了解 Exchange Server 2007 Service Pack 2 的邮箱访问审核
适用于: Exchange Server 2007 SP2
上一次修改主题: 2012-03-26
访问审核是在 Microsoft Exchange Store.exe 进程中实现的,而该进程是邮件在邮箱数据库中的访问点。访问审核代表一组事件日志事件,旨在向管理员提供有关用户已打开的邮箱资源的信息。这些事件是新事件。它们不会修改现有事件,可能用于其他目的。
访问审核由一组 Microsoft Exchange IS 资源的“诊断日志记录”类别启用,每个类别都对应不同类型的资源访问。每个类别都可以单独启用。这样,管理员可以选择适用于特定组织的信息级别(和记录信息级别对应的负载)。
诊断日志记录包括以下几种类别:
**文件夹访问:**可以记录与打开文件夹(如“收件箱”、“发件箱”或“已发送邮件”文件夹)相对应的事件
**邮件访问:**可以记录与显式打开邮件相对应的事件
**扩展代理发送:**可以记录与代理启用邮箱的用户发送邮件相对应的事件
**扩展代表发送:**可以记录与代表启用邮箱的用户发送邮件相对应的事件
每个类别都支持从零级(未启用)到五级(最高的日志记录)的日志记录级别。随着日志记录级别的增高,所记录数据的数量和详细程度也会增加。
比较访问审核与 Windows 审核
Microsoft Exchange 信息存储服务支持基于系统策略的 Windows NT 审核事件。这些事件反映了已打开对象的各个实例,并记录在安全事件日志中。此类日志记录为可以获得的最高审核级别,提供了对象访问的大量记录。访问审核的目标不是替代 Windows 审核。Windows 审核侧重于对象打开和对象关闭事件。访问审核会隐式忽略某些对象事件,而记录表示正被访问的实际用户数据的事件。
请考虑下面的示例:
对于 Windows 审核,主要记录“登录邮箱”事件。在 Exchange 中,登录事件是指对稍后允许客户端尝试打开文件夹的数据绑定操作。登录对象本身不会授权访问特定数据。其中,登录对象代表审核的错误焦点。
访问审核记录的事件反映客户端获取对实际邮件数据的访问权限或练习影响邮件数据的权限。例如:
通过打开文件夹,客户端可以获取对实际数据的访问权限。
通过打开邮件,客户端可以获取对实际数据的访问权限。
登录邮箱是获取文件夹访问权限的隐式操作。通过访问审核可以忽略发生在 IPM 子树下的操作,如忙/闲缓存查找操作。此外,访问审核还可以忽略 Exchange 系统进程的访问。访问审核也可以仅记录特定类别或多个类别的访问。Windows 审核和访问审核的差异在于配置过程。Windows 审核以通过策略设置。访问审核受 Microsoft Exchange 信息存储的诊断类别控制。
.gif "important") 要点: |
|---|
| 访问审核不会审核邮件删除操作,而仅审核邮件访问。 |
Exchange 审核事件日志
记录审核事件的数量与服务器的负载以及随时发生的审核类型中用户操作数量直接相关。因为应用程序日志同时也是诊断数据和故障排除数据的来源,访问审核不会将事件记录到应用程序日志。在 Exchange 2007 Service Pack 2 (SP2) 中,在服务器上安装邮件服务器角色会创建一份新的事件日志。这是 Exchange 审核事件日志。默认情况下,Exchange 审核事件日志位于 \Exchange Server\Logs\AuditLogs 下。在基于 Windows Server 2008 的计算机中,此事件日志位于 Applications and Services Logs\Exchange Auditing 下。此日志文件的默认文件位置是 %PROGRAMFILES%\Exchange Server\Logging\Auditlogs。Exchange 审核日志中的默认访问控制列表 (ACL) 允许以下权限:
Exchange Recipient Administrators:读取和清除访问权限
Exchange Organization Administrators:读取和清除访问权限
Exchange Servers:读取和写入访问权限
所有本地服务访问权限
若要更改默认 ACL 列表,您必须在注册表中更新 CustomSD 值。更新 CustomSD 值以包含要访问 Exchange 审核事件日志的组或用户。CustomSD 值位于以下注册表项中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
.gif "note") 注意: |
|---|
| 存储在 CustomSD 值中的 ACL 以 SDDL 格式进行存储。有关如何更改 Windows 事件日志上的权限和有关 SDDL 格式的详细信息,请查看主题 Event Log(英文页面)。 |
若要获取用户或组 SID 值,请使用 Windows Sysinternals 中的 PsGetSid 工具。有关此工具的详细信息,请参阅 PsGetSid v1.43(英文页面)。
或者,您可以使用 PowerShell 来获取 SID。例如,若要获取用户的 SID,请使用以下命令:
$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
事件日志级别的访问审核
对于代表一个用户访问其他用户邮箱权限的事件,以下常规指南说明了在每个诊断日志记录级别记录的事件:
日志记录级别为零 (0) 时,不会做任何记录。
日志记录级别为一 (1) 时,仅记录操作用户调用管理特权的操作。
日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱的用户对其他邮箱的访问。
日志记录级别为三 (3) 和五 (5) 时,记录所有用户对所有邮箱的访问。
常见审核事件信息
反映基于用户登录操作的审核事件可以显示一组常见信息。仅当程序支持发送扩展客户端数据时,扩展客户端数据才可用。Outlook 2003 和更高版本的 Outlook 可以发送扩展客户端数据。
文件夹访问审核
文件夹访问事件表明成功打开了邮箱中的文件夹。文件夹访问审核在不同的审核级别可以提供不同的事件。这样,管理员可以为其审核要求选择合适的日志记录级别。下表说明了会在每个日志记录级别记录的事件。
日志记录级别为零 (0) 时,不会做任何记录。在此日志记录级别,不会对文件夹访问做任何记录。
日志记录级别为一 (1) 时,仅记录使用管理权限的访问。
日志记录级别为二 (2) 和四 (4) 时,仅记录一个启用邮箱用户对其他启用邮箱用户的访问。
日志记录级别为三 (3) 和五 (5) 时,记录所有用户对文件夹的访问。
基本事件日志记录和所有事件日志记录
邮箱文件夹层次结构由非 IPM 子树和 IPM 子树组成,其中非 IPM 子树驻留应用程序使用的文件夹(如“搜索”文件夹),IPM 子树驻留用户查看和使用的文件夹(如“收件箱”或“已发送邮件”文件夹)。基本事件表示对用户可以看见的文件夹的典型访问。这些文件夹通常定义为“邮箱文件夹”。如果文件夹是 IPM 子树中的子文件夹,则对该文件夹的访问会记录到基本级别中。所有事件日志记录包括用户不会看到的文件夹(如邮箱根文件夹和非 IPM 子树文件夹)。需要对“邮箱文件夹”(如“收件箱”文件夹、“已发送邮件”文件夹或“草稿”文件夹)审核访问的管理员不必启用更高级别的事件日志记录。下表说明在每个日志记录级别对文件夹访问类别记录的事件。
类别:文件夹访问
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
|---|---|---|---|---|
0 |
不适用 |
不适用 |
不适用 |
没有 |
1 |
否 |
不适用 |
不适用 |
没有 |
1 |
是 |
不适用 |
不适用 |
基本事件 |
2 |
不适用 |
用户 A |
用户 A |
没有 |
2 |
不适用 |
用户 A |
用户 B |
基本事件 |
3 |
不适用 |
用户 A |
用户 A |
基本事件 |
3 |
不适用 |
用户 A |
用户 B |
基本事件 |
4 |
不适用 |
用户 A |
用户 A |
没有 |
4 |
不适用 |
用户 A |
用户 B |
所有事件 |
5 |
不适用 |
用户 A |
用户 A |
所有事件 |
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
启用文件夹访问审核时,将记录类似下例的事件:
事件 ID:10100 严重性:信息 设备:访问审核 用户 %4 打开了邮箱“%3”中的文件夹 %1 显示名:%2 访问用户: %5 邮箱: %6 管理权限:%7 标识符:%8 客户端信息(如果可用): 计算机名称: %9 地址: %10 进程名称: %11 进程 ID: %12 应用程序 ID: %13 |
此事件消息中的参数代表下列项目:
%1 代表该文件夹的 URL 名称。此参数提供了该文件夹的完整路径。
%2 代表该文件夹的显示名称。您可以将显示名称与文件夹路径一起使用以区分拥有相同名称的多个文件夹。
常见审核事件信息:
%3 代表已打开邮箱的 legacyDN。
%4 代表通过对信息存储的身份验证的用户的用户名。
%5 代表打开了对象的用户的 legacyDN。
%6 代表邮箱的 legacyDN。
%7 标志指示是否使用管理员权限打开文件夹。
%8 是相对唯一的标识符。可以使用此参数在短时间内关联一系列操作。
客户端信息:
%9 代表计算机名称。
%10 代表客户端撰写的地址。此值取决于用于连接服务器的协议。本地连接(来自相同计算机的连接)使用此计算机名称。如果可能,Exchange 二进制文件会发送 IPV6 地址,如果无法发送 IPV6 地址则发送 IPV4 地址。如果发送 IP 地址,则表示该 IP 地址是客户端标识的地址。对于 NAT 网关后的客户端,IP 地址可能不会提供可分辨地址。
%11 代表进程名称。是呼叫访问此对象的应用程序二进制文件。
%12 代表进程 ID (PID)。这是特定进程的数字标识符。
%13 代表应用程序 ID。此值为客户端设置为允许 Powershell.exe 实例间存在差异的值。或者是允许在操作过程中为了访问服务器而将进程中的外接程序标记为外接程序的事件。
示例文件夹访问事件日志条目
日志名称:Exchange 审核 来源:MSExchangeIS 审核 事件 ID: 10100 任务类别:邮箱访问审核 级别:信息 关键字:标准 说明:用户 CONTOSO\用户 B 打开了邮箱“用户 A”中的文件夹“/收件箱” 显示名:收件箱 访问用户:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 管理权限:false 标识符:00000000318A00E0 客户端信息(如果可用) 计算机名称:<客户端名称> 地址:<IP 地址> 进程名称:OUTLOOK.EXE 进程 ID: 0 应用程序 ID:不适用 |
邮件访问审核
邮件访问事件指示在 Exchange 信息存储中成功打开邮件。邮件不支持基本事件。所有邮件均根据管理员设置的日志记录级别进行审核。下表说明在每个日志记录级别对邮件访问类别记录的事件。
类别:邮件访问
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
|---|---|---|---|---|
0 |
不适用 |
不适用 |
不适用 |
没有 |
1 |
否 |
不适用 |
不适用 |
没有 |
1 |
是 |
不适用 |
不适用 |
基本事件 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
4 |
不适用 |
用户 A |
用户 A |
没有 |
4 |
不适用 |
用户 A |
用户 B |
所有事件 |
5 |
不适用 |
用户 A |
用户 A |
所有事件 |
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
启用邮件访问审核时,将记录类似下例的事件:
事件 ID:10102 严重性:信息 设备:访问审核 用户 %4 打开了邮箱 %3 中的邮件 %1 文件夹: %2 访问用户: %5 邮箱: %6 管理权限:%7 标识符:%8 客户端信息(如果可用): 计算机名称: %9 地址: %10 进程名称: %11 进程 ID: %12 应用程序 ID: %13 |
此事件消息中的参数代表下列项目:
%1 代表被打开邮件的 Internet 邮件 ID。
%3 代表保存邮件的邮箱。
%4 代表通过对信息存储的身份验证的用户。
%5 代表打开了邮件的用户 legacyDN。
%6 代表邮箱的 legacyDN。
%7 标志指示是否使用管理员权限打开邮件。
%8 是相对唯一的标识符,可用于在短时间内关联一系列操作。
客户端信息
%9 代表计算机名称。
%10 代表客户端撰写的地址。此值取决于用于连接服务器的协议。本地连接(来自相同计算机的连接)使用此计算机名称。如果可能,Exchange 二进制文件会发送 IPV6 地址,如果无法发送 IPV6 地址则发送 IPV4 地址。如果发送 IP 地址,则表示该 IP 地址是客户端标识的地址。对于 NAT 网关后的客户端,IP 地址可能不会提供可分辨地址。
%11 代表进程名称。是呼叫访问此对象的应用程序二进制文件。
%12 代表进程 ID (PID)。这是特定进程的数字标识符。
%13 代表应用程序 ID。此值为客户端设置为允许 Powershell.exe 实例间存在差异的值。或者是允许在操作过程中为了访问服务器而将进程中的外接程序标记为外接程序的事件。
示例邮件访问事件日志条目
日志名称:Exchange 审核 来源:MSExchangeIS 审核 日期:<日期> 事件 ID: 10102 任务类别:邮箱访问审核 级别:信息 关键字:标准 说明:用户 CONTOSO\用户 B 打开了邮箱用户 A 中的邮件 <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com>。 文件夹:/收件箱 访问用户:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 管理权限:false 标识符:00000000318A00E0 客户端信息(如果可用) 计算机名称:<客户端名称> 地址:<IP 地址> 进程名称:OUTLOOK.EXE 进程 ID: 0 应用程序 ID:不适用 |
扩展代理发送审核
扩展代理发送审核指示一用户代理其他用户发送邮件。扩展代理发送审核不支持基本事件,且仅当一用户代理其他用户发送邮件时适用。在日志记录级别一 (1) 中,仅当用户使用管理员特权打开邮箱,然后代理其他用户发送邮件时记录事件。在日志记录级别五 (5) 中,如果一用户代理其他用户发送邮件则记录事件。下表说明在每个日志记录级别对扩展代理发送类别记录的事件。
类别:扩展代理发送
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
|---|---|---|---|---|
0 |
不适用 |
不适用 |
不适用 |
没有 |
1 |
否 |
用户 A |
用户 A |
不适用 |
1 |
是 |
用户 A |
用户 B |
所有事件 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
4 |
不适用 |
不适用 |
不适用 |
不适用 |
4 |
不适用 |
不适用 |
不适用 |
不适用 |
5 |
不适用 |
用户 A |
用户 A |
不适用 |
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
启用扩展代理发送审核时,将记录类似下例的事件:
事件 ID:10106 严重性:信息 设备:SendAs %1 代理 %2 发送邮件 邮件 ID:%3 帐户名称: %4 访问用户: %5 邮箱: %6 管理权限:%7 标识符:%8 客户端信息(如果可用): 计算机名称: %9 地址: %10 进程名称: %11 进程 ID: %12 应用程序 ID: %13 |
此事件消息中的参数代表下列项目:
%1 代表发送用户的 legacyDN。
%2 代表接受代理发送的用户的 legacyDN。
%3 代表邮件的 Internet 邮件 ID。
%4 代表通过对信息存储的身份验证的用户。
%5 代表访问用户的 legacyDN。
%6 代表邮箱的 legacyDN。
%7 标志指示是否使用管理员权限发送邮件。
%8 是相对唯一的标识符,可用于在短时间内关联事件。
客户端信息
%9 代表计算机名称。
%10 代表客户端撰写的地址。此值取决于用于连接服务器的协议。本地连接(来自相同计算机的连接)使用此计算机名称。如果可能,Exchange 二进制文件会发送 IPV6 地址,如果无法发送 IPV6 地址则发送 IPV4 地址。如果发送 IP 地址,则表示该 IP 地址是客户端标识的地址。对于 NAT 网关后的客户端,IP 地址可能不会提供可分辨地址。
%11 代表进程名称。是呼叫访问此对象的应用程序二进制文件。
%12 代表进程 ID (PID)。这是特定进程的数字标识符。
%13 代表应用程序 ID。此值为客户端设置为允许 Powershell.exe 实例间存在差异的值。或者是允许在操作过程中为了访问服务器而将进程中的外接程序标记为外接程序的事件。
有关如何授予代理发送权限的详细信息,请参阅如何授予邮箱的代理发送权限。
示例代理发送日志条目
日志名称:Exchange 审核 来源:MSExchangeIS 审核 日期:<日期> 事件 ID: 10106 任务类别:代理发送 级别:信息 关键字:标准 说明:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB sent a message as /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA 邮件 ID:<BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> 邮箱:用户 B 帐户名称:CONTOSO\用户 B 访问用户:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 邮箱:<NULL> 管理权限:false 标识符:00000000317A7130 客户端信息(如果可用) 计算机名称:<客户端名称> 地址:<IP 地址> 进程名称:OUTLOOK.EXE 进程 ID: 0 应用程序 ID:不适用 |
扩展代表发送审核
扩展代表发送事件指示一用户代表其他用户发送邮件。“扩展代表发送”事件不支持基本事件,且仅当一用户代表其他用户发送邮件时适用。在日志记录级别一 (1) 中,仅当用户使用管理员特权打开邮箱,然后代表其他用户发送邮件时记录事件。在日志记录级别五 (5) 中,如果一用户代表其他用户发送邮件则记录事件。下表说明在每个日志记录级别对扩展代表发送类别记录的事件。
类别:扩展代表发送
| 日志记录级别 | 需要管理员权限 | 操作用户 | 邮箱 | 结果 |
|---|---|---|---|---|
0 |
不适用 |
不适用 |
不适用 |
没有 |
1 |
否 |
用户 A |
用户 A |
不适用 |
1 |
是 |
用户 A |
用户 B |
所有事件 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
2 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
3 |
不适用 |
不适用 |
不适用 |
不适用 |
4 |
不适用 |
不适用 |
不适用 |
不适用 |
4 |
不适用 |
不适用 |
不适用 |
不适用 |
5 |
不适用 |
用户 A |
用户 A |
不适用 |
5 |
不适用 |
用户 A |
用户 B |
所有事件 |
启用扩展代表发送审核时,将记录类似下例的事件:
事件 ID:10104 严重性:信息 设备:SendOnBehalfOf %1 代表 %2 发送邮件 邮件 ID:%3 帐户名称: %4 访问用户: %5 邮箱: %6 管理权限:%7 标识符:%8 客户端信息(如果可用): 计算机名称: %9 地址: %10 进程名称: %11 进程 ID: %12 应用程序 ID: %13 |
此事件消息中的参数代表下列项目:
%1 代表发送用户的 legacyDN。
%2 代表邮件发送代表的用户的 legacyDN。
%3 代表邮件的 Internet 邮件 ID。
%4 代表通过对信息存储的身份验证的用户。
%5 代表访问用户的 legacyDN。
%6 代表邮箱的 legacyDN。
%7 标志指示是否使用管理员权限发送邮件。
%8 是相对唯一的标识符,可用于在短时间内关联事件。
客户端信息
%9 代表计算机名称。
%10 代表客户端撰写的地址。此值取决于用于连接服务器的协议。本地连接(来自相同计算机的连接)使用此计算机名称。如果可能,Exchange 二进制文件会发送 IPV6 地址,如果无法发送 IPV6 地址则发送 IPV4 地址。如果发送 IP 地址,则表示该 IP 地址是客户端标识的地址。对于 NAT 网关后的客户端,IP 地址可能不会提供可分辨地址。
%11 代表进程名称。是呼叫访问此对象的应用程序二进制文件。
%12 代表进程 ID (PID)。这是特定进程的数字标识符。
%13 代表应用程序 ID。此值为客户端设置为允许 Powershell.exe 实例间存在差异的值。或者是允许在操作过程中为了访问服务器而将进程中的外接程序标记为外接程序的事件。
示例代表发送事件日志条目
日志名称:Exchange 审核 来源:MSExchangeIS 审核 日期:<日期> 事件 ID: 10104 任务类别:代表发送 级别:信息 关键字:标准 说明:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB sent a message on behalf of /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA 邮件 ID:<BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> 邮箱:用户 B 帐户名称:CONTOSO\用户 B 访问用户:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB 邮箱:<NULL> 管理权限:false 标识符:0000000031718B30 客户端信息(如果可用) 计算机名称:<客户端名称> 地址:<IP 地址> 进程名称:OUTLOOK.EXE 进程 ID: 0 应用程序 ID:不适用 |
绕过审核权限
以受信任的服务帐户登录到多个用户邮箱的应用程序会生成更高的待审核负载。这是因为服务帐户的每个邮箱访问操作都可能会进行记录。
在 Exchange 2007 SP2 中,向架构中添加了新的扩展权限。这就是绕过审核权限。绕过审核权限可防止记录被授予该权限的用户帐户的操作。因此,不应将绕过审核权限授予要进行审核的用户。
| 注意: |
|---|
| 默认情况下,Windows 会授予域管理员所有扩展权限。如果必须审核所有邮箱访问,则域管理员不应该启用邮件。若要允许域管理员的审核,您可以在 Exchange 组织级别上拒绝绕过审核权限。这将允许启用邮件的域管理员帐户的审核。例如,若要拒绝对 Domain Admins 组的绕过审核权限,则从 Exchange 命令行管理程序运行以下命令: Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true |
您可以使用 Add-ADPermission cmdlet 为每个邮箱数据库授予相应的特定服务帐户绕过审核权限。例如,要授予 Example\ServiceAccount 绕过访问审核权限,请从 Exchange 命令行管理程序运行以下命令:
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
选择审核策略
在 Exchange 中审核邮箱访问是一项复杂的过程,它依赖于信息的预期用法、组织的特定审核要求、所使用的应用程序以及管理员信任级别。
Windows NT 安全审核是具有最高级别审核要求的组织的最佳解决方案。此审核模式可以记录所有用户对所有对象的访问,并将记录的信息存储到安全日志中。
Exchange 访问审核适用于不需要 Windows 审核安全的组织。Exchange 访问审核适用于希望审核以下对象的组织:
仅执行管理员权限打开邮箱的管理员。
仅一用户打开其他用户的邮箱的情况。
仅访问资源位于 IPM 子树中的情况。
审核使用管理员特权的管理员访问
诊断日志记录级别一 (1) 中,所有类别仅记录操作用户执行管理员权限访问邮箱的事件。使用 Exchange 访问审核的组织请记住,在默认情况下,Exchange 管理员可以修改诊断日志记录级别或清除 Exchange 访问审核事件日志。此外,Exchange 管理员可能授予绕过审核权限。希望仅审核 Exchange 管理员的组织必须实施拆分权限模型,以防止 Exchange 管理员修改日志记录级别、安全描述符或清除事件日志。
仅审核从一个邮箱到另一个邮箱的访问
日志记录级别二 (2) 和四 (4) 中,当一个启用邮箱的用户打开其他启用邮箱用户的文件夹或邮件时,文件夹和邮件访问审核会记录事件。此日志记录级别不会检测所有类型的共享邮箱访问。共享邮箱或资源邮箱与禁用的用户帐户相关联,然后授予其他用户访问邮箱的权限。如果其他用户没有启用邮箱,则在诊断级别二 (2) 或四 (4) 中不会记录对共享邮箱或资源邮箱的访问。
审核基本事件与所有事件
在审核级别二 (2) 和三 (3) 中,文件夹访问审核会记录基本事件或所有事件。基本事件仅包含 IPM 子树的子文件夹。或非 IPM 子树的二级或更高子文件夹(适用于在这些位置缓存数据的应用程序)。启用更高诊断级别意味着将记录更多事件。此额外的日志记录会增加服务器负载。此外,增加的日志记录级别会记录误报事件,如忙/闲缓存查找操作。忙/闲缓存查找操作访问邮箱的根目录。这些属于无恶意查找操作。
若要确定组织是否需要审核基本事件还是扩展事件,需要了解组织已经部署的应用程序和存储敏感用户数据的位置。如果应用程序将敏感用户数据存储在非 IPM 子树的直接子文件夹中,则仅所有事件(诊断级别四或五)日志记录将记录对特定文件夹的访问。
访问审核限制
扩展客户端信息
没有发送扩展客户端信息的客户端程序会阻止生成没有填充客户端信息的审核事件。这些是早于 Outlook 2003 的 Outlook 版本。
文件夹内容表
邮件访问审核无法检测从邮箱检索到的所有信息。这是因为访问文件夹内容表(是常用邮件属性的摘要表)不需要用户打开邮件。邮件主题、收件人信息以及许多基本邮件属性都是邮件文件夹表的一部分。无需打开邮件即可阅读此信息,因此不会生成邮件访问事件。
安全注意事项
当组织为其审核要求选择访问审核时,必须考虑多种安全方案,以评估完全确保访问审核日志安全和保护日志内容的最终成本。
绕过审核
如果用户被授予绕过审核扩展权限,则不会审核该用户。建议监视 Active Directory ACL 以确认拥有写入安全描述符访问权限的用户没有授予自己绕过审核权限。
域管理员
Windows 授予域管理员所有扩展权限。如果必须审核所有邮箱访问,则不应该对域管理员帐户启用邮件
诊断日志记录更改
因为诊断日志记录级别会控制记录到 Exchange 审核事件日志的事件,更改特定类别的诊断日志记录级别可能会导致意外的结果。例如,可能不再记录某些预期事件。此外,由于 Store.exe 进程无法标识哪个用户更改了日志记录级别,甚至无法确定是否在早期会话中已更改了日志记录级别,因此 Store.exe 进程无法标识对审核配置的更改。
本地管理员
Exchange 审核日志包含审核事件的记录,且事件查看器有一个 ACL,可以防止典型用户清除事件日志。如果本地管理员拥有相应注册表项的所有权,请重置 CustomSD 值,然后重新启动服务器,则管理员可以清除 Exchange 审核日志。
性能注意事项
Exchange 审核事件日志可能是高通信量事件日志,具体取决于服务器配置和用户操作。因此,我们建议将 Exchange 审核事件日志置于具有足够的空间并且可以支持快速写入操作的专用硬盘驱动器中。
有关如何配置 Exchange 审核事件日志的详细信息,请参阅下列主题:
详细信息
有关如何在 Exchange 中修改诊断日志记录级别的详细信息,请参阅如何更改 Exchange 进程的日志记录级别。