Exchange 安全監控工具
我正在嘗試辨識可以執行 Exchange 安全監控的工具。理想情況下,這些工具應該能夠獲取以下內容:
- 高風險郵箱的權限更改
- 多個連接到同一個郵箱
如果無需對交易所進行重大重新配置即可部署,則可獲得獎勵積分。
有類似的嗎?
如果您執行的是 Exchange 2010,則應該查看管理員審核日誌概述。您告訴 Exchange 它應該審核哪些 cmdlet,它將記錄各種相關的資訊。它也支持 cmdlet 名稱的萬用字元匹配。由於 Exchange 2010 中的所有內容(包括 GUI)都使用 cmdlet,因此您無法繞過審核。
如果您安裝了 Exchange 2010 SP1(而不是從 Exchange 2010 RTM 升級),則預設情況下已啟用管理員審核日誌記錄。如果您需要打開它,請執行
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *.至於你的第二個問題,我認為你無法做到這一點。Outlook 單獨創建了超過其與您的郵箱的公平份額的連接,並且一些狡猾的 Outlook 外掛創建了更多,如果您曾經遇到過“最多 32 個連接”問題,您可能會知道。即使您確實設法弄清楚哪些連接屬於特定的“會話”,您是否曾經在 Outlook 的新實例已經打開時不小心打開它?那會觸發你的警報。
您也不要指望 Exchange 允許您訪問郵箱的多種方式。我有一台筆記型電腦,但我經常發現自己在我們的建構室的單獨桌面上呆了幾個小時,我也想要我的電子郵件。我還通過 ActiveSync 連接了我的手機,當我懶得啟動我的工作筆記型電腦並連接 VPN 以便在晚上快速回復電子郵件時,我會從我的個人筆記型電腦上檢查 OWA。不太常見,但它發生了,我還編寫了一個實用程序,它使用 Exchange Web 服務訪問我郵箱中的內容。如果已啟用 POP3 或 IMAP 訪問,則還有另外 2 種方法可以訪問您的郵箱,這可能會觸發您的警報。
**編輯:**我完全忘記了代表和共享項目。例如,如果某人的秘書有權訪問郵箱,這將顯示為與特定郵箱的更多連接。Exchange 還使使用者能夠在自己之間共享內容,而無需管理員干預。您進行的所有共享聯繫人和共享日曆將使監視這絕對是一場噩夢。