L’annuncio ufficiale di qualche giorno fa arriva direttamente da Microsoft: a partire dal 1 ottobre 2022, verrà disabilitata in modo permanente l’autenticazione di base in tutti i tenant Office 365, indipendentemente dall’utilizzo, ad eccezione dell’autenticazione SMTP.

A livello di Sicurezza è noto che tenere attivi ed abilitati protocolli di autenticazione legacy sul vostro tenant di Microsoft 365 non è decisamente una Best Practices. Questo perchè quando  una applicazione utilizza una autenticazione di base/legacy vengono inviate un nome utente e una password ad ogni richiesta a Exchange Online che inoltra le credenziali ad Azure AD o a un provider di autenticazione federata come Active Directory Federation Services (ADFS) e il problema con l’autenticazione di base/legacy consiste nel fatto che è vulnerabile agli attacchi di tipo Brute Force (Gli attacchi brute force consistono nell’individuare una password, provando massivamente tutte le possibili combinazioni di lettere, caratteri speciali e numeri) o Spray Attack (attacco che consiste nel testare una sola password applicata a più ID utente).

password spraying

La disabilitazione di questi protocolli legacy di autenticazione, nonostante una vostra ottima conoscenza del parco client, potrebbe esporvi a possibili rischi di mancanza di erogazione del servizio agli utenti. Prima di procedere però all’effettivo disable è consigliato analizzare quali sono i client che ancora utilizzano questi protocolli di autenticazione poco sicuri. Per effettuare questo tipo di check è possibile eseguire un’analisi dei log di Sign-In utilizzando la funzionalità dedicata all’interno di Azure Active Directory.

Come verificare la presenza di protocolli Legacy di autenticazione in 365

Una volta effettuato l’accesso al portale di amministrazione Azure (portal.azure.com) e da lì una volta selezionato il blade Azure Active Directory, nella sezione Monitoraggio troviamo il pulsante “Log di Accesso“.

log_accesso_azure

All’interno di questa schermata sarà possibile vedere tutti i tentativi di sign-in su Azure AD, inclusi i diversi logon ai diversi servizi di Microsoft 365 da tutti i vostri client. Tra tutte le informazioni riportate la colonna che in questo caso ci interessa è la “Client App”.

client app azure log

Qualora non fosse direttamente disponibile come informazione sarà possibile andare ad aggiungerla come campo:

Filtro app client

E poi da lì filtrare ed evidenziare tutto ciò cheè legacy come protocollo di autenticazione:

Client autenticazione legacy

Se come risultato del filtro la lista è vuota allora significa che siete gà in Modern Authentication e quindi state rispettando le Best Practices di sicurezza, altrimenti sarà necessario eseguire una configurazione da admin center grafico per forzare l’autenticazione moderna e disabilitare quella legacy.

Come disabilitare i protocolli di autenticazione legacy in Office 365

Per procedere alla disabilitazione dei protocolli di autenticazione legacy su Office 365 sarà possibile tramite l’Admin Center di Office 365 accedere a Settings -> Org settings ->  e scegliere Modern Authentication dalla lista di servizi che verranno mostrati nella pagina.

Nella pagina della Modern Authentication sarà quindi possibile disabilitare i protocolli legacy non più in uso:

Modern Auth

Prima della disabilitazione il setting sarà impostato in questa maniera:

Modern Authentication 365

Poi per la disabilitazione si potrà procedere deselezionando i servizi per la Basic Authentication:

Disable Basic Authentication

Disabilitare la legacy authentication su Exchange Online è solo il primo passo passo per mantenere il vostro ambiente più sicuro da attacchi particolari come ad esempio “Password Spray” o “Brute Force”.