[11/01/2020] Una forma en la que los atacantes se meten a Microsoft Exchange Online es a través de sistemas que tienen la Autenticación Básica habilitada. Las tasas de compromiso de cuenta en inquilinos que han deshabilitado la autenticación heredada son significativamente más bajas que las tasas generales. Microsoft ha anunciado que desactivará la Autenticación Básica para los servicios web de Exchange el 13 de octubre del 2020.
En septiembre, Microsoft anunció que retirará la Autenticación Básica para EWS, EAS, IMAP, POP y RPS para acceder a Exchange Online en la misma fecha. Cualquier aplicación que use OAuth 2.0 para conectarse a estos protocolos continuará funcionando sin cambios ni interrupciones. Ya he recomendado que desactive la Autenticación Básica para reforzar la seguridad en Office 365.
¿Qué debe hacer ahora si tiene Office 365? Comience alejándose de las aplicaciones nativas de correo electrónico en teléfonos móviles de Android y Apple, y trasladando a las personas a las aplicaciones de Outlook. Si está planeando mudarse a Office 365 lejos de Exchange en las instalaciones, deberá mover a las personas a la aplicación ahora. Ésta admite protocolos y plataformas de correo electrónico adicionales; así que, si sus usuarios reciben correo personal y empresarial en sus teléfonos, podrá migrar todo el correo electrónico a Outlook.
Hay varias formas de manejar la migración. Las empresas más pequeñas pueden enviar comunicaciones a sus clientes e instruirles sobre cómo encontrar la aplicación en la app store en los teléfonos, descargarla y luego configurar su cuenta de correo electrónico en la nueva aplicación. Si la Detección Automática está configurada correctamente, todo lo que necesita hacer es informar a las personas para que descarguen la aplicación, ingresen su dirección de correo electrónico y su contraseña, y la aplicación se conectará al servidor de correo apropiado.
Alternativamente, puede usar Intune para asignar la aplicación de Outlook a los usuarios. Recomiendo implementar la aplicación de Outlook mientras permite que las personas conserven la aplicación de teléfono nativa, para que pueda modificar los ajustes de Outlook y hacer que las personas se acostumbren al cambio.
Moverse a Outlook usando Intune
Como se señaló en la publicación del blog, seguro querrá ir al Portal de Azure e iniciar sesión como administrador. Haga clic en "Agregar" y seleccione "iOS" y luego busque la aplicación de Outlook. Revise la información proporcionada automáticamente haciendo clic en "Información de la aplicación".
Use Intune para enviar la aplicación de Outlook a los usuarios.
Luego, haga clic en "Asignaciones" y "Agregar grupo". Seleccione "Obligatorio" en "Tipo de asignación" para ejecutar la aplicación en dispositivos móviles.
Configurando políticas de correo electrónico.
Seleccione "Grupos incluidos" y elija a qué grupo desea dirigirse, o use ambos conmutadores para implementarlo en todos los usuarios o dispositivos. Una vez que configure la asignación incluida, haga clic en "Aceptar" en la parte inferior. Si desea establecer una política para que los usuarios no puedan copiar información comercial de la aplicación de Outlook a una aplicación personal, puede configurar una política para limitarlo.
Asignando políticas.
Para crear una política de protección de aplicaciones, abra su navegador y vaya a esta página en el portal de Azure. Haga clic en "Agregar una política" y escriba el nombre de una. Seleccione la plataforma iOS y haga clic en "Seleccionar aplicaciones requeridas". Verifique todas las aplicaciones y haga clic en "Seleccionar" en la parte inferior. Luego, dele clic a "Configurar las opciones requeridas" y cámbielas.
- Permitir que la aplicación transfiera datos a otras aplicaciones: aplicaciones gestionadas por políticas.
- Evite el "Guardar como": Sí
- Seleccione en qué servicios de almacenamiento se pueden guardar los datos corporativos, por ejemplo, OneDrive for Business, Sharepoint, etc.
- Restrinja copiar, cortar y pegar con otras aplicaciones: aplicaciones gestionadas por políticas con pegar en.
Haga clic en "Aceptar" en la parte inferior una vez que haya terminado, y dele clic a "Crear" en la parte inferior para guardar la nueva política.
Ahora que se creó la política, asígnela al mismo grupo que utilizó para implementar la aplicación de Outlook. Haga clic en su nueva política y luego en "Asignaciones". Dele clic a "Seleccionar grupos", elija el mismo grupo previamente seleccionado para la asignación de la aplicación de Outlook, y haga clic en "Seleccionar".
Ahora puede usar la aplicación Outlook en toda su organización. Esta soporta la autenticación moderna; y una vez que haya desconectado a los usuarios de la aplicación nativa del teléfono, podrá desactivar la Autenticación Básica sin ningún efecto secundario. Algunos usuarios prefieren la vista enfocada para la aplicación de Outlook, mientras otros prefieren que esté deshabilitada y que las conversaciones no estén entrelazadas.Finalmente puede deshabilitar la aplicación de correo electrónico principal yendo a configuración, cuentas y contraseñas, y eliminando la cuenta existente.
El cambio no afecta la autenticación SMTP. Sin embargo, es posible que desee revisar cómo ha configurado la autenticación SMTP.
Se avecinan cambios en Office 365 y el mandato de Microsoft nos ayudará a mantenernos más seguros de los ataques de recolección de credenciales. Tómese el tiempo ahora para migrar a aplicaciones más seguras.
Susan Bradley, CSO (EE.UU.)