28 lutego 2020

Zmiany w zabezpieczeniach Exchange Server

Część firm wykorzystujących Exchange Online z niepokojem czeka na jesień, kiedy to 13 października, zgodnie z zapowiedziami zespołu produktowego Exchange, w celu zwiększenia bezpieczeństwa zostanie wyłączone uwierzytelnienie podstawowe dla wielu usług - EWS, POP, IMAP, a także ActiveSync i Remote Powershell (uszczegółowienie listy usług, dla których zostanie wyłączone uwierzytelnianie podstawowe opublikowano we wrześniu ubiegłego roku). Dla wielu administratorów to niezłe trzęsienie ziemi, bo przecież jesteśmy przyzwyczajeni, że usługi te towarzyszą nam od dekad. Zespół produktowy wskazuje jednak, jak możemy zapobiec problemom, używając aplikacji, które wykorzystują nowocześniejsze mechanizmy uwierzytelnienia - w szczególności bazujące na OAuth i Modern Authentication. Zresztą tendencja do wyłączania słabszych mechanizmów zabezpieczeń nie dotyczy tylko Exchange ale również np. Google i współpracujących z nim klientów (Thunderbird od wersji 38 może wykorzystywać OAuth2 do uwierzytelniania np. POP w serwisie Google). Teraz na liście nadchodzących aktualizacji w Office 365 znalazło się wprowadzenie mechanizmów Oauth dla protokołów POP i IMAP (chociaż np. w usłudze konsumenckiej Outlook.com IMAP korzysta z OAuth już od pewnego czasu). Zespół produktowy Exchange własnie opublikował kolejny artykuł na swoim blogu, opisujący wprowadzane zmiany oraz jak zabezpieczyć się przed ewentualnymi problemami.
Po pierwsze możemy sprawdzać w portalu administracyjnym Azure AD, czy w naszym tenancie zachodzi uwierzytelnianie starszymi metodami - informacje te możemy znaleźć w oknie Sign-In Events, dodatkowo wymuszając prezentację aplikacji używanych przez użytkowników, jak widać na poniższym rysunku (niektóre domyślne kolumny schowałem dla czytelności widoku).









Eksportując wyniki w formacie JSON, możemy w Excelu zweryfikować informacje o użytkownikach/systemach, którzy wykorzystują uwierzytelnianie Basic (już niebawem raporty w pormacie csv również będą zawierały niezbędne informacje). Pamiętajmy jednak o tym, że Modern Auth jest dostępne w Outlookach od wersji 2013, podobnie w klientach mobilnych od dłuższego czasu. Aktualizując aplikacje pocztowe oraz mechanizmy dostępu administracyjnego (np. modułów powershell, używanych do zarządzania usługami) unikniemy problemów po wyłączeniu słabych mechanizmów zabezpieczeń.