık karşılaşılan sorunlardan bazılarını ve temelden Modern Kimlik Doğrulamaya geçmek için neler yapılabileceğini listeler.
Bu öneri, Windows için Outlook e-posta hizmetinin tamamen güncel olduğundan ve doğru kayıt defteri anahtarlarına sahip olduğundan ve en önemlisi Microsoft’a göre etkinleştirilecek kiracı genelinde anahtarın “Doğru” olarak ayarlandığından emin olmayı içerir.
Microsoft, Temel Kimlik Doğrulamayı devre dışı bırakmanın “mutlak en iyi yolunun” Kimlik Doğrulama İlkeleri özelliğini kullanmak olduğunu yineledi.
Microsoft, kullanıcıları Set-CASMailbox veya Koşullu Erişim kullanmamaları konusunda uyardı, çünkü bunların ikisi de kimlik doğrulama sonrasıdır ve bunlar verilere erişimi engellese de, kimlik doğrulama erişimini durdurmazlar.
Microsoft, kimlik yönetimini iyileştirme girişiminin nedenlerini özel olarak açıklamadı, ancak Temel Kimlik Doğrulamanın “müşterilerimizin güvenliğinin ihlal edilmesinin en yaygın yollarından biri olmasa da hala olduğunu ve bu tür saldırıların arttığını” söyledi.
“Kullanmayan milyonlarca kiracıda Temel Kimlik Doğrulamayı devre dışı bıraktık ve şu anda onu kullanan kiracılarda kullanılmayan protokolleri devre dışı bırakıyoruz, ancak kiracınız Temel Kimlik Doğrulamayı her gün etkinleştiriyor, saldırı riski altındasınız. ”
Haber, siber güvenlik firması Guardicore’un Microsoft Exchange e-posta sunucusunun ayrılmaz bir özelliğindeki bir tasarım kusurunu ortaya çıkaran son bulgularını takip ediyor ve Windows etki alanı ve uygulama kimlik bilgilerini toplamak için kötüye kullanılabiliyor.
Rapor, sorunun, e-posta istemcilerinin uygun yapılandırmaları almak için Exchange e-posta sunucularını keşfetmesine yardımcı olan Microsoft Otomatik Bulma protokolünde bulunduğunu söyledi.
E-posta, kuruluşların siber suçlulara maruz kalmasına olanak tanıyan son derece yaygın bir uç nokta olmaya devam ediyor ve Microsoft, e-posta güvenliği tekliflerine ekleme konusunda aktif.
Şirket, gelen ve giden mesajların bütünlüğünü iyileştirdiği için Office 365 e-posta hizmetine yakın zamanda yeni bir güvenlik katmanı ekledi.
Şirket, ilk kez 2020’nin ikinci yarısında duyurduğu yeni koruma olan SMTP MTA Strict Transport Security’nin (MTA-STS) süresi dolmuş TLS sertifikaları, üçüncü taraf sertifikalarla ilgili sorunlar veya desteklenmeyen güvenli protokoller gibi sorunları çözdüğünü söylüyor.