Exchange 2013: Überwachung von Anwenderpostfächern und freigegebenen Postfächern

Wer sich mit der Datensicherheit in seiner Organisation kritisch auseinandersetzt, muss auch die E-Mail-Postfächer im Auge behalten. Seit Exchange 2010 berücksichtigt Microsoft den Ansatz und stellt die Funktion Mailbox Audit Logging zur Verfügung. Die Lösung ermöglicht Überwachung von Aktionen, die an Anwenderpostfächern und freigegebenen Postfächern vorgenommen werden, und liefert Auskunft über IP und Namen des verwendeten Computers.

mailbox-auditing

Standardeinstellungen für Überwachungsprotokollierung

Standardmäßig werden für jedes Postfach, für das man in der Exchange Management Shell die Funktion Mailbox Audit Logging aktiviert hat, Protokolldateien angelegt. Die Dateien werden in individuellen Postfächern unter Recoverable Items gespeichert und können weder in Outlook noch in OWA noch in einem anderen Client eingesehen werden. Die Aufbewahrungsfrist beträgt in der Standardeinstellung 90 Tage. Sie lässt sich aber problemlos via EMS anpassen. Die Aktivierung von In-Place Hold oder Litigation Hold hat keine Auswirkung die Aufbewahrungsfirst.

WICHTIG: Die Angaben in dem vorliegenden Artikel gelten größtenteils auch für die Postfachüberwachung in Office 365. Für weitere Details gehen Sie auf: https://technet.microsoft.com/de-de/library/dn790283.aspx

Erforderliche Berechtigung

Um die Überwachungsprotokollierung für Postfächer verwalten zu können, müssen Sie Mitglied einer dieser Gruppen sein:

  • Organization Management
  • Records Management

Protokollierungsstufe

Die Funktion Mailbox Audit Logging kann Aktionen überwachen, die von drei Anwendertypen vorgenommen werden: Postfachinhaber, Stellvertreter und Administrator. Nachdem Sie die Überwachung aktiviert haben, werden standardmäßig nur einige Aktionen, vorgenommen von Administrator und Stellvertreter, protokolliert. Die Einstellung kann angepasst werden, indem man auf die Parameter -AuditOwner, -AuditDelegate, -AuditAdmin zurückgreift und bestimmt, welche Aktionen protokolliert werden sollen.

Aktionstypen, protokolliert via Postwachüberwachung

Folgende Aktionen, vorgenommen von Administrator, Stellvertreter oder Postfachinhaber an Anwenderpostfächern oder freigegebenen Postfächern, können mittels Mailbox Audit Logging überwacht werden (Aktionsname in Eckklammern):

  • [Copy] Kopieren eines Elements in einen anderen Ordner – anwendbar für Administrator und Stellvertreter;
  • [Create] Erstellen eines Elements in einem Ordner (auch wenn eine E-Mail gesendet oder empfangen wird) – anwendbar für Administrator, Stellvertreter und Postfachinhaber;
  • [FolderBind] Ordnerzugriff – anwendbar für Administrator und Stellvertreter;
  • [HardDelete] Permanentes Löschen eines Elements – anwendbar für Administrator, Stellvertreter und Postfachinhaber;
  • [MessageBind] Zugriff auf oder Öffnen eines Elements (auch im Lesebereich) – anwendbar für Administrator;
  • [Move] Verschieben eines Elements in einen anderen Ordner – anwendbar für Administrator, Stellvertreter und Ordnerinhaber;
  • [MoveToDeletedItems] Verschieben eines Elements in den Ordner Gelöschte Elemente – anwendbar für Administrator, Stellvertreter und Ordnerinhaber;
  • [SendAd] Senden einer Nachricht mit Senden als-Berechtigung – anwendbar für Administrator und Stellvertreter;
  • [SendOnBehalf] Senden einer Nachricht mit Senden im Auftrag von-Berechtigung – anwendbar für Administrator und Stellvertreter;
  • [SoftDelete] Löschen eines Elements aus dem Ordner Gelöschte Elemente – anwendbar für Administrator, Stellvertreter und Ordnerinhaber;
  • [Update] Bearbeitung der Eigenschaften eines Elements – anwendbar für Administrator, Stellvertreter und Ordnerinhaber;

(Der Unterstrich bedeutet, dass die Aktion für diesen Anwendertyp standardmäßig protokolliert wird, sofern die Überwachung aktiviert ist.)

Der Überwachungsmechanismus für Postfächer bietet eine breite Auswahl an Überwachungsoptionen, um kritische Geschäftsszenarien wie z.B. freigegebene Postfächer zu kontrollieren.

Aktivierung der Überwachungsprotokollierung für Postfächer

Standardmäßig ist die Überwachungsprotokollierung für alle Postfächer deaktiviert. Um den Überwachungsstatus eines Postfaches zu prüfen, führen Sie in der PowerShell diesen Befehl aus:

Get-Mailbox [user name] | FL

get-mailbox-fl

Das Ergebnis zeigt alle Überwachungsinformationen für das Postfach an.

get-mailbox-fl-output

Wie man in der Abb. sieht, ist die Überwachungsprotokollierung für das Postfach deaktiviert. Sie kann mit Hilfe des Parameters AuditEnabled aktiviert werden. Zusätzlich passen wir die Aufbewahrungsfirst an und aktivieren Protokollierung von zwei Aktionen für den Postfachinhaber. Der vollständige PowerShell-Befehl sieht aus wie folgt:

Set-Mailbox [user name] –AuditEnabled $True –AuditLogAgeLimit 60:00:00:00 –AuditOwner Move,HardDelete

auditenabled-example1
Wenn wir jetzt die Postfacheigenschaften anzeigen lassen, dann sehen wir, welche Änderungen der o.g. Befehl herbeigeführt hat:

get-mailbox-fl-with-auditenabled

Von diesem Moment an enthält die Protokolldatei Angaben zu allen Aktionen aus dem o.g. PowerShell-Eintrag (einschl. Elementverschiebungen und Permanentlöschen durch Postfachinhaber), und sie bleibt 60 Tage lang gespeichert.

WICHTIG: Das Generieren von Protokolldateien kann dazu führen, dass die Postfächer sehr schnell wachsen und einen beträchtlichen Teil des Speichers belegen. Die Dateien werden im Ordner “Audits” unter Recoverable Items abgelegt und sind nicht zugänglich für den Anwender.

Um die Überwachungsprotokollierung für mehrere Anwender zu aktivieren, z.B. für eine Organisationseinheit, führen Sie diesen PowerShell-Befehl aus:

Get-Mailbox | Where-Object {$_.OrganizationalUnit –eq ‘[domain]/[OU name]’} | Set-Mailbox –AuditEnabled $True

get-mailbox-fl-ou

Durchsuchung des Protokolls via Exchange Managment Shell

Um Protokolleinträge anzeigen zu lassen, die in Verbindung mit einer bestimmten Aktion, einem bestimmten Anwendertyp (Inhaber, Stellvertreter oder Administrator) und einem bestimmten Zeitraum stehen, führen Sie diesen PowerShell-Befehl aus:

Search-MailboxAuditLog –Identity [user or shared mailbox name] –LogonTypes Owner –ShowDetails –StartDate [start date: d/m/y] –EndDate [end date: d/m/y] | Where-Object {$_.Operation -eq “[action name]”}

Durchsuchung des Protokolls via Exchange Control Panel

Um das Überwachungsprotokoll via ECP zu durchsuchen, gehen Sie in der ECP-Konsole auf compliance management, auditing. Das ECP liefert allerdings nur Angaben für Anwender anders als Postfachinhaber.

Um mehrere Postfächer in einem Bericht anzeigen zu lassen, klicken Sie auf Run a non-owner mailbox access report… :

mailbox-audit-ecp1

In dem nachfolgenden Fenster definieren Sie das Anfangs- und das Enddatum, die Postfächer und den Anwenderkreis für Ihren Bericht, und klicken Sie auf search:

mailbox-audit-ecp2

Durchsuchung des Protokolls, generiert für mehrere Postfächer

Seit Exchange 2013 kann das Überwachungsprotokoll parallel für mehrere Postfächer durchsucht werden. Die Suchergebnisse können an eine oder an mehrere E-Mail-Adressen gesendet werden.

Zu diesem Zweck greifen Sie auf das nachstehende PowerShell-Skript zurück:

New-MailboxAuditLogSearch "[search name]" -Mailboxes "[user and/or shared mailbox name(s)]" -LogonTypes [Admin/Delegate/External/Owner] -StartDate [search start date] -EndDate [search end date] -StatusMailRecipients [email address(es)]

Beispiel:

New-MailboxAuditLogSearch "Delegate users" -Mailboxes "Sales,Marketing" -LogonTypes Delegate -StartDate 06/19/2015 -EndDate 06/19/2015 -StatusMailRecipients auditor@example.com

Prüfung des belegten Speichers

Um herauszufinden, wie viel Speicherplatz durch Protokolldateien belegt wird, führen Sie das nachstehende PowerShell-Skript aus:

Get-Mailbox –Identity [mailbox name] | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize

Probleme bei Überwachungsprotokollierung

Administratoren von Exchange 2013 können beim Ausführen des Befehls Search-MailboxAuditLog u.U. auf das Problem stoßen, dass in der EMS-Konsole kein Ergebnis erscheint. Es ist verwirrend, denn die Konsole benachrichtigt nicht darüber, dass die Syntax falsch ist. Das einzig sichtbare Resultat ist der Anstieg des Datenvolumens im Ordner „Audits” wie in der nachstehenden Abb. dargestellt:

audit-known-issue-1024x398

Das Problem wird durch die Zeitformateinstellungen in Exchange verursacht. Mehr zu diesem Thema finden Sie hier: http://blogs.technet.com/b/criscrif/archive/2015/02/26/no-results-using-the-search-mailboxauditlog-cmdlet-with-exchange-2013-cu4.aspx

Zusammenfassung

Der Überwachungsmechanismus für Postfächer gibt dem Administrator die Möglichkeit, Aktionen, vorgenommen an einem Postfach, zu nachvollziehen. Es erweist sich als besonders hilfreich bei freigegebenen Postfächern, die von mehreren Anwendern genutzt werden, und bei jedem anderen Postfach, das vertrauliche Daten enthält. Mit Hilfe des Mechanismus können Sie feststellen, wer was getan hat, sodass die Schuldfrage bei entstandenen Schäden leicht gelöst werden kann.

Empfohlene Artikel

Office 365 – geteiltes Postfach vs. öffentliche Ordner
Back-up der Postfächer in Exchange On-Premise und Office 365
Synchronisation persönlicher und freigegebender Exchange-Ordner mit Smartphone

Exchange 2013: Überwachung von Anwenderpostfächern und freigegebenen Postfächern by

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*