Latest news

Disabilitare autenticazione Legacy Exchange Online

L’annuncio ufficiale di qualche giorno fa arriva direttamente da Microsoft: a partire dal 1 ottobre 2022, verrà disabilitata in modo permanente l’autenticazione di base in tutti i tenant Office 365, indipendentemente dall’utilizzo, ad eccezione dell’autenticazione SMTP.

A livello di Sicurezza è noto che tenere attivi ed abilitati protocolli di autenticazione legacy sul vostro tenant di Microsoft 365 non è decisamente una Best Practices. Questo perchè quando  una applicazione utilizza una autenticazione di base/legacy vengono inviate un nome utente e una password ad ogni richiesta a Exchange Online che inoltra le credenziali ad Azure AD o a un provider di autenticazione federata come Active Directory Federation Services (ADFS) e il problema con l’autenticazione di base/legacy consiste nel fatto che è vulnerabile agli attacchi di tipo Brute Force (Gli attacchi brute force consistono nell’individuare una password, provando massivamente tutte le possibili combinazioni di lettere, caratteri speciali e numeri) o Spray Attack (attacco che consiste nel testare una sola password applicata a più ID utente).

password spraying

La disabilitazione di questi protocolli legacy di autenticazione, nonostante una vostra ottima conoscenza del parco client, potrebbe esporvi a possibili rischi di mancanza di erogazione del servizio agli utenti. Prima di procedere però all’effettivo disable è consigliato analizzare quali sono i client che ancora utilizzano questi protocolli di autenticazione poco sicuri. Per effettuare questo tipo di check è possibile eseguire un’analisi dei log di Sign-In utilizzando la funzionalità dedicata all’interno di Azure Active Directory.

Come verificare la presenza di protocolli Legacy di autenticazione in 365

Una volta effettuato l’accesso al portale di amministrazione Azure (portal.azure.com) e da lì una volta selezionato il blade Azure Active Directory, nella sezione Monitoraggio troviamo il pulsante “Log di Accesso“.

log_accesso_azure

All’interno di questa schermata sarà possibile vedere tutti i tentativi di sign-in su Azure AD, inclusi i diversi logon ai diversi servizi di Microsoft 365 da tutti i vostri client. Tra tutte le informazioni riportate la colonna che in questo caso ci interessa è la “Client App”.

client app azure log

Qualora non fosse direttamente disponibile come informazione sarà possibile andare ad aggiungerla come campo:

filtro app client

E poi da lì filtrare ed evidenziare tutto ciò cheè legacy come protocollo di autenticazione:

client autenticazione legacy

Se come risultato del filtro la lista è vuota allora significa che siete gà in Modern Authentication e quindi state rispettando le Best Practices di sicurezza, altrimenti sarà necessario eseguire una configurazione da admin center grafico per forzare l’autenticazione moderna e disabilitare quella legacy.

Come disabilitare i protocolli di autenticazione legacy in Office 365

Per procedere alla disabilitazione dei protocolli di autenticazione legacy su Office 365 sarà possibile tramite l’Admin Center di Office 365 accedere a Settings -> Org settings ->  e scegliere Modern Authentication dalla lista di servizi che verranno mostrati nella pagina.

Nella pagina della Modern Authentication sarà quindi possibile disabilitare i protocolli legacy non più in uso:

modern auth

Prima della disabilitazione il setting sarà impostato in questa maniera:

modern authentication 365

Poi per la disabilitazione si potrà procedere deselezionando i servizi per la Basic Authentication:

disable basic authentication

Disabilitare la legacy authentication su Exchange Online è solo il primo passo passo per mantenere il vostro ambiente più sicuro da attacchi particolari come ad esempio “Password Spray” o “Brute Force”.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.