O365 Auditoría de Buzones Compartidos - Mejores Prácticas
By: Caio Ribeiro Cesar, Rodolfo Lima, Jesús Santaella, Noah De Wit
Cuando las empresas necesitan compartir recursos con diversos usuarios para que puedan leer y enviar mensajes de correo electrónico en un único buzón, utilizamos buzones compartidos (Shared Mailboxes).
Con un buzón compartido, un grupo de usuarios puede acceder a datos y enviar correos desde un único acceso. El buzón compartido posee facilidades como la utilización de un SMTP genérico para el envío y recepción de mensajes (por ejemplo llamenos@contoso.com), servicios centralizados para funcionarios (por ejemplo helpdesk@contoso.com).
Cuando creamos u buzón compartido en el ambiente de O365, no necesitamos asignar una licencia -por lo que cada usuario que requiere acceso a este buzón compartido necesita tener una licencia asignada.
Los administradores generalmente crean un buzón compartido por medio del proceso común:
A. Creación de buzón de tipo Shared por cmdlet New-Mailbox:
New-Mailbox -Name "Cloud Shared" -Alias llamenos -Shared
B. Configuración de cuotas en este buzón compartido:
Set-Mailbox "Cloud Shared" -ProhibitSendReceiveQuota 5GB -ProhibitSendQuota 4.75GB -IssueWarningQuota 4.5GB
C. Creación de un Grupo de Seguridad para que los usuarios puedan acceder a este buzón compartido:
Mi Organización > Usuarios y Grupos > Grupos de Distribución > Nuevo > Cambiar este grupo a grupo de seguridad
D. Asignar permisos de FullAccess al grupo de seguridad para ingresar al buzón compartido:
Add-MailboxPermission "Cloud Shared" -User LlamenosDG -AccessRights FullAccess
E. Asignar permisos de SendAs para que el grupo LlamenosDG pueda enviar correos como el buzón compartido "Cloud Shared" :
Add-RecipientPermission "Cloud Shared" Trustee llamenosdg -AccessRights SendAs
Luego de aproximadamente 1 hora los permisos estarán propagados.
La mayoría de los administradores crea este último permiso y ya permite que los usuarios accedan al buzón de correo sin problemas. ¿Cuál sería la mayor preocupación de una empresa que se preocupa con qué es ingresado, compartido y removido de un buzón de correo que es ingresada simultáneamente por diversos usuarios?
En el año 2000, Microsoft ha publicado un artículo por Scott Gulp -una versión enfocada al administrador para las "Ten Immutable Laws of Security". En este artículo, tenemos la ley #5 que se aplica a lo que discutiremos en este artículo:
- Law #5: Eternal vigilance is the price of security: Básicamente lo que discute la Ley 5 es que incluso aplicando parches de seguridad, efectuando endurecimiento de sistemas y otros métodos de protección un atacante puede utilizar métodos donde tendrá acceso a los datos de la empresa. El log de eventos es un arma de defensa del administrador, sabiendo que ocurre en la organización y que hacer para mantener los datos seguros.
La mayor preocupación de una empresa que posee diversos usuarios ingresando a un buzón compartido y teniendo datos históricos de lo que se ha producido del acceso a este buzón compartido, por lo que debemos, como mejor práctica, habilitar la auditoría para cualquier buzón de tipo Shared.
Auditoría de buzones, por el contrario de auditoría de administración, no está habilitado por defecto en un ambiente de O365. El primer paso es entonces habilitar la auditoría al buzón compartido:
Set-Mailbox "Cloud Shared" -AuditEnabled $true
De esta manera, habilitamos auditoría para el buzón compartido. Ingresando al portal, puede validar que la auditoría está funcionando:
Mi organización > Informes > Acceso al buzón de correo por parte de usuarios no propietarios
Cuando habilitamos la auditoría para delegados, por defecto, estas son las propiedades que serán auditadas:
Get-Mailbox "Cloud Shared" | Select-Object -ExpandProperty AuditDelegate
Update
SoftDelete
HardDelete
SendAs
Create
Los accesos que serán auditados serán solamente los de edición de mensajes, borrado, enviar como y crear nuevo mensaje.
La siguiente tabla muestra las acciones que pueden ser auditadas:
Acción |
Descripción |
Administradores |
Usuarios Delegados |
Update |
Cambiar mensaje |
Si |
Si |
Copy |
Copiar mensaje a carpeta |
No |
No |
Move |
Mover mensaje a carpeta |
Si |
No |
MoveToDeletedItems |
Mover mensaje a la carpeta de Elementos Eliminados |
Si |
No |
SoftDelete |
Eliminar mensajes de la carpeta de Elementos Eliminados |
Si |
Si |
HardDelete |
Purgar mensajes de la carpeta de Elementos Recuperables |
Si |
Si |
FolderBind |
Acceso a carpeta |
Si |
No |
SendAs |
Enviar mensaje utilizando permisos de Enviar Como (se ve como si lo enviara el dueño del buzón) |
Si |
Si |
SendOnBehalf |
Enviar mensaje utilizando permisos de Enviar A Nombre De (identifica el mensaje como enviado por otra persona diferente al dueño del buzón) |
Si |
No |
MessageBind |
Ver mensajes en el panel de vista previa o abrir mensaje |
No |
No |
De esta manera, podemos validar que el acceso a las carpetas del buzón no es auditado. Habilite esta función siguiendo el modelo del siguiente comando:
Set-Mailbox "Cloud Shared" -AuditDelegate,Update,SoftDelete,HardDelete,SendAs,Create,FolderBind
Confirmando que FolderBind fue adicionado:
Get-Mailbox "Cloud Shared" | Select-Object -ExpandProperty AuditDelegate
Update
SoftDelete
HardDelete
FolderBind
SendAs
Create
De esta manera los accesos a los directorios de los buzones de correo compartidos serán auditados:
Otros ejemplos:
