微软强化Microsoft 365(M365)租户的安全管控,将从7月起默认封锁用户以旧版身份验证机制来访问文件。
微软本周通过M365管理员中心消息公布(注:只有管理员身份可以访问),M365默认封锁以旧验证协议如RPS(Relying Party Suite)及FPRPC(FrontPage Remote Procedure Call)登录SharePoint、OneDrive和Office文件,微软将从7月起逐步部署,预定8月完成。微软说,这次更新是应对微软安全未来倡议(Secure Future Initiative,SFI)及其默认安全(Secure by Default)原则,目的在所有企业打造更稳固的基础安全态势。
微软所指的旧式验证协议是指比OAuth 2.0或SAML更古早的用户验证技术,对M365而言,受影响的协议有RPS和FPRPC二种。RPS多半为旧式浏览器或用户端App访问云计算资源之用,而FRPRC则是以前用于远程网页开发和操作Office文件的方法。
大部分系统都已不再使用上述协议,少部分基于和旧式应用和自动化工具兼容的需求而留存至今。这些协议通常欠缺多因素验证,容易遭受暴力破解和钓鱼攻击。微软说,最新封锁能使还在用这些协议的应用通过浏览器访问SharePoint、OneDrive或Office文件,可减少攻击表面。
从7月中开始,默认封锁上述2个协议的措施将部署到所有M365租户。受影响的服务共有Microsoft Entra(之前名为Azure Active Directory)、Microsoft 365 app、SharePoint Online和OneDrive for Business。这项变更为自动部署,不需用户任何动作。
至于对用户的影响,由于现代浏览器已经内置新式验证,因此Office用户或现代浏览器应该不受影响,但依赖旧式协议的应用程序或工作流程将无法连接,包括旧式Office插件或自订工具,其次是使用RPS或FPRPC的自动化脚本程序、文件同步或报表。如果企业使用非常旧的系统,可能得靠支持团队开发暂时做法,或是尽快更新。
微软并增加新的第三方App访问M365管理政策。之前用户可以自行授权第三方App访问Microsoft云计算文件,但未来用户无法自行授权,所有第三方App访问都需经管理员明显的审核同意。新政策可防止过多企业数据外流,像是第三方OAuth应用访问云计算文件及数据。新政策也通过Entra文件,指引IT细部设置决定同意和访问控制。
微软说,M365封锁旧协议是“安全未来倡议”(Secure Future Initiative,SFI)的一部分。微软宣布的其他措施包括今年初宣布M365、Office 2024关闭ActiveX控制,7月起Teams封锁在会议中屏幕截图、以及扩大Outlook附件的封锁文件类型名单,包括.library-ms及.search-ms等。
