Логотип

Microsoft защитит вход в систему Entra ID от атак с внедрением скриптов

Microsoft защитит вход в систему Entra ID от атак с внедрением скриптов

Начиная с середины-конца октября 2026 года Microsoft планирует повысить безопасность системы аутентификации Entra ID от атак с внедрением внешних скриптов.

В этом обновлении будет реализована усиленная политика безопасности контента, которая разрешает загрузку скриптов только из доверенных Microsoft доменов сети доставки контента, а выполнение встроенных скриптов — только из доверенных Microsoft источников во время входа в систему.

После внедрения эта функция будет защищать пользователей от различных угроз безопасности, в том числе от межсайтового скриптинга, когда злоумышленники внедряют вредоносный код на веб-сайты, чтобы украсть учётные данные или взломать системы.

Политика обновлений будет применяться только к браузерным входам в систему по URL-адресам, начинающимся с login.microsoftonline.com. Внешний идентификатор Microsoft Entra не будет затронут.

«Это обновление повышает уровень безопасности и добавляет дополнительный уровень защиты, позволяя запускать во время аутентификации только скрипты из доверенных доменов Microsoft и блокируя выполнение несанкционированного или внедренного кода во время входа в систему», — сказала Мегна Коккалера, менеджер по продуктам Microsoft Identity и аутентификации.

Компания Microsoft призвала организации протестировать сценарии входа в систему до 20 октября 2026 года, чтобы выявить и устранить любые зависимости от инструментов для внедрения кода.

ИТ-администраторы могут определить потенциальное влияние, изучив процесс входа в систему в консоли разработчика браузера: нарушения будут выделены красным текстом с указанием заблокированных скриптов.

Нарушение политики CSP (Microsoft)

 

Microsoft также посоветовала корпоративным клиентам отказаться от использования расширений браузера и инструментов, которые внедряют код или скрипты на страницы входа, до того, как изменения вступят в силу. Они больше не будут поддерживаться и перестанут работать, хотя пользователи по-прежнему смогут входить в систему.

Читать  Экосистема твердотельных накопителей SanDisk Modular Pro-Blade от Western Digital привлекает творческих людей

«Это обновление нашей политики безопасности контента обеспечивает дополнительный уровень защиты за счёт блокировки несанкционированных скриптов, что ещё больше помогает обезопасить вашу организацию от новых угроз безопасности», — добавил Коккалера.

Этот шаг является частью инициативы Microsoft «Безопасное будущее» (Secure Future Initiative, SFI) — общекорпоративной программы, запущенной два года назад, в ноябре 2023 года, после доклада Совета по проверке кибербезопасности Министерства внутренней безопасности США, в котором было установлено, что культура безопасности компании «недостаточна и требует пересмотра».

В рамках той же инициативы Microsoft также обновила настройки безопасности Microsoft 365, чтобы заблокировать доступ к файлам SharePoint, OneDrive и Office по устаревшим протоколам аутентификации, отключила все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows.

Ранее в этом месяце компания также начала внедрять новую функцию Teams объявленную в мае, предназначенную для блокировки попыток сделать снимок экрана во время совещаний.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

пять + 1 =

Это может быть вам интересно


Спасибо!

Теперь редакторы в курсе.

Прокрутить страницу до начала