微软加强Entra ID登录安全：2026年CSP更新将阻断未经授权脚本

微软正加强其Entra ID身份验证的安全性。该公司宣布计划从2026年底开始阻止未经授权的脚本注入攻击，此举旨在加强用户保护。

这项主动措施涉及更新其"login.microsoftonline.com"登录体验的内容安全策略。更新后的策略将只允许来自受信任的微软域的脚本执行，从而有效阻止恶意或注入的代码。

该举措是微软更广泛的"安全未来倡议"的一部分，这是一项多年承诺，旨在将安全置于产品设计的优先地位，并防御不断演变的网络威胁。您可以通过此链接了解更多关于SFI的信息：微软安全未来倡议。

更新后的CSP将特别限制脚本只能从微软受信任的CDN域下载，内联脚本执行则仅限于微软的可信来源。此策略适用于基于浏览器的登录流程，不适用于Microsoft Entra External ID。

微软敦促各组织在2026年10月中下旬该策略全面部署之前，彻底测试其登录流程，以确保平稳过渡，不会对用户体验造成干扰。

微软还建议客户避免使用那些会将代码注入到Microsoft Entra登录体验中的浏览器扩展或工具，如有必要，建议使用替代工具。

要识别任何CSP违规行为，用户可以检查其浏览器的开发者控制台，查找与"script-src"和"nonce"指令相关的"Refused to load the script"错误。您可以通过以下链接找到更多关于CSP的信息：内容安全策略 script-src 和内容安全策略 nonce。

SFI于2023年11月启动，并于2024年5月扩展，此前一份美国网络安全审查委员会的报告批评了微软的安全文化。详情请阅读TechCommunity博客：Microsoft Entra 博客。

在其2025年11月的SFI进展报告中，微软重点介绍了重大进展，包括部署了50多项新的检测功能，并实现了99.6%的网络钓鱼防护多因素身份认证采用率。有关进展的更多信息可以在此处找到：SFI 进展报告。

其他关键变化包括在所有服务中强制实施MFA、自动恢复能力、扩展的通行密钥和Windows Hello支持，以及使用Rust改进UEFI固件中的内存安全性。

微软还将95%的Entra ID签名虚拟机迁移到了Azure机密计算，将94.3%的安全令牌验证转移到了其标准身份SDK，并在其生产力环境中停用了ADFS。

他们还移除了560,000个未使用的租户和83,000个未使用的Entra ID应用程序，通过追踪98%的生产基础设施推进了威胁搜寻工作，并几乎完全将代码签名锁定为生产身份。

2025年，微软发布了1,096个CVE，其中包括53个无需采取行动的云CVE，并支付了1,700万美元的漏洞赏金，这证明了其对安全研究和修复的承诺。

在Entra ID登录中限制未经授权脚本的举措，是对复杂对手持续试图攻破包括电子邮件平台和身份认证机制在内的关键企业系统的直接回应。

这种增强的安全态势是在过去的事件之后采取的，当时微软Exchange服务器中的漏洞允许威胁行为者访问敏感的政府账户，从而促使该公司在全公司范围内启动了广泛的"安全未来倡议"。该公司因过去的安全失误而受到审查。

此外，这些努力还扩展到保护像Active Directory这样的基础服务，它仍然是网络攻击寻求提升权限和破坏关键基础设施的主要目标。Active Directory中的漏洞继续被利用。

事实上，被ToddyCat等组织用来窃取Microsoft 365访问令牌和公司电子邮件的黑客工具的不断演变，突显了此类强健安全更新的持续必要性。复杂的威胁要求主动防御。