Security

從愛管閒事的管理員保護 Exchange 郵箱

  • April 19, 2013

這無疑是這個問題的重複: 安全交換郵箱

簡而言之,如何配置 Microsoft Exchange 2010 以使電子郵件僅對該郵箱的所有者可見,也許是組織的所有者/首席執行官?

連結問題的答案涉及管理員信任和 Exchange 的 Microsoft“模型”,即假定管理員將擁有所有權力。

但是讓我們假設這根本不是一種選擇:作為 Exchange 和一般 Microsoft 產品的新手,我的任務是以這種方式設置 Exchange。除了公司的所有者之外,沒有人應該能夠看到任何人的電子郵件,除了他自己的。我們意識到這將限制“管理員”可以做的事情(例如修復郵箱損壞),但這是可以接受的。

此外,作為我連結的重複問題答案的一般主題的後續行動:在使用 Microsoft Exchange 的大型組織中,企業管理員是否真的可以閱讀任何人的電子郵件?例如,在微軟本身,有人(可能很多人)可能會閱讀史蒂夫巴爾默的電子郵件?或者閱讀有關人員薪酬的敏感人力資源文件,或者可能是員工詢問 EAP(員工援助計劃)之類的問題?或與法律團隊的電子郵件,或與美國證券交易委員會的對話,或者可能是即將到來的收購?

是的,MS 模型非常以委託信任為中心。將會有超級使用者,由本組織來管理誰可以在哪裡看到什麼。使用 Exchange 設計一個像您正在尋找的系統將需要一些 Exchange 外的業務實踐。

  • 不使用域/企業管理員帳戶。此類帳戶僅針對非常具體且記錄良好的情況進行細分。這些是可以閱讀和查看所有內容的上帝使用者。

    • 此類動作是在與朋友一起飛行的規則下執行的。使用此類帳戶的任何人都只會在其他人觀看的情況下這樣做。
    • 跟踪安全事件日誌並將管理員帳戶使用情況與批准的使用情況進行交叉檢查。這一關鍵審計步驟將有助於發現濫用提升憑據的情況。
  • 管理員使用者被委派了他們需要的權限,而沒有其他人。這很難,因為域管理員很容易。但是像我們這樣的管理員使用者不能以上帝的權利執行。在設置過程中,我們的帳戶被委派了我們需要做的事情的權利。

    • 有時,其中一項權利是:允許在這些特定情況下送出提升訪問權限的請求
  • Exchange 組織被闖入具有本地管理員使用者的信任區域。處理 SEC 通信的小組有自己的郵件管理員,他們可能對相關使用者郵箱具有擴展權限。此人位於此內部組織的信任邊界內。

    • 是的,這確實創建了更多的 Exchange 管理員。但是,當中心化不是一種選擇時,就會發生這種情況。

是的,微軟確實希望組織能夠讓具有提升特權的使用者達到更高的行為標準。這是因為我們的很多日常工作都需要接觸私人數據。如果這些收購談判受到法律保留,我們需要進入那裡並進行設置。如果 CEO 無法讓他們的 iPhone 與 Exchange 通信,我們將找出原因。

在我以前擔任 Exchange 管理員的工作中,我們不得不簽署幾項與隱私政策、假冒和不遵守相同規定的處罰有關的協議。

引用自:https://serverfault.com/questions/500752