L’annuncio ufficiale di qualche giorno fa arriva direttamente da Microsoft: a partire dal 1 ottobre 2022, verrà disabilitata in modo permanente l’autenticazione di base in tutti i tenant Office 365, indipendentemente dall’utilizzo, ad eccezione dell’autenticazione SMTP.
A livello di Sicurezza è noto che tenere attivi ed abilitati protocolli di autenticazione legacy sul vostro tenant di Microsoft 365 non è decisamente una Best Practices. Questo perchè quando una applicazione utilizza una autenticazione di base/legacy vengono inviate un nome utente e una password ad ogni richiesta a Exchange Online che inoltra le credenziali ad Azure AD o a un provider di autenticazione federata come Active Directory Federation Services (ADFS) e il problema con l’autenticazione di base/legacy consiste nel fatto che è vulnerabile agli attacchi di tipo Brute Force (Gli attacchi brute force consistono nell’individuare una password, provando massivamente tutte le possibili combinazioni di lettere, caratteri speciali e numeri) o Spray Attack (attacco che consiste nel testare una sola password applicata a più ID utente).
La disabilitazione di questi protocolli legacy di autenticazione, nonostante una vostra ottima conoscenza del parco client, potrebbe esporvi a possibili rischi di mancanza di erogazione del servizio agli utenti. Prima di procedere però all’effettivo disable è consigliato analizzare quali sono i client che ancora utilizzano questi protocolli di autenticazione poco sicuri. Per effettuare questo tipo di check è possibile eseguire un’analisi dei log di Sign-In utilizzando la funzionalità dedicata all’interno di Azure Active Directory.
Come verificare la presenza di protocolli Legacy di autenticazione in 365
Una volta effettuato l’accesso al portale di amministrazione Azure (portal.azure.com) e da lì una volta selezionato il blade Azure Active Directory, nella sezione Monitoraggio troviamo il pulsante “Log di Accesso“.
All’interno di questa schermata sarà possibile vedere tutti i tentativi di sign-in su Azure AD, inclusi i diversi logon ai diversi servizi di Microsoft 365 da tutti i vostri client. Tra tutte le informazioni riportate la colonna che in questo caso ci interessa è la “Client App”.
Qualora non fosse direttamente disponibile come informazione sarà possibile andare ad aggiungerla come campo:
E poi da lì filtrare ed evidenziare tutto ciò cheè legacy come protocollo di autenticazione:
Se come risultato del filtro la lista è vuota allora significa che siete gà in Modern Authentication e quindi state rispettando le Best Practices di sicurezza, altrimenti sarà necessario eseguire una configurazione da admin center grafico per forzare l’autenticazione moderna e disabilitare quella legacy.
Come disabilitare i protocolli di autenticazione legacy in Office 365
Per procedere alla disabilitazione dei protocolli di autenticazione legacy su Office 365 sarà possibile tramite l’Admin Center di Office 365 accedere a Settings -> Org settings -> e scegliere Modern Authentication dalla lista di servizi che verranno mostrati nella pagina.
Nella pagina della Modern Authentication sarà quindi possibile disabilitare i protocolli legacy non più in uso:
Prima della disabilitazione il setting sarà impostato in questa maniera:
Poi per la disabilitazione si potrà procedere deselezionando i servizi per la Basic Authentication:
Disabilitare la legacy authentication su Exchange Online è solo il primo passo passo per mantenere il vostro ambiente più sicuro da attacchi particolari come ad esempio “Password Spray” o “Brute Force”.