LinkedIn 现在提供了从最终用户获取真实用户和密码并连接到 Exchange Server 的功能,以便将联系人导入他们的系统。(要自己执行此操作,请单击联系人.. 添加联系人)
我对此的担忧是,LinkedIn 不仅可以访问联系人,还可以访问公司电子邮件。(可能包含私人或机密信息)
我的第二个担忧是,许多多因素身份验证系统似乎与此解决方案“兼容”,这意味着 LinkedIn 充当 MITM
问题 1
我应该如何限制此类活动的发生?我应该在防火墙上阻止哪些 IP 地址访问我的 Exchange 服务器?
问题2
显然,最终用户应该被告知这种风险,并在文化上适应不做这样的事情。我应该发送什么样的示例通信来教育用户不要在 3rd 方网站上使用他们的公司凭据?
这里有两个不同的问题,Outlook Social Connector LinkedIn 集成和LinkedIn Outlook 联系人导入。这些是完全不同的东西。
从 Microsoft Exchange 导入联系人:在这种情况下,LinkedIn 根本无法访问您的收件箱。LinkedIn 确实可以访问用户的收件箱。整个过程由 Microsoft Exchange 本身提供的 API 控制,它称为Exchange Web Services (EWS)。由您来配置 EWS 共享的访问权限和信息。
您可以使用Set-OrganizationConfig cmdlet 阻止此操作,然后将EwsApplicationAccessPolicy值设置为EnforceBlockList并添加LinkedInEWS到您的阻止列表中。现在您的用户将无法导入他们的联系人并将其发送到 LinkedIn。
Outlook Social Connector LinkedIn 集成:在这种情况下,Microsoft 和 LinkedIn 之间的交易的核心是为 Outlook 提供社交功能,并为 LinkedIn 提供对企业界数百万地址簿和收件箱的访问。因此,如果您不希望 LinedIn 访问您的收件箱,则不应将 LinkedIn 与 Outlook Social Connector 集成。
回答 1) 这些应用程序不会任意连接,除非它们被授予连接权限。“限制”的方法是在提示您访问时不允许访问。您可以尝试阻止 IP,但您可能只会阻止自己访问整个 LinkedIn。除此之外,如果他们使用 CDN(Akamai 等),您需要阻止各种地址。
回答 2) 大多数企业网络都有安全团队。这些安全团队从高级管理层获得指导。可能已经制定了提醒用户的政策(指南、AUP)。如果您对此有强烈的感觉,请将其提交给管理层/