На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2074378
12231
Hosts 1616415
3032
Visitors 164434
4000

17

Главная / Статьи / Exchange 2007 / Аудит доступа к почтовым ящикам в Exchange 2007 (Часть 1)


Аудит доступа к почтовым ящикам в Exchange 2007 (Часть 1)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Важно: Перед дальнейшим чтением, пожалуйста, ознакомьтесь с этим постом в блоге команды Exchange Team:

Raising diagnostic logging for Message Access might cause calendar issues with Exchange 2007 SP2

В предыдущей статье здесь на MSExchange.org я рассказывал о том, как осуществлять базовый аудит доступа к почтовым ящикам в Exchange 2003 с помощью Exchange System Manager и средства отображения событий. Если вы прочитали ту статью, вы уже знаете, что этот процесс аудита наталкивается на некоторые ограничения. Например, колонка Last Logged On By в Exchange System Manager часто ссылается на аккаунт в Windows, отличающийся от того аккаунта, которому принадлежит почтовый ящик. Более того, если уровень журнала диагностики для контроля доступа увеличивается, будут часто появляться записи в журнале событий, говорящие о том, что определенный пользователь получает доступ к почтовому ящику, не являющимся аккаунтом первичной Active Directory. Хотя все это может сначала показаться подозрительным, часто случалось так, что кто-то просто просматривал календарь другого пользователя, вызывая таким образом создание записи в журнале событий или обновление колонки Last Logged On By соответственно. Эта проблема также часто происходила с аккаунтами служб для приложений вроде антивирусного средства или средства резервного копирования, которым необходимо заходить во все почтовые ящики. Поэтому полный глубокий аудит Exchange представлял собой довольно трудную задачу.

При появлении Exchange 2007 Service Pack 2 появилась и новая функция аудита доступа. Это совершенно новая функция, позволяющая администратору организации Exchange воплотить новый набор категорий в журнале диагностики, благодаря которому появляется возможность делать подробные записи в журнале событий аудита при запросах доступа к различным ресурсам. Ресурсы, доступ к которым можно отразить в журнале, включают сообщения, папки и возможность для пользователей отправлять письма от имени другого пользователя, напрямую либо с помощью функции send on behalf of. В этом двухчастном цикле статей мы посмотрим, как включить эту новую функцию, и приведем примеры того, что может появиться в журнале событий.

Журнал событий аудита Exchange

Вместо того, чтобы делать эти записи нового журнала событий прямо в журнал событий приложения, функция аудита доступа к почтовым ящикам делает записи в новом журнале событий под названием Exchange Auditing. Этот новый журнал событий показан на Рисунке 1, и хотя он сейчас пуст, мы еще увидим, как будут выглядеть в нем все события. В моей тестовой среде, управляемой Exchange 2007 SP2, файл нового журнала событий называется ExchangeAuditing.evtx и хранится в папке \Program Files\Exchange Server\Logs\AuditLogs.

Рисунок 1: Журнал событий аудита в Exchange Рисунок 1: Журнал событий аудита в Exchange

Включение функции аудита доступа к почтовым ящикам

Давайте посмотрим, как получить доступ к области конфигурации для функции аудита доступа к почтовым ящикам. Воспользуемся сначала Exchange Management Console, а затем перейдем к использованию Exchange Management Shell во второй статье этого цикла. Если вы запустите Exchange Management Console после установки Exchange 2007 Service Pack 2, вы, скорее всего, заметите несколько небольших изменений, позволяющие вам узнать о том, что Service Pack 2 установлен. Например, дополнительный элемент меню в панели задач при выделении одного из ваших серверов Exchange 2007. На Рисунке 2 вы видите новую опцию Manage Diagnostic Logging Properties.

Рисунок 2: Опция Manage Diagnostics Logging Properties Рисунок 2: Опция Manage Diagnostics Logging Properties

Чтобы настроить аудит доступа к почтовым ящикам на конкретном почтовом сервере, сначала выберите этот сервер в Exchange Management Console, а затем выберите опцию Manage Diagnostics Logging Properties в панели action. При этом появится экран Manage Diagnostics Logging Properties(см. Рисунок 3). На этом экране разверните категорию MSExchangeIS, после чего разверните категорию 9000 Private.

Рисунок 3: Экран настроек Manage Diagnostics Logging Properties Рисунок 3: Экран настроек Manage Diagnostics Logging Properties

В категории MSExchangeIS\9000 Private вы увидите много разных областей, для которых можно настроить уровень журнала диагностики. Поскольку в нашей статье мы концентрируемся на функции аудита доступа к почтовым ящикам, нас интересуют такие категории (в порядке, в котором они представлены на экране настройки): Extended Send As, Extended Send On Behalf Of, Folder Access и Message Access. Для начала давайте взглянем на категорию Folder Access, чтобы увидеть, что случиться, когда пользователь получает доступ к папке inbox другого пользователя. Сначала выберите категорию Folder Access на экране настроек, а затем выберите желаемый уровень журнала диагностики. Мы установим уровень Medium (см. Рисунок 4). Обсуждение смысла различных уровней диагностики будет позже, а сейчас вам нужно осознать, что установка среднего уровня означает, что в журнал будут попадать основные события, когда пользователь получает доступ к папкам на своем почтовом ящике, либо на почтовом ящике кого-то другого. После выбора уровня щелкните кнопку Configure.

Рисунок 4: Изменение уровня журнала диагностики доступа к файлам Рисунок 4: Изменение уровня журнала диагностики доступа к файлам

Если все в порядке, у вас должен появится экран completion, означающий, что уровень журнала событий успешно установлен. Однако настройка еще не завершена, так как вам еще нужно перезапустить службу Microsoft Exchange Information Store перед тем, как изменения вступят в силу.

Аудит доступа к папкам

Давайте теперь рассмотрим ситуацию, когда один пользователь по имени Mark сначала заходит в свой собственный ящик, а затем открывает папку inbox другого пользователя по имени Rob. В данном конкретном примере Mark уже получил разрешение от администратора открыть почтовый ящик Rob'а, и, соответственно, уже имеет доступ Full Access к ящику Rob'а. То есть, доступ Mark’а к почтовому ящику Rob'а ожидаемо, но все равно запись о доступе должна быть сделана. Сейчас, когда мы настроили категорию Folder Access на экране настройки Manage Diagnostics Logging Properties, давайте рассмотрим, какая информация попадает в журнал событий Exchange Auditing. В тот момент, когда Mark заходит в свой собственный почтовый ящик, вы увидите множество новых записей в журнале событий Exchange Auditing (см. Рисунок 5). На Рисунке 5 вы видите, что у всех новых записей есть ID 10100, источник MSExchangeIS Auditing и категория Mailbox Access Auditing.

Рисунок 5: Записи в журнале событий Exchange Auditing Рисунок 5: Записи в журнале событий Exchange Auditing

Один из примеров подобных записей в журнале событий показан ниже на Рисунке 6, где дано описание, говорящее, что Mark получил доступ к своему собственному почтовому ящику. Другие поля, включенные в описание события, как вы видите, содержат отображаемое имя папки, которое показывается в Outlook или в OWA, определенное имя пользователя, получившего доступ, производился ли доступ с администраторскими правами, и в самом низу - дополнительная информация клиента. Подробнее дополнительную клиентскую информацию мы рассмотрим во второй части этого цикла.

Рисунок 6: Event ID 10100 ' Own Mailbox Access Рисунок 6: Event ID 10100 ' Own Mailbox Access

Когда Mark получает доступ к папке inbox Rob'а, вносится новая запись в журнале событий и, очевидно, имеющая тот же ID события, источник и категорию, что и запись, сделанную, когда Mark получал доступ к собственному почтовому ящику. Дополнительную запись в журнале событий можно увидеть на Рисунке 7. Конечно, имея доступ Full Mailbox Access к почтовому ящику Rob'а, Mark может получать доступ к любой нужной ему папке, и, как и следовало ожидать, аудит заносит в журнал запись о доступе к любой папке, включая пользовательские папки, созданные Rob’ом.

Рисунок 7: Event ID 10100 ' Different Mailbox Access Рисунок 7: Event ID 10100 ' Different Mailbox Access

Заключение

Этим мы завершаем первую статью данного цикла, в которой мы рассмотрели доступные для записи категории аудита в Exchange, а также примеры записей в журнале событий, которые делаются при доступе пользователя к своему почтовому ящику, либо к почтовому ящику другого пользователя. В следующей статье мы завершим обзор этой новой функции в Exchange 2007 Service Pack 2 рассмотрением способа управления этой функцией с помощью Exchange Management Shell плюс журналов событий, записанных с помощью категорий Message Access и Send As.





Рейтинг:  
5.0 (голосов 1)  
 1   2   3   4   5    

Автор: Нейл Хобсон (Neil Hobson)

Нейл является основным консультантом в Silverslands (http://www.silversands.co.uk), Золотом партнере Microsoft в Великобритании и отвечает за разработку, применение и поддержку приложений для многих крупных клиентов по всей Европе. В IT отрасли он трудится с 1987 года и специализируется на отправке сообщений с 1995. Он начинал работать еще с Exchange 4.0. Он также обладает званием Exchange MVP и уделяет некоторую часть своего личного времени на помощь различным пользователям Exchange, ведет блоги, посвященные Exchange. Эти блоги вы можете найти по адресу http://www.msexchangeblog.com.

С Нейлом можно связаться по адресу [email protected].

Эта статья переведена и опубликована с разрешения www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010