在过去的几年里,微软一直在谈论“现代”这个或“现代”那个. 为了提高安全性,他们正在积极尝试让每个人都使用更现代的协议. 即将发生的LDAPS更改就是一个例子. 然而,有更多的程序和协议,他们敦促你退休. 这些旧APP客户端经常被黑客使用,因为我们都忘记了在2004年我们做过这个,我们让它运行. 你需要尽快退休的例子有:
- IMAP. 现代电子邮件不需要IMAP. Exchange、办公室 365或谷歌 Apps都是如此. 黑客喜欢IMAP连接,因为没有任何高级安全协议可以打开. 确保IMAP服务已关闭.
- POP3. 看到# 1. 同样的故事. 确保关闭POP3服务.
- 面向internet的设备(如VPN)上的自签名ssl. 如果它触及互联网,*你必须购买和实现商业SSL* -没有例外. 如果是你,请尽快解决.
- 任何使用纯文本“基本身份验证”的内容
- 任何使用TLS 1的东西.0 or 1.1
- 在窗户。网络上使用SMB v1的任何东西.
- 任何使用VNC的东西
- 任何使用RDP直接连接到互联网的东西
- 任何不使用多因素身份验证(MFA)的面向internet的远程访问网关.
更具体地说,微软正在推动“现代认证”. 对他们来说,这意味着所有东西都需要支持并配置为支持OAuth 2.0并关闭“基本身份验证”.
微软宣布他们打算在办公室 365中强制执行这个问题. 10月13日开始, 2020, 微软将取消EWS的基本身份验证, 东亚峰会, IMAP, POP和RPS访问Exchange Online. 注意:此更改不影响SMTP AUTH.
如果你使用办公室 365处理电子邮件,这些变化与你息息相关. 您可以在以下网址了解更多有关更改的信息: http://techcommunity.microsoft.com/t5/exchange-team-blog/basic-auth-and-exchange-online-february-2020-update/ba-p/1191282
谷歌 Apps用户也需要做出同样的改变,以消除这些存在安全漏洞的旧访问方法.
当你在做这些事情的时候, 一定要将此与至少一种基本形式的MFA结合起来,例如向用户的电话发送短信,或者更理想的是像Cisco DUO这样的东西,以便您可以插入99.有9%的凭证盗窃漏洞. 和丽莎谈谈许可证的事.
如果你需要帮助,给我们打电话.
最近的评论