Prepare sus aplicaciones y usuarios para grandes cambios el 13 de octubre de 2020.
Transcurre menos de un año hasta que Microsoft apaga la autenticación básica para sus servicios web de Exchange (EWS). Si bien las nuevas aplicaciones como Office 365 Pro Plus usan técnicas de autenticación modernas, si usa Office 365 con clientes antiguos o aplicaciones personalizadas, es una actualización que requerirá cambios en las aplicaciones que usa y posiblemente reescriba su código personalizado.
El 13 de octubre de 2020, las aplicaciones más antiguas no podrán conectarse a Office 365 y al servicio separado de Exchange Online. Otros servicios de Office también dejarán de aceptar conexiones de aplicaciones más antiguas en la misma fecha, aunque eso no se debe a cambios en el servicio sino a finalizar el soporte general para esas versiones.
Los usuarios con suscripciones de Office 365 ya se han actualizado a las versiones compatibles, por lo que solo los usuarios con código propio o con versiones antiguas de Office con licencia perpetua perderán el acceso a la nube. Si todavía usa servidores de Office en las instalaciones, como Exchange, no perderá acceso ya que las nuevas reglas de autenticación solo se aplican a los servicios de Office alojados en la nube.
Eliminación gradual de la autenticación básica
Eliminar la autenticación básica es, para ser sincero, una decisión sensata. Uno de los protocolos de autenticación web más antiguos, utiliza nombres de usuario y contraseñas de texto sin cifrar para controlar el acceso a los servicios. Incluso con TLS para cifrar la conexión subyacente, sigue siendo una forma arriesgada de controlar el acceso a lo que pueden ser datos sensibles desde el punto de vista comercial. No es solo la posibilidad de interceptar contraseñas lo que hace que la autenticación básica sea un riesgo significativo: Microsoft ha visto una serie de ataques de rociado de contraseñas en Office 365 que muestran cuán fácil es para los malos actores aprovechar los viejos modelos de seguridad.
Si está utilizando una versión reciente de Office, en Windows o en dispositivos móviles, no notará el apagado final. Su aplicación ya está usando lo que Microsoft llama 'autenticación moderna', usando el OAuth 2.0 protocolo. Los administradores pueden necesitar actualizar cualquier PowerShell que estén utilizando para Módulo V2 de Exchange Online PowerShell, ya que utiliza protocolos de autenticación modernos. Microsoft también agregará compatibilidad con OAuth a IMAP y POP3, por lo que si prefiere utilizar estos protocolos, puede actualizar los clientes de correo a versiones que admitan OAuth en lugar de la autenticación básica.
¿Qué hay en riesgo?
Donde las cosas se vuelven más complejas es con aplicaciones personalizadas que han sido escritas para trabajar con las API de EWS. Exchange Web Services se usa con Exchange Online y, aunque actualmente está operativo, solo ha tenido actualizaciones de seguridad desde julio de 2018. Es un API SOAP eso le da acceso a los datos de Exchange, para que pueda acceder y enviar mensajes, trabajar con calendarios y usar libretas de direcciones. Microsoft ha estado trasladando sus propios servicios y API a Microsoft Graph, un conjunto de herramientas más potente que proporciona acceso a más datos de Exchange, que se pueden utilizar para crear aplicaciones multiplataforma con API ampliamente disponibles.
Si tiene un código personalizado, debería moverlo a Microsoft Graph ahora. Hay SDK para las plataformas y los marcos de desarrollo más comunes, incluido .NET. Esto debería permitirle modificar el código existente sin demasiada dificultad, ya que los métodos utilizados para llamar al Gráfico son como los que ha utilizado con EWS. También obtiene el beneficio de autenticarse a través de OAuth 2.0, con soporte para herramientas de autenticación más seguras que incluyen multifactor. El código EWS existente seguirá funcionando, si cambia a usar OAuth 2.0, pero no se recomienda ya que las nuevas características solo se incluyen con Microsoft Graph.
El informe de Clientes de autenticación SMTP en el panel de flujo de correo del Centro de seguridad y cumplimiento de Office 365 le permite detectar cuentas potencialmente comprometidas debido al uso de protocolos heredados, menos seguros.
"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow "> El informe de Clientes de autenticación SMTP en el panel de flujo de correo del Centro de seguridad y cumplimiento de Office 365 le permite detectar cuentas potencialmente comprometidas debido al uso de protocolos heredados, menos seguros. Imagen: Microsoft
Encontrar aplicaciones que necesitan actualización
Con menos de un año para actualizar sus aplicaciones, será importante averiguar qué aplicaciones están utilizando la autenticación básica en su red. Microsoft ha prometido una herramienta para simplificar el proceso, pero aún no está disponible, por lo que tendrá que usar las herramientas integradas en Office 365 y Azure Active Directory hasta que se lance.
Una herramienta útil para garantizar que sus usuarios no utilicen clientes más antiguos y menos seguros con su infraestructura de Office 365 es Office 365 Seguridad y Cumplimiento estampación. Aquí encontrarás el Panel de flujo de correo. Esto incluye un panel que muestra a los usuarios que utilizan la autenticación SMTP para enviar correo, y puede hacer clic para obtener detalles de lo que se está utilizando. Es probable que sean cuentas comprometidas o aplicaciones creadas para usar la autenticación básica. Puede ver las aplicaciones que los usuarios han usado, lo que le permite crear una lista de lo que necesita ser reemplazado o actualizado.
VER: Windows 10: una hoja de trucos (TechRepublic)
Sin embargo, eso solo muestra un conjunto de aplicaciones, y otras podrían estar utilizando la autenticación básica para iniciar sesión en todos los demás servicios de Office 365. Aquí puede usar su Office 365 Azure Active Directory para obtener una lista de todas las aplicaciones que los usuarios están usando para iniciar sesión en su inquilino. Es una lista útil para obtener de todos modos, ya que te ayuda a mantener el control de las aplicaciones que están en uso en tu red.
Si bien la cuenta gratuita de Azure AD que viene con las suscripciones de Office 365 puede brindarle la información que necesita, los informes más complejos sobre los inicios de sesión de los usuarios y las aplicaciones que obtienen el mayor uso necesitan una suscripción a Azure AD P1 o P2 por separado. Eso también le permitirá usar PowerShell para obtener un acceso más profundo a los datos que ve en el portal, agregar sus propios filtros y usar herramientas como Excel para crear informes personalizados en el uso de API y aplicaciones.
Las políticas de acceso condicional se aplican después de que se haya completado la autenticación del primer factor.
"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow "> Las políticas de acceso condicional se aplican después de que se haya completado la autenticación del primer factor. Imagen: Microsoft
Una suscripción a Azure AD también le permite usar herramientas como Acceso condicional políticas para administrar las aplicaciones que acceden a su inquilino. Una vez que haya identificado una aplicación que utiliza la autenticación básica, puede bloquearla de EWS y otros servicios para ver si es lo suficientemente importante para que los usuarios se quejen. Alternativamente, si no desea usar más que las herramientas gratuitas de Azure AD incluidas con Office 365, puede usar PowerShell para desactivar la autenticación básica en sus inquilinos y esperar a ver qué aplicaciones no funcionan.
El cambio de Microsoft a un modelo de autenticación más seguro para EWS tiene sentido, teniendo en cuenta los riesgos de seguridad asociados con la autenticación básica. Al cambiar al modelo de seguridad basado en tokens de OAuth 2.0, puede restringir el acceso a aplicaciones específicas, ya que los tokens están vinculados a la aplicación que los solicita. El uso de la autenticación básica, en el panorama actual de amenazas, es, en el mejor de los casos, arriesgado y, en el peor, una invitación al ciberataque. Con una fecha límite inminente, pasar a la autenticación moderna lo más rápido posible no solo es una buena idea para mantener felices a los usuarios, sino que reducirá el riesgo y hará que sus sistemas sean más seguros.
