Microsoft засилва сигурността на Entra ID, Zero Trust става задължителен стандарт

Picture of Здравко Боджов
Здравко Боджов
Поверителност

Microsoft обяви ключова промяна в сигурността на автентикационния процес в Entra ID, която цели да елиминира риска от инжектиране на неоторизирани скриптове в страниците за вход. Обновената Content Security Policy (CSP) ще бъде активирана глобално от средата или края на октомври 2026 г., като компанията предупреждава организациите да започнат подготовка още отсега.

Какво се променя в Content Security Policy

Новата CSP политика се прилага към уеб-базираните процеси на влизане в домейна login.microsoftonline.com. Тя:

  • разрешава изпълнение само на скриптове от доверени Microsoft домейни,

  • ограничава изтеглянето на скриптове единствено до Microsoft trusted CDN,

  • позволява само вътрешни (inline) скриптове, подписани и генерирани от Microsoft,

  • блокира всеки външен или инжектиран код, който се опитва да се изпълни по време на удостоверяване.

Важно: Microsoft Entra External ID няма да бъде засегнат от промените.

Според компанията обновената политика осигурява значително повишена защита срещу cross-site scripting (XSS) атаки, които позволяват добавяне на злонамерен код в легитимни уеб страници.

Препоръки към организациите

Microsoft препоръчва на клиентите да започнат ранно тестване на своите процеси на вход, като:

  • премахнат разширения и инструменти, които инжектират скриптове в страниците за вход,

  • преминат към решения, които не модифицират DOM съдържанието,

  • използват DevTools конзолата, за да откриват съобщения от типа „Refused to load the script“, които показват блокирани ресурси поради нарушение на script-src или nonce директиви.

Компанията подчертава, че ранната подготовка ще намали риска от прекъсвания и проблеми с потребителското изживяване при пълното внедряване през 2026 г.

Контекст: Secure Future Initiative и трансформация на сигурността

Тази промяна е част от по-мащабната Secure Future Initiative (SFI) – дългосрочната програма на Microsoft, която цели фундаментално да подобри сигурността на всички облачни и корпоративни платформи на компанията.

Инициативата стартира през 2023 г., а през 2024 г. беше разширена след доклад на U.S. Cyber Safety Review Board (CSRB), в който се посочва, че „културата за сигурност на Microsoft е неадекватна и се нуждае от цялостно обновяване“.

В най-новия си доклад Microsoft отчита значителен напредък:

  • Въведено задължително MFA за всички Azure услуги.

  • 99,6% усвояване на фишинг-резистентно MFA за потребители и устройства.

  • 50+ нови детекции срещу критични тактики и техники в инфраструктурата.

  • Quick Machine Recovery, разширена поддръжка на passkey и Windows Hello.

  • Подобрена memory safety в UEFI чрез Rust.

  • 95% от Entra ID signing VM-ите мигрирани към Azure Confidential Compute.

  • 560 000 деактивирани остарели tenants и 83 000 премахнати Entra ID приложения.

  • Почти пълно заключване на процеса по code signing към продукционни идентичности.

  • 1 096 публикувани CVE, включително 53 без необходимост от действие.

  • 17 млн. долара изплатени като bug bounty награди.

Стратегия, управлявана от Zero Trust

Microsoft заявява, че организациите трябва да възприемат Zero Trust подход, като:

  • автоматизират откриването, реакцията и отстраняването на уязвимости,

  • използват интегрирани инструменти и разузнаване за заплахи,

  • поддържат видимост в реално време върху хибридните и облачни среди,

  • минимизират ръчните действия при управление на инциденти.

Новата CSP политика за Entra ID е част от този по-широк модел на сигурност, който поставя бариера пред едни от най-честите и опасни атаки срещу потребителското удостоверяване.

e-security.bg

Подобни

Xакер призна за пробив в близо 600 Snapchat акаунта
8.02.2026
snapchat
Пробив в Substack разкри имейли и телефонни номера
6.02.2026
Substack-logo
Румънските власти глобиха физическо лице по GDPR
6.02.2026
europe-3220179_640
Призовават Швейцария да оттегли плановете за масово съхранение на данни
6.02.2026
GDPR- data-protection-laws (1)
Служители на Pinterest разкриха съкратените чрез код - компанията ги уволни
5.02.2026
Stop - Ransomware - neon colors1
ИИ приложения за разпознаване на снимки излагат GPS данни
5.02.2026
world_map_wifi_Zoonar_Alamy_Stock_Photo

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.