Fachartikel

Exchange Online verwalten (3)

Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. Im dritten und letzten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
Exchange Online lässt sich wie die lokale Version der Groupware über zwei Wege konfigurieren.
Protokollierung der Befehle
Um im EAC nachzuvollziehen, welcher PowerShell-Befehl den aktuellen Aktionen zugrunde liegt, öffnen Sie die Befehlszeilenprotokollierung über die Hilfe. Die Anzeige erfolgt dabei in einem eigenen Fenster und Sie müssen den Protokollierungs-Viewer beim Start des EAC aktivieren, damit Sie die Kommandos nachvollziehen können. Das Protokoll speichert maximal 500 Zeilen und beginnt im Anschluss, die ältesten Einträge zu überschreiben. Leider referenziert das Protokoll auf die GUIDs der Exchange-Objekte, weshalb es schwierig sein kann, den richtigen Eintrag zu finden. Eine wirkliche Protokollierung ist hierdurch aber nicht gegeben.

Exchange Online und Exchange 2019 überwachen mit dem Administrator-Überwachungsprotokoll die Aktionen von Administratoren, die sowohl über das Exchange Administrator Center als auch über die Exchange Management Shell erfolgen. Dies bietet Organisationen die Möglichkeit, Änderungen an der Exchange-Umgebung nachzuvollziehen, sodass Sie wissen, wer was wann modifiziert hat. Es werden dabei nur Befehle protokolliert, die Objekte verändern, Get- oder Search-Befehle sind also ausgeschlossen.

Ebenfalls erfolgt keine Protokollierung von fehlerhaft ausgeführten Befehlen. Sie können außerdem einstellen, dass nur bestimmte Kommandos im Protokoll landen. Exchange prüft beim Ausführen eines Befehls, ob dieser beziehungsweise dabei genutzte Parameter zu protokollieren sind und mit dem zu überwachenden Befehl übereinstimmen. Ist dies der Fall, erfolgt eine Protokollierung in einen Systempostfach.
Verantwortlich für die Überwachung ist der Cmdlet-Extension-Agent "Admin Audit Log Agent". Konfigurationsanpassungen zur Überwachung werden grundsätzlich protokolliert, unabhängig davon, ob die Überwachung für den Befehl aktiv ist oder nicht. Die Konfiguration rufen Sie ausschließlich über die EMS und den Befehl Get-AdminAuditLogConfig auf. Welche Cmdlets mit welchen Parametern genau geloggt werden, ist in den Parametern "AdminAuditLogCmdlets" und "Admin -AuditLogParameters" zu finden. Standardmäßig ist hier ein Asterix (*) eingetragen, sodass sämtliche Befehle in die Auflistung einfließen.


Bild 4: Über das EAC holen Sie sich die Protokolleinträge der Überwachung auf den Screen.

Die Einträge im Log werden standardmäßig 90 Tage aufbewahrt und dann gelöscht. Sie verlängern den Zeitraum über den Parameter "AdminAuditL ogAgeLimit". Setzen Sie den Wert auf 0, löschen Sie sämtliche Einträge im Protokoll. Die Protokollierung erfasst im Auslieferungszustand den Namen und die Parameter des Befehls, das veränderte Objekt, wer den Befehl auf welchem Server ausgeführt hat sowie den Ausführungszeitpunkt. Es wird aber nicht protokolliert, was genau geändert wurde. Um dies ebenfalls zu überwachen, aktivieren Sie das erweiterte Logging über Verbose und den Parameter "LogLevel":
Set-AdminAuditLogConfig -LogLevel verbose
Das Protokoll über die Befehle zeigen Sie sich im EAC unter dem Punkt "Verwaltung der Compliance / Überwachung" an. Hier rufen Sie den Punkt "Administratorenüberwachungsprotokoll-Bericht ausführen" auf. Es öffnet sich ein Popup-Fenster, in dem Sie über einen Zeitraum nach ausgeführten Befehlen suchen können. Das EAC bietet Ihnen weiterhin über den Punkt "Administratorenüberwachungsprotokoll exportieren" an, sich eine Übersicht der Befehle als E-Mail mit XML-Anlage zuzusenden.

Als Alternative zum EAC kommt die Exchange Managament Shell mit den Cmdlets "New-AdminAuditLogSearch" oder "Search-AdminAuditLog" zum Einsatz. Hier filtern Sie direkt nach Benutzern oder Befehlen, um eine schnelle Übersicht zu erhalten. Mit dem folgenden Beispiel listen Sie alle ausgeführten Befehle nach dem 1. Juni 2020 tabellarisch auf:
Search-AdminAuditLog -StartDate 
06/01/2020 | ft RunDate, Caller,
CmdletName, CmdletParameters,
ObjectModified
Mehr zum Thema Administrator-Überwachungsprotokollierung zeigt [6].

Fazit
Das Exchange Admin Center und die Exchange Management Shell sind für die Administration tägliche Anlaufstelle. Der Beitrag hat Ihnen einige wichtige Aspekte nähergebracht. Dank der Konfiguration von Exchange über den Browser als auch durch die Remote-PowerShell ist die Administration von jedem Arbeitsplatz aus möglich. Die Exchange-Tools sind auf Ihrem administrativen Arbeitsplatz nicht mehr lokal nötig, was natürlich neue Herausforderungen in der Absicherung mit sich bringt.

Im ersten Teil des Workshops schauen wir uns die Nutzung des Exchange Admin Center genauer an. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern. Im dritten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
22.08.2022/ln/Christian Schulenburg

Nachrichten

Erstes großes Update für Windows 11 [27.09.2022]

Mit dem Windows 11 2022 Update stellt Microsoft knapp ein Jahr nach dem Release die erste große Erweiterung des Betriebssystem zur Verfügung. Inhaltlich konzentrieren sich die Neuerungen auf vier Kernbereiche: Die PC-Nutzung einfacher und sicherer machen, die Produktivität von Nutzern fördern, Windows als Plattform für Vernetzung, Kreativität und Entertainment erweitern und mehr Flexibilität und Organisationsmöglichkeiten für den hybriden Arbeitsplatz bieten. [mehr]

Dedizierte Server für das Datenhandling [20.09.2022]

OVHcloud erweitert sein Angebot an dedizierten Servern. Die neuen Systeme konzentrieren sich auf die Dichte in Sachen Rechen- und Speicherkapazität. Mit der größeren Auswahl an leistungsorientierten Servern sollen Firmen Herausforderungen im Datenumfeld besser bewältigen können. [mehr]

Datenschätze heben [16.09.2022]

Kraftvoller Mini [1.09.2022]

Tipps & Tools

Die (IT-)Apokalypse naht [1.10.2022]

So wie sich die sieben Weltwunder in jene der Antike und jene der Neuzeit gliedern, gibt es auch bei den vier Reitern der Apokalypse eine Aufteilung zwischen alt und modern: Während die klassischen Reiter meist als Krieg, Hunger, Krankheit und Tod interpretiert werden, hat sich eine Kaffeetasse für eine Neuauslegung im IT-Kontext entschieden. [mehr]

Shell-Befehle durchleuchtet und erklärt [30.09.2022]

Wenn Sie ab und zu mit Linux und Unix zu schaffen haben, sind Ihnen die langen und oft nicht wirklich selbsterklärenden Shell-Befehle bekannt. In der Theorie gibt es zwar in Form sogenannter Manpages Hilfe im Web, doch auch hier müssen Sie sich erst einmal durch viel Text quälen. Die Webseite "ExplainShell.com" durchleuchtet die Kommandos systematisch und trägt so zum besseren Verständnis bei. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen