Video-Tipp: Exchange-Überwachung

Überwachen von Zugriffen auf Exchange-Postfächer

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man mit Hilfe der Überwachungsprotokollierung von Postfächern im Exchange Admin Center die Mailbox-zugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir in diesem Video-Tipp.
Wie man mit Hilfe der Überwachungsprotokollierung von Postfächern im Exchange Admin Center die Mailbox-zugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir in diesem Video-Tipp. (© freshidea - stock.adobe.com)

Exchange und Outlook ermöglichen Anwendern oder Administratoren relativ einfach Zugriff auf Postfächer von Dritten zu erhalten. Das ist zwar häufig richtig und notwendig, aber es sollte immer ein Überblick darüber behalten werden, wer auf fremde Postfächer zugreifen darf, und ob der Zugriff noch erwünscht ist. Die Postfachüberwachungsprotokollierung (mailbox audit logging) von Exchange bietet hier alle nötigen Informationen.

Da Postfächer vertrauliche Informationen enthalten können, ist es wichtig zu verfolgen wer sich an den Postfächern anmeldet und welche Aktionen externe Benutzer des Postfachs durchführen. Hier ist es besonders wichtig zu überprüfen, welche Benutzer Aktionen mit Postfächern durchführen, die nicht ihre eigenen sind.

Mit der Postfachüberwachungsprotokollierung im Exchange Admin Center kann der Zugriff auf Postfächer durch den Postfachbesitzer, aber auch durch Stellvertretungen und Administratoren protokolliert und überprüft werden. Im Rahmen der Aktivierung kann genau festgelegt werden, was genau überwacht werden soll. Dazu gehören die verschiedenen Aktionen, die Anwender in Postfächern durchführen können. Das Protokoll enthält alle notwendigen Daten, um die Aktionen nachzuverfolgen, Auch die IP-Adresse des zugreifenden Gerätes kann an dieser Stelle festgehalten werden, genauso wie alle anderen Informationen, die zu einer zuverlässigen Überwachung gehören.

Wie man in Exchange die Postfachzugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir hier im Video-Tipp und in der Bildergalerie zum Artikel.

Postfachsüberwachungsprotokolle im Überblick

Exchange erstellt für jedes Postfach ein eigenes Protokoll. Das Protokoll wird im Postfach selbst gespeichert. Das heißt, beim Verschieben von Postfächern werden die Protokolle mit verschoben. Außerdem werden die Protokolle auch bei der Datensicherung berücksichtigt. Die Protokolle sind also jederzeit wiederherstellbar.

Damit der Datenspeicher von Postfächern nicht mit Protokollen vollkommen ausgelastet wird, löscht Exchange die Protokolle automatisch nach 90 Tagen. Die Aufbewahrungsfrist kann aber jederzeit angepasst werden. Dazu wird das CMDlet Set-Mailbox mit der Option „AuditLogAgeLimit“ verwendet. Aktivieren Administratoren die gesetzliche Aufbewahrung für ein Postfach, werden die Protokolle in diesem Postfach nicht gelöscht. Das gilt auch für alle anderen Objekte im Postfach.

Aktivieren der Postfachüberwachungsprotokollierung

Die Postfachüberwachungsprotokollierung wird mit dem CMDlet Set-Mailbox aktiviert und gesteuert:

Set-Mailbox -Identity "Thomas Joos" -AuditEnabled $true

Um die Protokollierung wieder zu deaktivieren wird folgender Befehl verwendet:

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

Zum Überprüfen, ob die Postfachüberwachungsprotokollierung für ein Postfach erfolgreich aktiviert wurde, wird das Cmdlet Get-Mailbox verwendet:

Get-Mailbox <Name> | Format-List *audit*

In der Exchange Management Shell kann die Überwachung für alle Benutzerpostfächer in der Organisation auf einmal aktiviert werden:

$UserMailboxes = Get-mailbox -Filter {(Recipi-entTypeDetails -eq 'UserMailbox')}

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Überwachung konfigurieren

Mit dem Cmdlet Search-MailboxAuditLog werden die für Postfächer durchsucht. Die Suchergebnisse werden in der Exchange Management Shell angezeigt. Für das Erstellen eines Suchauftrags wird das Cmdlet New-MailboxAuditLogSearch verwendet.

Im Gegensatz zur Überwachung von Benutzern, werden bei der Administrator-Überwachungsprotokollierung alle Aktionen festgehalten, die Administratoren in der Umgebung durchführen. Zusammen mit der Postfachüberwachungsprotokollierung können dadurch umfassende Analysen der Verwendung und Konfiguration von Exchange-Umgebungen erstellt werden.

Wie man in Exchange die Postfachzugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir hier im Video-Tipp und in der Bildergalerie zum Artikel.

Postfachüberwachung im Exchange Admin Center

Im Exchange Admin Center kann auf der Seite „Verwaltung der Compliance\Überwachung“ nach Einträgen aus dem Protokoll gesucht werden. Hier lassen sich auch Suchergebnisse exportieren. Werden Suchergebnisse exportiert, speichert Exchange diese in einer XML-Datei gespeichert. Die Datei kann per E-Mail verschickt werden.

Im Exchange Admin Center kann auf der Seite „Überwachung“ der gewünschte Bericht ausgewählt werden. Außerdem kann hier definiert werden, welcher Zeitraum im Bericht erfasst und angezeigt werden soll.

Im ersten Schritt sollte die Überwachungsprotokollierung aktiviert und konfiguriert werden. Hier sollte frühzeitig geplant werden, für welche Postfächer die Funktion genutzt werden soll. Wenn ein Postfach nicht mehr dauerhaft überwacht werden muss, kann es sinnvoll sein, die Überwachung wieder zu deaktivieren.

Berechtigungen für die Überwachung steuern

Standardmäßig können alle Administratoren im Exchange Admin Center auf alle Berichte im Bereich „Überwachung“ zugreifen. Sollen andere Anwender ebenfalls das Recht erhalten Berichte abzurufen, müssen diese natürlich nicht unbedingt Administrator-Rechte erhalten. Hier kann es sinnvoll sein, exakte Rechte zu delegieren.

Die einfachste Art, Benutzern Zugriff auf die Berichte in Exchange zu geben, ist das Hinzufügen der Benutzer zur Rollengruppe „Records Management“. Administratoren können Benutzern oder Support-Mitarbeitern auch in der Exchange Management Shell Zugriff gewähren. Generell sind alle Aufgaben, die im Exchange Admin Center durchgeführt werden können, auch in der Exchange Management Shell verfügbar.

Die Einrichtung der Berechtigungen erfolgt folgendermaßen:

  • 1. Im Exchange Admin Center wird zu „Berechtigungen\Administratorrollen“ navigiert.
  • 2. In der Liste mit den Rollengruppen wird zunächst auf „Records Management“ und dann auf „Bearbeiten“ geklickt.
  • 3. Bei „Mitglieder“ kann über „Hinzufügen“ ein Benutzer aus Active Directory in die Gruppe integriert werden. An dieser Stelle lassen sich Benutzer auch wieder entfernen, wenn sie keinen Zugriff mehr auf die Berichte von Postfächer erhalten sollen.
  • 4. Auf der Seite „Mitglieder auswählen“ wird der Exchange-Empfänger ausgewählt, der Zugriff auf die Überwachungsprotokolle erhalten soll. Hier kann auch nach Benutzern gesucht werden.
  • 5. Durch einen Klick auf „Hinzufügen“ und dann auf „OK“ wird der Benutzer hinzugefügt.
  • 6. Mit „Speichern“ wird die Änderungen in Exchange fest gespeichert.

Im Detailbereich des Exchange Admin Center wird der Benutzer bei „Mitglieder“ angezeigt, wenn die Gruppe angeklickt wird. Dadurch lassen Gruppenmitgliedschaften recht schnell überprüfen. Nach der Zuweisung kann der der Benutzer im Exchange Admin Center auf die Berichte zugreifen und diese auch exportieren.

Die Berechtigungen lassen sich auch in der Exchange Management Shell setzen:

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Auf diese Weise kann der Benutzer im Exchange Admin Center die Berichte ausführen. Zusätzlich kann der Benutzer das Postfachüberwachungsprotokoll und das Administrator-Überwachungsprotokoll lesen und exportieren. Generell lassen sich an dieser Stelle auch Leserechte erteilen. In diesem Fall können Benutzer die Berichte zwar lesen, aber nicht exportieren.

Wie man in Exchange die Postfachzugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir hier im Video-Tipp und in der Bildergalerie zum Artikel.

SQL- und Exchange-Server mit Netwrix Auditor überwachen

Video-Tip: Sichere Datenbanken

SQL- und Exchange-Server mit Netwrix Auditor überwachen

04.07.17 - Um Datenbanken oder Exchange-Server sicher zu betreiben, ist eine regelmäßige Überwachung notwendig, welche die Rechte, die Zugriffe und den Betrieb im Auge behält. Fallen Unregelmäßigkeiten auf, werden Administratoren benachrichtigt und automatische Gegenmaßnahmen eingeleitet. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45054784 / Kommunikation)