von Redaktion IT-A…
Lesezeit
2 Minuten
Exchange Online verwalten (3)
Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. Im dritten und letzten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
Protokollierung der Befehle
Um im EAC nachzuvollziehen, welcher PowerShell-Befehl den aktuellen Aktionen zugrunde liegt, öffnen Sie die Befehlszeilenprotokollierung über die Hilfe. Die Anzeige erfolgt dabei in einem eigenen Fenster und Sie müssen den Protokollierungs-Viewer beim Start des EAC aktivieren, damit Sie die Kommandos nachvollziehen können. Das Protokoll speichert maximal 500 Zeilen und beginnt im Anschluss, die ältesten Einträge zu überschreiben. Leider referenziert das Protokoll auf die GUIDs der Exchange-Objekte, weshalb es schwierig sein kann, den richtigen Eintrag zu finden. Eine wirkliche Protokollierung ist hierdurch aber nicht gegeben.
Verantwortlich für die Überwachung ist der Cmdlet-Extension-Agent "Admin Audit Log Agent". Konfigurationsanpassungen zur Überwachung werden grundsätzlich protokolliert, unabhängig davon, ob die Überwachung für den Befehl aktiv ist oder nicht. Die Konfiguration rufen Sie ausschließlich über die EMS und den Befehl Get-AdminAuditLogConfig auf. Welche Cmdlets mit welchen Parametern genau geloggt werden, ist in den Parametern "AdminAuditLogCmdlets" und "Admin -AuditLogParameters" zu finden. Standardmäßig ist hier ein Asterix (*) eingetragen, sodass sämtliche Befehle in die Auflistung einfließen.
Die Einträge im Log werden standardmäßig 90 Tage aufbewahrt und dann gelöscht. Sie verlängern den Zeitraum über den Parameter "AdminAuditL ogAgeLimit". Setzen Sie den Wert auf 0, löschen Sie sämtliche Einträge im Protokoll. Die Protokollierung erfasst im Auslieferungszustand den Namen und die Parameter des Befehls, das veränderte Objekt, wer den Befehl auf welchem Server ausgeführt hat sowie den Ausführungszeitpunkt. Es wird aber nicht protokolliert, was genau geändert wurde. Um dies ebenfalls zu überwachen, aktivieren Sie das erweiterte Logging über Verbose und den Parameter "LogLevel":
Als Alternative zum EAC kommt die Exchange Managament Shell mit den Cmdlets "New-AdminAuditLogSearch" oder "Search-AdminAuditLog" zum Einsatz. Hier filtern Sie direkt nach Benutzern oder Befehlen, um eine schnelle Übersicht zu erhalten. Mit dem folgenden Beispiel listen Sie alle ausgeführten Befehle nach dem 1. Juni 2020 tabellarisch auf:
Fazit
Das Exchange Admin Center und die Exchange Management Shell sind für die Administration tägliche Anlaufstelle. Der Beitrag hat Ihnen einige wichtige Aspekte nähergebracht. Dank der Konfiguration von Exchange über den Browser als auch durch die Remote-PowerShell ist die Administration von jedem Arbeitsplatz aus möglich. Die Exchange-Tools sind auf Ihrem administrativen Arbeitsplatz nicht mehr lokal nötig, was natürlich neue Herausforderungen in der Absicherung mit sich bringt.
ln/Christian Schulenburg
[6] https://docs.microsoft.com/de-de/Exchange/policy-and-compliance/admin-audit-logging/admin-audit-logging?view=exchserver-2019
Um im EAC nachzuvollziehen, welcher PowerShell-Befehl den aktuellen Aktionen zugrunde liegt, öffnen Sie die Befehlszeilenprotokollierung über die Hilfe. Die Anzeige erfolgt dabei in einem eigenen Fenster und Sie müssen den Protokollierungs-Viewer beim Start des EAC aktivieren, damit Sie die Kommandos nachvollziehen können. Das Protokoll speichert maximal 500 Zeilen und beginnt im Anschluss, die ältesten Einträge zu überschreiben. Leider referenziert das Protokoll auf die GUIDs der Exchange-Objekte, weshalb es schwierig sein kann, den richtigen Eintrag zu finden. Eine wirkliche Protokollierung ist hierdurch aber nicht gegeben.
Exchange Online und Exchange 2019 überwachen mit dem Administrator-Überwachungsprotokoll die Aktionen von Administratoren, die sowohl über das Exchange Administrator Center als auch über die Exchange Management Shell erfolgen. Dies bietet Organisationen die Möglichkeit, Änderungen an der Exchange-Umgebung nachzuvollziehen, sodass Sie wissen, wer was wann modifiziert hat. Es werden dabei nur Befehle protokolliert, die Objekte verändern, Get- oder Search-Befehle sind also ausgeschlossen.
Ebenfalls erfolgt keine Protokollierung von fehlerhaft ausgeführten Befehlen. Sie können außerdem einstellen, dass nur bestimmte Kommandos im Protokoll landen. Exchange prüft beim Ausführen eines Befehls, ob dieser beziehungsweise dabei genutzte Parameter zu protokollieren sind und mit dem zu überwachenden Befehl übereinstimmen. Ist dies der Fall, erfolgt eine Protokollierung in einen Systempostfach.
Verantwortlich für die Überwachung ist der Cmdlet-Extension-Agent "Admin Audit Log Agent". Konfigurationsanpassungen zur Überwachung werden grundsätzlich protokolliert, unabhängig davon, ob die Überwachung für den Befehl aktiv ist oder nicht. Die Konfiguration rufen Sie ausschließlich über die EMS und den Befehl Get-AdminAuditLogConfig auf. Welche Cmdlets mit welchen Parametern genau geloggt werden, ist in den Parametern "AdminAuditLogCmdlets" und "Admin -AuditLogParameters" zu finden. Standardmäßig ist hier ein Asterix (*) eingetragen, sodass sämtliche Befehle in die Auflistung einfließen.
Bild 4: Über das EAC holen Sie sich die Protokolleinträge der Überwachung auf den Screen.
Die Einträge im Log werden standardmäßig 90 Tage aufbewahrt und dann gelöscht. Sie verlängern den Zeitraum über den Parameter "AdminAuditL ogAgeLimit". Setzen Sie den Wert auf 0, löschen Sie sämtliche Einträge im Protokoll. Die Protokollierung erfasst im Auslieferungszustand den Namen und die Parameter des Befehls, das veränderte Objekt, wer den Befehl auf welchem Server ausgeführt hat sowie den Ausführungszeitpunkt. Es wird aber nicht protokolliert, was genau geändert wurde. Um dies ebenfalls zu überwachen, aktivieren Sie das erweiterte Logging über Verbose und den Parameter "LogLevel":
Set-AdminAuditLogConfig -LogLevel verboseDas Protokoll über die Befehle zeigen Sie sich im EAC unter dem Punkt "Verwaltung der Compliance / Überwachung" an. Hier rufen Sie den Punkt "Administratorenüberwachungsprotokoll-Bericht ausführen" auf. Es öffnet sich ein Popup-Fenster, in dem Sie über einen Zeitraum nach ausgeführten Befehlen suchen können. Das EAC bietet Ihnen weiterhin über den Punkt "Administratorenüberwachungsprotokoll exportieren" an, sich eine Übersicht der Befehle als E-Mail mit XML-Anlage zuzusenden.
Search-AdminAuditLog -StartDateMehr zum Thema Administrator-Überwachungsprotokollierung zeigt [6].
06/01/2020 | ft RunDate, Caller,
CmdletName, CmdletParameters,
ObjectModified
Fazit
Das Exchange Admin Center und die Exchange Management Shell sind für die Administration tägliche Anlaufstelle. Der Beitrag hat Ihnen einige wichtige Aspekte nähergebracht. Dank der Konfiguration von Exchange über den Browser als auch durch die Remote-PowerShell ist die Administration von jedem Arbeitsplatz aus möglich. Die Exchange-Tools sind auf Ihrem administrativen Arbeitsplatz nicht mehr lokal nötig, was natürlich neue Herausforderungen in der Absicherung mit sich bringt.
Im ersten Teil
des Workshops schauen wir uns die Nutzung des Exchange Admin Center genauer an. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern. Im dritten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
ln/Christian Schulenburg
[6] https://docs.microsoft.com/de-de/Exchange/policy-and-compliance/admin-audit-logging/admin-audit-logging?view=exchserver-2019
