.
A Microsoft disse no ano passado que estava adiando a próxima versão do Exchange Server até o segundo semestre de 2025, para que os engenheiros pudessem continuar aumentando a segurança de um produto que se tornou um alvo popular dos cibercriminosos.
Enquanto isso, Redmond está voltando sua atenção para manter sua oferta atual do Exchange Server 2019 o mais segura possível. No momento, isso significa fazer a transição de ambientes puramente locais da Autenticação básica para a Autenticação 2.0, também conhecida como Autenticação moderna, ou autenticação moderna.
Embora essa mudança seja destinada ao Exchange Server 2019, “os clientes que possuem servidores de back-end executando o Exchange Server 2016 CU23 também têm suporte para autenticação moderna (desde que o Exchange Server 2019 CU13 exista e seja o front-end do tráfego do cliente no ambiente e a versão correta do Outlook está em uso)” Equipe do Exchange da Microsoft escreveu este mês.
Há vários anos, a Microsoft traz o Modern Auth para vários aplicativos voltados para o cliente em seu portfólio, incluindo Exchange Online, Outlook Desktop e Outlook Mobile App. Com a próxima versão ainda dois anos de distânciao Exchange Server é o próximo.
Basic Auth é um método de autenticação herdado que envolve o envio de credenciais em texto simples para sistemas e geralmente é oferecido por padrão. Ele também não oferece suporte a métodos de autenticação mais modernos, como autenticação multifator (MFA).
Autenticação básica não é mais suficiente
Para usuários do Exchange Server, isso é um problema. O sistema tende a armazenar muitas informações corporativas valiosas e confidenciais e tem sido amplamente adotado ao longo dos anos. Além disso, muitos deles não possuem patches, o que os torna vulnerável a ataques cibernéticos. A Microsoft, ao longo dos anos, tem incentivado as empresas a remendar e endurecer seus Exchange Servers instalando atualizações cumulativas e de segurança.
Há alguns anos, Redmond traçou planos para trazer o Modern Auth para ambientes híbridos e somente em nuvem do Exchange Server, mas em 2019 disse que não suportaria apenas para ambientes locais. No entanto, a gigante do Windows reverteu essa decisão no ano passado, quando anunciou que estava atrasando a próxima versão do Exchange Server.
A mudança para Modern Auth no Exchange Server 2019 ocorrerá em etapas. A Microsoft está dando suporte ao Auth 2.0 para Outlook no Windows no Exchange Server 2019 agora por meio do Active Directory Federations Service (ADFS), uma forma de Modern Auth que atua como um serviço de token de segurança (STS) local.
O suporte para outros clientes do Outlook – incluindo macOS, Android e iOS – chegará no final do ano. O Outlook na Web e o ECP (cliente ou proxy aprimorado) já oferecem suporte à autenticação baseada em declarações com o ADFS.
“Isso permite que você use recursos de autenticação mais fortes, como MFA, cartões inteligentes e autenticação baseada em certificado e provedores de identidade de segurança de terceiros”, escreveu a equipe do Exchange. “Embora o uso direto de um provedor de identidade de terceiros como um STS não seja compatível, ele pode ser usado em conjunto com o ADFS.”
Os administradores de TI podem aprender como habilitar e desabilitar o Modern Auth aqui.
A necessidade de autenticação moderna está crescendo
Autenticação moderna é um termo abrangente para métodos de autenticação como os mencionados anteriormente e está sendo cada vez mais adotado à medida que criminosos intensificam seus esforços para comprometer ambientes de TI roubando credenciais e informações semelhantes.
A necessidade de novos métodos de autenticação está crescendo à medida que mais pessoas trabalham remotamente e as organizações continuam a migrar para a nuvem, de acordo com a IEEE Computer Society, que diz que Modern Auth é chave para controles de gerenciamento de identidade e acesso (IAM) e fundamental para arquiteturas emergentes de confiança zero.
A Verizon em seu relatório de investigações de violação de dados no ano passado disse 82 por cento das violações de segurança em 2021 foram devido a credenciais roubadas, ataques de phishing e erro humano, gerando a necessidade de métodos Modern Auth e alimentando o esforço para substituir nomes de usuário e senhas por outras ferramentas de verificação, como chaves de acessoque estão sendo suportados por fornecedores como Google e Apple.
Em um consultivo [PDF] No ano passado, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA disse que agências federais como a Comissão Federal de Comércio, a Comissão Federal de Comunicações e os departamentos de Segurança Interna e Justiça deveriam migrar do Basic Auth e instou organizações privadas a seguirem o exemplo. ®
.
