Microsoft 365 应用中默认阻止基本身份验证登录提示
注意
本文中的信息与消息中心帖子MC454810、MC499030和MC649046相关,这些帖子在 Microsoft 365 管理中心发布。
Word 和 Excel 等应用允许用户使用基本身份验证通过随每个请求一起发送用户名和密码来连接到 Web 服务器上的资源。 这些凭据通常存储在服务器上,使攻击者更容易捕获这些凭据,并针对其他终结点或服务重复使用它们。
基本身份验证是过时的行业标准,不支持更可靠的安全功能,例如多重身份验证。 它构成的威胁只会增加,并且有更好、更有效的用户身份验证替代方法。 例如,支持多重身份验证、智能卡和基于证书的身份验证的新式身份验证。
因此,为了帮助提高 Microsoft 365 应用中的安全性,我们将更改其默认行为,以阻止来自基本身份验证的登录提示。
通过此更改,如果用户尝试在仅使用基本身份验证的服务器上打开文件,则不会看到任何基本身份验证登录提示。 相反,他们会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。 该消息包含一个链接,该链接将用户转到包含有关基本身份验证安全风险的信息的文章。
注意
- Windows 上托管的文件共享不受此更改的影响,因为使用的身份验证方法是 NTLM。
- 为新式身份验证配置的 SharePoint Online、OneDrive 和本地 SharePoint Server () 不受此更改的影响。
- 为基本身份验证配置的本地 SharePoint Server 受此更改的影响。
受此更改影响的 Microsoft 365 应用版本
此更改仅在运行 Windows 的设备上影响以下应用:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
注意
- 此更改不会影响 Outlook 使用基本身份验证连接到本地 Exchange Server。
- 此更改不会影响 Outlook 使用基本身份验证连接到 Exchange Online。 有单独的工作来弃用 Exchange Online 的基本身份验证。 有关详细信息,请参阅 Exchange Online 中弃用的基本身份验证。
在推出过程中,如果用户尝试使用基本身份验证访问文件,最初会收到一条警告消息。 在该警告期过后,将阻止用户打开文件,并会看到一条消息,告知他们源使用可能不安全的登录方法。
下表显示了每个更新通道的版本,其中实现了警告和阻止更改。 斜体信息可能会更改。
| 更新频道 | 警告版本 | 阻止版本 |
|---|---|---|
| 当前频道(预览) | 版本 2303 |
版本 2311 (2023 年 11 月) |
| 当前频道 | 版本 2304 |
版本 2311 2023 年 12 月 () |
| 月度企业频道 | 版本 2304 |
版本 2311 (2024 年 1 月 9 日) |
| 半年企业频道(预览) | 版本 2308 |
版本 2402 (2024 年 3 月 12 日) |
| 半年度企业频道 |
版本 2308 (2024 年 1 月 9 日) |
版本 2402 (2024 年 7 月 9 日) |
注意
- 此更改还将影响 Office 2021、Office 2019 和 Office 2016 的零售版本。 它们的计划与当前频道相同。
- 此更改不会影响 Office 的批量许可版本,例如 Office LTSC Professional Plus 2021 或 Office Standard 2019。
Microsoft 365 应用如何确定是否显示基本身份验证提示
下面的流程图显示了 Microsoft 365 应用如何确定服务器使用基本身份验证时是否打开文件。
以下步骤说明了流程图中的信息。
用户尝试打开存储在 Web 服务器上的文件。
如果服务器使用基本身份验证代理身份验证,Microsoft 365 应用将评估 网络代理中允许基本身份验证提示 策略的状态。
- 如果策略设置为“已启用”,系统会提示用户提供用户名和密码以打开文件。
- 否则,用户不会看到登录提示,并且文件被阻止打开。 相反,用户会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。
如果服务器未使用基本身份验证,则文件将打开。 如果服务器使用基本身份验证,Microsoft 365 应用将检查是否存在允许基本身份验证提示的策略。
如果服务器使用基本身份验证直接进行身份验证,Microsoft 365 Apps 将评估 “允许指定主机向 Office 应用显示基本身份验证提示 ”策略的状态。
- 如果策略设置为 Enabled 并指定了服务器,则系统会提示用户提供用户名和密码以打开文件。
- 否则,用户不会看到登录提示,并且文件被阻止打开。 相反,用户会看到一条消息,指出文件已被阻止,因为它使用可能不安全的登录方法。
使用策略管理基本身份验证提示
如果需要为某些主机或网络代理提供基本身份验证提示,可以配置以下策略:
重要
- 我们不建议允许某些主机或网络代理的基本身份验证提示,因为使用基本身份验证是不安全的。
- 但是,如果需要在将这些服务器移动到更安全的身份验证方法时暂时提供这些提示,则可以使用这些策略。
可以在组策略管理控制台的用户配置\策略\管理模板\Microsoft Office 2016\安全设置下找到这些策略。
注意
- 若要使用这些策略,请从Microsoft下载中心下载适用于 Microsoft 365 应用的至少 5359.1000 版本的组策略管理模板文件 (ADMX/ADML) 。 该版本于 2022 年 8 月 11 日发布。
- 还可以使用云策略实现这些策略。 若要了解更多信息,请参阅适用于 Microsoft 365 的云策略服务概述。
允许指定的主机向 Office 应用显示基本身份验证提示
此策略允许你指定哪些主机可以向 Word 和 Excel 等应用显示基本身份验证登录提示。
下表显示了每种策略状态可获得的保护级别。
| 图标 | 保护级别 | 策略状态 | 说明 |
|---|---|---|---|
|
Protected | 启用 (未指定主机) |
用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 |
|
受部分保护 | 已启用 指定的 (主机) |
仅允许从指定的主机发出基本身份验证提示。
如果指定了多个主机,请用分号分隔它们。 |
|
|
Protected | Disabled | 用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 |
|
|
Protected [recommended] |
未配置 | 用户被阻止打开位于使用基本身份验证的 Web 服务器上的文件。 |
允许来自网络代理的基本身份验证提示
此策略控制是否允许网络代理显示基本身份验证提示。
下表显示了每种策略状态可获得的保护级别。
| 图标 | 保护级别 | 策略状态 | 说明 |
|---|---|---|---|
|
|
Protected | Disabled | 网络代理不显示基本身份验证提示。 |
|
不受保护 | 已启用 | 网络代理显示基本身份验证提示。 |
|
|
受保护[推荐] | 未配置 | 网络代理不显示基本身份验证提示。 |