Calendar details SHALL NOT be shared with all domains.
Dlaczego to jest ważne
Gdy szczegóły kalendarza są udostępniane wszystkim domenom, poufne informacje, takie jak tytuły spotkań, nazwiska uczestników i godziny terminów, mogą zostać ujawnione stronom zewnętrznym. Zwiększa to ryzyko ataków socjotechnicznych, ukierunkowanego phishingu oraz gromadzenia informacji korporacyjnych przez złośliwe podmioty. Administratorzy powinni ograniczać udostępnianie kalendarza, aby zachować poufność i zmniejszyć powierzchnię ataku organizacji.
Co sprawdza Aether365
Sprawdzanie to weryfikuje, czy zasady udostępniania kalendarza nie są skonfigurowane w sposób umożliwiający ujawnianie szczegółów kalendarza wszystkim domenom zewnętrznym. W panelu Aether365 w sekcji microsoft-365 checks ocena ta analizuje odpowiednie zasady udostępniania Exchange Online, aby upewnić się, że ograniczają one szczegółowe informacje o dostępności wyłącznie do uwierzytelnionych użytkowników lub określonych organizacji zewnętrznych.
Jak naprawić
- Zaloguj się do centrum administracyjnego Exchange (Exchange admin center) i przejdź do sekcji Organization > Sharing.
- Wybierz zasady udostępniania kalendarza używane do udostępniania zewnętrznego i edytuj je.
- W sekcji "Specify the calendar detail level" (Określ poziom szczegółowości kalendarza) wybierz odpowiednie ograniczenie (na przykład "Availability only" – tylko dostępność lub "Limited details" – ograniczone szczegóły) zamiast "All details" (wszystkie szczegóły).
- Ustaw zakres domen udostępniania na konkretne zaufane domeny zamiast "All domains" (wszystkie domeny).
- Zapisz zasady i zweryfikuj zmianę, testując zewnętrzny dostęp do kalendarza z nieuwierzytelnionej domeny.
Zgodność
- CIS Microsoft 365 Foundations Benchmark: CISA.MS.EXO.6.2
- Framework: CIS
- Usługa: microsoft-365