Exchange und Outlook ermöglichen es relativ einfach, dass Anwender oder Administratoren Zugriff auf Postfächer von Dritten erhalten. Da Postfächer oft vertrauliche Informationen enthalten, ist es wichtig zu verfolgen, wer sich an den Postfächern anmeldet und welche Aktionen Benutzer des Postfachs durchführen. Hier ist es besonders wichtig zu überprüfen, welche Benutzer Aktionen mit Postfächern durchführen, die nicht ihre eigenen sind.

Mit der Postfachüberwachungsprotokollierung im Exchange Admin Center (EAC) protokollieren und überprüfen Sie den Zugriff auf Postfächer durch den Postfachbesitzer, aber auch durch Stellvertreter und Administratoren. Sie können dabei genau festlegen, was überwacht werden soll. Dazu gehören die verschiedenen Aktionen, die Anwender in Postfächern durchführen und die sich durch das Protokoll nachverfolgen lassen. Auch die IP-Adresse des zugreifenden Gerätes kann an dieser Stelle festgehalten werden, genauso wie alle anderen Informationen, die zu einer zuverlässigen Überwachung gehören.




Postfachüberwachungsprotokolle nutzen
Exchange erstellt für jedes Postfach ein eigenes Protokoll und speichert es im Postfach selbst. Das heißt, beim Verschieben von Postfächern wandern auch die Protokolle mit. Außerdem sind die Protokolle so auch Teil der Datensicherung und damit jederzeit wiederherstellbar.

Damit der Datenspeicher von Postfächern nicht mit Protokollen vollkommen ausgelastet wird, löscht Exchange die Protokolle automatisch nach 90 Tagen. Die Aufbewahrungsfrist passen Sie mit dem Set-Mailbox-Cmdlet und der Option "AuditLogAgeLimit" an. Aktivieren Sie die gesetzliche Aufbewahrung für ein Postfach, werden die Protokolle in diesem Postfach nicht gelöscht. Das gilt auch für alle anderen Objekte im Postfach.

Um die Postfachüberwachungsprotokollierung einzuschalten, nutzen Sie:

Set-Mailbox -Identity "<Name>" -AuditEnabled $true

Um die Protokollierung wieder zu deaktivieren, dient folgender Befehl:

Set-Mailbox -Identity "<Name>" -AuditEnabled $false

Zum Überprüfen, ob die Postfachüberwachungsprotokollierung für ein Postfach erfolgreich aktiviert wurde, nutzen Sie:

Get-Mailbox "<Name>" | Format-List *audit*

In der Exchange Management Shell (EMS) können Sie die Überwachung für alle Benutzerpostfächer in der Organisation auf einmal aktivieren:

$UserMailboxes = Get-mailbox -Filter {(Recipi-entTypeDetails -eq 'UserMailbox')}

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Mit den Search-MailboxAuditLog- und New-MailboxAuditLogSearch-Cmdlets erstellen Sie Suchaufträge und durchsuchen die Postfächer. Die Suchergebnisse werden in der EMS angezeigt beziehungsweise auch per E-Mail an den Administrator zugestellt.

Im Gegensatz zur Überwachung von Benutzern, hält die Administratorüberwachungsprotokollierung alle Aktionen fest, die Administratoren in der Umgebung durchführen. Zusammen mit der Postfachüberwachungsprotokollierung können Sie dadurch umfassende Analysen der Verwendung und Konfiguration von Exchange-Umgebungen erhalten.

Seite 1 von 2

Nächste Seite >>

jp/ln/Thomas Joos