基于微软认证的认证- MC316448

Question

我收到了一封关于微软认证的电子邮件。

​

​

现在，我有一个场景，其中有几个web应用程序托管在Windows服务器上。所有文章都指出了三月之后Office 365中安全默认值的更改。据我所知，这只是为了Exchange和其他微软应用程序。

对于此安全更新，我有以下查询：

1. 这是否意味着不推荐IIS中的“基本身份验证”功能？
2. 这对支持多种身份验证方法的web应用程序有何影响？基本的，Windows和Azure广告？

谢谢

Answer 1

基本身份验证依赖于发送用户名和密码--通常存储在设备上或保存在设备上--每次请求都会增加攻击者捕获用户凭据的风险，特别是如果不保护TLS。

1.这是否意味着不推荐IIS中的“基本身份验证”功能？

regardless of usage，：-作为https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults的一部分，微软目前默认禁用新客户的基本身份验证，并在2022年10月1日生效的上禁用，微软开始在所有租户中永久禁用基本身份验证，但SMTP除外。

有关更多信息，您可以跟踪此https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210

2.这对支持多种身份验证方法的web应用有何影响？基本的，Windows和Azure广告？

答案：-对于多个身份验证，基本的8月将禁用您可以使用的rest。这里有一个优点，并考虑了一种安全的方式，即使用Basic Auth是不可能的。如果您有一个Windows 环境--用户可以使用其域帐户自动签名到web应用程序中。其他内置的安全特性包括TLS证书管理和绑定，用于在您的站点上启用HTTPS和SFTP，请求筛选用于白名单或黑名单流量，授权规则，请求日志记录，以及一组丰富的FTP特定的安全选项。

您还可以参考此https://stackify.com/iis-web-server/以获得更多信息。