使用 Exchange 2007 SP2 增强的访问审核

一,概览 SP2 中增强的审核功能

SP2 之前,我们使用系统的组策略来配置审核Exchange计算机。

image

SP2 之后我们可以配合使用诊断日志来配置审核

image

Exchange 2007 SP2 增加了管理诊断日志的图形界面,更加直观

image

 

  • Extended Send As 记录与代理启用邮箱的用户发送邮件相对应的事件
  • Extended Send On Behalf Of 记录与代表启用邮箱的用户发送邮件相对应的事件
  • Folder Access 记录与打开文件夹(如“收件箱”、“发件箱”或“已发送邮件”文件夹)相对应的事件
  • Message Access 记录与打开邮件相对应的事件

 

SP2 之前使用系统的安全日志来记录审核结果,SP2 之后增加了一条专门的日志 Exchange Auditing

image

Exchange 的审核日志默认存在于 Exchange 安装目录下的 Logging\AuditLogs\文件夹,通过属性页,你可以配置它的路径,大小,日志满了之后是否归档。

image

 

 

 

二,访问审核

Exchange 2007 SP2 中新增的审核叫做访问审核,这个新增的功能不是用来替代 AD 审核的,而是它的一个补充,相互配合达到合适的审核策略。下面看看具体如何设置吧。

 

Folder Access (文件夹访问审核)先来设置一个审核看看什么效果:

image

这里有效的级别分别为:

 

最低 lowest:级别 0

低 low:级别 1

中等 Medium:级别 3

高 high:级别 5

 

细心的TX已经发现了 2 和 4 并没有列出来,因为 2 和 4 必须要使用 cmdlet来进行设置,图形界面是不能设置滴。

 

先设置一个高,看看效果,然后慢慢讲不同的审核。级别设置好了之后,记得重启服务 Microsoft Exchange Information Service.

image

【图:重启Microsoft Exchange Information Store 服务】

 

下面我要赋给 user1 访问 user2的权限,然后用 user1 去访问 user2 邮箱中的文件夹,看看这个审核日志的结果。

image

【图:管理user2的完全访问权限】

 

 image

【图:添加 user1 对 user2 的完全访问权限】

 

image

【图:登陆user1】

 

登陆user 1后,运行eventvwr.msc, 查看Exchange Auditing 日志, 发现14条邮箱访问的审核日志,来看看都是什么吧。

image

【图:user1访问自己的邮箱产生日志】

 

下面第一条日志:user1 的邮箱下的文件夹 /NON_IPM_SUBTREE 被 MOMO\user1 打开了(就是user1本人打开了自己的邮箱),访问邮箱的用户位于AD /o=First Organization/ou=Exchange Administrative Group (FYDIxxxxxx)/cn=recipients/cn=user1

Administrative Rights: false 表示并不是使用管理员权限去访问的。

image

【图:NON_IPM_SUBTREE 文件夹被打开日志】

 

同样下面的日志记录了user1 打开了自己的文件夹 /inbox

image

【图:inbox 文件夹被user1打开】

 

其它的日志也分别记录了user1 访问了自己的邮箱文件夹,这里要解释一下 NON_IPM_SUBTREE (非IPM子树)和 IPM_SUBTREE (IPM子树)

 

IPM子树:通俗来讲就是用户能看到的文件夹驻留的地方,比如 收件箱,已发送邮件箱

非IPM子树:驻留应用程序使用的文件夹,比如 搜索 (finder) 文件夹

 

下面让 user1 打开 user2 的邮箱

image

【图:user1 在OWA打开 user2 的邮箱】

 

当user1 打开了 user2 的邮箱,我们在日志中清楚的看到 user2 的收件箱 (inbox) 被用户 MOMO/user1 打开了。

image

【图:user1 访问 user2 的收件箱日志】

 

大部分时候,我们并不需要审核用户访问自己邮箱的动作,比如 user1 访问 user1 自己的邮箱,还记录个什么劲啊。还有的时候,我们并不需要记录 非IPM子树 对应的文件夹信息,比如搜索,我们只需要记录别的用户访问其它用户的收件箱等 IPM子树的信息就可以了。

好吧,满足你~~~

 

这个时候我们就需要设置日志的级别了,先来看下面这张表:

日志记录级别

需要管理员权限

操作用户

邮箱

结果

0

不适用

不适用

不适用

没有

1

不适用

不适用

没有

1

不适用

不适用

基本事件

2

不适用

用户 A

用户 A

没有

2

不适用

用户 A

用户 B

基本事件

3

不适用

用户 A

用户 A

基本事件

3

不适用

用户 A

用户 B

基本事件

4

不适用

用户 A

用户 A

没有

4

不适用

用户 A

用户 B

所有事件

5

不适用

用户 A

用户 A

所有事件

5

不适用

用户 A

用户 B

所有事件

 

解释一下,比如说最后一项,当日志级别设置为5的时候,用户A 访问 用户B 的邮箱会被记录所有事件,用户A访问自己的邮箱也会被记录所有的事件,所有事件的意思就是包含非IPM子树的访问事件,如果是基本事件,就不包含非IPM子树的访问事件,也就是只包含访问那些你看的到的文件夹的事件。

 

  • 日志记录级别为零 (0) 时,不会做任何记录。在此日志记录级别,不会对文件夹访问做任何记录。
  • 日志记录级别为一 (1) 时,仅记录使用管理权限的访问。
  • 日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱用户对其他启用邮箱用户的访问。
  • 日志记录级别为三 (3) 和五 (5) 时,记录所有用户对文件夹的访问。

 

如何设置级别 2 和 4

运行下面的两个cmdlets 就可以设置文件夹访问的审核级别为 2

Set-Location "HKLM:\System\CurrentControlSet\Services\MSExchangeIS\Diagnostics\9000 Private" Set-ItemProperty -Path . -Name "9074 Folder Access" -Value 2

 

如果想要查看当前的级别,运行完第一条cmdlet 后运行下面 cmdlet, 不要忘记后面那个点

Get-ItemProperty .

 

其实这个命令就是修改注册表,你可以直接到注册表中去修改相应的数值

image

更改级别后别忘了重启Information Store服务。

 

其余三项的设置大同小异

 

Message Access 邮件访问审核

日志记录级别

需要管理员权限

操作用户

邮箱

结果

0

不适用

不适用

不适用

没有

1

不适用

不适用

没有

1

不适用

不适用

基本事件

2

不适用

不适用

不适用

不适用

2

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

4

不适用

用户 A

用户 A

没有

4

不适用

用户 A

用户 B

所有事件

5

不适用

用户 A

用户 A

所有事件

5

不适用

用户 A

用户 B

所有事件

image

日志user2 邮箱的一封邮件被user1 打开了,邮件位于Calendar文件夹中。我们看下面的信息,显示了访问计算机名,由于我是在服务器通过 OWA 打开用户的邮件的,会显示服务器名字 EX07SP2, Client= OWA.

image

上面记录的邮件是一长串邮件ID组成的,我们并不知道到底是那封邮件,没有关系,可以利用 Message Tracking 找到这封邮件。

 

image

找到了,邮件的标题可以清楚的看到,这个时候,我们最好配合 Journal 日记功能使用,就可以轻松的找到user1访问过的邮件。

image

 

Extended Send As 扩展代理发送审核

日志记录级别

需要管理员权限

操作用户

邮箱

结果

0

不适用

不适用

不适用

没有

1

用户 A

用户 A

不适用

1

用户 A

用户 B

所有事件

2

不适用

不适用

不适用

不适用

2

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

4

不适用

不适用

不适用

不适用

4

不适用

不适用

不适用

不适用

5

不适用

用户 A

用户 A

不适用

5

不适用

用户 A

用户 B

所有事件

 

Extended Send On Behalf Of

日志记录级别

需要管理员权限

操作用户

邮箱

结果

0

不适用

不适用

不适用

没有

1

用户 A

用户 A

不适用

1

用户 A

用户 B

所有事件

2

不适用

不适用

不适用

不适用

2

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

3

不适用

不适用

不适用

不适用

4

不适用

不适用

不适用

不适用

4

不适用

不适用

不适用

不适用

5

不适用

用户 A

用户 A

不适用

5

不适用

用户 A

用户 B

所有事件

 

 

三,总结

Exchange 2007 SP2 中的访问审核提供了一种新的审核方法,它不会记录一些无用的信息,比如free/busy访问的信息,比如Exchange 自身服务访问的信息,只记录用户实际打开邮箱,邮件的操作。

 

如果我们安装了一些应用程序需要访问用户的邮件或邮箱,我们可以设置这个服务绕过审核,这样就不会产生大量无用的审核日志。

get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All

 

默认情况下,由于 域管理员拥有所有扩展权限,也就有了ms-Exch-Store-Bypass-Access-Auditing 的权限,所以Exchange 访问审核并不会对这些管理员做的审核。另外,SP2中的访问审核,并不会记录用户删除邮件操作。由于Exchange本身的管理员也具有删除日志,更改自己权限绕过审核,所以制定审核策略的时候要留意。

 

使用 Exchange 2007 SP2 中的访问审核并不是要替代 Windows 的审核功能,Exchange 2007 SP2 中的审核只是整个企业环境中审核的一小部分,如果要考虑全面的审核策略,建议你看看下面的白皮书

http://technet.microsoft.com/en-us/library/ee331009.aspx

你可能感兴趣的:(职场,访问,Exchange,休闲,审核)