Informationen zur Postfachzugriffsüberwachung mit Exchange Server 2007
Gilt für: Exchange Server 2007 SP2
Letztes Änderungsdatum des Themas: 2012-03-26
Die Zugriffsüberwachung ist im Microsoft Exchange-Prozess Store.exe implementiert, der den Zugriffspunkt für Nachrichten in Postfachdatenbanken darstellt. Die Zugriffsüberwachung ist eine Sammlung von Ereignisprotokollereignissen, die Administratoren Informationen zu Postfachressourcen zur Verfügung stellen, die von Benutzern geöffnet wurden. Diese Ereignisse sind neu. Sie ändern keine vorhandenen Ereignisse, die ggf. für andere Zwecke verwendet werden.
Die Zugriffsüberwachung wird durch eine Sammlung von Kategorien der Diagnoseprotokollierung für die Ressource Microsoft Exchange IS aktiviert. Dabei entspricht jede Kategorie einem anderen Ressourcenzugriffstyp. Jede Kategorie kann unabhängig von den anderen Kategorien aktiviert werden. Auf diese Weise kann der Administrator den Informationsgrad (und die entsprechende Last, die durch dessen Aufzeichnung entsteht) auswählen, der für die betreffende Organisation geeignet ist.
Die Diagnoseprotokollierungskategorien umfassen Folgendes:
Ordnerzugriff: Ermöglicht das Protokollieren von Ereignissen, die sich auf das Öffnen von Ordnern beziehen, z. B. für die Ordner Posteingang, Postausgang und Gesendete Elemente.
Nachrichtenzugriff: Ermöglicht das Protokollieren von Ereignissen, die sich auf das ausdrückliche Öffnen von Nachrichten beziehen.
Erweitertes Senden als: Ermöglicht das Protokollieren von Ereignissen, die sich auf das Senden einer Nachricht als postfachaktivierter Benutzer beziehen.
Erweitertes Senden im Auftrag von: Ermöglicht das Protokollieren von Ereignissen, die sich auf das Senden einer Nachricht im Auftrag eines postfachaktivierten Benutzers beziehen.
Jede Kategorie unterstützt Protokolliergrade zwischen null (nicht aktiviert) und fünf (maximale Protokollierung). Höhere Protokolliergrade vergrößern die Menge und die Einzelheiten der protokollierten Daten.
Zugriffsüberwachung und Windows-Überwachung im Vergleich
Der Microsoft Exchange-Informationsspeicherdienst unterstützt Windows NT-Überwachungsereignisse auf der Grundlage von Systemrichtlinien. Diese Ereignisse erfassen jede Instanz eines geöffneten Objekts und werden im Sicherheitsereignisprotokoll aufgezeichnet. Diese Art der Protokollierung ist der höchste verfügbare Überwachungsgrad. Er stellt umfangreiche Datensätze zum Objektzugriff zur Verfügung. Das Ziel der Zugriffsüberwachung besteht nicht darin, die Windows-Überwachung zu ersetzen. Die Windows-Überwachung legt den Schwerpunkt auf Ereignisse, die sich auf das Öffnen und Schließen von Objekten beziehen. Die Zugriffsüberwachung ignoriert bestimmte Objekte ausdrücklich und berücksichtigt Ereignisse, die sich auf echte Benutzerdaten beziehen, auf die zugegriffen wird.
Betrachten Sie das folgende Beispiel:
Bei der Windows-Überwachung liegt der hauptsächliche Schwerpunkt auf "Anmeldungen am Postfach". In Exchange besteht ein Anmeldeereignis aus dem Binden der Daten, das dem Client anschließend ermöglicht, Ordner zu öffnen. Das Anmeldeobjekt selbst erteilt keinen Zugriff auf die betreffenden Daten. Unter diesem Gesichtspunkt ist es nicht für die Überwachung geeignet.
Die Zugriffsüberwachung erfasst Ereignisse, die sich darauf beziehen, dass ein Client Zugriff auf Messagingdaten erlangt oder Rechte ausübt, die sich auf Messagingdaten auswirken. Beispiel:
Durch Öffnen eines Ordners erlangt der Client Zugriff auf tatsächliche Daten.
Durch Öffnen einer Nachricht erlangt der Client Zugriff auf tatsächliche Daten.
Die Anmeldung an einem Postfach ist ein impliziter Vorgang zum Erlangen des Zugriffs auf den Ordner. Die Zugriffsüberwachung lässt Vorgänge außer Acht, die unterhalb der IPM-Unterstruktur stattfinden, z. B. Frei/Gebucht-Cachenachschlagevorgänge. Die Zugriffsüberwachung ignoriert außerdem den Zugriff durch Exchange-Systemprozesse. Die Zugriffsüberwachung kann außerdem nur eine bestimmte Klasse oder Zugriffsklassen protokollieren. Die Unterschiede zwischen der Windows-Überwachung und der Zugriffsüberwachung sind im Konfigurationsvorgang begründet. Windows-Überwachung kann über Richtlinien festgelegt werden. Die Zugriffsüberwachung wird durch Diagnosekategorien für den Microsoft Exchange-Informationsspeicher gesteuert.
Wichtig
Die Zugriffsüberwachung überwacht keine Nachrichtenlöschungen, sondern nur den Zugriff auf Nachrichten.
Exchange-Überwachungsereignisprotokoll
Die Menge der protokollierten Überwachungsereignisse steht in direkter Beziehung zu der Last auf einem Server sowie der Anzahl der Benutzervorgänge des überwachten Typs, die zu einem beliebigen Zeitpunkt auftreten. Da das Anwendungsprotokoll auch eine Quelle für Diagnose- und Problembehandlungsdaten ist, protokolliert die Zugriffsüberwachung keine Ereignisse im Anwendungsprotokoll. In Exchange 2007 Service Pack 2 (SP2) wird durch die Installation der Serverfunktion Mailbox auf einem Server ein neues Ereignisprotokoll erstellt. Dabei handelt es sich um das Exchange-Überwachungsereignisprotokoll. Standardmäßig wird das Exchange-Überwachungsereignisprotokoll im Pfad \Exchange Server\Logs\AuditLogs gespeichert. Auf einem auf Windows Server 2008 basierenden Computer befindet sich dieses Ereignisprotokoll unter Applications and Services Logs\Exchange Auditing. Der Standardspeicherort für diese Protokolldatei ist %PROGRAMFILES%\Exchange Server\Logging\Auditlogs. Die Standard-Zugriffssteuerungsliste (Access Control List, ACL) für das Exchange-Überwachungsprotokoll erteilt die folgenden Berechtigungen:
Exchange-Empfängeradministratoren: Lese- und Löschzugriff
Exchange-Organisationsadministratoren: Lese- und Löschzugriff
Exchange-Server: Lese- und Schreibzugriff
Lokaler Dienst - alle Zugriffsarten
Wenn Sie die Zugriffssteuerungs-Standardliste ändern möchten, müssen Sie den Wert CustomSD in der Registrierung aktualisieren. Aktualisieren Sie den Wert CustomSD so, dass er die Gruppe oder den Benutzer enthält, die oder der auf das Exchange-Überwachungsereignisprotokoll zugreifen können soll. Der Wert CustomSD ist unter dem folgenden Registrierungsschlüssel gespeichert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
Hinweis
Die Zugriffssteuerungsliste, die im Wert CustomSD gespeichert ist, wird im SDDL-Format gespeichert. Weitere Informationen zum Ändern der Berechtigungen für Windows-Ereignisprotokolle sowie weitere Informationen zu SDDL-Formaten finden Sie im Thema Ereignisprotokoll.
Wenn Sie einen SID-Wert für einen Benutzer oder eine Gruppe abrufen möchten, verwenden Sie das Tool PsGetSid von Windows Sysinternals. Weitere Informationen zu diesem Tool finden Sie unter PsGetSid v1.43 (englischsprachig).
Sie können auch die PowerShell zum Abrufen der SID verwenden. Verwenden Sie z. B. den folgenden Befehl, um die SID für einen Benutzer abzurufen:
$objUser = New-Object System.Security.Principal.NTAccount("Exchange-Organisationsadministratoren")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Zugriffsüberwachung nach Ereignisprotokollgrad
Für Ereignisse, die den Zugriff durch einen Benutzer auf das Postfach eines anderen Benutzers darstellen, beschreiben die folgenden allgemeinen Richtlinien, welche Ereignisse bei jedem Diagnoseprotokolliergrad protokolliert werden:
Bei Protokolliergrad null (0) werden keine Ereignisse protokolliert.
Bei Protokolliergrad eins (1) werden nur Aktionen protokolliert, für die der agierende Benutzer Verwaltungsberechtigungen aufgerufen hat.
Bei Protokolliergrad zwei (2) und vier (4) wird nur der Zugriff von einem postfachaktivierten Benutzer auf ein anderes Postfach protokolliert.
Bei Protokolliergrad zwei (3) und fünf (5) wird der Zugriff eines beliebigen Benutzers auf ein beliebiges Postfach protokolliert.
Allgemeine Überwachungsereignisinformationen
Überwachungsereignisse, die sich auf Aktionen beziehen, die auf der Anmeldung eines Benutzers basieren, stellen eine allgemeine Sammlung von Informationen zur Verfügung. Erweiterte Clientdaten sind nur verfügbar, wenn das Programm das Senden erweiterter Clientdaten unterstützt. Outlook 2003 und höhere Versionen von Outlook senden erweiterte Clientdaten.
Zugriffsüberwachung von Ordnern
Ordnerzugriffsereignisse zeigen das erfolgreiche Öffnen eines Ordners in einem Postfach an. Die Zugriffsüberwachung von Ordnern stellt verschiedene Ereignisse bei den verschiedenen Überwachungsgraden zur Verfügung. Auf diese Weise kann der Administrator den geeigneten Protokolliergrad für seine Überwachungsanforderungen auswählen. In der folgenden Liste werden die Ereignisse beschrieben, die bei jedem Protokolliergrad protokolliert werden:
Bei Protokolliergrad null (0) werden keine Ereignisse protokolliert. Bei diesem Protokolliergrad werden keine Ereignisse als Reaktion auf Ordnerzugriffe protokolliert.
Bei Protokolliergrad eins (1) wird nur der Zugriff mithilfe von Verwaltungsrechten protokolliert.
Bei Protokolliergrad zwei (2) und vier (4) wird nur der Zugriff durch einen postfachaktivierten Benutzer auf ein anderes Postfach protokolliert.
Bei Protokolliergrad zwei (3) und fünf (5) wird der Zugriff eines beliebigen Benutzers auf Ordner protokolliert.
Protokollierung von Standardereignissen und Protokollierung aller Ereignisse
Die Postfachordnerhierarchie besteht aus einer Nicht-IPM-Unterstruktur, die Ordner für die Verwendung durch Anwendungen enthält, z. B. Suchordner, sowie einer IPM-Unterstruktur, die Ordner enthält, die die durch Benutzer angezeigt und verwendet werden, z. B. die Ordner Posteingang und Gesendete Elemente. Standardereignisse stellen den normalen Zugriff auf Ordner dar, die Benutzern angezeigt werden. Diese Ordner werden im Allgemeinen als "Nachrichtenordner" bezeichnet. Der Zugriff auf einen Ordner wird mit dem Standardgrad protokolliert, wenn der Ordner ein untergeordneter Ordner der IPM-Unterstruktur ist. Die Protokollierung aller Ereignisse schließt die Ordner ein, die für den Benutzer nicht sichtbar sind, z. B. den Postfachstammordner und Ordner der Nicht-IPM-Unterstruktur. Administratoren, die den Zugriff auf "Nachrichtenordner" wie etwa die Ordner Posteingang, Gesendete Elemente oder Entwürfe überwachen möchten, müssen keinen höheren Grad der Ereignisprotokollierung aktivieren. In der folgenden Tabelle werden die Ereignisse aufgeführt, die bei jedem Protokolliergrad für die Kategorie "Ordnerzugriff" protokolliert werden:
Kategorie: Ordnerzugriff
| Protokolliergrad | Administratorzugriffsrechte erforderlich | Agierender Benutzer | Postfach | Ergebnis |
|---|---|---|---|---|
0 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Nein |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Ja |
Nicht zutreffend |
Nicht zutreffend |
Standardereignisse |
2 |
Nicht zutreffend |
UserA |
UserA |
Keine Ereignisse |
2 |
Nicht zutreffend |
UserA |
UserB |
Standardereignisse |
3 |
Nicht zutreffend |
UserA |
UserA |
Standardereignisse |
3 |
Nicht zutreffend |
UserA |
UserB |
Standardereignisse |
4 |
Nicht zutreffend |
UserA |
UserA |
Keine Ereignisse |
4 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
5 |
Nicht zutreffend |
UserA |
UserA |
Alle Ereignisse |
5 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
Wenn die Überwachung des Ordnerzugriffs aktiviert ist, werden Ereignisse protokolliert, die den folgenden ähneln:
Ereignis-ID: 10100 Schweregrad: Information Einrichtung: AccessAuditing Der Ordner '%1' im Postfach '%3' wurde durch den Benutzer '%4' geöffnet. Anzeigename: %2 Zugreifender Benutzer: %5 Postfach: %6 Verwaltungsrechte: %7 Bezeichner: %8 Clientinformationen (wenn verfügbar): Computername: %9 Adresse: %10 Prozessname: %11 Prozess-ID: %12 Anwendungs-ID: %13 |
Die Parameter in dieser Ereignismeldung stellen die folgenden Elemente dar:
"%1" stellt den URL-Namen des Ordners dar. Diese Angabe stellt den vollständigen Pfad des Ordners zur Verfügung.
"%2" stellt den Anzeigenamen des Ordners dar. Sie können den Anzeigenamen zusammen mit dem Ordnerpfad verwenden, um mehrere Ordner zu unterscheiden, die den gleichen Namen besitzen.
Allgemeine Überwachungsereignisinformationen:
"%3" stellt den "legacyDN" des geöffneten Postfachs dar.
"%4" stellt den Benutzernamen des Benutzers dar, der die Authentifizierung mit dem Informationsspeicher ausgeführt hat.
"%5" stellt den "legacyDN" des Benutzers dar, der das Objekt geöffnet hat.
"%6" stellt den "legacyDN" des Postfachs dar.
"%7" ist ein Kennzeichen, das angibt, ob Administratorrechte zum Öffnen des Ordners verwendet wurden.
"%8" ist ein relativer eindeutiger Bezeichner. Sie können diesen Parameter verwenden, um eine Reihe von Aktionen über einen kurzen Zeitraum zu korrelieren.
Clientinformationen:
"%9" stellt den Computernamen dar.
"%10" stellt die vom Client generierte Adresse dar. Dieser Wert ist vom Protokoll abhängig, das zum Herstellen der Verbindung mit dem Server verwendet wurde. Lokale Verbindungen (Verbindungen vom gleichen Computer) verwenden den Computernamen. Exchange-Binärdateien senden nach Möglichkeit die IPV6-Adresse und die IPV4-Adresse, wenn sie die IPV6-Adresse nicht senden können. Wenn eine IP-Adresse gesendet wird, handelt es sich um die vom Client identifizierte IP-Adresse. Für Clients hinter einem NAT-Gateway stellt die IP-Adresse ggf. keine unterscheidende Adresse zur Verfügung.
"%11" stellt den Prozessnamen dar. Dabei handelt es sich um die Anwendungsbinärdatei, die den Aufruf für den Zugriff auf das Objekt ausgeführt hat.
"%12" stellt die Prozess-ID (PID) dar. Dabei handelt es sich um einen numerischen Bezeichner für den betreffenden Prozess.
"%13" stellt die Anwendungs-ID dar. Dabei handelt es sich um einen vom Client festgelegten Wert, der die Unterscheidung zwischen Instanzen von Powershell.exe ermöglicht, oder um ein Ereignis, das ermöglicht, dass ein Add-In in einem Prozess als ein Add-In während des Betriebs für den Zugriff auf den Server bezeichnet wird.
Beispieleintrag des Ereignisprotokolls für den Ordnerzugriff
Protokollname: Exchange-Überwachung Quelle: MSExchangeIS-Überwachung Ereignis-ID: 10100 Aufgabenkategorie: Zugriffsüberwachung des Postfachs Grad: Information Schlüsselwörter: Klassisch Beschreibung: Der Ordner '/Inbox' im Postfach 'UserA' wurde durch den Benutzer 'CONTOSO\UserB' geöffnet. Anzeigename: Posteingang Zugreifender Benutzer: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB Verwaltungsrechte: false Bezeichner: 00000000318A00E0 Clientinformationen (wenn verfügbar) Computername: <Clientname> Adresse: <IP-Adresse> Prozessname: OUTLOOK.EXE Prozess-ID: 0 Anwendungs-ID: N/V |
Zugriffsüberwachung von Nachrichten
Nachrichtenzugriffsereignisse zeigen das erfolgreiche Öffnen einer Nachricht im Exchange-Informationsspeicher an. Nachrichten unterstützen keine Standardereignisse. Der gesamte Nachrichtenzugriff wird basierend auf dem durch den Administrator festgelegten Protokolliergrad überwacht. In der folgenden Tabelle werden die Ereignisse aufgeführt, die bei jedem Protokolliergrad für die Kategorie "Nachrichtenzugriff" protokolliert werden:
Kategorie: Nachrichtenzugriff
| Protokolliergrad | Administratorzugriffsrechte erforderlich | Agierender Benutzer | Postfach | Ergebnis |
|---|---|---|---|---|
0 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Nein |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Ja |
Nicht zutreffend |
Nicht zutreffend |
Standardereignisse |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
4 |
Nicht zutreffend |
UserA |
UserA |
Keine Ereignisse |
4 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
5 |
Nicht zutreffend |
UserA |
UserA |
Alle Ereignisse |
5 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
Wenn die Überwachung des Nachrichtenzugriffs aktiviert ist, werden Ereignisse protokolliert, die den folgenden ähneln:
Ereignis-ID: 10102 Schweregrad: Information Einrichtung: AccessAuditing Die Nachricht '%1' im Postfach '%3' wurde durch den Benutzer '%4' geöffnet. Ordner: %2 Zugreifender Benutzer: %5 Postfach: %6 Verwaltungsrechte: %7 Bezeichner: %8 Clientinformationen (wenn verfügbar): Computername: %9 Adresse: %10 Prozessname: %11 Prozess-ID: %12 Anwendungs-ID: %13 |
Die Parameter in dieser Ereignismeldung stellen die folgenden Elemente dar:
"%1" stellt die Internetnachrichten-ID der Nachricht dar, die geöffnet wird.
"%3" stellt das Postfach dar, in dem die Nachricht gespeichert wird.
"%4" stellt den Benutzer dar, der die Authentifizierung mit dem Informationsspeicher ausgeführt hat.
"%5" stellt den "legacyDN" des Benutzers dar, der die Nachricht geöffnet hat.
"%6" stellt den "legacyDN" des Postfachs dar.
"%7" ist ein Kennzeichen, das angibt, ob Administratorrechte zum Öffnen der Nachricht verwendet wurden.
"%8" ist ein relativer eindeutiger Bezeichner, der verwendet werden kann, um eine Reihe von Aktionen über einen kurzen Zeitraum zu korrelieren.
Clientinformationen
"%9" stellt den Computernamen dar.
"%10" stellt die vom Client generierte Adresse dar. Dieser Wert ist vom Protokoll abhängig, das zum Herstellen der Verbindung mit dem Server verwendet wurde. Lokale Verbindungen (Verbindungen vom gleichen Computer) verwenden den Computernamen. Exchange-Binärdateien senden nach Möglichkeit die IPV6-Adresse und die IPV4-Adresse, wenn sie die IPV6-Adresse nicht senden können. Wenn eine IP-Adresse gesendet wird, handelt es sich um die vom Client identifizierte IP-Adresse. Für Clients hinter einem NAT-Gateway stellt die IP-Adresse ggf. keine unterscheidende Adresse zur Verfügung.
"%11" stellt den Prozessnamen dar. Dabei handelt es sich um die Anwendungsbinärdatei, die den Aufruf für den Zugriff auf das Objekt ausgeführt hat.
"%12" stellt die Prozess-ID (PID) dar. Dabei handelt es sich um einen numerischen Bezeichner für den betreffenden Prozess.
"%13" stellt die Anwendungs-ID dar. Dabei handelt es sich um einen vom Client festgelegten Wert, der die Unterscheidung zwischen Instanzen von Powershell.exe ermöglicht, oder um ein Ereignis, das ermöglicht, dass ein Add-In in einem Prozess als ein Add-In während des Betriebs für den Zugriff auf den Server bezeichnet wird.
Beispieleintrag des Ereignisprotokolls für den Nachrichtenzugriff
Protokollname: Exchange-Überwachung Quelle: MSExchangeIS-Überwachung Datum: <Datum> Ereignis-ID: 10102 Aufgabenkategorie: Zugriffsüberwachung des Postfachs Grad: Information Schlüsselwörter: Klassisch Beschreibung: Die Nachricht <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> im Postfach 'UserA' wurde durch den Benutzer 'CONTOSO\UserB' geöffnet. Ordner: /Inbox Zugreifender Benutzer: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB Verwaltungsrechte: false Bezeichner: 00000000318A00E0 Clientinformationen (wenn verfügbar) Computername: <Clientname> Adresse: <IP-Adresse> Prozessname: OUTLOOK.EXE Prozess-ID: 0 Anwendungs-ID: N/V |
Überwachung von "Erweitertes Senden als"
Ereignisse des Typs "Erweitertes Senden als" zeigen an, dass ein Benutzer eine Nachricht im Namen eines anderen Benutzers gesendet hat. Ereignisse des Typs "Erweitertes Senden als" unterstützen keine Standardereignisse und gelten nur, wenn ein Benutzer eine Nachricht im Namen eines anderen Benutzers sendet. Bei Protokolliergrad eins (1) wird nur ein Ereignis aufgezeichnet, wenn der Benutzer Administratorberechtigungen zum Öffnen des Postfachs verwendet und dann eine Nachricht im Namen eines anderen Benutzers gesendet hat. Bei Protokolliergrad fünf (5) wird ein Ereignis aufgezeichnet, wenn ein Benutzer eine Nachricht im Namen eines anderen Benutzers sendet. In der folgenden Tabelle werden die Ereignisse aufgeführt, die bei jedem Protokolliergrad für die Kategorie "Erweitertes Senden als" protokolliert werden:
Kategorie: Erweitertes Senden als
| Protokolliergrad | Administratorzugriffsrechte erforderlich | Agierender Benutzer | Postfach | Ergebnis |
|---|---|---|---|---|
0 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Nein |
UserA |
UserA |
Nicht zutreffend |
1 |
Ja |
UserA |
UserB |
Alle Ereignisse |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
4 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
4 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
5 |
Nicht zutreffend |
UserA |
UserA |
Nicht zutreffend |
5 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
Wenn die Überwachung von "Erweitertes Senden als" aktiviert ist, werden Ereignisse protokolliert, die den folgenden ähneln:
Ereignis-ID: 10106 Schweregrad: Information Einrichtung: SendAs '%1' hat eine Nachricht als '%2' gesendet. Ereignis-ID: %3 Kontoname: %4 Zugreifender Benutzer: %5 Postfach: %6 Verwaltungsrechte: %7 Bezeichner: %8 Clientinformationen (wenn verfügbar): Computername: %9 Adresse: %10 Prozessname: %11 Prozess-ID: %12 Anwendungs-ID: %13 |
Die Parameter in dieser Ereignismeldung stellen die folgenden Elemente dar:
"%1" stellt den "legacyDN" des sendenden Benutzers dar.
"%2" stellt den "legacyDN" des Benutzers dar, in dessen Namen gesendet wurde.
"%3" stellt die Internetnachrichten-ID der Nachricht dar.
"%4" stellt den Benutzer dar, der die Authentifizierung mit dem Informationsspeicher ausgeführt hat.
"%5" stellt den "legacyDN" des zugreifenden Benutzers dar.
"%6" stellt den "legacyDN" des Postfachs dar.
"%7" ist ein Kennzeichen, das angibt, ob Administratorrechte zum Senden der Nachricht verwendet wurden.
"%8" ist ein relativer eindeutiger Bezeichner, der verwendet werden kann, um eine Reihe Ereignisse über einen kurzen Zeitraum zu korrelieren.
Clientinformationen
"%9" stellt den Computernamen dar.
"%10" stellt die vom Client generierte Adresse dar. Dieser Wert ist vom Protokoll abhängig, das zum Herstellen der Verbindung mit dem Server verwendet wurde. Lokale Verbindungen (Verbindungen vom gleichen Computer) verwenden den Computernamen. Exchange-Binärdateien senden nach Möglichkeit die IPV6-Adresse und die IPV4-Adresse, wenn sie die IPV6-Adresse nicht senden können. Wenn eine IP-Adresse gesendet wird, handelt es sich um die vom Client identifizierte IP-Adresse. Für Clients hinter einem NAT-Gateway stellt die IP-Adresse ggf. keine unterscheidende Adresse zur Verfügung.
"%11" stellt den Prozessnamen dar. Dabei handelt es sich um die Anwendungsbinärdatei, die den Aufruf für den Zugriff auf das Objekt ausgeführt hat.
"%12" stellt die Prozess-ID (PID) dar. Dabei handelt es sich um einen numerischen Bezeichner für den betreffenden Prozess.
"%13" stellt die Anwendungs-ID dar. Dabei handelt es sich um einen vom Client festgelegten Wert, der die Unterscheidung zwischen Instanzen von Powershell.exe ermöglicht, oder um ein Ereignis, das ermöglicht, dass ein Add-In in einem Prozess als ein Add-In während des Betriebs für den Zugriff auf den Server bezeichnet wird.
Weitere Informationen zum Erteilen der Berechtigung "Senden als" finden Sie unter Erteilen der Berechtigung "Senden als" für ein Postfach.
Beispieleintrag des Ereignisprotokolls für "Senden als"
Protokollname: Exchange-Überwachung Quelle: MSExchangeIS-Überwachung Datum: <Datum> Ereignis-ID: 10106 Aufgabenkategorie: Senden als Grad: Information Schlüsselwörter: Klassisch Beschreibung: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB sendete eine Nachricht als/o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserA Nachrichten-ID: <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> Postfach: UserB Kontoname: CONTOSO\UserB Zugreifender Benutzer: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB Postfach: <NULL> Verwaltungsrechte: false Bezeichner: 00000000317A7130 Clientinformationen (wenn verfügbar) Computername: <Clientname> Adresse: <IP-Adresse> Prozessname: OUTLOOK.EXE Prozess-ID: 0 Anwendungs-ID: N/V |
Überwachung von "Erweitertes Senden im Auftrag von"
Ereignisse des Typs "Erweitertes Senden im Auftrag von" zeigen an, dass ein Benutzer eine Nachricht im Auftrag eines anderen Benutzers gesendet hat. Ereignisse des Typs "Erweitertes Senden im Auftrag von" unterstützen keine Standardereignisse und gelten nur, wenn ein Benutzer eine Nachricht im Auftrag eines anderen Benutzers sendet. Bei Protokolliergrad eins (1) wird nur ein Ereignis aufgezeichnet, wenn der Benutzer Administratorberechtigungen zum Öffnen eines Postfachs verwendet und dann eine Nachricht im Auftrag eines anderen Benutzers gesendet hat. Bei Protokolliergrad fünf (5) wird ein Ereignis aufgezeichnet, wenn ein Benutzer eine Nachricht im Auftrag eines anderen Benutzers sendet. In der folgenden Tabelle werden die Ereignisse aufgeführt, die bei jedem Protokolliergrad für die Kategorie "Erweitertes Senden im Auftrag von" protokolliert werden:
Kategorie: Erweitertes Senden im Auftrag von
| Protokolliergrad | Administratorzugriffsrechte erforderlich | Agierender Benutzer | Postfach | Ergebnis |
|---|---|---|---|---|
0 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Keine Ereignisse |
1 |
Nein |
UserA |
UserA |
Nicht zutreffend |
1 |
Ja |
UserA |
UserB |
Alle Ereignisse |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
2 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
3 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
4 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
4 |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
Nicht zutreffend |
5 |
Nicht zutreffend |
UserA |
UserA |
Nicht zutreffend |
5 |
Nicht zutreffend |
UserA |
UserB |
Alle Ereignisse |
Wenn die Überwachung von "Erweitertes Senden im Auftrag von" aktiviert ist, werden Ereignisse protokolliert, die den folgenden ähneln:
Ereignis-ID: 10104 Schweregrad: Information Einrichtung: SendOnBehalfOf '%1' hat eine Nachricht im Auftrag von '%2' gesendet. Ereignis-ID: %3 Kontoname: %4 Zugreifender Benutzer: %5 Postfach: %6 Verwaltungsrechte: %7 Bezeichner: %8 Clientinformationen (wenn verfügbar): Computername: %9 Adresse: %10 Prozessname: %11 Prozess-ID: %12 Anwendungs-ID: %13 |
Die Parameter in dieser Ereignismeldung stellen die folgenden Elemente dar:
"%1" stellt den "legacyDN" des sendenden Benutzers dar.
"%2" stellt den "legacyDN" des Benutzers dar, in dessen Auftrag gesendet wurde.
"%3" stellt die Internetnachrichten-ID der Nachricht dar.
"%4" stellt den Benutzer dar, der die Authentifizierung mit dem Informationsspeicher ausgeführt hat.
"%5" stellt den "legacyDN" des zugreifenden Benutzers dar.
"%6" stellt den "legacyDN" des Postfachs dar.
"%7" ist ein Kennzeichen, das angibt, ob Administratorrechte zum Senden der Nachricht verwendet wurden.
"%8" ist ein relativer eindeutiger Bezeichner, der verwendet werden kann, um eine Reihe Ereignisse über einen kurzen Zeitraum zu korrelieren.
Clientinformationen
"%9" stellt den Computernamen dar.
"%10" stellt die vom Client generierte Adresse dar. Dieser Wert ist vom Protokoll abhängig, das zum Herstellen der Verbindung mit dem Server verwendet wurde. Lokale Verbindungen (Verbindungen vom gleichen Computer) verwenden den Computernamen. Exchange-Binärdateien senden nach Möglichkeit die IPV6-Adresse und die IPV4-Adresse, wenn sie die IPV6-Adresse nicht senden können. Wenn eine IP-Adresse gesendet wird, handelt es sich um die vom Client identifizierte IP-Adresse. Für Clients hinter einem NAT-Gateway stellt die IP-Adresse ggf. keine unterscheidende Adresse zur Verfügung.
"%11" stellt den Prozessnamen dar. Dabei handelt es sich um die Anwendungsbinärdatei, die den Aufruf für den Zugriff auf das Objekt ausgeführt hat.
"%12" stellt die Prozess-ID (PID) dar. Dabei handelt es sich um einen numerischen Bezeichner für den betreffenden Prozess.
"%13" stellt die Anwendungs-ID dar. Dabei handelt es sich um einen vom Client festgelegten Wert, der die Unterscheidung zwischen Instanzen von Powershell.exe ermöglicht, oder um ein Ereignis, das ermöglicht, dass ein Add-In in einem Prozess als ein Add-In während des Betriebs für den Zugriff auf den Server bezeichnet wird.
Beispieleintrag des Ereignisprotokolls für "Senden im Auftrag von"
Protokollname: Exchange-Überwachung Quelle: MSExchangeIS-Überwachung Datum: <Datum> Ereignis-ID: 10104 Aufgabenkategorie: Senden im Auftrag von Grad: Information Schlüsselwörter: Klassisch Beschreibung: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB sendete eine Nachricht im Auftrag von /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserA Nachrichten-ID: <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> Postfach: UserB Kontoname: CONTOSO\UserB Zugreifender Benutzer: /o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Empfänger/cn=UserB Postfach: <NULL> Verwaltungsrechte: false Bezeichner: 0000000031718B30 Clientinformationen (wenn verfügbar) Computername: <Clientname> Adresse: <IP-Adresse> Prozessname: OUTLOOK.EXE Prozess-ID: 0 Anwendungs-ID: N/V |
Rechte "Umgehen der Überwachung"
Anwendungen, die sich an mehreren Benutzerpostfächern als ein vertrauenswürdiges Dienstkonto anmelden, generieren eine höhere Last für die Überwachung. Diese entsteht, weil jeder Zugriffsvorgang auf ein Postfach durch das Dienstkonto ggf. protokolliert wird.
In Exchange 2007 SP2 wird dem Schema ein neues erweitertes Recht hinzugefügt. Dabei handelt es sich um das Recht "Überwachung umgehen". Das Recht "Überwachung umgehen" verhindert die Protokollierung von Aktionen durch das Benutzerkonto, dem das Recht erteilt wird. Aus diesem Grund sollten Sie das Recht "Überwachung umgehen" keinen Benutzern erteilen, die Sie überwachen möchten.
Hinweis
Standardmäßig erteilt Windows der Gruppe Domänenadministratoren alle erweiterten Rechte. Ein Domänenadministrator sollte nicht E-Mail-aktiviert sein, wenn Sie den gesamten Postfachzugriff überwachen müssen. Wenn Sie die Überwachung von Domänenadministratoren zulassen möchten, können Sie das Recht Überwachung umgehen auf Exchange-Organisationsebene verweigern. Dies ermöglicht das Überwachen von Domänenadministratorkonten, die E-Mail-aktiviert sind. Wenn Sie z. B. der Gruppe Domänenadministratoren das Recht Überwachung umgehen verweigern möchten, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true
Sie können das Cmdlet Add-ADPermission zum Erteilen des entsprechenden Rechts für jede Postfachdatenbank verwenden, um die Überwachung für bestimmte Dienstkonten zu umgehen. Wenn Sie z. B. dem Dienstkonto Example\ServiceAccount das Recht Zugriffsüberwachung umgehen erteilen möchten, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus:
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
Auswählen einer Überwachungsstrategie
Die Überwachung des Postfachzugriffs in Exchange ist ein komplexer Vorgang, der von der beabsichtigten Verwendung der Informationen, den jeweiligen Überwachungsanforderungen der Organisation, den in Gebrauch befindlichen Anwendungen und dem Grad der Administratorvertrauensstellung abhängig ist.
Die Windows NT-Sicherheitsüberwachung ist die beste Lösung für Organisationen, die den höchsten Grad von Überwachungsanforderungen besitzen. Diese Form der Überwachung protokolliert den Zugriff auf alle Objekte durch alle Benutzer und speichert die protokollierten Informationen im Sicherheitsprotokoll.
Die Exchange-Zugriffsüberwachung eignet sich für Organisationen, die nicht die Sicherheit der Windows-Überwachung benötigen. Sie eignet sich für Organisationen, die Folgendes überwachen möchten:
Nur Administratoren, die Administratorrechte zum Öffnen von Postfächern verwenden.
Nur Fälle, in denen ein Benutzer das Postfach eines anderen Benutzers öffnet.
Nur Fälle, in denen sich die Ressource, auf die der Zugriff erfolgt, in der IPM-Unterstruktur befindet.
Überwachen des Administratorzugriffs mithilfe von Administratorberechtigungen
Bei Diagnoseprotokolliergrad eins (1) protokollieren alle Kategorien nur Ereignisse, bei denen die agierenden Benutzer Verwaltungsrechte für den Zugriff auf ein Postfach verwenden. Organisationen, die die Exchange-Zugriffsüberwachung verwenden, müssen sich bewusst sein, dass Exchange-Administratoren die Diagnoseprotokolliergrade standardmäßig ändern oder das Ereignisprotokoll der Exchange-Zugriffsüberwachung löschen können. Außerdem können Exchange-Administratoren das Recht "Überwachung umgehen" erteilen. Organisationen, die nur Exchange-Administratoren überwachen möchten, müssen ein geteiltes Berechtigungsmodell implementieren, um zu verhindern, dass die Exchange-Administratoren Protokolliergrade bzw. Sicherheitsbeschreibungen ändern oder das Ereignisprotokoll löschen.
Ausschließliches Überwachen des Zugriffs von einem Postfach auf ein anderes
Bei den Protokolliergraden zwei (2) und vier (4) protokolliert die Überwachung des Ordner- und Nachrichtenzugriffs Ereignisse, wenn ein E-Mail-aktivierter Benutzer einen Ordner oder eine Nachricht eines anderen E-Mail-aktivierten Benutzers öffnet. Dieser Protokolliergrad erkennt nicht alle Typen des Zugriffs auf freigegebene Postfächer. Ein freigegebenes Postfach oder ein Ressourcenpostfach wird einem deaktivierten Benutzerkonto zugeordnet, dann wird weiteren Benutzern der Zugriff auf das Postfach erteilt. Wenn die weiteren Benutzer nicht postfachaktiviert sind, wird der Zugriff auf das freigegebene Postfach oder das Ressourcenpostfach bei Diagnoseprotokolliergrad zwei (2) oder vier (4) nicht protokolliert.
Überwachung von Standardereignissen und allen Ereignissen im Vergleich
Bei den Diagnoseprotokolliergraden zwei (2) und drei (3) protokolliert die Überwachung des Ordnerzugriffs Standardereignisse oder alle Ereignisse. Standardereignisse umfassen nur Ordner, die Unterordner der IPM-Unterstruktur sind. Außerdem werden Ordner erfasst, die Unterordner zweiten Ranges oder höher der Nicht-IPM-Unterstruktur sind (für Anwendungen, die Daten an diesen Speicherorten zwischenspeichern). Wenn Sie höhere Diagnoseprotokolliergrade aktivieren, wird eine größere Anzahl von Ereignissen protokolliert. Diese zusätzliche Protokollierung erhöht die Last auf dem Server. Außerdem werden durch einen höheren Protokolliergrad ggf. falsch positive Ereignisse wie z. B. Frei/Gebucht-Cachenachschlagevorgänge protokolliert. Frei/Gebucht-Cachenachschlagevorgänge greifen auf das Stammverzeichnis des Postfachs zu. Dabei handelt es sich nicht um bösartige Nachschlagevorgänge.
Als Entscheidungsgrundlage für die Überwachung von Standardereignissen oder erweiterten Ereignisse in der Organisation muss bekannt sein, welche Anwendungen die Organisation bereitgestellt hat und wo vertrauliche Benutzerdaten gespeichert werden. Wenn eine Anwendung vertrauliche Benutzerdaten in einem unmittelbar untergeordneten Ordner der Nicht-IPM-Unterstruktur speichert, protokolliert nur die Protokollierung aller Ereignisse (Diagnoseprotokolliergrad vier oder fünf) den Zugriff auf die betreffenden Ordner.
Einschränkungen der Zugriffsüberwachung
Erweiterte Clientinformationen
Clientprogramme, die den erweiterten Clientinformationsblock nicht senden, generieren Überwachungsereignisse, die die Clientinformationen nicht mit Daten auffüllen. Dabei handelt es sich um Versionen von Outlook, die älter als Outlook 2003 sind.
Ordnerinhaltstabellen
Die Überwachung des Nachrichtenzugriffs kann nicht alle Informationen erkennen, die aus einem Postfach abgerufen werden. Für den Zugriff auf die Ordnerinhaltstabelle, die eine Zusammenfassungstabelle häufig verwendeter Nachrichteneigenschaften ist, ist es nicht erforderlich, dass der Benutzer eine Nachricht öffnet. Der Nachrichtenbetreff, Empfängerinformationen und zahlreiche Standardnachrichteneigenschaften sind Bestandteil der Nachrichtenordnertabelle. Diese Informationen können gelesen werden, ohne dass eine Nachricht geöffnet wird. Aus diesem Grund wird auch kein Nachrichtenzugriffsereignis generiert.
Sicherheitserwägungen
Wenn eine Organisation die Zugriffsüberwachung für ihre Überwachungsanforderungen auswählt, müssen mehrere Sicherheitsszenarien in Betracht gezogen werden, um die Gesamtkosten für die vollständige Sicherung des Zugriffs auf die Überwachungsprotokolle und den Schutz des Protokollinhalts zu ermitteln.
Umgehen der Überwachung
Wenn einem Benutzer das erweiterte Recht "Umgehen der Überwachung" erteilt wird, wird dieser Benutzer nicht überwacht. Es wird empfohlen, Active Directory-Zugriffssteuerungslisten zu überwachen, damit sichergestellt ist, dass ein Benutzer, der über das Recht zum Schreiben von Sicherheitsbeschreibungen verfügt, sich nicht selbst das Recht Überwachung umgehen erteilen kann.
Domänenadministratoren
Windows erteilt der Gruppe Domänenadministratoren alle erweiterten Rechte. Ein Domänenadministratorkonto sollte nicht E-Mail-aktiviert sein, wenn der gesamte Postfachzugriff überwacht werden muss.
Änderungen der Diagnoseprotokollierung
Da die Diagnoseprotokolliergrade die Ereignisse steuern, die im Exchange-Überwachungsereignisprotokoll protokolliert werden, kann das Ändern des Diagnoseprotokolliergrads für bestimmte Kategorien zu unerwarteten Ergebnissen führen. Bestimmte erwartete Ereignisse werden beispielsweise nicht mehr protokolliert. Da der Prozess Store.exe nicht erkennen kann, welcher Benutzer die Protokolliergrade geändert hat oder ob die Protokolliergrade von einer früheren Sitzung geändert wurden, kann der Prozess die Änderungen an der Überwachungskonfiguration nicht identifizieren.
Lokale Administratoren
Das Exchange-Überwachungsprotokoll enthält die Aufzeichnung überwachter Ereignisse, und die Ereignisanzeige verfügt über eine Zugriffssteuerungsliste, die verhindert, dass normale Benutzer das Ereignisprotokoll löschen können. Wenn ein lokaler Administrator den Besitz des betreffenden Registrierungsschlüssels übernimmt, den Wert CustomSD zurücksetzt und dann den Server neu startet, kann dieser Administrator das Exchange-Überwachungsprotokoll löschen.
Leistungserwägungen
Das Exchange-Überwachungsereignisprotokoll kann abhängig von der Serverkonfiguration und den Benutzeraktionen ein Ereignisprotokoll mit einer großen Menge an Datenverkehr sein. Daher wird empfohlen, das Exchange-Überwachungsereignisprotokoll auf einem reservierten Festplattenlaufwerk zu speichern, das über ausreichenden Speicherplatz verfügt und schnelle Schreibvorgänge unterstützt.
Weitere Informationen zum Konfigurieren der Exchange-Überwachungsereignisprotokolle finden Sie in den folgenden Themen:
Konfigurieren der automatischen Archivierung von Exchange-Überwachungsereignisprotokollen
Konfigurieren der Größe und des Speicherorts von Exchange-Überwachungsereignisprotokollen
Weitere Informationen
Weitere Informationen zum Ändern der Diagnoseprotokolliergrade in Exchange finden Sie unter Ändern der Protokolliergrade für Exchange-Prozesse.