Microsoft защитит вход в систему Entra ID от атак с внедрением скриптов
Начиная с середины-конца октября 2026 года Microsoft планирует повысить безопасность системы аутентификации Entra ID от атак с внедрением внешних скриптов.
В этом обновлении будет реализована усиленная политика безопасности контента, которая разрешает загрузку скриптов только из доверенных Microsoft доменов сети доставки контента, а выполнение встроенных скриптов — только из доверенных Microsoft источников во время входа в систему.
После внедрения эта функция будет защищать пользователей от различных угроз безопасности, в том числе от межсайтового скриптинга, когда злоумышленники внедряют вредоносный код на веб-сайты, чтобы украсть учётные данные или взломать системы.
Политика обновлений будет применяться только к браузерным входам в систему по URL-адресам, начинающимся с login.microsoftonline.com. Внешний идентификатор Microsoft Entra не будет затронут.
«Это обновление повышает уровень безопасности и добавляет дополнительный уровень защиты, позволяя запускать во время аутентификации только скрипты из доверенных доменов Microsoft и блокируя выполнение несанкционированного или внедренного кода во время входа в систему», — сказала Мегна Коккалера, менеджер по продуктам Microsoft Identity и аутентификации.
Компания Microsoft призвала организации протестировать сценарии входа в систему до 20 октября 2026 года, чтобы выявить и устранить любые зависимости от инструментов для внедрения кода.
ИТ-администраторы могут определить потенциальное влияние, изучив процесс входа в систему в консоли разработчика браузера: нарушения будут выделены красным текстом с указанием заблокированных скриптов.
Нарушение политики CSP (Microsoft)
Microsoft также посоветовала корпоративным клиентам отказаться от использования расширений браузера и инструментов, которые внедряют код или скрипты на страницы входа, до того, как изменения вступят в силу. Они больше не будут поддерживаться и перестанут работать, хотя пользователи по-прежнему смогут входить в систему.
«Это обновление нашей политики безопасности контента обеспечивает дополнительный уровень защиты за счёт блокировки несанкционированных скриптов, что ещё больше помогает обезопасить вашу организацию от новых угроз безопасности», — добавил Коккалера.
Этот шаг является частью инициативы Microsoft «Безопасное будущее» (Secure Future Initiative, SFI) — общекорпоративной программы, запущенной два года назад, в ноябре 2023 года, после доклада Совета по проверке кибербезопасности Министерства внутренней безопасности США, в котором было установлено, что культура безопасности компании «недостаточна и требует пересмотра».
В рамках той же инициативы Microsoft также обновила настройки безопасности Microsoft 365, чтобы заблокировать доступ к файлам SharePoint, OneDrive и Office по устаревшим протоколам аутентификации, отключила все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows.
Ранее в этом месяце компания также начала внедрять новую функцию Teams объявленную в мае, предназначенную для блокировки попыток сделать снимок экрана во время совещаний.
Редактор: AndreyEx
