ក្រុមហ៊ុន Microsoft នឹងរារាំងស្គ្រីបដែលគ្មានការអនុញ្ញាតនៅក្នុងការចូល Entra ID ជាមួយនឹងការអាប់ដេត CSP ឆ្នាំ ២០២៦

ក្រុមហ៊ុន Microsoft បានប្រកាសពីផែនការដើម្បីកែលម្អសុវត្ថិភាពនៃការផ្ទៀងផ្ទាត់ Entra ID ដោយរារាំងការវាយប្រហារចាក់ស្គ្រីបដោយគ្មានការអនុញ្ញាតដោយចាប់ផ្តើមមួយឆ្នាំចាប់ពីពេលនេះតទៅ។

ការអាប់ដេតគោលការណ៍សុវត្ថិភាពមាតិកា (CSP) របស់ខ្លួនមានគោលបំណងបង្កើនបទពិសោធន៍ចូល Entra ID នៅ "login.microsoftonline[.]com" ដោយអនុញ្ញាតឱ្យស្គ្រីបពីដែន Microsoft ដែលទុកចិត្តដំណើរការតែប៉ុណ្ណោះ។

ក្រុមហ៊ុនផលិត Windows បាននិយាយថា "ការអាប់ដេតនេះពង្រឹងសុវត្ថិភាព និងបន្ថែមស្រទាប់ការពារបន្ថែមដោយអនុញ្ញាតឱ្យស្គ្រីបពីដែន Microsoft ដែលទុកចិត្តដំណើរការក្នុងអំឡុងពេលផ្ទៀងផ្ទាត់ ដោយរារាំងកូដដែលគ្មានការអនុញ្ញាត ឬចាក់បញ្ចូលពីការប្រតិបត្តិក្នុងអំឡុងពេលបទពិសោធន៍ចូល"។

ជាពិសេស វាអនុញ្ញាតឱ្យទាញយកស្គ្រីបពីដែន CDN ដែលទុកចិត្តរបស់ Microsoft និងការប្រតិបត្តិស្គ្រីបក្នុងបន្ទាត់ពីប្រភពដែលទុកចិត្តរបស់ Microsoft ប៉ុណ្ណោះ។ គោលការណ៍ដែលបានអាប់ដេតត្រូវបានកំណត់ចំពោះបទពិសោធន៍ចូលដែលមានមូលដ្ឋានលើកម្មវិធីរុករកសម្រាប់ URL ដែលចាប់ផ្តើមដោយ login.microsoftonline.com។ លេខសម្គាល់ខាងក្រៅរបស់ Microsoft Entra នឹងមិនរងផលប៉ះពាល់ទេ។

ការផ្លាស់ប្តូរនេះ ដែលត្រូវបានពិពណ៌នាថាជាវិធានការសកម្ម គឺជាផ្នែកមួយនៃគំនិតផ្តួចផ្តើមអនាគតសុវត្ថិភាព (SFI) របស់ Microsoft ហើយត្រូវបានរចនាឡើងដើម្បីការពារអ្នកប្រើប្រាស់ពីការវាយប្រហារស្គ្រីបឆ្លងគេហទំព័រ (XSS) ដែលធ្វើឱ្យវាអាចចាក់កូដព្យាបាទចូលទៅក្នុងគេហទំព័រ។ វាត្រូវបានគេរំពឹងថានឹងត្រូវបានដាក់ឱ្យដំណើរការទូទាំងពិភពលោកចាប់ពីពាក់កណ្តាលដល់ចុងខែតុលា ឆ្នាំ 2026។

ក្រុមហ៊ុន Microsoft កំពុងជំរុញឱ្យអង្គការនានាសាកល្បងលំហូរចូលរបស់ពួកគេយ៉ាងហ្មត់ចត់ជាមុន ដើម្បីធានាថាមិនមានបញ្ហាអ្វីទេ ហើយបទពិសោធន៍ចូលមិនមានការកកិត។

វាក៏កំពុងណែនាំអតិថិជនឱ្យជៀសវាងការប្រើប្រាស់ផ្នែកបន្ថែមកម្មវិធីរុករក ឬឧបករណ៍ដែលចាក់កូដ ឬស្គ្រីបទៅក្នុងបទពិសោធន៍ចូល Microsoft Entra។ អ្នកដែលធ្វើតាមវិធីសាស្រ្តនេះត្រូវបានណែនាំឱ្យប្តូរទៅឧបករណ៍ផ្សេងទៀតដែលមិនចាក់កូដ។

ដើម្បីកំណត់អត្តសញ្ញាណការរំលោភបំពាន CSP ណាមួយ អ្នកប្រើប្រាស់អាចឆ្លងកាត់លំហូរចូលដោយកុងសូលអភិវឌ្ឍន៍បើក ហើយចូលប្រើឧបករណ៍កុងសូលរបស់កម្មវិធីរុករកនៅក្នុងឧបករណ៍អ្នកអភិវឌ្ឍន៍ ដើម្បីពិនិត្យមើលកំហុសដែលនិយាយថា "បដិសេធមិនផ្ទុកស្គ្រីប" សម្រាប់ការប្រឆាំងនឹងការណែនាំ "script-src" និង "nonce"។

SFI របស់ក្រុមហ៊ុន Microsoft គឺជាកិច្ចខិតខំប្រឹងប្រែងរយៈពេលច្រើនឆ្នាំ ដែលស្វែងរកការដាក់សន្តិសុខលើសពីអ្វីៗទាំងអស់ នៅពេលរចនាផលិតផលថ្មី និងត្រៀមខ្លួនកាន់តែប្រសើរឡើងសម្រាប់ភាពទំនើបនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត។

វាត្រូវបានដាក់ឱ្យដំណើរការជាលើកដំបូងនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2023 និងបានពង្រីកនៅក្នុងខែឧសភា ឆ្នាំ 2024 បន្ទាប់ពីរបាយការណ៍មួយពីក្រុមប្រឹក្សាពិនិត្យសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CSRB) ដែលបានសន្និដ្ឋានថា "វប្បធម៌សន្តិសុខរបស់ក្រុមហ៊ុនមិនគ្រប់គ្រាន់ និងតម្រូវឱ្យមានការផ្លាស់ប្តូរ"។

នៅក្នុងរបាយការណ៍វឌ្ឍនភាពទីបីរបស់ខ្លួនដែលបានចេញផ្សាយក្នុងខែនេះ ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្សនេះបាននិយាយថា ខ្លួនបានដាក់ពង្រាយការរកឃើញថ្មីជាង 50 នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួន ដើម្បីកំណត់គោលដៅយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីដែលមានអាទិភាពខ្ពស់ ហើយការអនុម័តការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ដែលធន់នឹងការបន្លំសម្រាប់អ្នកប្រើប្រាស់ និងឧបករណ៍បានឈានដល់ 99.6%។

ការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់ផ្សេងទៀតដែលអនុវត្តដោយ Microsoft មានដូចខាងក្រោម៖

- ការអនុវត្ត MFA ចាំបាច់នៅទូទាំងសេវាកម្មទាំងអស់ រួមទាំងសម្រាប់អ្នកប្រើប្រាស់សេវាកម្ម Azure ទាំងអស់

- ណែនាំសមត្ថភាពសង្គ្រោះដោយស្វ័យប្រវត្តិតាមរយៈការសង្គ្រោះម៉ាស៊ីនរហ័ស ការគាំទ្រលេខសម្ងាត់ និង Windows Hello ដែលបានពង្រីក និងសុវត្ថិភាពអង្គចងចាំប្រសើរឡើងនៅក្នុងកម្មវិធីបង្កប់ UEFI និងកម្មវិធីបញ្ជាដោយប្រើ Rust

- បានផ្លាស់ទីម៉ាស៊ីនមេចុះហត្ថលេខា Microsoft Entra ID ចំនួន 95% ទៅ Azure Confidential Compute និងបានផ្លាស់ទីការផ្ទៀងផ្ទាត់សញ្ញាសម្ងាត់សុវត្ថិភាព Microsoft Entra ID ចំនួន 94.3% ទៅអត្តសញ្ញាណស្តង់ដាររបស់វា កម្មវិធី -Development Kit (SDK)

- បញ្ឈប់ការប្រើប្រាស់សេវាកម្មសហព័ន្ធ Active Directory (ADFS) នៅក្នុងបរិយាកាសផលិតភាពរបស់យើង

- បញ្ឈប់ការប្រើប្រាស់អ្នកជួលដែលមិនបានប្រើ និងចាស់ចំនួន 560,000 នាក់បន្ថែម និងកម្មវិធី Microsoft Entra ID ដែលមិនបានប្រើចំនួន 83,000 នៅទូទាំងបរិយាកាសផលិតកម្ម និងផលិតភាពរបស់ Microsoft

- ការប្រមាញ់ការគំរាមកំហែងកម្រិតខ្ពស់ដោយការតាមដានកណ្តាល 98% នៃហេដ្ឋារចនាសម្ព័ន្ធផលិតកម្ម

- សម្រេចបានសារពើភ័ណ្ឌឧបករណ៍បណ្តាញពេញលេញ និងការគ្រប់គ្រងវដ្តជីវិតទ្រព្យសកម្មចាស់ទុំ

- ការចុះហត្ថលេខាកូដស្ទើរតែទាំងស្រុងទៅកាន់អត្តសញ្ញាណផលិតកម្ម

- បានបោះពុម្ពផ្សាយ CVE ចំនួន 1,096 រួមទាំងពពកគ្មានសកម្មភាពចំនួន 53 CVEs និងបានបង់ប្រាក់ចំនួន ១៧ លានដុល្លារជាប្រាក់រង្វាន់

ក្រុមហ៊ុន Microsoft បាននិយាយថា "ដើម្បីឲ្យស្របតាមគោលការណ៍ Zero Trust អង្គការនានាគួរតែធ្វើស្វ័យប្រវត្តិកម្មការរកឃើញភាពងាយរងគ្រោះ ការឆ្លើយតប និងការកែតម្រូវដោយប្រើឧបករណ៍សុវត្ថិភាពរួមបញ្ចូលគ្នា និងភាពវៃឆ្លាតគំរាមកំហែង"។ "ការរក្សាភាពមើលឃើញជាក់ស្តែងទៅលើឧប្បត្តិហេតុសុវត្ថិភាពនៅទូទាំងបរិស្ថានកូនកាត់ និងពពកអាចឲ្យមានការទប់ស្កាត់ និងការស្តារឡើងវិញបានលឿនជាងមុន"។