交换安全监控工具

Question

我正在尝试识别可以执行Exchange安全监视的工具。理想情况下，这些工具应该能够获取以下内容：

• 高风险邮箱的权限更改
• 到同一个邮箱的多个连接

加成点，如果它可以部署，而不主要的重新配置的交换。

有类似的东西吗？

Answer 1

如果您正在运行Exchange2010，那么您应该看看管理员审计日志记录概述。您可以告诉Exchange它应该审计哪些cmdlet，它将记录各种相关的信息。它也支持cmdlet名称上的通配符匹配。由于Exchange 2010中的所有内容(包括GUI)都使用cmdlet，因此无法绕过审核。

如果安装了Exchange2010RTM(而不是从Exchange2010RTM升级)，则默认情况下已打开管理审计日志记录。如果您需要打开它，请运行Set-AdminAuditLogConfig -AdminAuditLogCmdlets *。

至于你的第二个问题，我不认为你能做到这一点。Outlook本身创造的不仅仅是它与邮箱的公平连接，还有一些不可靠的Outlook插件会产生更多的连接，如果您曾经遇到过“32个最大连接”问题，您可能会知道。即使您想出了哪些连接属于特定的“会话”，您是否曾经意外地打开过Outlook的一个新实例？会把你的警报器给绊倒的。

您也不指望Exchange允许您访问邮箱的多种方式。我有一台膝上型电脑，但我经常会发现自己在一个独立的台式机在我们的建筑房间几个小时，我会希望我的电子邮件也在那里。我还用ActiveSync连接了我的手机，当我无法启动我的工作笔记本电脑和连接虚拟专用网以便在晚上快速回复邮件时，我会从我的个人笔记本电脑上查看OWA。不太常见，但实际上，我还编写了一个实用程序，它使用Exchange服务访问邮箱中的内容。如果启用了POP3或IMAP访问，这将是另外两种访问邮箱的方式，可能会触发您的警报。

编辑:我完全忘记了代表和共享项目。例如，如果有人拥有对邮箱的委托访问权限的秘书，这将显示为与特定邮箱的更多连接。Exchange还使用户能够在不受管理员干预的情况下在自己之间共享事物。您正在进行的所有共享联系人和共享日历都将使监视这成为一场噩梦。