Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady zabezpieczeń zawartości (CSP) to nagłówek zabezpieczeń przeglądarki, który umożliwia ładowanie tylko zaufanych skryptów i zasobów. Microsoft Entra ID wymusza politykę CSP na stronach logowania jako proaktywny środek blokujący nieautoryzowane skrypty ze źródeł zewnętrznych i zmniejsza ryzyko luk w zabezpieczeniach wynikających z ataków typu wstrzyknięcia skryptów, takich jak Cross-Site Scripting (XSS).
Ważne
Egzekwowanie CSP rozpocznie się globalnie w połowie do końca października 2026 r.
Dotyczy tylko logowania opartego na przeglądarce pod adresem login.microsoftonline.com. Klienci korzystający z Microsoft Entra External ID, używający domen niestandardowych i przepływów MSAL/API, nie są dotknięci.
Firma Microsoft zaleca, aby nie używać rozszerzeń przeglądarki ani narzędzi, które wprowadzają kod do środowiska logowania firmy Microsoft Entra. Jeśli zastosujesz się do tej porady, twoje doświadczenie pozostanie niezmienione i nie będzie potrzebne żadne dalsze działania.
Jeśli używasz narzędzi lub rozszerzeń przeglądarki, które wprowadzają kod do strony logowania firmy Microsoft Entra, przejdź do alternatywnych narzędzi, które nie wstrzykiwają kodu przed wydaniem tej zmiany.
Aby uzyskać szczegółowe informacje na temat przygotowywania do wymuszania CSP, zobacz Jak przygotować się do wymuszania CSP.
Ryzyko iniekcji skryptu lub kodu
Iniekcja skryptu lub kodu występuje, gdy złośliwe skrypty są uruchamiane w przeglądarce użytkownika bez autoryzacji. Ta luka w zabezpieczeniach może prowadzić do:
- Kradzież danych: osoby atakujące mogą kraść poufne informacje, takie jak poświadczenia lub tokeny.
- Przejęcie sesji: wstrzyknięte skrypty mogą przejąć kontrolę nad aktywnymi sesjami.
- Dostarczanie złośliwego oprogramowania: złośliwy kod może instalować szkodliwe oprogramowanie na urządzeniach użytkowników.
- Utrata zaufania: naruszone strony logowania uszkadzają zaufanie użytkowników i reputację marki.
XSS to jeden z najczęstszych ataków polegających na wstrzyknięciu. Umożliwia ona osobom atakującym uruchamianie złośliwych skryptów w przeglądarce użytkownika, co umożliwia kradzież poświadczeń, porwanie sesji i naruszenie poufnych danych.
CSP dodatkowo pomaga chronić przed tymi atakami, ograniczając które skrypty mogą być wykonywane w przeglądarce. Wymuszając politykę CSP, Microsoft Entra ID pozwala na uruchamianie tylko skryptów z zaufanych domen Microsoft podczas uwierzytelniania.
CSP to wielowarstwowa ochrona
Dostawca CSP dodaje ważną warstwę obrony przed atakami polegającymi na wstrzyknięciu skryptu, takimi jak XSS. Obecnie firma Microsoft Entra i nowoczesne przeglądarki już implementują mechanizmy, aby zapobiec wstrzyknięciu złośliwych skryptów do witryny internetowej jako pierwszej i podstawowej warstwy obrony. Jednak w przypadkach, gdy skrypt może być wstrzykiwany pomimo tych mechanizmów — na przykład za pośrednictwem zainstalowanego przez użytkownika złośliwego rozszerzenia przeglądarki lub luki typu zero-day — CSP powstrzymuje od wykonania tego skryptu. Program CSP osiąga to przez ustawienie zezwalania tylko na listy zaufanych skryptów innych niż i źródła oraz blokowanie wszystkich innych elementów domyślnie. To podejście do ochrony w głębi systemu wzmacnia istniejące środki bezpieczeństwa.
Zakres egzekwowania CSP i kluczowe szczegóły
Wymuszanie Polityki Bezpieczeństwa Treści (CSP) dodatkowo zwiększa bezpieczeństwo procesu logowania w usłudze Microsoft Entra, pozwalając na uruchamianie skryptów tylko z zaufanych domen firmy Microsoft. Minimalizuje to możliwości nieautoryzowanego wstrzyknięcia skryptu zewnętrznego. Nasza analiza pokazuje, że większość naruszeń pochodzi z rozszerzeń przeglądarki zewnętrznych lub wstrzykniętych skryptów połączonych z narzędziami innych firm.
Oto, co musisz wiedzieć o zakresie i kluczowych szczegółach wymuszania CSP:
-
Zakres wymuszania nagłówka: wymuszanie CSP ma zastosowanie tylko do środowisk logowania opartego na przeglądarce na stronie
login.microsoftonline.com. Nie ma to wpływu na inne domeny ani inne przepływy uwierzytelniania niż te w przeglądarkach. - Uwierzytelnianie biblioteki Microsoft Authentication Library (MSAL) i interfejsu API: przepływy uwierzytelniania oparte na bibliotece MSAL, które współdziałają z interfejsami API usługi tokenu zabezpieczającego firmy Microsoft (STS), pozostają nienaruszone, ponieważ wymuszanie jest ograniczone do adresu URL logowania przeglądarki.
- Zewnętrzny identyfikator Microsoft Entra i domeny niestandardowe: Klienci zewnętrznych identyfikatorów, korzystający z domen niestandardowych lub domen CIAM do logowania, nie są dotknięci.
Narzędzia niezwiązane z Microsoftem z naruszeniami CSP
Niektóre narzędzia innych firm mogą wprowadzać skrypty na stronach logowania, co może powodować naruszenia zasad CSP. W przypadku egzekwowania polityki CSP na login.microsoftonline.com, te skrypty będą blokowane przed wykonaniem. Użytkownicy nadal będą mogli logować się w zwykły sposób, ale może to zakłócić niektóre procesy logowania lub monitorowania.
Klienci korzystający z narzędzi opartych na wstrzykniętych skryptach powinni współpracować bezpośrednio ze swoimi dostawcami, aby identyfikować i implementować poprawki zgodne z wymaganiami programu CSP.
Jak przygotować się do wymuszania CSP
Przejrzyj swoje doświadczenie logowania na wczesnym etapie. Usuń lub zmigruj rozszerzenia przeglądarki i narzędzia, które wprowadzają skrypty na stronę logowania firmy Microsoft Entra. Jeśli twoja organizacja korzysta z takich narzędzi, skontaktuj się z dostawcami, aby przed wdrożeniem wdrożyć zgodne alternatywy.
Przetestuj przepływy logowania z wyprzedzeniem, aby zidentyfikować i rozwiązać naruszenia, zminimalizować zakłócenia i zapewnić bezproblemowe doświadczenie użytkowników. Skorzystaj z poniższych instrukcji, aby zidentyfikować dokładny efekt w dzierżawcy.
Krok 1. Przejdź przez przepływ logowania z otwartą konsolą dewelopera, aby zidentyfikować wszelkie naruszenia.
Krok 2. Przejrzyj informacje o naruszeniu wyświetlanym na czerwono. Jeśli dany zespół lub osoba spowodowała naruszenie, pojawia się tylko w ich przepływach. Aby zapewnić dokładność, dokładnie oceń różne scenariusze logowania w organizacji. Oto przykład naruszenia:
Ta aktualizacja naszego dostawcy CSP dodaje dodatkową warstwę ochrony, blokując nieautoryzowane skrypty, co dodatkowo pomaga chronić organizację przed zmieniającymi się zagrożeniami bezpieczeństwa. Aby zapewnić bezproblemowe wdrożenie, dokładnie przetestuj przepływ logowania z wyprzedzeniem. Ułatwia to wczesne przechwytywanie i rozwiązywanie wszelkich problemów, dzięki czemu użytkownicy pozostają chronieni, a środowisko logowania pozostaje bezproblemowe.