我正在尝试识别可以执行 Exchange 安全监控的工具。理想情况下,这些工具应该能够获取以下内容:
- 高风险邮箱的权限更改
- 同一邮箱有多个连接
如果可以在不进行重大交易所重新配置的情况下进行部署,则可以获得加分。
有类似的东西吗?
答案1
如果你正在运行 Exchange 2010,你应该看看管理员审计日志概述。您告诉 Exchange 应审核哪些 cmdlet,它将记录各种相关信息。它还支持 cmdlet 名称的通配符匹配。由于 Exchange 2010 中的所有内容(包括 GUI)都使用 cmdlet,因此您无法绕过审核。
如果您安装了 Exchange 2010 SP1(而不是从 Exchange 2010 RTM 升级),则管理员审核日志记录已默认打开。如果您需要打开此功能,请运行Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
。
至于你的第二个问题,我认为你无法实现。仅 Outlook 本身就与你的邮箱建立了过多的连接,而一些不可靠的 Outlook 插件会创建更,如果您曾经遇到过“最多 32 个连接”问题,您可能知道这一点。即使您设法弄清楚哪些连接属于特定“会话”,您是否曾经意外打开已打开的新 Outlook 实例?这会触发您的警报。
您也无法指望 Exchange 允许您访问邮箱的众多方式。我有一台笔记本电脑,但我经常发现自己在我们建造室的单独台式机上呆了几个小时,我也希望在那里查看我的电子邮件。我还通过 ActiveSync 连接了我的手机,当我晚上懒得启动我的工作笔记本电脑并连接 VPN 来快速回复电子邮件时,我会从我的个人笔记本电脑上查看 OWA。不太常见,但确实发生过,我还编写了一个实用程序,它使用 Exchange Web 服务来访问我邮箱中的内容。如果已启用 POP3 或 IMAP 访问,则还有另外 2 种访问邮箱的方式,这可能会触发您的警报。
编辑:我完全忘记了委托人和共享项目。例如,如果某人的秘书有权访问邮箱,这将显示为与特定邮箱的更多连接。Exchange 还允许用户在无需管理员干预的情况下在他们之间共享内容。您正在进行的所有共享联系人和共享日历将使监控成为一场绝对的噩梦。