微软将借2026年CSP更新阻止Entra ID登录中的未经授权脚本

微软宣布计划从一年后开始，通过阻止未经授权的脚本注入攻击来提升Entra ID身份验证的安全性。

此次对其内容安全策略的更新，旨在通过仅允许来自受信任的微软域的脚本运行，来增强“login.microsoftonline[.]com”的Entra ID登录体验。

这家Windows制造商表示：“此更新通过仅允许来自受信任微软域的脚本在身份验证期间运行，阻止未经授权或注入的代码在登录体验中执行，从而增强了安全性并增加了额外的保护层。”

具体来说，它仅允许从微软信任的CDN域名下载脚本，以及从微软信任的来源执行内联脚本。更新后的策略仅限于针对以login.microsoftonline.com开头的URL的基于浏览器的登录体验。微软Entra External ID将不受影响。

这项被描述为主动措施的变更，是微软“安全未来倡议”的一部分，旨在保护用户免受可能导致恶意代码注入网站的跨站脚本攻击。预计将于2026年10月中下旬开始在全球范围内推出。

微软敦促各组织提前彻底测试其登录流程，以确保没有问题并且登录体验顺畅无阻。

同时，微软也建议客户避免使用将代码或脚本注入微软Entra登录体验的浏览器扩展或工具。遵循此方法的用户建议切换到其他不注入代码的工具。

要识别任何CSP违规行为，用户可以在打开开发者控制台的情况下执行登录流程，并在开发者工具中访问浏览器的“控制台”工具，检查是否存在因违反“script-src”和“nonce”指令而显示“拒绝加载脚本”的错误。

微软的“安全未来倡议”是一项多年努力，旨在设计新产品时将安全性置于首位，并更好地应对日益复杂的网络威胁。

该计划最初于2023年11月启动，并在2024年5月美国网络安全审查委员会发布报告后扩大，该报告得出的结论是，该公司的“安全文化不足，需要进行彻底改革”。

在其本月发布的第三份进展报告中，这家科技巨头表示，已在其基础设施中部署了50多项新的检测措施，以针对高优先级的战术、技术和程序，并且针对用户和设备的抗网络钓鱼多因素身份验证采用率已达到99.6%。

微软实施的其他显著变更如下：

• 在所有服务（包括所有Azure服务用户）中强制执行强制性MFA。
• 通过快速机器恢复引入自动恢复功能，扩展了通行密钥和Windows Hello支持，并通过使用Rust改进了UEFI固件和驱动程序中的内存安全性。
• 将95%的微软Entra ID签名虚拟机迁移到Azure机密计算，并将94.3%的微软Entra ID安全令牌验证转移到其标准身份软件开发工具包。
• 在我们的生产环境中停止使用Active Directory联合身份验证服务。
• 在微软的生产和生产环境中，停用了额外的560,000个未使用和过期的租户以及83,000个未使用的微软Entra ID应用。
• 通过集中跟踪98%的生产基础设施，推进了威胁搜寻。
• 完成了完整的网络设备清单和成熟的资产生命周期管理。
• 几乎完全将代码签名锁定为生产身份。
• 发布了1,096个CVE，包括53个无需行动的云CVE，并支付了1700万美元的赏金。

微软表示：“为了与零信任原则保持一致，组织应使用集成的安全工具和威胁情报来自动化漏洞检测、响应和修复。保持对混合和云环境中安全事件的实时可见性，可以实现更快的遏制和恢复。”