«Настройки безопасности по умолчанию» Microsoft получают гораздо большее распространение.
Чтобы предотвратить атаки с использованием паролей и фишинговые атаки, Microsoft внедряет настройки безопасности по умолчанию для огромного числа пользователей Azure Active Directory (AD).
Microsoft начала развертывать настройки безопасности по умолчанию для клиентов, которые создали нового клиента Azure AD после Октябрь 2019 г., но не включил значения по умолчанию для клиентов, создавших клиентов Azure AD до октября. 2019.
По данным Microsoft, сегодня параметры безопасности Azure AD по умолчанию используются примерно в 30 миллионах организаций, а в течение следующего месяца Microsoft внедрит настройки по умолчанию для многих других организаций, в результате чего настройки по умолчанию защитят еще 60 миллионов Счета.
«После завершения это развертывание защитит еще 60 миллионов учетных записей (примерно население Соединенного Королевства!) от наиболее распространенных атак с использованием личных данных», — говорится в сообщении. Директор Microsoft по безопасности личных данных Алекс Вайнерт.
Azure AD — это облачная служба Microsoft для обработки удостоверений и аутентификации в локальных и облачных приложениях. Это была эволюция доменных служб Active Directory в Windows 2000.
В 2019 году Microsoft представила безопасные настройки по умолчанию в качестве базового набора механизмов защиты личных данных для менее обеспеченных ресурсами организаций, которые хотели повысить защиту от паролей и фишинговых атак. Он также был нацелен на организации, использующие бесплатный уровень лицензирования Azure AD, позволяя этим администраторам просто включать «параметры безопасности по умолчанию» через портал Azure.
Безопасные настройки по умолчанию не предназначены для более крупных организаций или тех, кто уже использует более продвинутые элементы управления Azure AD. например политики условного доступа.
Как объясняет Вайнерт, настройки по умолчанию были введены для новых арендаторов, чтобы гарантировать им «базовую безопасность». гигиена», особенно многофакторная аутентификация (MFA) и современная аутентификация, независимо от лицензия. Он отмечает, что 30 миллионов организаций, в которых установлены параметры безопасности по умолчанию, гораздо менее подвержены взломам.
«Эти организации испытывают на 80 процентов меньше компромиссов, чем все арендаторы. Большинство арендаторов просто оставляют его включенным, в то время как другие, когда будут готовы, добавляют еще больше безопасности с помощью условного доступа», — говорит Вайнерт.
По словам Вайнерта, настройки безопасности по умолчанию означают, что пользователи будут сталкиваться с проблемой MFA «при необходимости» в зависимости от местоположения пользователя, устройства, роли и задачи. Однако администраторам придется использовать MFA каждый раз при входе в систему.
Развертывание безопасности по умолчанию произойдет в первую очередь для организаций, которые не используют условный доступ. ранее не использовали настройки безопасности по умолчанию и «не активно используют устаревшие клиенты аутентификации».
Таким образом, одна группа клиентов, которым не будет предложено включить параметры безопасности по умолчанию в следующем месяце, — это клиенты Exchange Online, которые все еще используют устаревшую проверку подлинности. Microsoft хотела отключить устаревшую аутентификацию для Exchange Online в 2020 году. но это было отложено из-за пандемии. Теперь крайний срок перевода Exchange Online на современную аутентификацию — 1 октября 2022 года. Клиенты не могут запрашивать продление после этой даты. Команда Microsoft Exchange подчеркнула ранее в этом месяце.
В этом месяце Microsoft уведомит глобальных администраторов подходящих клиентов Azure AD о настройках безопасности по умолчанию по электронной почте. В конце июня эти администраторы увидят уведомление Outlook от Microsoft, предлагающее нажать «Включить». параметры безопасности по умолчанию» и предупреждение о том, что «значения безопасности по умолчанию будут автоматически включены для ваших организаций в 14 дни».
«Глобальные администраторы могут сразу выбрать настройки безопасности по умолчанию или отложить их на срок до 14 дней. В это время они также могут явно отказаться от настроек безопасности по умолчанию», — говорит Вайнерт.
После включения всем пользователям в клиенте будет предложено зарегистрироваться для MFA с помощью приложения Microsoft Authenticator. Глобальным администраторам также необходимо указать номер телефона.
Microsoft позволяет клиентам оставлять настройки безопасности по умолчанию отключенными в разделе «Свойства». Свойства Azure Active Directory или Центр администрирования Microsoft 365.
Вайнерт предлагает один убедительный аргумент против администраторов, которые отказываются его включать.
«Когда мы смотрим на взломанные аккаунты, более 99,9% не имеют МФА, что делает их уязвимыми для распыления паролей, фишинга и повторного использования паролей», — отмечает он.