使用 Exchange 2007 SP2 增强的访问审核
2009-09-12 11:19
253 查看
一,概览 SP2 中增强的审核功能
SP2 之前,我们使用系统的组策略来配置审核Exchange计算机。
SP2 之后我们可以配合使用诊断日志来配置审核
Exchange 2007 SP2 增加了管理诊断日志的图形界面,更加直观
Extended Send As 记录与代理启用邮箱的用户发送邮件相对应的事件
Extended Send On Behalf Of 记录与代表启用邮箱的用户发送邮件相对应的事件
Folder Access 记录与打开文件夹(如“收件箱”、“发件箱”或“已发送邮件”文件夹)相对应的事件
Message Access 记录与打开邮件相对应的事件
SP2 之前使用系统的安全日志来记录审核结果,SP2 之后增加了一条专门的日志 Exchange Auditing
Exchange 的审核日志默认存在于 Exchange 安装目录下的 Logging\AuditLogs\文件夹,通过属性页,你可以配置它的路径,大小,日志满了之后是否归档。
二,访问审核
Exchange 2007 SP2 中新增的审核叫做访问审核,这个新增的功能不是用来替代 AD 审核的,而是它的一个补充,相互配合达到合适的审核策略。下面看看具体如何设置吧。
Folder Access (文件夹访问审核)先来设置一个审核看看什么效果:
这里有效的级别分别为:
最低 lowest:级别 0
低 low:级别 1
中等 Medium:级别 3
高 high:级别 5
细心的TX已经发现了 2 和 4 并没有列出来,因为 2 和 4 必须要使用 cmdlet来进行设置,图形界面是不能设置滴。
先设置一个高,看看效果,然后慢慢讲不同的审核。级别设置好了之后,记得重启服务 Microsoft Exchange Information Service.
【图:重启Microsoft Exchange Information Store 服务】
下面我要赋给 user1 访问 user2的权限,然后用 user1 去访问 user2 邮箱中的文件夹,看看这个审核日志的结果。
【图:管理user2的完全访问权限】
【图:添加 user1 对 user2 的完全访问权限】
【图:登陆user1】
登陆user 1后,运行eventvwr.msc, 查看Exchange Auditing 日志, 发现14条邮箱访问的审核日志,来看看都是什么吧。
【图:user1访问自己的邮箱产生日志】
下面第一条日志:user1 的邮箱下的文件夹 /NON_IPM_SUBTREE 被 MOMO\user1 打开了(就是user1本人打开了自己的邮箱),访问邮箱的用户位于AD /o=First Organization/ou=Exchange Administrative Group (FYDIxxxxxx)/cn=recipients/cn=user1
Administrative Rights: false 表示并不是使用管理员权限去访问的。
【图:NON_IPM_SUBTREE 文件夹被打开日志】
同样下面的日志记录了user1 打开了自己的文件夹 /inbox
【图:inbox 文件夹被user1打开】
其它的日志也分别记录了user1 访问了自己的邮箱文件夹,这里要解释一下 NON_IPM_SUBTREE (非IPM子树)和 IPM_SUBTREE (IPM子树)
IPM子树:通俗来讲就是用户能看到的文件夹驻留的地方,比如 收件箱,已发送邮件箱
非IPM子树:驻留应用程序使用的文件夹,比如 搜索 (finder) 文件夹
下面让 user1 打开 user2 的邮箱
【图:user1 在OWA打开 user2 的邮箱】
当user1 打开了 user2 的邮箱,我们在日志中清楚的看到 user2 的收件箱 (inbox) 被用户 MOMO/user1 打开了。
【图:user1 访问 user2 的收件箱日志】
大部分时候,我们并不需要审核用户访问自己邮箱的动作,比如 user1 访问 user1 自己的邮箱,还记录个什么劲啊。还有的时候,我们并不需要记录 非IPM子树 对应的文件夹信息,比如搜索,我们只需要记录别的用户访问其它用户的收件箱等 IPM子树的信息就可以了。
好吧,满足你~~~
这个时候我们就需要设置日志的级别了,先来看下面这张表:
解释一下,比如说最后一项,当日志级别设置为5的时候,用户A 访问 用户B 的邮箱会被记录所有事件,用户A访问自己的邮箱也会被记录所有的事件,所有事件的意思就是包含非IPM子树的访问事件,如果是基本事件,就不包含非IPM子树的访问事件,也就是只包含访问那些你看的到的文件夹的事件。
日志记录级别为零 (0) 时,不会做任何记录。在此日志记录级别,不会对文件夹访问做任何记录。
日志记录级别为一 (1) 时,仅记录使用管理权限的访问。
日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱用户对其他启用邮箱用户的访问。
日志记录级别为三 (3) 和五 (5) 时,记录所有用户对文件夹的访问。
如何设置级别 2 和 4
运行下面的两个cmdlets 就可以设置文件夹访问的审核级别为 2
Set-Location "HKLM:\System\CurrentControlSet\Services\MSExchangeIS\Diagnostics\9000 Private"
Set-ItemProperty -Path . -Name "9074 Folder Access" -Value 2
如果想要查看当前的级别,运行完第一条cmdlet 后运行下面 cmdlet, 不要忘记后面那个点
Get-ItemProperty .
其实这个命令就是修改注册表,你可以直接到注册表中去修改相应的数值
更改级别后别忘了重启Information Store服务。
其余三项的设置大同小异
Message Access 邮件访问审核
日志user2 邮箱的一封邮件被user1 打开了,邮件位于Calendar文件夹中。我们看下面的信息,显示了访问计算机名,由于我是在服务器通过 OWA 打开用户的邮件的,会显示服务器名字 EX07SP2, Client= OWA.
上面记录的邮件是一长串邮件ID组成的,我们并不知道到底是那封邮件,没有关系,可以利用 Message Tracking 找到这封邮件。
找到了,邮件的标题可以清楚的看到,这个时候,我们最好配合 Journal 日记功能使用,就可以轻松的找到user1访问过的邮件。
Extended Send As 扩展代理发送审核
Extended Send On Behalf Of
三,总结
Exchange 2007 SP2 中的访问审核提供了一种新的审核方法,它不会记录一些无用的信息,比如free/busy访问的信息,比如Exchange 自身服务访问的信息,只记录用户实际打开邮箱,邮件的操作。
如果我们安装了一些应用程序需要访问用户的邮件或邮箱,我们可以设置这个服务绕过审核,这样就不会产生大量无用的审核日志。
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
默认情况下,由于 域管理员拥有所有扩展权限,也就有了ms-Exch-Store-Bypass-Access-Auditing 的权限,所以Exchange 访问审核并不会对这些管理员做的审核。另外,SP2中的访问审核,并不会记录用户删除邮件操作。由于Exchange本身的管理员也具有删除日志,更改自己权限绕过审核,所以制定审核策略的时候要留意。
使用 Exchange 2007 SP2 中的访问审核并不是要替代 Windows 的审核功能,Exchange 2007 SP2 中的审核只是整个企业环境中审核的一小部分,如果要考虑全面的审核策略,建议你看看下面的白皮书
http://technet.microsoft.com/en-us/library/ee331009.aspx
SP2 之前,我们使用系统的组策略来配置审核Exchange计算机。
SP2 之后我们可以配合使用诊断日志来配置审核
Exchange 2007 SP2 增加了管理诊断日志的图形界面,更加直观
Extended Send As 记录与代理启用邮箱的用户发送邮件相对应的事件
Extended Send On Behalf Of 记录与代表启用邮箱的用户发送邮件相对应的事件
Folder Access 记录与打开文件夹(如“收件箱”、“发件箱”或“已发送邮件”文件夹)相对应的事件
Message Access 记录与打开邮件相对应的事件
SP2 之前使用系统的安全日志来记录审核结果,SP2 之后增加了一条专门的日志 Exchange Auditing
Exchange 的审核日志默认存在于 Exchange 安装目录下的 Logging\AuditLogs\文件夹,通过属性页,你可以配置它的路径,大小,日志满了之后是否归档。
二,访问审核
Exchange 2007 SP2 中新增的审核叫做访问审核,这个新增的功能不是用来替代 AD 审核的,而是它的一个补充,相互配合达到合适的审核策略。下面看看具体如何设置吧。
Folder Access (文件夹访问审核)先来设置一个审核看看什么效果:
这里有效的级别分别为:
最低 lowest:级别 0
低 low:级别 1
中等 Medium:级别 3
高 high:级别 5
细心的TX已经发现了 2 和 4 并没有列出来,因为 2 和 4 必须要使用 cmdlet来进行设置,图形界面是不能设置滴。
先设置一个高,看看效果,然后慢慢讲不同的审核。级别设置好了之后,记得重启服务 Microsoft Exchange Information Service.
【图:重启Microsoft Exchange Information Store 服务】
下面我要赋给 user1 访问 user2的权限,然后用 user1 去访问 user2 邮箱中的文件夹,看看这个审核日志的结果。
【图:管理user2的完全访问权限】
【图:添加 user1 对 user2 的完全访问权限】
【图:登陆user1】
登陆user 1后,运行eventvwr.msc, 查看Exchange Auditing 日志, 发现14条邮箱访问的审核日志,来看看都是什么吧。
【图:user1访问自己的邮箱产生日志】
下面第一条日志:user1 的邮箱下的文件夹 /NON_IPM_SUBTREE 被 MOMO\user1 打开了(就是user1本人打开了自己的邮箱),访问邮箱的用户位于AD /o=First Organization/ou=Exchange Administrative Group (FYDIxxxxxx)/cn=recipients/cn=user1
Administrative Rights: false 表示并不是使用管理员权限去访问的。
【图:NON_IPM_SUBTREE 文件夹被打开日志】
同样下面的日志记录了user1 打开了自己的文件夹 /inbox
【图:inbox 文件夹被user1打开】
其它的日志也分别记录了user1 访问了自己的邮箱文件夹,这里要解释一下 NON_IPM_SUBTREE (非IPM子树)和 IPM_SUBTREE (IPM子树)
IPM子树:通俗来讲就是用户能看到的文件夹驻留的地方,比如 收件箱,已发送邮件箱
非IPM子树:驻留应用程序使用的文件夹,比如 搜索 (finder) 文件夹
下面让 user1 打开 user2 的邮箱
【图:user1 在OWA打开 user2 的邮箱】
当user1 打开了 user2 的邮箱,我们在日志中清楚的看到 user2 的收件箱 (inbox) 被用户 MOMO/user1 打开了。
【图:user1 访问 user2 的收件箱日志】
大部分时候,我们并不需要审核用户访问自己邮箱的动作,比如 user1 访问 user1 自己的邮箱,还记录个什么劲啊。还有的时候,我们并不需要记录 非IPM子树 对应的文件夹信息,比如搜索,我们只需要记录别的用户访问其它用户的收件箱等 IPM子树的信息就可以了。
好吧,满足你~~~
这个时候我们就需要设置日志的级别了,先来看下面这张表:
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
| 0 | 不适用 | 不适用 | 不适用 | 没有 |
| 1 | 否 | 不适用 | 不适用 | 没有 |
| 1 | 是 | 不适用 | 不适用 | 基本事件 |
| 2 | 不适用 | 用户 A | 用户 A | 没有 |
| 2 | 不适用 | 用户 A | 用户 B | 基本事件 |
| 3 | 不适用 | 用户 A | 用户 A | 基本事件 |
| 3 | 不适用 | 用户 A | 用户 B | 基本事件 |
| 4 | 不适用 | 用户 A | 用户 A | 没有 |
| 4 | 不适用 | 用户 A | 用户 B | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 A | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 B | 所有事件 |
解释一下,比如说最后一项,当日志级别设置为5的时候,用户A 访问 用户B 的邮箱会被记录所有事件,用户A访问自己的邮箱也会被记录所有的事件,所有事件的意思就是包含非IPM子树的访问事件,如果是基本事件,就不包含非IPM子树的访问事件,也就是只包含访问那些你看的到的文件夹的事件。
日志记录级别为零 (0) 时,不会做任何记录。在此日志记录级别,不会对文件夹访问做任何记录。
日志记录级别为一 (1) 时,仅记录使用管理权限的访问。
日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱用户对其他启用邮箱用户的访问。
日志记录级别为三 (3) 和五 (5) 时,记录所有用户对文件夹的访问。
如何设置级别 2 和 4
运行下面的两个cmdlets 就可以设置文件夹访问的审核级别为 2
Set-Location "HKLM:\System\CurrentControlSet\Services\MSExchangeIS\Diagnostics\9000 Private"
Set-ItemProperty -Path . -Name "9074 Folder Access" -Value 2
如果想要查看当前的级别,运行完第一条cmdlet 后运行下面 cmdlet, 不要忘记后面那个点
Get-ItemProperty .
其实这个命令就是修改注册表,你可以直接到注册表中去修改相应的数值
更改级别后别忘了重启Information Store服务。
其余三项的设置大同小异
Message Access 邮件访问审核
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
| 0 | 不适用 | 不适用 | 不适用 | 没有 |
| 1 | 否 | 不适用 | 不适用 | 没有 |
| 1 | 是 | 不适用 | 不适用 | 基本事件 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 4 | 不适用 | 用户 A | 用户 A | 没有 |
| 4 | 不适用 | 用户 A | 用户 B | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 A | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 B | 所有事件 |
日志user2 邮箱的一封邮件被user1 打开了,邮件位于Calendar文件夹中。我们看下面的信息,显示了访问计算机名,由于我是在服务器通过 OWA 打开用户的邮件的,会显示服务器名字 EX07SP2, Client= OWA.
上面记录的邮件是一长串邮件ID组成的,我们并不知道到底是那封邮件,没有关系,可以利用 Message Tracking 找到这封邮件。
找到了,邮件的标题可以清楚的看到,这个时候,我们最好配合 Journal 日记功能使用,就可以轻松的找到user1访问过的邮件。
Extended Send As 扩展代理发送审核
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
| 0 | 不适用 | 不适用 | 不适用 | 没有 |
| 1 | 否 | 用户 A | 用户 A | 不适用 |
| 1 | 是 | 用户 A | 用户 B | 所有事件 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 4 | 不适用 | 不适用 | 不适用 | 不适用 |
| 4 | 不适用 | 不适用 | 不适用 | 不适用 |
| 5 | 不适用 | 用户 A | 用户 A | 不适用 |
| 5 | 不适用 | 用户 A | 用户 B | 所有事件 |
Extended Send On Behalf Of
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
| 0 | 不适用 | 不适用 | 不适用 | 没有 |
| 1 | 否 | 用户 A | 用户 A | 不适用 |
| 1 | 是 | 用户 A | 用户 B | 所有事件 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 2 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 3 | 不适用 | 不适用 | 不适用 | 不适用 |
| 4 | 不适用 | 不适用 | 不适用 | 不适用 |
| 4 | 不适用 | 不适用 | 不适用 | 不适用 |
| 5 | 不适用 | 用户 A | 用户 A | 不适用 |
| 5 | 不适用 | 用户 A | 用户 B | 所有事件 |
三,总结
Exchange 2007 SP2 中的访问审核提供了一种新的审核方法,它不会记录一些无用的信息,比如free/busy访问的信息,比如Exchange 自身服务访问的信息,只记录用户实际打开邮箱,邮件的操作。
如果我们安装了一些应用程序需要访问用户的邮件或邮箱,我们可以设置这个服务绕过审核,这样就不会产生大量无用的审核日志。
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
默认情况下,由于 域管理员拥有所有扩展权限,也就有了ms-Exch-Store-Bypass-Access-Auditing 的权限,所以Exchange 访问审核并不会对这些管理员做的审核。另外,SP2中的访问审核,并不会记录用户删除邮件操作。由于Exchange本身的管理员也具有删除日志,更改自己权限绕过审核,所以制定审核策略的时候要留意。
使用 Exchange 2007 SP2 中的访问审核并不是要替代 Windows 的审核功能,Exchange 2007 SP2 中的审核只是整个企业环境中审核的一小部分,如果要考虑全面的审核策略,建议你看看下面的白皮书
http://technet.microsoft.com/en-us/library/ee331009.aspx
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用 Exchange 2007 SP2 增强的访问审核
- 使用 Exchange 2007 SP2 新增的备份功能
- 【转】使用Windows Backup备份Exchange 2007 SP2和Exchange 2010
- Exchange 2010 sp2使用脱机地址簿策略隔离用户访问!
- 使用 Exchange 2007 SP2 新增的备份功能
- 使用Exchange 2007部署邮件记录管理
- 启用Exchange邮箱审核后使用命令Search-MailboxAuditLog返回结果为空
- Exchange 2007 内存使用问题
- 使用Exchange 2007搭建多域名邮件系统
- exchange 2007 访问时提示这个错误
- 使用ps为exchange 2007重新分配证书,以解决默认安装时证书与服务器fqdn不匹配问题。
- 使用 Exchange 命令行管理程序设置对资源邮箱日程的完全访问权
- Exchange 2007 OWA访问重定向
- 实现Exchange 2007 SP2 自动备份
- 使用 OpenRowSet 和 OpenDataSource 访问 Excel 97-2007
- 使用Exchange 2007的几个注意事项
- 通过outlook connector使用Outlook 2003 或 Outlook 2007 访问和管理 Windows Live Hotmail 或 Office Live Mail 帐户、联系人,收发送电子邮件
- 使用 OpenRowSet 和 OpenDataSource 访问 Excel 97-2007
- 获取exchange 2007 中的用户配额使用量(即用户已使用的邮箱空间)
- 解决Word 2007启动时弹出“无法访问您试图使用功能所在的网络位置”的问题...