Os pedidos básicos de início de sessão de autenticação estão bloqueados por predefinição no Microsoft 365 Apps
Observação
As informações neste artigo estão relacionadas com mensagens do Centro de mensagens MC454810, MC499030 e MC649046, que foram publicadas no Centro de administração do Microsoft 365.
Aplicações como o Word e o Excel permitem que os utilizadores utilizem a autenticação Básica para se ligarem a recursos em servidores Web, enviando nomes de utilizador e palavras-passe com cada pedido. Estas credenciais são frequentemente armazenadas nos servidores, o que facilita a captura e reutilização dos atacantes noutros pontos finais ou serviços.
A autenticação básica é um padrão da indústria desatualizado e não suporta funcionalidades de segurança mais robustas, como a autenticação multifator. As ameaças colocadas apenas aumentaram e existem alternativas de autenticação de utilizadores melhores e mais eficazes. Por exemplo, autenticação moderna, que suporta autenticação multifator, smart cards e autenticação baseada em certificados.
Por conseguinte, para ajudar a melhorar a segurança no Microsoft 365 Apps, estamos a alterar o comportamento predefinido para bloquear pedidos de início de sessão da autenticação Básica.
Com esta alteração, se os utilizadores tentarem abrir ficheiros em servidores que utilizam apenas a autenticação Básica, não verão quaisquer pedidos de início de sessão de autenticação Básica. Em vez disso, veem uma mensagem a indicar que o ficheiro foi bloqueado porque utiliza um método de início de sessão que pode ser inseguro. A mensagem inclui uma ligação que leva os utilizadores a um artigo que contém informações sobre os riscos de segurança da autenticação Básica.
Observação
- As partilhas de ficheiros alojadas no Windows não são afetadas por esta alteração porque o método de autenticação utilizado é NTLM.
- O SharePoint Online, o OneDrive e o SharePoint Server no local (configurado para autenticação moderna) não são afetados por esta alteração.
- O SharePoint Server no local configurado para autenticação Básica é afetado por esta alteração.
Versões do Microsoft 365 Apps afetadas por esta alteração
Esta alteração afeta as seguintes aplicações apenas em dispositivos com o Windows:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
Observação
- Esta alteração não afeta a ligação do Outlook a Exchange Server no local através da autenticação Básica.
- Esta alteração não afeta a ligação do Outlook ao Exchange Online através da autenticação Básica. Existe um esforço separado para preterir a autenticação Básica com Exchange Online. Para obter mais informações, veja Descontinuação da autenticação básica no Exchange Online.
Como parte da implementação, os utilizadores recebem inicialmente uma mensagem de aviso se tentarem aceder a um ficheiro através da autenticação Básica. Após esse período de aviso, o utilizador será impedido de abrir o ficheiro e verá uma mensagem a informá-lo de que a origem utiliza um método de início de sessão que pode ser inseguro.
A tabela seguinte mostra a versão, para cada canal de atualização, na qual as alterações de aviso e bloqueio são implementadas. As informações em itálico estão sujeitas a alterações.
Canal de Atualização | Versão de aviso | Versão de bloqueio |
---|---|---|
Canal Atual (Visualização) | Versão 2303 |
Versão 2311 (novembro de 2023) |
Canal Atual | Versão 2304 |
Versão 2311 (dezembro de 2023) |
Canal Empresarial Mensal | Versão 2304 |
Versão 2311 (9 de janeiro de 2024) |
Canal Empresarial Semestral (Visualização) | Versão 2308 |
Versão 2402 (12 de março de 2024) |
Canal Empresarial Semestral |
Versão 2308 (9 de janeiro de 2024) |
Versão 2402 (9 de julho de 2024) |
Observação
- Esta alteração também afetará as versões de revenda do Office 2021, Office 2019 e Office 2016. Estão na mesma agenda que o Canal Atual.
- Esta alteração não afetará as versões licenciadas em volume do Office, como Office LTSC Professional Plus 2021 ou Office Standard 2019.
Como Microsoft 365 Apps determina se pretende mostrar pedidos de autenticação Básico
O gráfico de fluxograma seguinte mostra como Microsoft 365 Apps determina se deve abrir um ficheiro se o servidor utiliza a autenticação Básica.
Os passos seguintes explicam as informações no gráfico de fluxograma.
Um utilizador tenta abrir um ficheiro armazenado num servidor Web.
Se o servidor estiver a utilizar a autenticação de proxy de autenticação Básica, Microsoft 365 Apps avalia o estado dos pedidos Permitir Autenticação Básica a partir da política de proxies de rede.
- Se a política estiver definida como Ativada, é pedido ao utilizador que forneça um nome de utilizador e palavra-passe para abrir o ficheiro.
- Caso contrário, o utilizador não vê um pedido de início de sessão e o ficheiro é impedido de abrir. Em vez disso, o utilizador vê uma mensagem a indicar que o ficheiro foi bloqueado porque utiliza um método de início de sessão que pode ser inseguro.
Se o servidor não estiver a utilizar a autenticação Básica, o ficheiro é aberto. Se o servidor utilizar a autenticação Básica, Microsoft 365 Apps verifica se existe uma política para permitir pedidos de autenticação Básico.
Se o servidor estiver a autenticar diretamente com a autenticação Básica, Microsoft 365 Apps avalia o estado da política Permitir anfitriões especificados para mostrar pedidos de Autenticação Básica para as aplicações do Office.
- Se a política estiver definida como Ativada e o servidor for especificado, é pedido ao utilizador que forneça um nome de utilizador e palavra-passe para abrir o ficheiro.
- Caso contrário, o utilizador não vê um pedido de início de sessão e o ficheiro é impedido de abrir. Em vez disso, o utilizador vê uma mensagem a indicar que o ficheiro foi bloqueado porque utiliza um método de início de sessão que pode ser inseguro.
Utilizar políticas para gerir pedidos de autenticação Básicos
Se precisar de fornecer pedidos de autenticação Básicos para determinados anfitriões ou a partir de proxies de rede, pode configurar as seguintes políticas:
- Permitir que os anfitriões especificados mostrem pedidos de Autenticação Básica às aplicações do Office
- Permitir pedidos de Autenticação Básica a partir de proxies de rede
Importante
- Não recomendamos permitir pedidos de autenticação Básicos para determinados anfitriões ou proxies de rede, uma vez que a utilização da autenticação Básica não é segura.
- No entanto, pode utilizar estas políticas se precisar de fornecer estes pedidos temporariamente enquanto move esses servidores para métodos de autenticação mais seguros.
Estas políticas podem ser encontradas na Consola de Gestão do Política de Grupo em Configuração do Utilizador\Políticas\Modelos Administrativos\Microsoft Office 2016\Definições de Segurança.
Observação
- Para utilizar estas políticas, transfira, pelo menos, a versão 5359.1000 do Política de Grupo ficheiros de Modelo Administrativo (ADMX/ADML) para Microsoft 365 Apps a partir do Centro de Transferências da Microsoft. Esta versão foi lançada a 11 de agosto de 2022.
- Também pode implementar estas políticas com a Política de Cloud. Para obter mais informações, veja Visão geral do serviço Cloud Policy para Microsoft 365.
Permitir que os anfitriões especificados mostrem pedidos de Autenticação Básica às aplicações do Office
Esta política permite-lhe especificar os anfitriões que podem mostrar pedidos de início de sessão de autenticação Básica a aplicações como o Word e o Excel.
A tabela seguinte mostra o nível de proteção que obtém com cada estado da política.
Ícone | Nível de Proteção | Estado da política | Descrição |
---|---|---|---|
Protegido | Ativado (sem anfitriões especificados) |
Os utilizadores estão impedidos de abrir ficheiros localizados em servidores Web que utilizam a autenticação Básica. | |
Parcialmente protegido | Ativado (anfitriões especificados) |
Os pedidos de autenticação básicos só são permitidos a partir dos anfitriões especificados.
Se especificar vários anfitriões, separe-os por ponto e vírgula. |
|
Protegido | Desabilitado | Os utilizadores estão impedidos de abrir ficheiros localizados em servidores Web que utilizam a autenticação Básica. | |
Protegido [recomendado] |
Não Configurado | Os utilizadores estão impedidos de abrir ficheiros localizados em servidores Web que utilizam a autenticação Básica. |
Permitir pedidos de Autenticação Básica a partir de proxies de rede
Esta política controla se os proxies de rede têm permissão para mostrar pedidos de autenticação Básicos.
A tabela seguinte mostra o nível de proteção que obtém com cada estado da política.
Ícone | Nível de Proteção | Estado da política | Descrição |
---|---|---|---|
Protegido | Desabilitado | Os proxies de rede não mostram pedidos de autenticação Básicos. | |
Não protegido | Habilitado | Os proxies de rede mostram pedidos de autenticação Básicos. | |
Proteção [recomendada] | Não Configurado | Os proxies de rede não mostram pedidos de autenticação Básicos. |