Descripción de la auditoría de acceso a buzones con Exchange Server 2007 Service Pack 2
Se aplica a: Exchange Server 2007 SP2
Última modificación del tema: 2012-03-26
La auditoría de acceso está implementada en el proceso Store.exe de Microsoft Exchange, que es el punto de acceso al correo en las bases de datos de buzones. Representa un grupo de eventos del registro de eventos cuya finalidad es ofrecer a los administradores información sobre los recursos de buzón que han abierto los usuarios. Estos eventos son nuevos. Estos eventos no modifican los eventos existentes, que se pueden utilizar para otros fines.
Se activa mediante un grupo de categorías de Registro de diagnóstico para el recurso Microsoft Exchange IS, y cada categoría corresponde a un tipo diferente de acceso a los recursos. Cada categoría puede activarse de manera independiente. Esto permite a un administrador elegir el nivel de información (y la carga correspondiente de su registro) adecuado para la organización particular.
Entre las categorías de Registro de diagnóstico se incluyen las siguientes:
Acceso a carpetas: permite registrar eventos relacionados con la apertura de carpetas como Bandeja de entrada, Bandeja de salida o Elementos enviados
Acceso a mensajes: permite registrar eventos que corresponden de manera explícita a la apertura de mensajes
Enviar como extendido: permite registrar eventos correspondientes al envío de un mensaje como usuario con buzón habilitado
Enviar en nombre de extendido: permite registrar eventos correspondientes al envío de un mensaje en nombre de un usuario con buzón habilitado
Cada categoría admite niveles de registro que van desde cero (no habilitado) hasta cinco (registro máximo). Los niveles de registro más altos aumentan la cantidad y el detalle de los datos registrados.
Comparación de la auditoría de acceso con la auditoría de Windows
El servicio Almacén de información de Microsoft Exchange admite eventos de auditoría de Windows NT según la directiva del sistema. Estos eventos reflejan cada instancia de un objeto abierto y se incorporan al registro de eventos de seguridad. Este tipo de registro es el nivel de auditoría más alto disponible y ofrece un gran volumen de registros de acceso a objetos. El objetivo de Auditoría de acceso no es sustituir la auditoría de Windows. La auditoría de Windows se centra en eventos de objetos abiertos y objetos cerrados. La auditoría de acceso omite de manera implícita determinados eventos de objeto en favor de eventos que representan los datos reales del usuario a los que se tiene acceso.
Veamos el ejemplo siguiente:
Con la auditoría de Windows, el objetivo principal son los "inicios de sesión en el buzón de correo". En Exchange, un evento de inicio de sesión es el acto de vincularse a datos que permite al cliente intentar abrir carpetas. El propio objeto de inicio de sesión no garantiza el acceso a datos específicos. Por tanto, representa un falso punto focal para la auditoría.
La Auditoría de acceso se centra en eventos que reflejan la obtención de un cliente del acceso a datos de mensajería reales o del ejercicio de derechos relacionados con datos de mensajería. Por ejemplo:
Al abrir una carpeta, el cliente obtiene acceso a datos reales.
Al abrir un mensaje, el cliente obtiene acceso a datos reales.
El inicio de sesión en un buzón es una operación implícita para tener acceso a la carpeta. La Auditoría de acceso permite omitir operaciones que tienen lugar debajo del subárbol IPM, como las operaciones de búsqueda de disponibilidad de memoria caché. Además, la Auditoría de acceso ignora el acceso de procesos del sistema de Exchange. La Auditoría de acceso también puede registrar únicamente una determinada clase o clases de acceso. Los intercambios entre la auditoría de Windows y la Auditoría de acceso se realizan en el proceso de configuración. La directiva puede establecer la auditoría de Windows. Las categorías de diagnóstico controlan la Auditoría de acceso para el almacén de información de Microsoft Exchange.
Importante
La Auditoría de acceso no audita el borrado de mensajes, sólo acceso a mensajes.
Registro de eventos de auditoría de Exchange
El volumen de eventos de auditoría registrados está directamente relacionado con la carga en un servidor además del número de operaciones del tipo auditado que tienen lugar en cualquier momento. Debido a que el registro de aplicaciones es también una fuente de datos de diagnóstico y de solución de problemas, la Auditoría de acceso no registra eventos en el registro de aplicaciones. En Exchange 2007 Service Pack 2 (SP2), la instalación de la función del servidor Buzón de correo en un servidor crea un nuevo registro de eventos. Se trata del registro de eventos de Auditoría de Exchange. De forma predeterminada, este registro está ubicado en \Exchange Server\Logs\AuditLogs. En un equipo basado en Windows Server 2008, este registro de eventos está ubicado en Applications and Services Logs\Exchange Auditing. La ubicación predeterminada de este archivo de registro es %ARCHIVOSDEPROGRAMA%\Exchange Server\Logging\Auditlogs. La lista de control de acceso (ACL) predeterminada del registro de Auditoría de Exchange ofrece los siguientes permisos:
Administradores de destinatarios de Exchange: acceso de lectura y borrado
Administradores de la organización de Exchange: acceso de lectura y borrado
Servidores de Exchange: acceso de escritura y lectura
Servicio local: todos los accesos
Para cambiar la lista ACL predeterminada, es necesario actualizar el valor de CustomSD en el Registro. Actualice el valor de CustomSD para incluir el grupo o usuario que desee que obtenga acceso al Registro de eventos de auditoría de Exchange. El valor de CustomSD se encuentra en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
Nota
La ACL se encuentra almacenada en el valor de CustomSD en formato SDDL. Para obtener más información acerca de cómo cambiar los permisos de los Registros de eventos de Windows y acerca de los formatos SDDL, consulte el tema Event Log (en inglés).
Para obtener un valor de SID de un usuario o grupo, utilice la herramienta PsGetSid de Windows Sysinternals. Para obtener más información acerca de esta herramienta, consulte PsGetSid v1.43 (página en inglés).
O bien, puede usar PowerShell para obtener el SID. Por ejemplo, para obtener el SID de un usuario, utilice el comando siguiente:
$objUser = New-Object System.Security.Principal.NTAccount("Administradores de la organización de Exchange")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Auditoría de acceso según el nivel de registro de eventos
Para eventos que representan el acceso de un usuario al buzón de otro usuario, las siguientes directrices generales describen qué eventos se registran en cada nivel de registro de diagnóstico:
En el nivel de registro cero (0), no se registra nada.
En el nivel de registro uno (1), sólo se registran las acciones para las cuales el usuario activo ha invocado privilegios administrativos.
En el nivel de registro dos (2) y cuatro (4), sólo se registra el acceso a otro buzón de un usuario habilitado para usar buzones.
En el nivel de registro tres (3) y cinco (5), se registra el acceso de cualquier usuario a cualquier buzón.
Información común de eventos de auditoría
Los eventos de auditoría que reflejan acciones basadas en el inicio de sesión de un usuario exponen un grupo de información común. Los datos de cliente extendidos sólo están disponibles si el programa admite el envío de este tipo de datos. Outlook 2003 y versiones posteriores de Outlook envían datos de cliente extendidos.
Auditoría de acceso a carpetas
Los eventos de Acceso a carpetas indican la apertura correcta de una carpeta de un buzón. La Auditoría de acceso a carpetas proporciona diferentes eventos en distintos niveles de auditoría. Esto permite a un administrador seleccionar el nivel de registro adecuado a las necesidades de auditoría. En la lista siguiente se describen los eventos registrados en cada nivel de registro:
En el nivel cero (0), no se registra nada. En este nivel de registro, no se registran eventos como respuesta al acceso a carpetas.
En el nivel uno (1), sólo se registra el acceso con derechos administrativos.
En el nivel de registro dos (2) y cuatro (4), sólo se registra el acceso de un usuario habilitado para correo a otro usuario habilitado para usar buzones.
En el nivel de registro tres (3) y cinco (5), se registra el acceso a carpetas de cualquier usuario.
Registro de eventos básicos y registro de todos los eventos
La jerarquía de carpetas del buzón consta de un subárbol distinto de IPM que alberga carpetas que usan las aplicaciones, como carpetas de búsqueda, junto con un subárbol IPM que contiene carpetas que ven y usan los usuarios como, por ejemplo, las carpetas Bandeja de entrada o Elementos enviados. Los eventos básicos representan el acceso típico a las carpetas que ve el usuario. Estas carpetas se definen generalmente como "carpetas de correo". El acceso a una carpeta se registra en el nivel básico si la carpeta es una carpeta secundaria del subárbol IPM. El registro de todos los eventos incluye las carpetas no visibles para el usuario, como la carpeta raíz del buzón y las carpetas de otro subárbol distinto de IPM. Los administradores que desean realizar una auditoría del acceso a "carpetas de correo", como las carpetas Bandeja de entrada, Elementos enviados o Borradores, no tienen que habilitar el registro de eventos de nivel superior. En la tabla siguiente se muestran los eventos registrados en cada nivel de registro para la categoría Acceso a carpetas.
Categoría: acceso a carpetas
| Nivel de registro | Se necesitan derechos de administrador | Usuario activo | Buzón | Resultado |
|---|---|---|---|---|
0 |
No aplicable |
No aplicable |
No aplicable |
Nada |
1 |
No |
No aplicable |
No aplicable |
Nada |
1 |
Sí |
No aplicable |
No aplicable |
Eventos básicos |
2 |
No aplicable |
Usuario A |
Usuario A |
Nada |
2 |
No aplicable |
Usuario A |
Usuario B |
Eventos básicos |
3 |
No aplicable |
Usuario A |
Usuario A |
Eventos básicos |
3 |
No aplicable |
Usuario A |
Usuario B |
Eventos básicos |
4 |
No aplicable |
Usuario A |
Usuario A |
Nada |
4 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
5 |
No aplicable |
Usuario A |
Usuario A |
Todos los eventos |
5 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
Si está habilitada la auditoría de Acceso a carpetas, se registran los eventos que reflejan lo siguiente:
Id. de evento: 10100 Gravedad: Información Instalación: Auditoría de acceso El usuario %4 ha abierto la carpeta %1 del buzón '%3'. Nombre para mostrar: %2 Usuario con acceso: %5 Buzón: %6 Derechos administrativos: %7 Identificador: %8 Información del cliente (si está disponible): Nombre del equipo: %9 Dirección: %10 Nombre de proceso: %11 Id. de proceso: %12 Id. de aplicación: %13 |
Los parámetros de este mensaje de evento representan los siguientes elementos:
%1 representa la dirección URL de la carpeta. Facilita la ruta completa de la carpeta.
%2 representa el nombre para mostrar de la carpeta. Este nombre se puede usar junto con la ruta de la carpeta para diferenciar entre varias carpetas con el mismo nombre.
Información común de eventos de auditoría:
%3 representa el valor legacyDN del buzón abierto.
%4 representa el nombre del usuario autenticado en el almacén de información.
%5 representa el valor legacyDN del usuario que ha abierto el objeto.
%6 representa el valor legacyDN del buzón.
%7 es un marcador que indica si se usaron derechos de administrador para abrir la carpeta.
%8 es un identificador relativamente único. Este parámetro se puede usar para establecer una correlación en una serie de acciones que tienen lugar en un período de tiempo breve.
Información del cliente:
%9 representa el nombre del equipo.
%10 representa la dirección tal como la ha compuesto el cliente. El valor depende del protocolo usado para conectarse al servidor. Las conexiones locales (conexiones desde el mismo equipo) usan el nombre del equipo. Los archivos binarios de Exchange envían la dirección IPv6, si es posible, y la dirección IPv4 si no se puede enviar la dirección IPV6. Si se envía una dirección IP, representa la dirección IP tal como la identifica el cliente. Para clientes situados tras una puerta de enlace NAT, es posible que la dirección IP no proporcione una dirección distintiva.
%11 representa el nombre del proceso. Se trata del archivo binario de la aplicación que realiza la llamada de acceso al objeto.
%12 representa el identificador del proceso (PID). Se trata de un identificador numérico específico de cada proceso.
%13 representa el identificador de la aplicación. Se trata de un valor que el cliente establece para diferenciar entre instancias de Powershell.exe. O bien, se trata de un evento que permite etiquetar un complemento de un proceso como complemento durante las operaciones de acceso al servidor.
Ejemplo de entrada del registro de eventos de acceso a carpetas
Nombre de registro: Auditoría de Exchange Origen: Auditoría de MSExchangeIS Id. de evento: 10100 Categoría de la tarea: Auditoría de acceso a buzones Nivel: Información Palabras clave: Clásica Descripción: el usuario CONTOSO\Usuario B ha abierto la carpeta /Bandeja de entrada del buzón ''Usuario A'. Nombre para mostrar: Bandeja de entrada Usuario con acceso: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB Derechos administrativos: falso Identificador: 00000000318A00E0 Información del cliente (si está disponible) Nombre del equipo: <Nombre del cliente> Dirección: <Dirección IP > Nombre de proceso: OUTLOOK.EXE Id. de proceso: 0 Id. de aplicación: N/D |
Auditoría de acceso a mensajes
Los eventos de Acceso a mensajes indican la apertura correcta de un mensaje en el almacén de información de Exchange. Los mensajes no admiten eventos básicos. El acceso a todos los mensajes se audita en función del nivel de registro establecido por el administrador. En la tabla siguiente se muestran los eventos registrados en cada nivel de registro para la categoría Acceso a mensajes.
Categoría: Acceso a mensajes
| Nivel de registro | Se necesitan derechos de administrador | Usuario activo | Buzón | Resultado |
|---|---|---|---|---|
0 |
No aplicable |
No aplicable |
No aplicable |
Nada |
1 |
No |
No aplicable |
No aplicable |
Nada |
1 |
Sí |
No aplicable |
No aplicable |
Eventos básicos |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
4 |
No aplicable |
Usuario A |
Usuario A |
Nada |
4 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
5 |
No aplicable |
Usuario A |
Usuario A |
Todos los eventos |
5 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
Si está habilitada la auditoría de Acceso a mensajes, se registran los eventos que reflejan lo siguiente:
Id. de evento: 10102 Gravedad: Información Instalación: Auditoría de acceso El usuario %4 ha abierto el mensaje %1 del buzón %3'. Carpeta: %2 Usuario con acceso: %5 Buzón: %6 Derechos administrativos: %7 Identificador: %8 Información del cliente (si está disponible): Nombre del equipo: %9 Dirección: %10 Nombre de proceso: %11 Id. de proceso: %12 Id. de aplicación: %13 |
Los parámetros de este mensaje de evento representan los siguientes elementos:
%1 representa el identificador del mensaje en Internet del mensaje que se va a abrir.
%3 representa el buzón donde se guarda el mensaje.
%4 representa al usuario autenticado en el almacén de información.
%5 representa el valor legacyDN del usuario que ha abierto el mensaje.
%6 representa el valor legacyDN del buzón.
%7 es un marcador que indica si se usaron derechos de administrador para abrir el mensaje.
%8 es un identificador relativamente único que se puede usar para establecer correlación en un conjunto de acciones que tienen lugar en un período de tiempo breve.
Información del cliente
%9 representa el nombre del equipo.
%10 representa la dirección tal como la ha compuesto el cliente. El valor depende del protocolo usado para conectarse al servidor. Las conexiones locales (conexiones desde el mismo equipo) usan el nombre del equipo. Los archivos binarios de Exchange envían la dirección IPv6, si es posible, y la dirección IPv4 si no se puede enviar la dirección IPV6. Si se envía una dirección IP, representa la dirección IP tal como la identifica el cliente. Para clientes situados tras una puerta de enlace NAT, es posible que la dirección IP no proporcione una dirección distintiva.
%11 representa el nombre del proceso. Se trata del archivo binario de la aplicación que realiza la llamada de acceso al objeto.
%12 representa el identificador del proceso (PID). Se trata de un identificador numérico específico de cada proceso.
%13 representa el identificador de la aplicación. Se trata de un valor que el cliente establece para diferenciar entre instancias de Powershell.exe. O bien, se trata de un evento que permite etiquetar un complemento de un proceso como complemento durante las operaciones de acceso al servidor.
Entrada del registro de eventos a mensaje de ejemplo
Nombre de registro: Auditoría de Exchange Origen: Auditoría de MSExchangeIS Fecha: <fecha> Id. de evento: 10102 Categoría de la tarea: Auditoría de acceso a buzones Nivel: Información Palabras clave: Clásica Descripción: El usuario CONTOSO\Usuario B ha abierto el mensaje <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> del buzón Usuario A Carpeta: /Bandeja de entrada Usuario con acceso: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB Derechos administrativos: falso Identificador: 00000000318A00E0 Información del cliente (si está disponible) Nombre del equipo: <Nombre del cliente> Dirección: <Dirección IP > Nombre de proceso: OUTLOOK.EXE Id. de proceso: 0 Id. de aplicación: N/D |
Auditoría de Enviar como extendido
Los eventos de Enviar como extendido indican que un usuario ha enviado un mensaje como otro usuario. Los eventos de Enviar como extendido no admiten eventos básicos y sólo se aplican cuando un usuario envía un mensaje como otro usuario. En el nivel de registro uno (1), se registra un evento sólo si el usuario ha usado privilegios de administrador para abrir el buzón y después, ha enviado un mensaje como otro usuario. En el nivel de registro cinco (5), se registra un evento si un usuario envía un mensaje como otro usuario. En la tabla siguiente se muestran los eventos registrados en cada nivel de registro para la categoría Enviar como extendido.
Categoría: Enviar como extendido
| Nivel de registro | Se necesitan derechos de administrador | Usuario activo | Buzón | Resultado |
|---|---|---|---|---|
0 |
No aplicable |
No aplicable |
No aplicable |
Nada |
1 |
No |
Usuario A |
Usuario A |
No aplicable |
1 |
Sí |
Usuario A |
Usuario B |
Todos los eventos |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
4 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
4 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
5 |
No aplicable |
Usuario A |
Usuario A |
No aplicable |
5 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
Si está habilitada la auditoría de Enviar como extendido, se registran los eventos que reflejan lo siguiente:
Id. de evento: 10106 Gravedad: Información Instalación: SendAs %1 ha enviado un mensaje como %2 Id. de mensaje: %3 Nombre de cuenta: %4 Usuario con acceso: %5 Buzón: %6 Derechos administrativos: %7 Identificador: %8 Información del cliente (si está disponible): Nombre del equipo: %9 Dirección: %10 Nombre de proceso: %11 Id. de proceso: %12 Id. de aplicación: %13 |
Los parámetros de este mensaje de evento representan los siguientes elementos:
%1 representa el valor legacyDN del usuario que realiza el envío.
%2 representa el valor legacyDN del usuario al que se suplantó para Enviar como.
%3 representa el identificador del mensaje en Internet.
%4 representa al usuario autenticado en el almacén de información.
%5 representa el valor legacyDN del usuario con acceso.
%6 representa el valor legacyDN del buzón.
%7 es un marcador que muestra si se usaron derechos administrativos para enviar el mensaje.
%8 es un identificador relativamente único que se puede usar para eventos correlativos que tienen lugar en un período de tiempo breve.
Información del cliente
%9 representa el nombre del equipo.
%10 representa la dirección tal como la ha compuesto el cliente. El valor depende del protocolo usado para conectarse al servidor. Las conexiones locales (conexiones desde el mismo equipo) usan el nombre del equipo. Los archivos binarios de Exchange envían la dirección IPv6, si es posible, y la dirección IPv4 si no se puede enviar la dirección IPV6. Si se envía una dirección IP, representa la dirección IP tal como la identifica el cliente. Para clientes situados tras una puerta de enlace NAT, es posible que la dirección IP no proporcione una dirección distintiva.
%11 representa el nombre del proceso. Se trata del archivo binario de la aplicación que realiza la llamada de acceso al objeto.
%12 representa el identificador del proceso (PID). Se trata de un identificador numérico específico de cada proceso.
%13 representa el identificador de la aplicación. Se trata de un valor que el cliente establece para diferenciar entre instancias de Powershell.exe. O bien, se trata de un evento que permite etiquetar un complemento de un proceso como complemento durante las operaciones de acceso al servidor.
Para obtener más información acerca de cómo conceder el permiso Enviar como, consulte Cómo conceder los permisos Enviar como de un buzón.
Ejemplo de entrada de registro de eventos de Enviar como
Nombre de registro: Auditoría de Exchange Origen: Auditoría de MSExchangeIS Fecha: <fecha> Id. de evento: 10106 Categoría de la tarea: Enviar como Nivel: Información Palabras clave: Clásica Descripción: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Usuario B ha enviado un mensaje como /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Usuario A Id. de mensaje: <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> Buzón: Usuario B Nombre de cuenta: CONTOSO\UserB Usuario con acceso: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB Buzón:<NULL> Derechos administrativos: falso Identificador: 00000000317A7130 Información del cliente (si está disponible) Nombre del equipo: <Nombre del cliente> Dirección: <Dirección IP > Nombre de proceso: OUTLOOK.EXE Id. de proceso: 0 Id. de aplicación: N/D |
Auditoría de Enviar en nombre de extendido
Los eventos de Enviar en nombre de extendido indican que un usuario ha enviado un mensaje en nombre de otro usuario. Los eventos de Enviar en nombre de extendido no admiten eventos básicos y sólo se aplican cuando un usuario envía un mensaje en nombre de otro usuario. En el nivel de registro uno (1), se registra un evento sólo si el usuario ha utilizado privilegios de administrador para abrir un buzón y después envía un mensaje en nombre de otro usuario. En el nivel de registro cinco (5), se registra un evento si un usuario envía un mensaje en nombre de otro usuario. En la tabla siguiente se muestran los eventos registrados en cada nivel de registro para la categoría Enviar en nombre de extendido.
Categoría: Enviar en nombre de extendido
| Nivel de registro | Se necesitan derechos de administrador | Usuario activo | Buzón | Resultado |
|---|---|---|---|---|
0 |
No aplicable |
No aplicable |
No aplicable |
Nada |
1 |
No |
Usuario A |
Usuario A |
No aplicable |
1 |
Sí |
Usuario A |
Usuario B |
Todos los eventos |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
2 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
3 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
4 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
4 |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
5 |
No aplicable |
Usuario A |
Usuario A |
No aplicable |
5 |
No aplicable |
Usuario A |
Usuario B |
Todos los eventos |
Si está habilitada la auditoría de Enviar en nombre de extendido, se registran los eventos que reflejan lo siguiente:
Id. de evento: 10104 Gravedad: Información Instalación: SendOnBehalfOf %1 ha enviado un mensaje en nombre de %2 Id. de mensaje: %3 Nombre de cuenta: %4 Usuario con acceso: %5 Buzón: %6 Derechos administrativos: %7 Identificador: %8 Información del cliente (si está disponible): Nombre del equipo: %9 Dirección: %10 Nombre de proceso: %11 Id. de proceso: %12 Id. de aplicación: %13 |
Los parámetros de este mensaje de evento representan los siguientes elementos:
%1 representa el valor legacyDN del usuario que realiza el envío.
%2 representa el valor legacyDN del usuario en cuyo nombre se realizó el envío.
%3 representa el identificador del mensaje en Internet.
%4 representa al usuario autenticado en el almacén de información.
%5 representa el valor legacyDN del usuario con acceso.
%6 representa el valor legacyDN del buzón.
%7 es un marcador que muestra si se usaron derechos administrativos para enviar el mensaje.
%8 es un identificador relativamente único que se puede usar para eventos correlativos que tienen lugar en un período de tiempo breve.
Información del cliente
%9 representa el nombre del equipo.
%10 representa la dirección tal como la ha compuesto el cliente. El valor depende del protocolo usado para conectarse al servidor. Las conexiones locales (conexiones desde el mismo equipo) usan el nombre del equipo. Los archivos binarios de Exchange envían la dirección IPv6, si es posible, y la dirección IPv4 si no se puede enviar la dirección IPV6. Si se envía una dirección IP, representa la dirección IP tal como la identifica el cliente. Para clientes situados tras una puerta de enlace NAT, es posible que la dirección IP no proporcione una dirección distintiva
%11 representa el nombre del proceso. Se trata del archivo binario de la aplicación que realiza la llamada de acceso al objeto.
%12 representa el identificador del proceso (PID). Se trata de un identificador numérico específico de cada proceso.
%13 representa el identificador de la aplicación. Se trata de un valor que el cliente establece para diferenciar entre instancias de Powershell.exe. O bien, se trata de un evento que permite etiquetar un complemento de un proceso como complemento durante las operaciones de acceso al servidor.
Ejemplo de entrada de registro de eventos de Enviar en nombre de
Nombre de registro: Auditoría de Exchange Origen: Auditoría de MSExchangeIS Fecha: <fecha> Id. de evento: 10104 Categoría de la tarea: Enviar en nombre de Nivel: Información Palabras clave: Clásica Descripción: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Usuario B ha enviado un mensaje en nombre de /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Usuario A Id. de mensaje: <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> Buzón: Usuario B Nombre de cuenta: CONTOSO\UserB Usuario con acceso: /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB Buzón:<NULL> Derechos administrativos: falso Identificador: 0000000031718B30 Información del cliente (si está disponible) Nombre del equipo: <Nombre del cliente> Dirección: <Dirección IP > Nombre de proceso: OUTLOOK.EXE Id. de proceso: 0 Id. de aplicación: N/D |
Derechos de omisión de auditoría
Las aplicaciones que inician sesión en buzones de varios usuarios como una cuenta de servicio de confianza generan una mayor carga de auditoría. Esto se debe a que la cuenta de servicio puede registrar cada operación de acceso a buzones.
En Exchange 2007 SP2, se agregado un nuevo derecho extendido al esquema. Se trata del derecho de omisión de auditoría. Este derecho impide el registro de acciones de la cuenta de usuario a la que se haya concedido el derecho. Por tanto, este derecho no debe concederse a usuarios a los que se desea auditar.
Nota
De forma predeterminada, Windows otorga todos los derechos extendidos al grupo de administradores del dominio. Un administrador del dominio no debe estar habilitado para correo si se debe auditar el acceso a todos los buzones. Para permitir la auditoría de administradores de dominio, puede denegar el derecho de omisión de auditoría en el nivel de Organización de Exchange. Esto permite auditar las cuentas de administradores de dominio con correo habilitado. Por ejemplo, para denegar el derecho de omisión de auditoría para el grupo de administradores de dominio, ejecute el comando siguiente en el Shell de administración de Exchange:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true
Se puede utilizar el cmdlet Add-ADPermission para conceder el derecho adecuado a cada base de datos de buzones para que omita la auditoría de cuentas de servicio específicas. Por ejemplo, para conceder el derecho Omisión de auditoría de acceso a Example\ServiceAccount, se ejecuta el siguiente comando desde el Shell de administración de Exchange:
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
Elección de una estrategia de auditoría
La auditoría de acceso a buzones en Exchange es un proceso complejo que depende del uso previsto de la información, los requisitos de auditoría particulares de la organización, las aplicaciones en uso y el nivel de confianza del administrador.
La auditoría de seguridad de Windows NT es la mejor solución para organizaciones con el nivel más alto de requisitos de auditoría. Este tipo de auditoría registra el acceso a todos los objetos de todos los usuarios y almacena la información del registro de seguridad.
La auditoría de acceso de Exchange es adecuada para organizaciones que no requieren seguridad de auditoría de Windows. La auditoría de acceso de Exchange es adecuada para organizaciones que desean auditar lo siguiente:
Sólo administradores que ejercen derechos de administrador para abrir buzones.
Sólo los casos en que un usuario abre el buzón de otro usuario.
Sólo los casos en los que el recurso al que se tiene acceso está ubicado en el subárbol IPM.
Auditoría del acceso de administrador con privilegios de administrador
En el nivel de registro de diagnóstico uno (1), todas las categorías registran únicamente eventos en los que los usuarios activos ejercen derechos administrativos para el acceso a un buzón. Las organizaciones que usan Auditoría de acceso de Exchange deben tener en cuenta que, de manera predeterminada, los administradores de Exchange pueden modificar los niveles de registro de diagnóstico o borrar el registro de eventos de Auditoría de acceso de Exchange. Además, los administradores de Exchange pueden conceder el derecho de omisión de auditoría. Las organizaciones que desean auditar sólo a los administradores de Exchange deben implementar un modelo de permisos divididos para impedir a los administradores de Exchange modificar niveles de registro, descriptores de seguridad o borrar el registro de eventos.
Auditar sólo el acceso de un buzón a otro
En los niveles de registro dos (2) y cuatro (4), la auditoría de acceso a carpetas y mensajes registra eventos cuando un usuario con correo habilitado abre una carpeta o un mensaje de otro usuario con buzón habilitado. Este nivel de registro no detecta todos los tipos de acceso al buzón compartido. Un buzón compartido o un buzón de recursos están asociados a una cuenta de usuario deshabilitada y posteriormente se concede acceso al buzón a otros usuarios. Si estos usuarios no están habilitados para usar buzones, el acceso al buzón compartido o al buzón de recursos no se registra en el nivel de diagnóstico dos (2) o cuatro (4).
Auditoría de eventos básicos frente a auditoría de todos los eventos
En los niveles de diagnóstico dos (2) y tres (3), la auditoría de acceso a carpetas registra eventos básicos o todos los eventos. Los eventos básicos sólo incluyen carpetas que son subcarpetas del subárbol IPM. O bien, carpetas secundarias o principales del subárbol distinto de IPM (para aplicaciones que guardan en la memoria caché los datos de estas ubicaciones). La habilitación de niveles superiores de diagnóstico significa que se registrarán más eventos. Este registro adicional aumenta la carga del servidor. Además, al aumentarse el nivel de registro podrían registrarse falsos eventos positivos como las operaciones de búsqueda de disponibilidad de memoria caché. Estas operaciones tienen acceso a la raíz del buzón. Se trata de operaciones de búsqueda no malintencionadas.
Para decidir si una organización necesita auditar eventos básicos o extendidos, es preciso conocer qué aplicaciones ha implementado la organización y dónde se almacenan los datos confidenciales de los usuarios. Si una aplicación almacena datos confidenciales de los usuarios en una carpeta secundaria inmediata del subárbol distinto de IPM, sólo el registro de todos los eventos (nivel de diagnóstico cuatro o cinco) registrará el acceso a determinadas carpetas.
Limitaciones de la auditoría de acceso
Información de cliente extendida
Los programas cliente que no envían el bloque de información de cliente extendida generan eventos de auditoría que no completan la información de cliente. Se trata de versiones de Outlook anteriores a Outlook 2003.
Tablas de contenido de carpetas
La auditoría de acceso a mensajes no puede detectar toda la información recuperada de un buzón. La razón es que el acceso a la tabla de contenido de carpetas con el resumen de las propiedades de mensajes más usadas no requiere que el usuario abra un mensaje. El asunto del mensaje, la información del destinatario y muchas propiedades básicas del mensaje forman parte de la tabla de carpetas de mensajes. Esta información puede leerse sin necesidad de abrir un mensaje y, por tanto, sin tener que generar un evento de acceso a mensajes.
Aspectos de seguridad
Cuando una organización selecciona Auditoría de acceso para sus requisitos de auditoría, debe tenerse en cuenta un número de escenarios de seguridad en la evaluación del costo final del acceso de seguridad total a los registros de auditoría y de la protección del contenido del registro.
Omisión de auditoría
Si a un usuario se le ha concedido el derecho extendido de Omisión de auditoría, no se le auditará. Se recomienda supervisar las ACL de Active Directory para comprobar que un usuario con acceso de descriptor de seguridad de escritura no se concede a sí mismo el derecho de omisión de auditoría.
Administradores de dominio
Windows concede todos los derechos extendidos a los administradores de dominio. Si debe auditarse el acceso a todos los buzones, una cuenta de administrador de dominio no debe estar habilitada para correo.
Cambios de registro de diagnóstico
Debido a que los niveles de registro de diagnóstico controlan los eventos del registro de eventos de auditoría de Exchange, la modificación del nivel de registro de diagnóstico para determinadas categorías puede tener resultados imprevistos. Por ejemplo, no se registran determinados eventos previstos. Además, debido a que el proceso Store.exe no puede identificar qué usuario ha cambiado los niveles de registro o incluso si los niveles de registro se cambiaron en una sesión anterior, el proceso Store.exe no podrá identificar cambios en la configuración de auditoría.
Administradores locales
El registro de auditoría de Exchange contiene un registro de eventos auditados y el Visor de eventos tiene una ACL que impide a los usuarios normales borrar el registro de eventos. Si un administrador local se ha hecho con la propiedad de la clave del Registro adecuada, ha redefinido el valor CustomSD y ha reiniciado el servidor, podría borrar el registro de auditoría de Exchange.
Consideraciones sobre rendimiento
El registro de eventos de auditoría de Exchange puede ser un registro de eventos con un alto nivel de tráfico, en función de la configuración del servidor y las acciones del usuario. Por tanto, se recomienda que el registro de eventos de auditoría de Exchange se ubique en un disco duro dedicado con espacio suficiente y que admita operaciones de escritura rápida.
Para obtener más información acerca de cómo configurar registros de eventos de auditoría de Exchange, consulte los temas siguientes:
Configuración del archivado automático de registros de eventos de auditoría de Exchange
Configuración del tamaño y de la ubicación de los registros de eventos de la auditoría de Exchange
Visualización de los niveles de registro de auditoría de Exchange actuales
Modificación de los niveles de registro de auditoría de Exchange
Para obtener más información
Para obtener más información acerca de cómo modificar niveles de registro de diagnóstico en Exchange, consulte Cómo modificar los niveles de registro para procesos de Exchange.