Поделиться через


Общие сведения об аудите доступа к почтовым ящикам с использованием Exchange Server 2007 с пакетом обновления 2 (SP2)

 

Применимо к: Exchange Server 2007 SP2

Последнее изменение раздела: 2012-03-26

Аудит доступа реализован в процессе Microsoft Exchange Store.exe, который является точкой доступа к почте в базах данных почтовых ящиков. Аудит доступа представляет набор событий в журнале событий, который создан для предоставления администраторам сведений о том, какие ресурсы почтового ящика открывали пользователи. Это новые события. Они не изменяют существующие события, которые могут использоваться в других целях.

Аудит доступа осуществляется с помощью набора категорий «Ведение журнала диагностики» ресурса «Банк данных Microsoft Exchange», каждая из которых соответствует отдельному типу доступа к ресурсам. Каждая категория включается независимо. Это позволяет администратору выбирать уровень сведений (и соответствующую нагрузку по их регистрации), необходимый для определенной организации.

Ниже указаны категории ведения журнала диагностики.

  • Доступ к папкам — позволяет регистрировать события, которые соответствуют открытию папок, таких как «Входящие», «Исходящие» или «Отправленные».

  • Доступ к сообщениям — позволяет регистрировать события, которые соответствуют явному открытию сообщений.

  • Расширенная функция «Отправить как» — позволяет регистрировать события, которые соответствуют оправке сообщений пользователем с включенной поддержкой почты.

  • Расширенная функция «Отправить от имени» — позволяет регистрировать события, которые соответствуют отправке сообщений от имени пользователя с включенной поддержкой почты.

Для каждой категории поддерживаются уровни ведения журнала от нуля (журнал отключен) до пяти (журнал ведется максимально подробно). Чем выше уровень ведения журнала, тем больше данных в него заносится.

Сравнение аудита доступа с аудитом Windows

Служба банка данных Microsoft Exchange поддерживает события аудита Windows NT на основе системной политики. Эти события регистрируются в журнале событий безопасности, и в них указывается каждый экземпляр открытого объекта. Этот тип ведения журнала относится к самому высокому уровню аудита и включает регистрацию подробных записей о доступе к объектам. Аудит доступа не заменяет аудит Windows. При аудите Windows основное внимание уделяется событиям открытия и закрытия объектов. При аудите доступа некоторые события объектов игнорируются в пользу событий, соответствующих реальному доступу пользователей к данным.

Рассмотрим следующий пример:

При аудите Windows основное внимание уделяется событиям, связанным со входом в почтовый ящик. В Exchange событие входа — это действие привязки к данным, благодаря которому клиент может затем пытаться открывать папки. Сам объект входа не предоставляет доступа к определенным данным. Поэтому он является ложной фокальной точкой аудита.

При аудите доступа основное внимание уделяется событиям, связанным с доступом клиента к фактическим данным системы обмена сообщениями или использованием прав, которые влияют на эти данные. Например:

  • Открывая папку, клиент получает доступ к реальным данным.

  • Открывая сообщение, клиент получает доступ к реальным данным.

Вход в почтовый ящик — это неявная операция получения доступа к папке. Аудит доступа позволяет не обращать внимание на операции, которые выполняются на уровнях ниже поддерева межабонентских сообщений (IPM), такие как просмотр данных о занятости кэша. Кроме того, в аудите доступа игнорируется доступ со стороны системных процессов Exchange. При этом могут регистрироваться только определенные классы доступа. Добиться компромисса между аудитом Windows и аудитом доступа можно за счет правильных настроек. Аудит Windows можно задать с помощью политики. Аудитом доступа позволяют управлять диагностические категории банка данных Microsoft Exchange.

importantВажно!
При аудите доступа не регистрируется удаление сообщений, регистрируется только доступ к ним.

Журнал событий аудита Exchange

Количество событий, которые заносятся в журнал при аудите, напрямую связано с нагрузкой на сервер и операциями, которые пользователи выполняют в любой момент времени и которые принадлежат к типу для аудита. При аудите доступа события не добавляются в журнал приложений, поскольку он тоже является источником диагностических данных, которые помогают устранять неполадки. В Exchange 2007 с пакетом обновления 2 (SP2) в результате установки на сервер роли сервера почтовых ящиков создается новый журнал событий. Это журнал событий аудита Exchange. По умолчанию этот журнал расположен в каталоге \Exchange Server\Logs\AuditLogs. На компьютере с системой Windows Server 2008 он находится в каталоге Applications and Services Logs\Exchange Auditing. Местоположение этого файла журнала по умолчанию — %PROGRAMFILES%\Exchange Server\Logging\Auditlogs. В списке управления доступом (ACL) для журнала аудита Exchange по умолчанию задаются следующие разрешения:

  • для администраторов получателей Exchange — доступ для чтения и очистки;

  • для администраторов организации Exchange — доступ для чтения и очистки;

  • для серверов Exchange — доступ для чтения и записи.

  • для локальной службы — полный доступ.

Чтобы изменить список управления доступом по умолчанию, необходимо обновить значение CustomSD в реестре. Обновите значение CustomSD, включив в него пользователя или группу, которым необходимо предоставить доступ к журналу событий аудита Exchange. Значение CustomSD расположено в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing

noteПримечание.
Список управления доступом, содержащийся в значении CustomSD, хранится в формате SDDL. Дополнительные сведения об изменении разрешений на доступ к журналам событий Windows и форматах SDDL см. в разделе Event Log (на английском языке).

Для получения значения идентификатора безопасности пользователя или группы воспользуйтесь средством PsGetSid от компании Windows Sysinternals. Дополнительные сведения об этом средстве см. в разделе PsGetSid v1.43 (на английском языке).

Для получения значения идентификатора безопасности можно также воспользоваться средством PowerShell. Например, получить значение идентификатора безопасности пользователя можно с помощью следующей команды:

$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

Аудит доступа по уровню журнала событий

Для событий, соответствующих доступу одного пользователя к почтовому ящику другого пользователя, ниже описано, какие события заносятся в журнал на каждом из уровней ведения журнала диагностики.

  • На нулевом уровне (0) ведения журнала ничего не регистрируется.

  • На первом уровне ведения журнала (1) в журнал добавляются только действия пользователей с правами администратора.

  • На втором (2) и четвертом (4) уровнях в журнал записываются только события, связанные с доступом одного пользователя к почтовому ящику другого пользователя.

  • На третьем (3) и пятом (5) уровнях в журнал записываются события, связанные с доступом любого пользователя к любому почтовому ящику.

Общие сведения о событиях аудита

В событиях аудита, связанных с действиями по доступу пользователей, приводится стандартный набор сведений. Подробные данные о клиенте доступны только в том случае, если программа поддерживает их отправку. Outlook 2003 и более поздние версии Outlook отправляют подробные данные о клиенте.

Аудит доступа к папкам

События доступа к папкам соответствуют удачному открытию папок в почтовом ящике. На разных уровнях аудита доступа к папкам регистрируется разный набор событий. Это позволяет администраторам выбирать уровень ведения журнала, соответствующий его потребностям. В приведенном ниже списке описаны события, которые регистрируются на каждом уровне ведения журнала.

  • На нулевом уровне (0) ничего не регистрируется. При доступе к папкам на этом уровне ведения журнала события в журнал не заносятся.

  • На первом уровне (1) в журнале регистрируется только доступ с правами администратора.

  • На втором (2) и четвертом (4) уровнях в журнал записываются только события, связанные с доступом одного пользователя с включенной поддержкой почтового ящика к папке другого пользователя с включенной поддержкой почтового ящика.

  • На третьем (3) и пятом (5) уровнях в журнал записываются события, связанные с доступом любого пользователя к любой папке.

Ведение журнала основных событий и ведение журнала всех событий

Иерархия папок почтового ящика состоит из поддерева сообщений, не являющихся межабонентскими, в котором содержатся такие используемые приложением папки, как папки поиска, а также из поддерева межабонентских сообщений (IPM), в котором содержатся папки, которые используют и просматривают пользователи, такие как «Входящие» и «Отправленные». Основные события соответствуют обычному доступу к папкам, которые видят пользователи. Эти папки обычно называют папками электронной почты. Доступ к папке заносится в журнал на основном уровне, если папка является дочерней папкой поддерева межабонентских сообщений (IPM). Ведение журнала всех событий охватывает папки, невидимые для пользователя, такие как корневая папка почтового ящика, а также папки, которые не принадлежат поддереву межабонентских сообщений (IPM). Администраторам, которым нужно вести аудит доступа к папкам электронной почты, таким как «Входящие», «Отправленные» или «Черновики», нет необходимости включать более высокие уровни ведения журнала событий. В таблице ниже перечислены события из категории доступа к папкам, которые регистрируются на каждом уровне ведения журнала.

Категория: доступ к папкам

Уровень ведения журнала Необходимы права администратора Пользователь, который пытается выполнить действие Почтовый ящик Результат

0

Неприменимо

Неприменимо

Неприменимо

Ничего

1

Нет

Неприменимо

Неприменимо

Ничего

1

Да

Неприменимо

Неприменимо

Основные события

2

Неприменимо

Пользователь А

Пользователь А

Ничего

2

Неприменимо

Пользователь А

Пользователь Б

Основные события

3

Неприменимо

Пользователь А

Пользователь А

Основные события

3

Неприменимо

Пользователь А

Пользователь Б

Основные события

4

Неприменимо

Пользователь А

Пользователь А

Ничего

4

Неприменимо

Пользователь А

Пользователь Б

Все события

5

Неприменимо

Пользователь А

Пользователь А

Все события

5

Неприменимо

Пользователь А

Пользователь Б

Все события

Если аудит доступа к папкам включен, в журнале регистрируются события, подобные следующим:

Код события: 10100

Серьезность: информационное

Оборудование: AccessAuditing

Пользователь %4 открыл папку %1 в почтовом ящике «%3»

Краткое имя: %2

Пользователь, который пытается получить доступ: %5

Почтовый ящик: %6

Права администратора: %7

Идентификатор: %8

Сведения о клиенте (если есть):

Имя компьютера: %9

Адрес: %10

Имя процесса: %11

Идентификатор процесса: %12

Идентификатор приложения: %13

Ниже приведены значения параметров в этом сообщении.

  • %1 — это URL-имя папки. Другими словами, это полный путь к папке.

  • %2 — это отображаемое имя папки. Сочетание отображаемого имени и пути к папке позволяет отличить папку от других папок с таким же именем.

Общие сведения о событиях аудита

  • %3 — это значение legacyDN открытого почтового ящика.

  • %4 — это имя пользователя, который прошел проверку подлинности для доступа к банку данных.

  • %5 — это значение legacyDN пользователя, который открыл объект.

  • %6 — это значение legacyDN почтового ящика.

  • %7 — это флаг, который указывает, использовались ли права администратора для открытия папки.

  • %8 — это относительный уникальный идентификатор. С помощью этого параметра можно соотнести последовательность действий в течение короткого периода.

Сведения о клиенте

  • %9 — это имя компьютера.

  • %10 — это адрес, который составил клиент. Это значение зависит от протокола, который был использован для подключения к серверу. Для локальных подключений (подключений с того же компьютера) используется имя компьютера. Двоичные файлы Exchange по возможности отправляют IP-адрес версии 6. В противном случае они отправляют IP-адрес версии 4. Отправленный IP-адрес является IP-адресом, идентифицированным клиентом. Для клиентов, расположенных за шлюзом преобразования сетевых адресов (NAT), такой IP-адрес может не являться различающимся.

  • %11 — это имя процесса. Это имя двоичного файла приложения, которое обратилось для доступа к объекту.

  • %12 — это идентификатор процесса. Он представляет собой числовой идентификатор определенного процесса.

  • %13 — это идентификатор приложения. Его задает клиент, чтобы можно было различать экземпляры файла Powershell.exe. Он также может быть событием, которое позволяет отмечать надстройки в процессе во время доступа к серверу.

Пример записи о событии доступа к папке в журнале событий

Имя журнала: аудит Exchange

Источник: аудит MSExchangeIS

Код события: 10100

Категория задачи: аудит доступа к почтовым ящикам

Уровень: сведения

Ключевые слова: классический

Описание: Пользователь CONTOSO\UserB открыл папку /Входящие в почтовом ящике «UserA»

Краткое имя: Входящие

Пользователь, который пытается получить доступ: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=Пользователь Б

Права администратора: ложь

Идентификатор: 00000000318A00E0

Сведения о клиенте (если есть)

Имя компьютера: <имя_клиента>

Адрес: <IP-адрес>

Имя процесса: OUTLOOK.EXE

Идентификатор процесса: 0

Идентификатор приложения: Н/Д

Аудит доступа к сообщениям

События доступа к сообщениям указывают на успешное открытие сообщения в банке данных Exchange. В сообщениях не поддерживаются основные события. Аудит доступа ко всем сообщениям основан на уровне ведения журнала, который задает администратор. В таблице ниже перечислены события из категории доступа к сообщениям, которые регистрируются на каждом уровне ведения журнала.

Категория: доступ к сообщениям

Уровень ведения журнала Необходимы права администратора Пользователь, который пытается выполнить действие почтовый ящик Результат

0

Неприменимо

Неприменимо

Неприменимо

Ничего

1

Нет

Неприменимо

Неприменимо

Ничего

1

Да

Неприменимо

Неприменимо

Основные события

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

4

Неприменимо

Пользователь А

Пользователь А

Ничего

4

Неприменимо

Пользователь А

Пользователь Б

Все события

5

Неприменимо

Пользователь А

Пользователь А

Все события

5

Неприменимо

Пользователь А

Пользователь Б

Все события

Если аудит доступа к сообщениям включен, в журнале регистрируются события, подобные следующим:

Код события: 10102

Серьезность: информационное

Оборудование: AccessAuditing

Пользователь %4 открыл сообщение %1 в почтовом ящике %3

Папка: %2

Пользователь, который пытается получить доступ: %5

Почтовый ящик: %6

Права администратора: %7

Идентификатор: %8

Сведения о клиенте (если есть):

Имя компьютера: %9

Адрес: %10

Имя процесса: %11

Идентификатор процесса: %12

Идентификатор приложения: %13

Ниже приведены значения параметров в этом сообщении.

  • %1 — это идентификатор открываемого сообщения Интернета.

  • %3 — это почтовый ящик, в котором сохранено сообщение.

  • %4 — это пользователь, который прошел проверку подлинности для доступа к банку данных.

  • %5 — это значение legacyDN пользователя, который открыл сообщение.

  • %6 — это значение legacyDN почтового ящика.

  • %7 — это флаг, который указывает, использовались ли права администратора для открытия сообщения.

  • %8 — это относительный уникальный идентификатор, с помощью которого можно соотнести последовательность действий в течение короткого периода.

Сведения о клиенте

  • %9 — это имя компьютера.

  • %10 — это адрес, который составил клиент. Это значение зависит от протокола, который был использован для подключения к серверу. Для локальных подключений (подключений с того же компьютера) используется имя компьютера. Двоичные файлы Exchange по возможности отправляют IP-адрес версии 6. В противном случае они отправляют IP-адрес версии 4. Отправленный IP-адрес является IP-адресом, идентифицированным клиентом. Для клиентов, расположенных за шлюзом преобразования сетевых адресов (NAT), такой IP-адрес может не являться различающимся.

  • %11 — это имя процесса. Это имя двоичного файла приложения, которое обратилось для доступа к объекту.

  • %12 — это идентификатор процесса. Он представляет собой числовой идентификатор определенного процесса.

  • %13 — это идентификатор приложения. Его задает клиент, чтобы можно было различать экземпляры файла Powershell.exe. Он также может быть событием, которое позволяет отмечать надстройки в процессе во время доступа к серверу.

Пример записи о событии доступа к сообщению в журнале событий

Имя журнала: аудит Exchange

Источник: аудит MSExchangeIS

Дата: <дата>

Код события: 10102

Категория задачи: аудит доступа к почтовым ящикам

Уровень: сведения

Ключевые слова: классический

Описание: Пользователь CONTOSO\UserB открыл сообщение <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> в почтовом ящике UserА.

Папка: /Входящие

Пользователь, который пытается получить доступ: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=Пользователь Б

Права администратора: ложь

Идентификатор: 00000000318A00E0

Сведения о клиенте (если есть)

Имя компьютера: <имя_клиента>

Адрес: <IP-адрес>

Имя процесса: OUTLOOK.EXE

Идентификатор процесса: 0

Идентификатор приложения: Н/Д

Расширенный аудит событий «Отправить как»

Расширенные события «Отправить как» указывают, что пользователь отправил сообщение как другой пользователь. Для расширенных событий «Отправить как» не поддерживаются основные события, и они применяются только при условии, что один пользователь отправляет сообщение в качестве другого пользователя. На первом (1) уровне ведения журнала записываются только события, когда пользователь с правами администратора открывает почтовый ящик и затем отправляет сообщение в качестве другого пользователя. На пятом (5) уровне ведения журнала записываются события, связанные с отправкой пользователем сообщений в качестве другого пользователя. В таблице ниже перечислены события из категории расширенных событий «Отправить как», которые регистрируются на каждом уровне ведения журнала.

Категория: расширенное событие «Отправить как»

Уровень ведения журнала Необходимы права администратора Пользователь, который пытается выполнить действие почтовый ящик Результат

0

Неприменимо

Неприменимо

Неприменимо

Ничего

1

Нет

Пользователь А

Пользователь А

Неприменимо

1

Да

Пользователь А

Пользователь Б

Все события

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

4

Неприменимо

Неприменимо

Неприменимо

Неприменимо

4

Неприменимо

Неприменимо

Неприменимо

Неприменимо

5

Неприменимо

Пользователь А

Пользователь А

Неприменимо

5

Неприменимо

Пользователь А

Пользователь Б

Все события

Если аудит расширенных событий «Отправить как» включен, в журнале регистрируются события, подобные следующим:

Код события: 10106

Серьезность: информационное

Оборудование: SendAs

%1 отправил сообщение в качестве %2.

Идентификатор сообщения: %3

Имя учетной записи: %4

Пользователь, который пытается получить доступ: %5

Почтовый ящик: %6

Права администратора: %7

Идентификатор: %8

Сведения о клиенте (если есть):

Имя компьютера: %9

Адрес: %10

Имя процесса: %11

Идентификатор процесса: %12

Идентификатор приложения: %13

Ниже приведены значения параметров в этом сообщении.

  • %1 — это значение legacyDN пользователя, пытающегося отправить сообщение.

  • %2 — это значение legacyDN пользователя, от которого отправляется сообщение.

  • %3 — это идентификатор сообщения Интернета.

  • %4 — это пользователь, который прошел проверку подлинности для доступа к банку данных.

  • %5 — это значение legacyDN пользователя, пытающегося получить доступ.

  • %6 — это значение legacyDN почтового ящика.

  • %7 — это флаг, который указывает, использовались ли права администратора для отправки сообщения.

  • %8 — это относительный уникальный идентификатор, с помощью которого можно соотнести действия в течение короткого периода.

Сведения о клиенте

  • %9 — это имя компьютера.

  • %10 — это адрес, который составил клиент. Это значение зависит от протокола, который был использован для подключения к серверу. При локальных подключениях (подключениях с того же компьютера) используется имя компьютера. Двоичные файлы Exchange отправляют IPV6-адрес, если это возможно. В противном случае они отправляют IPV4-адрес. Отправленный IP-адрес является IP-адресом, идентифицированным клиентом. В случае клиентов, расположенных за шлюзом преобразования сетевых адресов (NAT), IP-адрес может не быть различающимся.

  • %11 — это имя процесса. Это имя двоичного файла приложения, которое обратилось для доступа к объекту.

  • %12 — это идентификатор процесса. Он представляет собой числовой идентификатор определенного процесса.

  • %13 — это идентификатор приложения. Его задает клиент, чтобы можно было различать экземпляры файла Powershell.exe. Он также может быть событием, которое позволяет отмечать надстройки в процессе во время доступа к серверу.

Дополнительные сведения о предоставлении разрешения «Отправить как» см. в разделе Инструкции по предоставлению разрешений «Отправить как» для почтового ящика.

Пример записи в журнале о событии «Отправить как»

Имя журнала: аудит Exchange

Источник: аудит MSExchangeIS

Дата: <дата>

Код события: 10106

Категория задачи: отправить как

Уровень: сведения

Ключевые слова: классический

Описание: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=UserB отправил сообщение в качестве /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=UserA

Идентификатор сообщения: <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com>

Почтовый ящик: Пользователь Б

Имя учетной записи: CONTOSO\UserB

Пользователь, который пытается получить доступ: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=Пользователь Б

Почтовый ящик: <NULL>

Права администратора: ложь

Идентификатор: 00000000317A7130

Сведения о клиенте (если есть)

Имя компьютера: <имя_клиента>

Адрес: <IP-адрес>

Имя процесса: OUTLOOK.EXE

Идентификатор процесса: 0

Идентификатор приложения: Н/Д

Расширенный аудит отправки от имени другого пользователя

Расширенные события отправки от имени другого пользователя указывают на то, что пользователь отправил сообщение от имени другого пользователя. Для расширенных событий отправки от имени другого пользователя основные события не поддерживаются. Они применяются только при условии, что один пользователь отправляет сообщение от имени другого пользователя. На первом уровне событие регистрируются только в том случае, если пользователь с правами администратора открывает почтовый ящик и затем отправляет сообщение от имени другого пользователя. На пятом уровне ведения журнала событие регистрируется, когда один пользователь отправляет сообщение от имени другого пользователя. В таблице ниже перечислены события из категории расширенных событий «Отправить от имени», которые регистрируются на каждом уровне ведения журнала.

Категория: расширенная отправка от имени другого пользователя

Уровень ведения журнала Необходимы права администратора Пользователь, который пытается выполнить действие почтовый ящик Результат

0

Неприменимо

Неприменимо

Неприменимо

Ничего

1

Нет

Пользователь А

Пользователь А

Неприменимо

1

Да

Пользователь А

Пользователь Б

Все события

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

2

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

3

Неприменимо

Неприменимо

Неприменимо

Неприменимо

4

Неприменимо

Неприменимо

Неприменимо

Неприменимо

4

Неприменимо

Неприменимо

Неприменимо

Неприменимо

5

Неприменимо

Пользователь А

Пользователь А

Неприменимо

5

Неприменимо

Пользователь А

Пользователь Б

Все события

Если аудит расширенных событий «Отправить от имени» включен, в журнале регистрируются события, подобные следующим:

Код события: 10104

Серьезность: информационное

Оборудование: SendOnBehalfOf

%1 отправил сообщение от имени %2

Идентификатор сообщения: %3

Имя учетной записи: %4

Пользователь, который пытается получить доступ: %5

Почтовый ящик: %6

Права администратора: %7

Идентификатор: %8

Сведения о клиенте (если есть):

Имя компьютера: %9

Адрес: %10

Имя процесса: %11

Идентификатор процесса: %12

Идентификатор приложения: %13

Ниже приведены значения параметров в этом сообщении.

  • %1 — это значение legacyDN пользователя, пытающегося отправить сообщение.

  • %2 — это значение legacyDN пользователя, от имени которого отправляется сообщение.

  • %3 — это идентификатор сообщения Интернета.

  • %4 — это пользователь, который прошел проверку подлинности для доступа к банку данных.

  • %5 — это значение legacyDN пользователя, пытающегося получить доступ.

  • %6 — это значение legacyDN почтового ящика.

  • %7 — это флаг, который указывает, использовались ли права администратора для отправки сообщения.

  • %8 — это относительный уникальный идентификатор, с помощью которого можно соотнести действия в течение короткого периода.

Сведения о клиенте

  • %9 — это имя компьютера.

  • %10 — это адрес, который составил клиент. Это значение зависит от протокола, который был использован для подключения к серверу. При локальных подключениях (подключениях с того же компьютера) используется имя компьютера. Двоичные файлы Exchange отправляют IPV6-адрес, если это возможно. В противном случае они отправляют IPV4-адрес. Отправленный IP-адрес является IP-адресом, идентифицированным клиентом. В случае клиентов, расположенных за шлюзом преобразования сетевых адресов (NAT), IP-адрес может не быть различающимся.

  • %11 — это имя процесса. Это имя двоичного файла приложения, которое обратилось для доступа к объекту.

  • %12 — это идентификатор процесса. Он представляет собой числовой идентификатор определенного процесса.

  • %13 — это идентификатор приложения. Его задает клиент, чтобы можно было различать экземпляры файла Powershell.exe. Он также может быть событием, которое позволяет отмечать надстройки в процессе во время доступа к серверу.

Пример записи в журнале о событии отправки от имени другого пользователя

Имя журнала: аудит Exchange

Источник: аудит MSExchangeIS

Дата: <дата>

Код события: 10104

Категория задачи: отправить от имени

Уровень: сведения

Ключевые слова: классический

Описание: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=UserB отправил сообщение от имени /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=UserA

Идентификатор сообщения: <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com>

Почтовый ящик: Пользователь Б

Имя учетной записи: CONTOSO\UserB

Пользователь, который пытается получить доступ: /o=Основная организация/ou=Административная группа Exchange (FYDIBOHF23SPDLT)/cn=Получатели/cn=Пользователь Б

Почтовый ящик: <NULL>

Права администратора: ложь

Идентификатор: 0000000031718B30

Сведения о клиенте (если есть)

Имя компьютера: <имя_клиента>

Адрес: <IP-адрес>

Имя процесса: OUTLOOK.EXE

Идентификатор процесса: 0

Идентификатор приложения: Н/Д

Права на обход аудита

Приложения, которые входят в почтовые ящики большого количества пользователей в качестве доверенных служб, создают большую нагрузку на систему аудита. Причина в том, что в журнал могут добавляться записи обо всех операциях доступа к почтовым ящикам со стороны таких служб.

В сервере Exchange 2007 с пакетом обновления 2 (SP2) в схему добавлено новое расширенное право. Это право на обход аудита. Право на обход аудита позволяет не добавлять в журнал записи о действиях с учетной записи пользователя, который имеет это право. Поэтому не следует давать право на обход аудита пользователям, для которых следует выполнять аудит.

noteПримечание.
По умолчанию в операционной системе Windows группе администраторов доменов предоставляются все расширенные права. Если нужно выполнять аудит доступа со стороны администраторов доменов ко всем почтовым ящикам, для администраторов доменов не следует включать поддержку почтовых ящиков. Если необходимо осуществлять аудит администраторов домена, можно отозвать право на обход аудита на уровне организации Exchange. Это позволяет выполнять аудит учетных записей администраторов домена с включенной поддержкой почты. Например, чтобы отозвать право на обход аудита для группы администраторов домена, выполните в командной консоли Exchange следующую команду:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true

Чтобы обойти аудит для учетных записей определенных служб, можно предоставить соответствующее право для каждой базы данных почтовых ящиков с помощью командлета Add-ADPermission. Например, чтобы предоставить учетной записи Example\ServiceAccount право на Обход аудита доступа, выполните в командной консоли Exchange следующую команду:

get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All

Выбор стратегии аудита

Аудит доступа к почтовым ящикам Exchange — это сложный процесс, зависящий от того, с какой целью будут использоваться сведения, какие требования к аудиту предъявляются в конкретной организации, какие приложения используются и насколько высок уровень доверия к администраторам.

Аудит безопасности Windows NT является лучшим решением для организаций, в которых предъявляются очень высокие требования к уровню аудита. При этом создаются журналы аудита доступа всех пользователей ко всем объектам, а все добавленные в журналы сведения хранятся в журнале безопасности.

Аудит доступа Exchange подходит для тех организаций, которым не нужен аудит безопасности Windows. Такой аудит подходит для тех организаций, которым нужно регистрировать события с такими характеристиками.

  • Только администраторы, использующие права администратора для открытия почтовых ящиков.

  • Только случаи, когда один пользователь открывает почтовый ящик другого пользователя.

  • Только случаи, когда ресурс, к которому получают доступ, находится в поддереве межабонентских сообщений (IPM).

Аудит доступа администратора с использованием прав администратора

На первом (1) уровне ведения журнала диагностики в журнал заносятся только те события всех категорий, в которых пользователи получают доступ к почтовому ящику с использованием прав администратора. Если в организации ведется аудит доступа Exchange, следует иметь в виду, что по умолчанию администраторы Exchange могут изменять уровень ведения журнала диагностики или очищать журнал событий аудита доступа Exchange. Кроме того, администраторы Exchange могут предоставлять право на обход аудита. В организациях, в которых нужно выполнять аудит только администраторов Exchange, необходимо реализовать модель разделения разрешений, чтобы администраторы Exchange не могли изменять уровни ведения журнала, дескрипторы безопасности или очищать журнал событий.

Аудит только доступа из одного почтового ящика к другому

На втором и четвертом уровнях ведения журнала в журнале регистрируются события доступа к папкам и сообщениям, когда один пользователь с включенной поддержкой почты открывает папку или сообщение другого пользователя с включенной поддержкой почтового ящика. На этом уровне ведения журнала не регистрируются все типы доступа к общим почтовым ящикам. Общий почтовый ящик или почтовый ящик ресурсов связывается с отключенной учетной записью пользователя, после чего к нему получают право доступа дополнительные пользователи. Если для учетных записей дополнительных пользователей не включена поддержка почтовых ящиков, на втором (2) и четвертом (4) уровнях ведения журнала диагностики доступ к общим почтовым ящикам или почтовым ящикам ресурсов не регистрируется.

Сравнение аудита основных событий и всех событий

На втором и третьем уровнях ведения журнала диагностики при аудите доступа к папкам в журнале регистрируются основные события или все события. К основным событиям относятся только те, которые связаны с папками, вложенными в поддерево межабонентских сообщений (IPM), а также папки, которые являются вложенными папками второго или более высокого ранга в поддереве межабонентских сообщений (IPM; для приложений, которые кэшируют данные в этих местоположениях). Если включить более высокий уровень диагностики, в журнале будет регистрироваться больше событий. Это создает дополнительную нагрузку на сервер. Кроме того, повышение уровня ведения журнала может привести к событиям ложного срабатывания, таким как операции просмотра данных о занятости кэша. Во время таких операций осуществляется доступ к корневому каталогу почтового ящика. Эти операции просмотра не являются вредоносными.

Чтобы решить, аудит каких (основных или расширенных) событий нужно выполнять в организации, необходимо знать, какие приложения развернуты в организации, и где хранятся конфиденциальные данные пользователей. Если приложение хранит эти данные в непосредственной дочерней папке поддерева сообщений, не являющихся абонентскими, события доступа к ним будут регистрироваться в журнале только при аудите всех событий (четвертый или пятый уровни диагностики).

Ограничения аудита доступа

Расширенные сведения о клиенте

Клиентские программы, которые не отправляют расширенных сведений о клиенте, блокируют создание событий аудита, в которых не заполнены сведения о клиенте. В число этих программ входят версии Outlook, предшествующие Outlook 2003.

Таблицы содержимого папок

При аудите доступа к почтовым ящикам невозможно в полной мере определить, какие сведения извлекались из почтового ящика. Причина в том, что пользователю для доступа к таблице содержимого папок, которая является сводной таблицей наиболее часто используемых свойств сообщений, не обязательно открывать сообщение. В таблице содержимого папок приведены такие сведения, как тема сообщения, сведения о получателе и о многих других основных свойствах сообщения. Эти сведения можно прочесть, не открывая сообщение, то есть, не создавая событие доступа к сообщению.

Вопросы безопасности

Если в требования организации к аудиту включен аудит доступа, чтобы оценить итоговую стоимость обеспечения полной безопасности доступа к журналам аудита и защиты содержимого журналов, необходимо рассмотреть ряд сценариев обеспечения безопасности.

Обход аудита

Аудит действий пользователя, которому предоставлено расширенное право на обход аудита, не ведется. Рекомендуется следить за списками управления доступом Active Directory для проверки того, что пользователи, у которых есть право записи в дескриптор безопасности, не предоставили сами себе право на обход аудита.

Администраторы доменов

В операционной системе Windows администраторам доменов предоставляются все расширенные права. Если нужно выполнять аудит доступа со стороны администраторов доменов ко всем почтовым ящикам, для администраторов доменов не следует включать поддержку почтовых ящиков.

Изменения в порядке ведения журнала диагностики

Поскольку уровни ведения журнала диагностики позволяют управлять тем, какие события регистрируются в журнале событий аудита Exchange, изменение уровня ведения журнала диагностики для событий определенной категории может привести к неожиданным результатам. Например, в журнале могут не регистрироваться события, которые должны были бы там регистрироваться. Кроме того, процесс Store.exe не в состоянии определить, какой пользователь изменил уровень ведения журнала, или даже то, в текущем или предыдущем сеансе произошли эти изменения, то есть этот процесс не может идентифицировать изменения в конфигурации аудита.

Локальные администраторы

Журнал аудита Exchange содержит запись о событиях аудита, а в средстве просмотра событий есть список управления доступом (ACL), в котором обычным пользователям запрещено очищать журнал событий. Если локальный администратор станет владельцем соответствующего раздела реестра, сбросит значение CustomSD и перезапустит сервер, он сможет очистить журнал аудита Exchange.

Вопросы производительности

При определенной конфигурации сервера и активности пользователей журнал событий аудита Exchange может оказаться журналом аудита с интенсивным трафиком. Поэтому рекомендуется выделить для него отдельный раздел жесткого диска, на котором достаточно места, и который поддерживает быстрые операции записи.

Дополнительные сведения о настройке журналов событий аудита Exchange см. в следующих разделах:

Дополнительные сведения

Дополнительные сведения о том, как изменять уровни ведения журналов диагностики Exchange, см. в разделе Изменение уровня ведения журнала для процессов сервера Exchange Server.