Exchange 2010-Überwachungstools zum Verfolgen des Verhaltens von Administratoren und Endbenutzern

Ich habe deine E-Mail gelesen. Nun, ich nicht Ja wirklich Lesen Sie Ihre E-Mail, aber woher wissen Sie das? IT findet diese Aussage lustig, aber es macht Nicht-Tech-Leute ein wenig nervös.

Viele Geschäfte werden per E-Mail getätigt, und Unternehmen verlassen sich bei kritischen Geschäftsprozessen auf Exchange Server. CEOs sind also besorgt darüber, was auf E-Mail-Servern tatsächlich passiert und wer darauf zugreifen kann.

Wohin wenden Sie sich als Exchange-Administrator, wenn der CEO zu Ihnen kommt, um Antworten zu erhalten? Sie wenden sich der Prüfung zu. Exchange Server 2010 verfügt über zwei Überwachungsebenen, die Administratoren verwenden können: Administrator-Überwachungsprotokollierung und Protokollierung der Postfachüberwachung. Jedes Tool unterscheidet sich geringfügig in Funktionalität und Einrichtung. Schauen wir uns also an, was jedes Tool bedeutet und warum Benutzer keine Administrator-basierten Audits befürchten sollten.

Was ist die Administrator-Überwachungsprotokollierung?

Mit der Administrator-Überwachungsprotokollierung (AAL) in Exchange 2010 Service Pack 1 (SP1) können Administratoren Befehle protokollieren, die auf dem Server ausgeführt wurden. AAL ist in Exchange 2010 SP1 standardmäßig aktiviert und speichert alle Befehle (außer Erhalten- und Suche-) in einem Schiedsgericht.
Unabhängig davon, ob ein Administrator die Befehle in der Exchange-Verwaltungskonsole (EMC), der Exchange-Verwaltungsshell (EMS) oder der Exchange-Systemsteuerung (ECP) ausführt, zeichnet AAL die tatsächlich ausgeführten EMS-Befehle auf.
AAL erstellt eine Aufzeichnung aller Änderungen, die Administratoren an der Umgebung vornehmen, damit Sie Fehler beheben und Verwaltungsaktionen überprüfen können. Das Tool bietet auch eine Aufzeichnung von Aktionen, mit denen die Einhaltung gesetzlicher Vorschriften oder Entdeckungsaufträge erfüllt werden können. Da detaillierte Informationen zu Änderungen aufgezeichnet werden, kann das Exchange-Team AAL als Dokumentation und zur Überprüfung von Umgebungsänderungen verwenden, wenn ein Problem behoben wird.
Anstatt den Administrator ausfindig machen zu müssen, der die Änderung vorgenommen hat, und zu hoffen, dass er sich daran erinnert, welche Änderung er vorgenommen hat, können Sie in der AAL anzeigen, wer was getan hat, und sehen, mit welchen EMS-Befehlen er Änderungen implementiert hat. Sie können dann gegebenenfalls Änderungen rekonstruieren oder rückgängig machen.

Innerhalb der AAL: Exchange 2010 RTM vs. SP1

AAL ist in Exchange 2010 SP1 standardmäßig aktiviert. Sie müssen es jedoch in Exchange 2010 RTM aktivieren und angeben, in welchem ​​Postfach die Protokolle gespeichert werden sollen. Öffnen Sie dazu das EMS und führen Sie die folgenden Befehle aus. In diesem Beispiel wird die Domäne verwendet example.com und das Benutzerkonto edfisher.
Set-AdminAuditLogConfig –AdminAuditLogMailbox [email protected]
Add-MailboxPermission [email protected] -Benutzer [email protected] –AccessRights Fullaccess
Wiederholen Sie die AddMailboxPermission Befehl für jeden Administrator, der Rechte an der Protokollmailbox haben soll; Sie können mit Outlook oder Outlook Web App 2010 (OWA) auf dieses Postfach zugreifen.
AAL hat in Exchange 2010 SP1 einige wesentliche Änderungen erfahren. Anstatt dass ein Administrator ein Postfach zum Speichern von AAL-Dateien angeben muss, bietet Exchange ein Standard-Arbitrierungspostfach für Protokolle (Abbildung 1). Das Arbitrierungspostfach wird nicht in der globalen Adressliste (GAL) angezeigt und kann nicht zu Outlook hinzugefügt werden. Administratoren können das ECP jedoch verwenden, um über Protokolle in diesem versteckten Postfach zu berichten.

Exchange 2010 verfügt über ein Standard-Arbitrierungspostfach für Protokolle
Abbildung 1. Exchange 2010 SP1 enthält ein Standard-Arbitrierungspostfach.

Wenn Sie SP1 auf einen Exchange-Server anwenden, auf dem RTM ausgeführt wird, oder einen neuen Server mit Exchange 2010 SP1 erstellen, ist AAL standardmäßig aktiviert. Wenn AAL aktiviert ist, werden standardmäßig alle Cmdlets außer protokolliert Prüfung-, Erhalten-, und Suche- und um alle Parameter zu protokollieren. Die Aufbewahrungsfrist beträgt ebenfalls 90 Tage.
Im EMS können Sie die verwenden Set-AdministratorAuditLog und entweder den vollständigen Befehlsnamen oder einen gültigen Platzhalter, um anzugeben, welche Parameter protokolliert werden sollen und wie lange das Überwachungsprotokoll Daten aufbewahren soll. Ich empfehle, dass Sie alle Standardwerte außer der Einstellung für den Aufbewahrungszeitraum verwenden. Wenden Sie sich an Ihren Dokumentenspezialisten oder Rechtsberater, um festzustellen, wie lange Sie Daten aufbewahren sollten. Mit dem folgenden Befehl wird der Zeitraum für die Aufbewahrung von Daten auf 180 Tage festgelegt.

Set-AdminAuditLogConfig –AdminAuditLogAgeLimit 180.00: 00: 00: 00
Administratoren müssen das ECP verwenden, um auf die Informationen in der AAL zuzugreifen. Besuchen Sie dazu https: // CASserver / ecp und klicken Sie auf Rollen und Auditing Link, dann klicken Sie auf Prüfung.
In der Exchange-Systemsteuerung können Administratoren Berichte zum Postfachzugriff von Nichtbesitzern, zum Halten von Rechtsstreitigkeiten und zu Administratorrollengruppen ausführen (Abbildung 2). Sie können auch Postfachüberwachungsprotokolle und Administratorüberwachungsprotokolle als XML-Datei exportieren, die sie per E-Mail an eine beliebige Adresse senden können.

Verwenden Sie die Exchange-Systemsteuerung, um verschiedene Berichte auszuführen
Abbildung 2. Verwenden Sie die Exchange-Systemsteuerung, um Berichte über den Postfachzugriff von Nichtbesitzern auszuführen.

Mit Berichten können Sie Nutzungsdaten abrufen. Externe Prüfer können Protokolle exportieren, wenn sie Daten für Konformitätsprüfungen suchen. In beiden Fällen wählen Sie einen Datumsbereich aus, nach dem Daten gefiltert werden sollen – von der maximalen Aufbewahrungsdauer bis heute.

Was ist die Postfachüberwachungsprotokollierung?

Mithilfe der Postfachüberwachungsprotokollierung können Administratoren Aktionen ermitteln und aufzeichnen (oder protokollieren), die ein Postfachbesitzer, ein Benutzer mit delegierten Rechten oder der Administrator in einem Postfach oder an einem seiner Inhalte ausgeführt hat. Mögliche Aktionen, die ein Benutzer ausführen kann, sind das Löschen oder Weiterleiten einer Nachricht. Jemand mit delegierten Rechten könnte auch einen Kalendereintrag bearbeiten.
Bei Verwendung mit ECP können Sie mit der Postfachüberwachungsprotokollierung Berichte ausführen und Protokolle für den Postfachzugriff exportieren. Wenn Sie Aktionen überprüfen müssen, die von Benutzern mit delegiertem Zugriff auf das Postfach eines anderen Benutzers ausgeführt werden, können Exchange-Administratoren Berichte über innerhalb eines bestimmten Zeitraums gesendete und empfangene E-Mails, bestimmte Postfächer oder alle Postfächer in der Umgebung anzeigen. Administratoren können diese Daten dann in eine Datei exportieren, um sie zu einem späteren Zeitpunkt zu überprüfen oder darüber zu berichten.
Um diese Informationen zu protokollieren, müssen Sie die Protokollierung pro Postfach aktivieren. Verwenden Sie dazu die Set-Mailbox Cmdlet, um anzugeben, dass Sie die Überwachung für ein Postfach aktivieren möchten, sowie die Aktionen, die Sie überwachen möchten. Der Befehl kann folgendermaßen aussehen:

Set-Mailbox –identity “Ed Fisher” –AuditEnabled $ true

In Abbildung 3 sehen Sie, dass die Aufbewahrungsdauer für Überwachungsprotokolle auf 90 Tage festgelegt ist. Sie können auch anzeigen, welche Aktionen Administratoren im Postfach eines Benutzers ausführen können, welche delegierten Aktionen protokolliert werden können und dass der Eigentümer überhaupt nicht protokolliert wird. Auf diese Weise können Sie aufzeichnen, welche Aktionen Benutzer (außer dem Postfachbesitzer) in einem bestimmten Postfach ausführen dürfen, ohne das Protokoll mit Aktionen zu überfluten, die der Besitzer den ganzen Tag über ausführt.

Legen Sie den Aufbewahrungszeitraum für die Exchange 2010-Überwachungsprotokollierung fest
Abbildung 3. Die Aufbewahrungsdauer für die Exchange 2010-Überwachungsprotokollierung beträgt 90 Tage.

Sie können Aktionen für den Eigentümer aktivieren, indem Sie angeben, dass Sie den Eigentümer überwachen möchten, und eine Liste der Aktionen, die protokolliert werden sollen, wie im folgenden Befehl gezeigt:

Set-Mailbox-Identität „Ed Fisher“ –AuditOwner {SoftDelete, HardDelete}

Ein Benutzer generiert eine große Anzahl von Protokolleinträgen in seinem Postfach. Verwenden Sie daher beim Einrichten dieser Funktion Zurückhaltung. Es ist hilfreich, gelöschte E-Mails zu protokollieren, wenn Sie sehen möchten, welche Nachrichten möglicherweise gelöscht werden, bevor Sie Sicherungen ausführen. Dies zeigt Ihnen jedoch nur die gelöschten Aktionen und die Nachrichten-ID. Das Protokoll erfasst keinen Nachrichteninhalt. Dazu müssen Sie sich die Nachrichtenarchive ansehen.

Der Wert einer ordnungsgemäßen Prüfung

Für Organisationen, in denen Benutzer vertrauliche Informationen in ihrer E-Mail speichern, bietet die Aktivierung der Exchange 2010 SP1-Postfachüberwachung mehrere Vorteile. Sie können damit E-Mail-Aktivitäten überwachen, die in der Exchange-Infrastruktur stattfinden. Mit der Überwachung können Sie auch Verwaltungsaktionen überprüfen, die Angemessenheit des delegierten Zugriffs überprüfen und Informationen für Konformitätsprüfungen, externe Prüfungen und Ermittlungsanforderungen bereitstellen.
Um jedoch Vorschriften, vertragliche Verpflichtungen oder andere gesetzliche Anforderungen einzuhalten, arbeiten Sie mit der Personalabteilung und dem Rechtsberater zusammen, um eine Richtlinie zu erstellen, in der angegeben ist, wen und welche Daten Sie prüfen werden. Dokumentieren Sie dann diesen Plan und befolgen Sie ihn ausnahmslos. Auditing ist wertvoll, aber sein Wert geht verloren, wenn es nicht richtig konfiguriert oder missbraucht wird.
Über den Autor:
Als Liebhaber von Capsaicin und Coffea canephora – aber nicht zusammen – beschäftigt Ed Fisher seinen Geek seit 1993 ganztägig und arbeitet seit 1986 in gewisser Weise mit Informationstechnologie. Einfach ausgedrückt, wenn Sie Informationen sicher erhalten möchten Punkt A bis Punkt B, er ist dein Typ. Er ist wie “The Transporter”, aber für Daten … und ohne Auto … und mit etwas mehr Haaren. Sie können mehr von seinen Sachen unter lesen retrohack.com. Fisher hat kürzlich eine Position bei Microsoft übernommen.

Similar Posts

Leave a Reply