在 Microsoft 365 应用版 中默认阻止基本身份验证登录提示
注意
本文中的信息与Microsoft 365 管理中心中发布的消息中心帖子MC454810、MC499030和MC649046相关。
Word 和 Excel 等应用允许用户使用基本身份验证通过随每个请求发送用户名和密码来连接到 Web 服务器上的资源。 这些凭据通常存储在服务器上,使攻击者更容易捕获这些凭据,并针对其他终结点或服务重复使用它们。
基本身份验证是过时的行业标准,不支持更可靠的安全功能,例如多重身份验证。 它构成的威胁只会增加,并且有更好、更有效的用户身份验证替代方法。 例如,支持多重身份验证、智能卡和基于证书的身份验证的新式身份验证。
因此,为了帮助提高Microsoft 365 应用版的安全性,我们将更改其默认行为,以阻止基本身份验证中的登录提示。
通过此更改,如果用户尝试在仅使用基本身份验证的服务器上打开文件,则不会看到任何基本身份验证登录提示。 相反,他们会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。 该消息包含一个链接,该链接将用户转到包含有关基本身份验证安全风险的信息的文章。
注意
- Windows 上托管的文件共享不受此更改的影响,因为使用的身份验证方法是 NTLM。
- 为新式身份验证配置的 SharePoint Online、OneDrive 和本地 SharePoint Server () 不受此更改的影响。
- 为基本身份验证配置的本地 SharePoint Server 受此更改的影响。
受此更改影响的Microsoft 365 应用版版本
此更改仅在运行 Windows 的设备上影响以下应用:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
注意
- 此更改不会影响 Outlook 使用基本身份验证连接到本地Exchange Server。
- 此更改不会影响 Outlook 使用基本身份验证连接到Exchange Online。 使用 Exchange Online 弃用基本身份验证需要单独努力。 有关详细信息,请参阅 Exchange Online 中弃用的基本身份验证。
在推出过程中,如果用户尝试使用基本身份验证访问文件,最初会收到一条警告消息。 在该警告期过后,将阻止用户打开文件,并会看到一条消息,告知他们源使用可能不安全的登录方法。
下表显示了每个更新通道的版本,其中实现了警告和阻止更改。 斜体信息可能会更改。
更新频道 | 警告版本 | 阻止版本 |
---|---|---|
当前频道(预览) | 版本 2303 | 版本 2311 (2023 年 11 月) |
当前频道 | 版本 2304 | 版本 2311 2023 年 12 月 () |
月度企业频道 | 版本 2304 | 版本 2311 (2024 年 1 月 9 日) |
半年企业频道(预览) | 版本 2308 | 版本 2402 (2024 年 3 月 12 日) |
半年度企业频道 | 版本 2308 (2024 年 1 月 9 日) |
版本 2402 (2024 年 7 月 9 日) |
注意
- 此更改还将影响 Office 2021、Office 2019 和 Office 2016 的零售版本。 它们的计划与当前频道相同。
- 此更改不会影响批量许可版本的 Office,例如 Office LTSC 专业增强版 2021 或 2019 Office Standard。
Microsoft 365 应用版如何确定是否显示基本身份验证提示
下面的流程图显示,如果服务器使用基本身份验证,Microsoft 365 应用版如何确定是否打开文件。
以下步骤说明了流程图中的信息。
用户尝试打开存储在 Web 服务器上的文件。
如果服务器使用基本身份验证代理身份验证,Microsoft 365 应用版将评估网络代理中“允许基本身份验证”策略的状态。
- 如果策略设置为“已启用”,系统会提示用户提供用户名和密码以打开文件。
- 否则,用户不会看到登录提示,并且文件被阻止打开。 相反,用户会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。
如果服务器未使用基本身份验证,则文件将打开。 如果服务器使用基本身份验证,Microsoft 365 应用版检查是否存在允许基本身份验证提示的策略。
如果服务器使用基本身份验证直接进行身份验证,Microsoft 365 应用版将评估“允许指定主机向 Office 应用显示基本身份验证提示”策略的状态。
- 如果策略设置为 Enabled 并指定了服务器,则系统会提示用户提供用户名和密码以打开文件。
- 否则,用户不会看到登录提示,并且文件被阻止打开。 相反,用户会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。
使用策略管理基本身份验证提示
如果需要为某些主机或网络代理提供基本身份验证提示,可以配置以下策略:
重要
- 我们不建议允许某些主机或网络代理的基本身份验证提示,因为使用基本身份验证是不安全的。
- 但是,如果需要在将这些服务器移动到更安全的身份验证方法时暂时提供这些提示,则可以使用这些策略。
可以在组策略管理控制台的用户配置\策略\管理模板\Microsoft Office 2016\安全设置下找到这些策略。
注意
- 若要使用这些策略,请从 Microsoft 下载中心下载至少版本 5359.1000 的 组策略 管理模板文件, (ADMX/ADML) Microsoft 365 应用版。 该版本于 2022 年 8 月 11 日发布。
- 还可以使用云策略实现这些策略。 有关详细信息,请参阅 Microsoft 365 云策略服务概述。
允许指定的主机向 Office 应用显示基本身份验证提示
此策略允许指定哪些主机可以向 Word 和 Excel 等应用显示基本身份验证登录提示。
下表显示了每种策略状态可获得的保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
Protected | 启用 (未指定主机) | 用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 | |
部分保护 | 已启用 指定的 (主机) | 仅允许从指定的主机发出基本身份验证提示。 如果指定了多个主机,请用分号分隔它们。 | |
Protected | Disabled | 用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 | |
Protected[recommended] | 未配置 | 用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 |
允许来自网络代理的基本身份验证提示
此策略控制是否允许网络代理显示基本身份验证提示。
下表显示了每种策略状态可获得的保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
Protected | Disabled | 网络代理不显示基本身份验证提示。 | |
不受保护 | 已启用 | 网络代理显示基本身份验证提示。 | |
受保护的 [建议] | 未配置 | 网络代理不显示基本身份验证提示。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈