一,概览 SP2 中增强的审核功能
SP2 之前,我们使用系统的组策略来配置审核Exchange计算机。
SP2 之后我们可以配合使用诊断日志来配置审核
Exchange 2007 SP2 增加了管理诊断日志的图形界面,更加直观
- Extended Send As 记录与代理启用邮箱的用户发送邮件相对应的事件
- Extended Send On Behalf Of 记录与代表启用邮箱的用户发送邮件相对应的事件
- Folder Access 记录与打开文件夹(如“收件箱”、“发件箱”或“已发送邮件”文件夹)相对应的事件
- Message Access 记录与打开邮件相对应的事件
SP2 之前使用系统的安全日志来记录审核结果,SP2 之后增加了一条专门的日志 Exchange Auditing
Exchange 的审核日志默认存在于 Exchange 安装目录下的 Logging\AuditLogs\文件夹,通过属性页,你可以配置它的路径,大小,日志满了之后是否归档。
二,访问审核
Exchange 2007 SP2 中新增的审核叫做访问审核,这个新增的功能不是用来替代 AD 审核的,而是它的一个补充,相互配合达到合适的审核策略。下面看看具体如何设置吧。
Folder Access (文件夹访问审核)先来设置一个审核看看什么效果:
这里有效的级别分别为:
最低 lowest:级别 0
低 low:级别 1
中等 Medium:级别 3
高 high:级别 5
细心的TX已经发现了 2 和 4 并没有列出来,因为 2 和 4 必须要使用 cmdlet来进行设置,图形界面是不能设置滴。
先设置一个高,看看效果,然后慢慢讲不同的审核。级别设置好了之后,记得重启服务 Microsoft Exchange Information Service.
【图:重启Microsoft Exchange Information Store 服务】
下面我要赋给 user1 访问 user2的权限,然后用 user1 去访问 user2 邮箱中的文件夹,看看这个审核日志的结果。
【图:管理user2的完全访问权限】
【图:添加 user1 对 user2 的完全访问权限】
【图:登陆user1】
登陆user 1后,运行eventvwr.msc, 查看Exchange Auditing 日志, 发现14条邮箱访问的审核日志,来看看都是什么吧。
【图:user1访问自己的邮箱产生日志】
下面第一条日志:user1 的邮箱下的文件夹 /NON_IPM_SUBTREE 被 MOMO\user1 打开了(就是user1本人打开了自己的邮箱),访问邮箱的用户位于AD /o=First Organization/ou=Exchange Administrative Group (FYDIxxxxxx)/cn=recipients/cn=user1
Administrative Rights: false 表示并不是使用管理员权限去访问的。
【图:NON_IPM_SUBTREE 文件夹被打开日志】
同样下面的日志记录了user1 打开了自己的文件夹 /inbox
【图:inbox 文件夹被user1打开】
其它的日志也分别记录了user1 访问了自己的邮箱文件夹,这里要解释一下 NON_IPM_SUBTREE (非IPM子树)和 IPM_SUBTREE (IPM子树)
IPM子树:通俗来讲就是用户能看到的文件夹驻留的地方,比如 收件箱,已发送邮件箱
非IPM子树:驻留应用程序使用的文件夹,比如 搜索 (finder) 文件夹
下面让 user1 打开 user2 的邮箱
【图:user1 在OWA打开 user2 的邮箱】
当user1 打开了 user2 的邮箱,我们在日志中清楚的看到 user2 的收件箱 (inbox) 被用户 MOMO/user1 打开了。
【图:user1 访问 user2 的收件箱日志】
大部分时候,我们并不需要审核用户访问自己邮箱的动作,比如 user1 访问 user1 自己的邮箱,还记录个什么劲啊。还有的时候,我们并不需要记录 非IPM子树 对应的文件夹信息,比如搜索,我们只需要记录别的用户访问其它用户的收件箱等 IPM子树的信息就可以了。
好吧,满足你~~~
这个时候我们就需要设置日志的级别了,先来看下面这张表:
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
| 0 | 不适用 | 不适用 | 不适用 | 没有 |
| 1 | 否 | 不适用 | 不适用 | 没有 |
| 1 | 是 | 不适用 | 不适用 | 基本事件 |
| 2 | 不适用 | 用户 A | 用户 A | 没有 |
| 2 | 不适用 | 用户 A | 用户 B | 基本事件 |
| 3 | 不适用 | 用户 A | 用户 A | 基本事件 |
| 3 | 不适用 | 用户 A | 用户 B | 基本事件 |
| 4 | 不适用 | 用户 A | 用户 A | 没有 |
| 4 | 不适用 | 用户 A | 用户 B | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 A | 所有事件 |
| 5 | 不适用 | 用户 A | 用户 B | 所有事件 |
解释一下,比如说最后一项,当日志级别设置为5的时候,用户A 访问 用户B 的邮箱会被记录所有事件,用户A访问自己的邮箱也会被记录所有的事件,所有事件的意思就是包含非IPM子树的访问事件,如果是基本事件,就不包含非IPM子树的访问事件,也就是只包含访问那些你看的到的文件夹的事件。
- 日志记录级别为零 (0) 时,不会做任何记录。在此日志记录级别,不会对文件夹访问做任何记录。
- 日志记录级别为一 (1) 时,仅记录使用管理权限的访问。
- 日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱用户对其他启用邮箱用户的访问。
- 日志记录级别为三 (3) 和五 (5) 时,记录所有用户对文件夹的访问。
如何设置级别 2 和 4
运行下面的两个cmdlets 就可以设置文件夹访问的审核级别为 2
Set-Location "HKLM:\System\CurrentControlSet\Services\MSExchangeIS\Diagnostics\9000 Private" Set-ItemProperty -Path . -Name "9074 Folder Access" -Value 2
如果想要查看当前的级别,运行完第一条cmdlet 后运行下面 cmdlet, 不要忘记后面那个点
Get-ItemProperty .
其实这个命令就是修改注册表,你可以直接到注册表中去修改相应的数值
更改级别后别忘了重启Information Store服务。
其余三项的设置大同小异
Message Access 邮件访问审核
|
日志记录级别 |
需要管理员权限 |
操作用户 |
邮箱 |
结果 |
|
0 |
不适用 |
不适用 |
不适用 |
没有 |
|
1 |
否 |
不适用 |
不适用 |
没有 |
|
1 |
是 |
不适用 |
不适用 |
基本事件 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
4 |
不适用 |
用户 A |
用户 A |
没有 |
|
4 |
不适用 |
用户 A |
用户 B |
所有事件 |
|
5 |
不适用 |
用户 A |
用户 A |
所有事件 |
|
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
日志user2 邮箱的一封邮件被user1 打开了,邮件位于Calendar文件夹中。我们看下面的信息,显示了访问计算机名,由于我是在服务器通过 OWA 打开用户的邮件的,会显示服务器名字 EX07SP2, Client= OWA.
上面记录的邮件是一长串邮件ID组成的,我们并不知道到底是那封邮件,没有关系,可以利用 Message Tracking 找到这封邮件。
找到了,邮件的标题可以清楚的看到,这个时候,我们最好配合 Journal 日记功能使用,就可以轻松的找到user1访问过的邮件。
Extended Send As 扩展代理发送审核
|
日志记录级别 |
需要管理员权限 |
操作用户 |
邮箱 |
结果 |
|
0 |
不适用 |
不适用 |
不适用 |
没有 |
|
1 |
否 |
用户 A |
用户 A |
不适用 |
|
1 |
是 |
用户 A |
用户 B |
所有事件 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
4 |
不适用 |
不适用 |
不适用 |
不适用 |
|
4 |
不适用 |
不适用 |
不适用 |
不适用 |
|
5 |
不适用 |
用户 A |
用户 A |
不适用 |
|
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
Extended Send On Behalf Of
|
日志记录级别 |
需要管理员权限 |
操作用户 |
邮箱 |
结果 |
|
0 |
不适用 |
不适用 |
不适用 |
没有 |
|
1 |
否 |
用户 A |
用户 A |
不适用 |
|
1 |
是 |
用户 A |
用户 B |
所有事件 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
2 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
3 |
不适用 |
不适用 |
不适用 |
不适用 |
|
4 |
不适用 |
不适用 |
不适用 |
不适用 |
|
4 |
不适用 |
不适用 |
不适用 |
不适用 |
|
5 |
不适用 |
用户 A |
用户 A |
不适用 |
|
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
三,总结
Exchange 2007 SP2 中的访问审核提供了一种新的审核方法,它不会记录一些无用的信息,比如free/busy访问的信息,比如Exchange 自身服务访问的信息,只记录用户实际打开邮箱,邮件的操作。
如果我们安装了一些应用程序需要访问用户的邮件或邮箱,我们可以设置这个服务绕过审核,这样就不会产生大量无用的审核日志。
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
默认情况下,由于 域管理员拥有所有扩展权限,也就有了ms-Exch-Store-Bypass-Access-Auditing 的权限,所以Exchange 访问审核并不会对这些管理员做的审核。另外,SP2中的访问审核,并不会记录用户删除邮件操作。由于Exchange本身的管理员也具有删除日志,更改自己权限绕过审核,所以制定审核策略的时候要留意。
使用 Exchange 2007 SP2 中的访问审核并不是要替代 Windows 的审核功能,Exchange 2007 SP2 中的审核只是整个企业环境中审核的一小部分,如果要考虑全面的审核策略,建议你看看下面的白皮书
