Alte Apps und Drittanbieter blockiert: Massive Folgen der Microsoft-365-Security

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Drittentwickler bleiben erst einmal draußen

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Zeitraum der Umstellung ist ab Mitte Juli 2025, abgeschlossen soll sie bereits ab August sein. Weitere Informationen zu den Änderungen finden sich Microsoft 365 Message Center unter dem Eintrag MC1097272.

Windows 365: Praktisches Feature deaktiviert

Gleichzeitig führt Microsoft neue Security-Einstellungen für seine Cloud-PCs Windows 365 ein: Standardmäßig ist die Verknüpfung der Zwischenablage, Speichers, von USB-Geräten und des Druckers zwischen Cloud-Systemen und dem lokalen Rechner künftig deaktiviert. Betroffen sind ausschließlich neu eingerichtete Cloud-PCs, das praktische Feature lässt sich nachträglich aktivieren.

Wer Windows 365 mit einem Windows 11 Gallery Image einrichtet, aktiviert auf dem neuen System künftig standardmäßig VBS, Credential Guard und HVCI. Details zu den Security-Updates für die Cloud-PCs finden sich in der Tech Community. Einführen will Microsoft die neuen Windows-365-Defaults in der zweiten Jahreshälfte 2025.

(fo)