为Exchange Web服务中的基本身份验证的结束做好准备

科技2020-02-25 10:51:02
导读 不到一年的时间,微软就关闭了Exchange Web服务(EWS)的基本认证。虽然Office 365 Pro Plus等新应用程序使用了现代认证技术,但如果你使

不到一年的时间,微软就关闭了Exchange Web服务(EWS)的基本认证。虽然Office 365 Pro Plus等新应用程序使用了现代认证技术,但如果你使用的是老客户端或定制应用程序的Office 365,那么这一更新将需要对你使用的应用程序进行修改,并可能重新编写定制代码。

到2020年10月13日,较老的应用程序将无法连接到Office 365和单独的Exchange在线服务。其他Office服务也将在同一天停止接受来自老应用程序的连接,尽管这不是由于服务的变化,而是因为停止了对这些版本的主流支持。

订阅了Office 365的用户已经被更新到受支持的版本,因此只有使用自行生成的代码或较老的Office永久授权版本的用户才会失去访问云的权限。如果您仍在使用Exchange等内部办公服务器,就不会失去访问权限,因为新的身份验证规则只适用于云托管的办公服务。

老实说,逐步取消基本身份验证是一个明智的决定。作为较早的web身份验证协议之一,它使用明文用户名和密码来控制对服务的访问。即使使用TLS加密底层连接,这仍然是一种控制对可能是商业敏感数据的访问的危险方法。不仅仅是密码拦截的可能性使得基本的身份验证成为一个重大的风险:微软已经看到了对Office 365的大量的密码喷雾攻击,这表明了不法分子利用旧的安全模型是多么的容易。

如果你在Windows或移动设备上使用Office的最新版本,你不会注意到最后的关闭。你的应用程序已经使用了微软所谓的“现代认证”,即OAuth 2.0协议。管理员可能需要将他们使用的任何PowerShell更新到Exchange Online PowerShell的V2模块,因为它使用现代的身份验证协议。Microsoft还将在IMAP和POP3中添加OAuth支持,因此如果您喜欢使用这些协议,可以将邮件客户机更新为支持OAuth而不是基本身份验证的版本。

更加复杂的地方是那些被编写来使用EWS api的自定义应用程序。Exchange Web服务与Exchange Online一起使用,虽然它目前还在运行,但自2018年7月以来只有安全更新。它是一个SOAP API,允许访问交换数据,因此您可以访问和发送消息、使用日历和使用地址簿。微软一直在将自己的服务和api迁移到Microsoft Graph上,这是一组功能更强大的工具,它不仅提供对交换数据的访问,还可用于构建具有广泛可用api的跨平台应用程序。如果您有自定义代码,那么现在就应该将其移到Microsoft图中。大多数常见的平台和开发框架都有sdk,包括。net。这些方法应该允许您轻松地修改现有代码,因为用于调用图的方法与您在EWS中使用的方法类似。您还可以通过OAuth 2.0获得身份验证的好处,并支持更安全的身份验证工具,包括multifactor。如果您更改为使用OAuth 2.0,那么现有的EWS代码仍然可以工作,但是不推荐使用OAuth 2.0,因为新特性只随Microsoft Graph一起发布。

SMTP认证客户报告在Office 365 Security &遵从性中心的邮件流仪表板允许您检测由于使用遗留协议(不太安全)而可能受到危害的帐户。

在不到一年的时间里更新你的应用程序,找出哪些应用程序在你的网络中使用了基本的认证是很重要的。微软已经承诺提供一个工具来简化这个过程,但是它还没有发布,所以你将不得不使用内置在Office 365和Azure Active Directory中的工具,直到它发布。

一个有用的工具是Office 365安全性和遵从性工具,它可以确保您的用户不会使用安全性较差的老客户端。在这里可以找到邮件流仪表板。这包括一个显示用户使用SMTP身份验证来发送邮件的窗格,您可以单击该窗格获取正在使用的邮件的详细信息。这些可能是被泄露的账户,也可能是为使用基本身份验证而构建的应用程序。你可以看到用户使用过的应用程序,让你建立一个需要替换或更新的列表。

参见:Windows 10:备忘单(TechRepublic)

但是,这只显示了一组应用程序,其他应用程序可能使用基本身份验证跨所有其他Office 365服务登录。在这里,您可以使用您的Office 365 Azure Active Directory来获得用户用于登录到您的租户的所有应用程序的列表。无论如何,这都是一个有用的列表,因为它帮助您保持对网络中正在使用的应用程序的控制。

虽然Office 365订阅附带的免费Azure AD帐户可以提供一些您需要的信息,但是关于用户登录和最常用应用程序的更复杂的报告需要单独的P1或P2 Azure AD订阅。这还允许您使用PowerShell对门户中看到的数据进行更深入的访问,添加自己的过滤器,并使用Excel等工具将自定义报告构建到API和应用程序使用中。

条件访问策略在第一个因素身份验证完成后执行。

Azure AD订阅还允许您使用条件访问策略等工具来管理访问租户的应用程序。一旦你确定了一个使用基本认证的应用程序,你就可以把它从EWS和其他服务中屏蔽掉,看看它是否重要到足以让用户抱怨。另外,如果你不想使用Office 365附带的免费Azure广告工具,你可以使用PowerShell来关闭租户之间的基本身份验证,然后等着看哪些应用程序无法运行。

考虑到与基本身份验证相关的安全风险,Microsoft转向更安全的EWS身份验证模型是有意义的。通过切换到OAuth 2.0的基于令牌的安全模型,您可以限制对特定应用程序的访问,因为令牌被绑定到请求它们的应用程序。在当今的威胁环境中,使用基本身份验证往好了说是有风险的,往坏了说是会招致网络攻击。随着最后期限的临近,尽快转向现代身份验证不仅是一个让用户满意的好主意,它还将降低风险并使您的系统更安全。


免责声明:本文由用户上传,如有侵权请联系删除!