เมื่อเร็ว ๆ นี้ มีพนักงานหลายคนมาหาฉันโดยบอกว่าบัญชีแลกเปลี่ยนของพวกเขาถูกละเมิดในช่วงเวลาสองสามวัน ฉันมีทฤษฎีว่ามีเวิร์มบางรูปแบบในคอมพิวเตอร์เครื่องใดเครื่องหนึ่งภายในโดเมนที่ส่งลิงก์สแปม/ฟิชชิ่งไปยังลูกค้าและผู้รับเหมาเป็นระยะๆ ฉันลองใช้เครื่องสแกน AV หลายเครื่องในคอมพิวเตอร์ทุกเครื่อง แต่เครื่องกลับว่างเปล่า
ประเด็นหลักของคำถามนี้: ฉันต้องการทราบว่าการเข้าสู่ระบบของผู้ใช้เริ่มต้นที่ใด เพื่อที่ฉันจะได้เริ่มแก้ไขปัญหาได้ ฉันจะทราบได้อย่างไรว่าการเข้าสู่ระบบของผู้ใช้เริ่มต้นที่ใดและเวลาใดที่การเข้าสู่ระบบนั้นเกิดขึ้น เพื่อให้สามารถอ้างอิงข้ามกับอีเมลสแปมที่ถูกปฏิเสธบางฉบับที่ส่งกลับมาให้เราได้
คุณสามารถนำทางไปยังตำแหน่งต่อไปนี้ซึ่งจัดเก็บบันทึก IIS:
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1
บันทึก IIS ประกอบด้วยข้อมูลคำขอการเข้าถึง (เช่น ที่อยู่ IP ชื่อผู้ใช้ บริการ พอร์ต) จาก ECP, OWA, ActiveSync, Mapi เป็นต้น
ข้อมูลในบันทึก IIS เป็นดังนี้:
บางทีบันทึก IIS อาจช่วยคุณค้นหาผู้ร้ายได้
นอกจากนี้ ตามคำอธิบายของคุณ เวอร์ชันของเซิร์ฟเวอร์ Exchange ของคุณไม่ใช่เวอร์ชันล่าสุด คุณควรติดตั้ง Exchange เวอร์ชัน CU/SU ล่าสุด โดยปกติแล้ว CU/SU ล่าสุดจะมีการแก้ไขสำหรับปัญหาที่ไม่เกี่ยวกับความปลอดภัยและการแก้ไขที่นำออกใช้ก่อนหน้านี้ทั้งหมดสำหรับปัญหาด้านความปลอดภัยและความไม่ปลอดภัย: CU22 สำหรับการแลกเปลี่ยนปี 2559
เมื่อเร็ว ๆ นี้ มีช่องโหว่หลายรายการที่พบใน Exchange 2013/2016/2019 หนึ่งในช่องโหว่ที่เกี่ยวข้องกับการปลอมแปลง:
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
