基于 Microsoft 认证的身份验证 - MC316448

Microsoft Certification Based Authentication - MC316448

我收到了一封来自 Microsoft 的关于基于证书的身份验证的电子邮件

现在,我有一个场景,在 Windows 服务器上托管了几个 Web 应用程序。所有文章都指出 3 月后 Office 365 中安全默认设置的更改。我了解这仅适用于 Exchange 和其他 Microsoft 应用程序。

我对此安全更新有以下疑问:

  1. 这是否意味着 IIS 中的“基本身份验证”功能将被弃用?
  2. 这对支持多种身份验证方法的 Web 应用程序有何影响?基本、Windows 和 Azure AD?

谢谢

基本身份验证依赖于每次请求时发送用户名和密码(通常存储在设备上或保存到设备上),这增加了攻击者捕获用户凭据的风险,尤其是在未受 TLS 保护的情况下。

1.Does this mean that the "Basic Authentication" feature in IIS will be deprecated?

答案:-- 作为security defaults[=42的一部分=],Microsoft 目前默认为新客户禁用基本身份验证,并且自 2022 年 10 月 1 日 起,Microsoft 开始永久禁用所有租户的基本身份验证,regardless of usage,SMTP 身份验证除外。

更多信息你可以关注这个MS Document

2.ow does this affect web apps which support multiple authentication methods? Basic, Windows and Azure AD?

回答:-- 对于多重身份验证,Basic Auth 将禁用您可以使用的其余部分。这是一个优势,考虑使用基本身份验证无法实现的安全身份验证方式。如果您有 Windows Active Directory 环境——用户可以使用他们的域帐户自动登录到 Web 应用程序。其他 built-in 安全功能包括用于在您的站点上启用 HTTPS 和 SFTP 的 TLS 证书管理和绑定、白名单或黑名单流量的请求过滤、授权规则、请求日志记录以及一组丰富的 FTP-specific 安全选项。

您也可以参考这个Document了解更多信息