Présentation de l'audit de l'accès aux boîtes aux lettres avec Exchange Server 2007 Service Pack 2
S’applique à : Exchange Server 2007 SP2
Dernière rubrique modifiée : 2012-03-26
L'audit de l'accès est implémenté dans le processus Store.exe de Microsoft Exchange, qui est le point d'accès de la messagerie dans les bases de données de boîtes aux lettres. Il correspond à un ensemble d'événements du journal des événements conçus pour apporter des informations aux administrateurs sur les ressources de boîte aux lettres ouvertes par les utilisateurs. Ces événements sont nouveaux. Ils ne modifient pas les événements existants qui peuvent servir à d'autres fins.
L'audit de l'accès est activé par un ensemble de catégories d'enregistrement des diagnostics pour la ressource Microsoft Exchange IS, chaque catégorie correspondant à un type différent d'accès aux ressources. Chaque catégorie peut être activée de façon indépendante. L'administrateur peut ainsi choisir le niveau d'informations approprié pour une organisation spécifique (ainsi que la charge correspondante liée à son enregistrement).
Les catégories d'enregistrement des diagnostics sont les suivantes :
Accès aux dossiers : permet d'enregistrer les événements correspondant à l'ouverture des dossiers, tels que Boîte de réception, Boîte d'envoi ou Éléments envoyés.
Accès aux messages : permet d'enregistrer les événements correspondant à l'ouverture explicite des messages.
Envoyer en tant que (étendu) : permet d'enregistrer les événements correspondant à l'envoi d'un message par un utilisateur à extension boîte aux lettres.
Envoyer de la part de (étendu) : permet d'enregistrer les événements correspondant à l'envoi d'un message pour le compte d'un utilisateur à extension boîte aux lettres.
Chaque catégorie inclut des niveaux d'enregistrement allant de zéro (non activé) à cinq (enregistrement maximal). Avec les niveaux d'enregistrement les plus élevés, les données enregistrées sont plus nombreuses et plus détaillées.
Comparaison de l'audit de l'accès et de l'audit Windows
Le service de banque d'informations Microsoft Exchange prend en charge les événements d'audit Windows NT en fonction de la stratégie système. Ces événements reflètent chaque instance d'un objet ouvert et sont consignés dans le journal des événements de sécurité. Ce type d'enregistrement représente le plus haut niveau d'audit disponible et offre des enregistrements complets de l'accès aux objets. Le but de l'audit de l'accès n'est pas de remplacer l'audit Windows. L'audit Windows est centré sur les événements d'ouverture et de fermeture d'objets. L'audit de l'accès ignore de façon implicite certains événements d'objet au profit d'événements représentant des données utilisateur réelles en cours d'accès.
Prenons l'exemple suivant :
Lors d'un audit Windows, l'objectif majeur consiste à étudier les « ouvertures de sessions sur les boîtes aux lettres ». Dans Exchange, un événement d'ouverture de session consiste à établir une liaison à des données pour permettre au client de tenter d'ouvrir des dossiers. L'objet d'ouverture de session lui-même n'octroie pas l'accès à des données spécifiques. Dans ce cas, il représente une cible erronée pour l'audit.
L'audit de l'accès cible les événements qui reflètent l'accès d'un client à des données de messagerie réelles ou l'utilisation par un client de droits affectant les données de messagerie. Par exemple :
En ouvrant un dossier, le client accède à des données réelles.
En ouvrant un message, le client accède à des données réelles.
L'ouverture d'une session sur une boîte aux lettres constitue une opération implicite pour accéder au dossier. L'audit de l'accès permet d'ignorer les opérations des niveaux inférieurs à la sous-arborescence IPM, telles que les opérations de recherche dans le cache de disponibilité. Il ignore également l'accès des processus système Exchange. Par ailleurs, il peut enregistrer une ou plusieurs classes d'accès spécifiques uniquement. Le seul point commun entre l'audit Windows et l'audit de l'accès réside dans le processus de configuration. L'audit Windows peut être défini par une stratégie. L'audit de l'accès est contrôlé par des catégories de diagnostic de la banque d'informations Microsoft Exchange.
.gif "important") Important : |
|---|
| L'audit de l'accès surveille uniquement l'accès aux messages, pas les suppressions de messages. |
Journal des événements d'audit Exchange
Le volume des événements d'audit enregistrés est directement lié à la charge sur un serveur et au nombre d'opérations utilisateur du type audité qui surviennent à tout moment. Comme le journal des applications est également une source de données de diagnostic et de dépannage, l'audit de l'accès n'y enregistre pas d'événements. Dans Exchange 2007 Service Pack 2 (SP2), l'installation du rôle serveur de boîtes aux lettres sur un serveur crée automatiquement un journal des événements. Il s'agit du journal des événements d'audit Exchange. Par défaut, le journal est situé sous \Exchange Server\Logs\AuditLogs. Sur un ordinateur Windows Server 2008, il est situé sous Journaux des applications et des services\Audit Exchange. L'emplacement par défaut du fichier journal est %PROGRAMFILES%\Exchange Server\Logging\Auditlogs. La liste de contrôle d'accès (ACL) par défaut du journal d'audit Exchange inclut les autorisations suivantes :
Administrateurs des destinataires Exchange : accès en lecture et en suppression
Administrateur de l'organisation Exchange : accès en lecture et en suppression
Serveurs Exchange : accès en lecture et en écriture
Service local : accès complet
Pour modifier la liste ACL par défaut, vous devez mettre à jour la valeur CustomSD dans le Registre. Mettez à jour la valeur CustomSD pour inclure le groupe ou l'utilisateur qui doit pouvoir accéder au journal des événements d'audit Exchange. La valeur CustomSD est située sous la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
Notes
La liste de contrôle d'accès enregistrée dans la valeur CustomSD est enregistrée au format SDDL. Pour plus d'informations sur la modification des autorisations relatives aux journaux d’événements Windows et sur les formats SDDL, consultez la rubrique Event Log (en anglais).
Pour obtenir une valeur SID d'utilisateur ou de groupe, utilisez l'outil PsGetSid de Windows Sysinternals. Pour plus d'informations sur cet outil, consultez la rubrique PsGetSid v1.43.
Vous pouvez également utiliser PowerShell pour obtenir le SID. Par exemple, pour obtenir le SID d'un utilisateur, utilisez la commande suivante :
$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Audit de l'accès par niveau d'enregistrement des événements
Pour les événements correspondant à l'accès par un utilisateur à la boîte aux lettres d'un autre utilisateur, les instructions générales suivantes décrivent les événements consignés à chaque niveau d'enregistrement des diagnostics :
Au niveau d'enregistrement zéro (0), rien n'est enregistré.
Au niveau d'enregistrement un (1), seules les actions pour lesquelles l'utilisateur responsable a invoqué des droits d'administrateur sont enregistrées.
Aux niveaux d'enregistrement deux (2) et quatre (4), seul l'accès par un utilisateur à extension boîte aux lettres à une autre boîte aux lettres est enregistré.
Aux niveaux d'enregistrement trois (3) et cinq (5), l'accès de tous les utilisateurs à toutes les boîtes aux lettres est enregistré.
Informations courantes sur les événements d'audit
Les événements d'audit liés aux actions basées sur l'ouverture de session d'un utilisateur présentent un ensemble d'informations courantes. Les données client étendues sont seulement disponibles lorsque le programme prend en charge leur envoi. Outlook 2003 et les versions ultérieures d'Outlook prennent en charge l'envoi de ce type de données.
Audit de l'accès aux dossiers
Les événements d'accès aux dossiers indiquent la réussite de l'ouverture d'un dossier dans une boîte aux lettres. L'audit de l'accès aux dossiers renseigne différents événements à différents niveaux d'audit. L'administrateur peut alors choisir le niveau d'enregistrement approprié pour ses exigences d'audit. La liste suivante décrit les événements consignés à chaque niveau d'enregistrement :
Au niveau zéro (0), rien n'est enregistré. À ce niveau d'enregistrement, aucun événement n'est consigné suite à l'accès aux dossiers.
Au niveau un (1), seul l'accès utilisant des droits d'administrateur est enregistré.
Aux niveaux d'enregistrement deux (2) et quatre (4), seul l'accès par un utilisateur à extension boîte aux lettres à un autre utilisateur à extension boîte aux lettres est enregistré.
Aux niveaux d'enregistrement trois (3) et cinq (5), l'accès aux dossiers par tous les utilisateurs est enregistré.
Enregistrement des événements simples et enregistrement de tous les événements
La hiérarchie des dossiers de boîte aux lettres est constituée d'une sous-arborescence non IPM qui héberge les dossiers utilisés par les applications (tels que les dossiers de recherche), et d'une sous-arborescence IPM qui héberge les dossiers affichés et utilisés par les utilisateurs (tels que les dossiers Boîte de réception et Éléments envoyés). Les événements simples représentent l'accès classique aux dossiers que voit l'utilisateur. Ces dossiers sont généralement appelés « dossiers de messagerie ». L'accès à un dossier est enregistré au niveau simple si ce dossier est un dossier enfant de la sous-arborescence IPM. L'enregistrement de tous les événements inclut les dossiers invisibles pour l'utilisateur, tels que le dossier racine des boîtes aux lettres et les dossiers de la sous-arborescence non IPM. Les administrateurs qui souhaitent auditer l'accès aux « dossiers de messagerie » (tels que les dossiers Boîte de réception, Éléments envoyés ou Brouillons) n'ont pas besoin d'activer un niveau supérieur d'enregistrement des événements. Le tableau suivant présente les événements consignés à chaque niveau d'enregistrement de la catégorie Accès aux dossiers :
Catégorie : Accès aux dossiers
| Niveau d'enregistrement | Droits d'administrateur requis | Utilisateur responsable de l'action | Boîte aux lettres | Résultat |
|---|---|---|---|---|
0 |
Non applicable |
Non applicable |
Non applicable |
Aucun |
1 |
Non |
Non applicable |
Non applicable |
Aucun |
1 |
Oui |
Non applicable |
Non applicable |
Événements simples |
2 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Aucun |
2 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Événements simples |
3 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Événements simples |
3 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Événements simples |
4 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Aucun |
4 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Tous les événements |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
Lorsque l'audit Accès aux dossiers est activé, des événements similaires à ce qui suit sont consignés :
ID de l'événement : 10100 Gravité : Informations Installation : AccessAuditing Le dossier %1 de la boîte aux lettres « %3 » a été ouvert par l'utilisateur %4 Nom complet : %2 Utilisateur : %5 Boîte aux lettres : %6 Droits d'administration : %7 Identifiant : %8 Informations client (si disponibles) : Nom de l'ordinateur : %9 Adresse : %10 Nom du processus : %11 ID du processus : %12 ID de l'application : %13 |
Les paramètres de ce message d'événement correspondent aux éléments suivants :
%1 correspond au nom de l'URL du dossier. Le chemin d'accès complet au dossier est indiqué.
%2 correspond au nom complet du dossier. Vous pouvez utiliser le nom complet et le chemin d'accès au dossier pour différencier plusieurs dossiers du même nom.
Informations courantes sur les événements d'audit :
%3 correspond au legacyDN de la boîte aux lettres ouverte.
%4 correspond au nom de l'utilisateur qui s'est authentifié auprès de la banque d'informations.
%5 correspond au legacyDN de l'utilisateur qui a ouvert l'objet.
%6 correspond au legacyDN de la boîte aux lettres.
%7 est un indicateur permettant de savoir si des droits d'administrateur ont été utilisés pour ouvrir le dossier.
%8 est un identifiant relativement unique. Vous pouvez utiliser ce paramètre pour corréler un ensemble d'actions sur une courte période.
Informations client :
%9 correspond au nom de l'ordinateur.
%10 correspond à l'adresse entrée par le client. Cette valeur dépend du protocole utilisé pour la connexion au serveur. Les connexions locales (à partir du même ordinateur) utilisent le nom de l'ordinateur. Les fichiers binaires Exchange envoient l'adresse IPV6 si possible. Sinon, ils envoient l'adresse IPV4. Lorsqu'une adresse IP est envoyée, elle représente l'adresse IP telle qu'identifiée par le client. Pour les clients situés derrière une passerelle NAT, l'adresse IP n'est pas forcément distinctive.
%11 correspond au nom du processus. Il s'agit du fichier binaire de l'application ayant demandé l'accès à l'objet.
%12 correspond à l'ID du processus (PID). Il s'agit d'un identifiant numérique spécifique du processus.
%13 correspond à l'ID de l'application. Il s'agit d'une valeur définie par le client pour permettre la différenciation des instances de Powershell.exe, ou d'un événement pour permettre l'étiquetage d'un complément dans un processus lors des opérations d'accès au serveur.
Exemple d'une entrée du journal des événements d'accès aux dossiers
Nom du journal : Audit Exchange Source : Audit MSExchangeIS ID de l'événement : 10100 Catégorie de la tâche : Audit de l'accès à la boîte aux lettres Niveau : Informations Mots clés : Classique Description : Le dossier /Boîte de réception de la boîte aux lettres « Utilisateur_A » a été ouvert par l'utilisateur CONTOSO/Utilisateur_B Nom complet : Boîte de réception Utilisateur : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B Droits d'administration : false Identifiant : 00000000318A00E0 Informations client (si disponibles) : Nom de l'ordinateur : <Nom_client> Adresse : <Adresse IP> Nom du processus : OUTLOOK.EXE ID du processus : 0 ID de l'application : N/A |
Audit de l'accès aux messages
Les événements d'accès aux messages indiquent la réussite de l'ouverture d'un message dans la banque d'informations Exchange. Les messages ne prennent pas en charge les événements simples. L'accès à tous les messages est audité selon le niveau d'enregistrement défini par l'administrateur. Le tableau suivant présente les événements consignés à chaque niveau d'enregistrement de la catégorie Accès aux messages :
Catégorie : Accès aux messages
| Niveau d'enregistrement | Droits d'administrateur requis | Utilisateur responsable de l'action | Boîte aux lettres | Résultat |
|---|---|---|---|---|
0 |
Non applicable |
Non applicable |
Non applicable |
Aucun |
1 |
Non |
Non applicable |
Non applicable |
Aucun |
1 |
Oui |
Non applicable |
Non applicable |
Événements simples |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
4 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Aucun |
4 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Tous les événements |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
Lorsque l'audit Accès aux messages est activé, des événements similaires à ce qui suit sont consignés :
ID de l'événement : 10102 Gravité : Informations Installation : AccessAuditing Le message %1 de la boîte aux lettres %3 a été ouvert par l'utilisateur %4 Dossier : %2 Utilisateur : %5 Boîte aux lettres : %6 Droits d'administration : %7 Identifiant : %8 Informations client (si disponibles) : Nom de l'ordinateur : %9 Adresse : %10 Nom du processus : %11 ID du processus : %12 ID de l'application : %13 |
Les paramètres de ce message d'événement correspondent aux éléments suivants :
%1 correspond à l'ID de message Internet du message en cours d'ouverture.
%3 correspond à la boîte aux lettres dans laquelle le message est enregistré.
%4 correspond à l'utilisateur qui s'est authentifié auprès de la banque d'informations.
%5 correspond au legacyDN de l'utilisateur qui a ouvert le message.
%6 correspond au legacyDN de la boîte aux lettres.
%7 est un indicateur permettant de savoir si des droits d'administrateur ont été utilisés pour ouvrir le message.
%8 est un identifiant relativement unique qui permet de corréler un ensemble d'actions sur une courte période.
Informations client
%9 correspond au nom de l'ordinateur.
%10 correspond à l'adresse entrée par le client. Cette valeur dépend du protocole utilisé pour la connexion au serveur. Les connexions locales (à partir du même ordinateur) utilisent le nom de l'ordinateur. Les fichiers binaires Exchange envoient l'adresse IPV6 si possible. Sinon, ils envoient l'adresse IPV4. Lorsqu'une adresse IP est envoyée, elle représente l'adresse IP telle qu'identifiée par le client. Pour les clients situés derrière une passerelle NAT, l'adresse IP n'est pas forcément distinctive.
%11 correspond au nom du processus. Il s'agit du fichier binaire de l'application ayant demandé l'accès à l'objet.
%12 correspond à l'ID du processus (PID). Il s'agit d'un identifiant numérique spécifique du processus.
%13 correspond à l'ID de l'application. Il s'agit d'une valeur définie par le client pour permettre la différenciation des instances de Powershell.exe, ou d'un événement pour permettre l'étiquetage d'un complément dans un processus lors des opérations d'accès au serveur.
Exemple d'une entrée du journal des événements d'accès aux messages
Nom du journal : Audit Exchange Source : Audit MSExchangeIS Date : <date> ID de l'événement : 10102 Catégorie de la tâche : Audit de l'accès à la boîte aux lettres Niveau : Informations Mots clés : Classique Description : Le message <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> de la boîte aux lettres Utilisateur_A a été ouvert par l'utilisateur CONTOSO\Utilisateur_B Dossier : /Boîte de réception Utilisateur : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B Droits d'administration : false Identifiant : 00000000318A00E0 Informations client (si disponibles) : Nom de l'ordinateur : <Nom_client> Adresse : <Adresse IP> Nom du processus : OUTLOOK.EXE ID du processus : 0 ID de l'application : N/A |
Audit Envoyer en tant que (étendu)
Les événements Envoyer en tant que (étendu) indiquent qu'un utilisateur a envoyé un message en tant qu'un autre utilisateur. Les événements Envoyer en tant que (étendu) ne prennent pas en charge les événements simples et ne s'appliquent que lorsqu'un utilisateur envoie un message en tant qu'un autre utilisateur. Au niveau d'enregistrement un (1), un événement n'est enregistré que si l'utilisateur s'est servi de droits d'administrateur pour ouvrir la boîte aux lettres, puis a envoyé un message en tant qu'un autre utilisateur. Au niveau d'enregistrement cinq (5), un événement est enregistré si un utilisateur envoie un message en tant qu'un autre utilisateur. Le tableau suivant présente les événements consignés à chaque niveau d'enregistrement de la catégorie Envoyer en tant que (étendu) :
Catégorie : Envoyer en tant que (étendu)
| Niveau d'enregistrement | Droits d'administrateur requis | Utilisateur responsable de l'action | Boîte aux lettres | Résultat |
|---|---|---|---|---|
0 |
Non applicable |
Non applicable |
Non applicable |
Aucun |
1 |
Non |
Utilisateur_A |
Utilisateur_A |
Non applicable |
1 |
Oui |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
4 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
4 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Non applicable |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
Lorsque l'audit Envoyer en tant que (étendu) est activé, des événements similaires à ce qui suit sont consignés :
ID de l'événement : 10106 Gravité : Informations Installation : SendAs %1 a envoyé un message en tant que %2 ID du message : %3 Nom du compte : %4 Utilisateur : %5 Boîte aux lettres : %6 Droits d'administration : %7 Identifiant : %8 Informations client (si disponibles) : Nom de l'ordinateur : %9 Adresse : %10 Nom du processus : %11 ID du processus : %12 ID de l'application : %13 |
Les paramètres de ce message d'événement correspondent aux éléments suivants :
%1 correspond au legacyDN de l'expéditeur.
%2 correspond au legacyDN de l'utilisateur au nom duquel le message a été envoyé.
%3 correspond à l'ID de message Internet du message.
%4 correspond à l'utilisateur qui s'est authentifié auprès de la banque d'informations.
%5 correspond au legacyDN de l'utilisateur.
%6 correspond au legacyDN de la boîte aux lettres.
%7 est un indicateur permettant de savoir si des droits d'administrateur ont été utilisés pour envoyer le message.
%8 est un identifiant relativement unique qui permet de corréler des événements sur une courte période.
Informations client
%9 correspond au nom de l'ordinateur.
%10 correspond à l'adresse entrée par le client. Cette valeur dépend du protocole utilisé pour la connexion au serveur. Les connexions locales (à partir du même ordinateur) utilisent le nom de l'ordinateur. Les fichiers binaires Exchange envoient l'adresse IPV6 si possible. Sinon, ils envoient l'adresse IPV4. Lorsqu'une adresse IP est envoyée, elle représente l'adresse IP telle qu'identifiée par le client. Pour les clients situés derrière une passerelle NAT, l'adresse IP n'est pas forcément distinctive.
%11 correspond au nom du processus. Il s'agit du fichier binaire de l'application ayant demandé l'accès à l'objet.
%12 correspond à l'ID du processus (PID). Il s'agit d'un identifiant numérique spécifique du processus.
%13 correspond à l'ID de l'application. Il s'agit d'une valeur définie par le client pour permettre la différenciation des instances de Powershell.exe, ou d'un événement pour permettre l'étiquetage d'un complément dans un processus lors des opérations d'accès au serveur.
Pour plus d'informations sur l'octroi de l'autorisation Envoyer en tant que, consultez la rubrique Procédure d'octroi d'autorisations Envoyer en tant que pour une boîte aux lettres.
Exemple d'une entrée du journal des événements Envoyer en tant que
Nom du journal : Audit Exchange Source : Audit MSExchangeIS Date : <date> ID de l'événement : 10106 Catégorie de la tâche : Envoyer en tant que Niveau : Informations Mots clés : Classique Description : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B a envoyé un message en tant que /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_A ID du message : <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> Boîte aux lettres : Utilisateur_B Nom du compte : CONTOSO\Utilisateur_B Utilisateur : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B Boîte aux lettres : <NULL> Droits d'administration : false Identifiant : 00000000317A7130 Informations client (si disponibles) : Nom de l'ordinateur : <Nom_client> Adresse : <Adresse IP> Nom du processus : OUTLOOK.EXE ID du processus : 0 ID de l'application : N/A |
Audit Envoyer de la part de (étendu)
Les événements Envoyer de la part de (étendu) indiquent qu'un utilisateur a envoyé un message de la part d'un autre utilisateur. Les événements Envoyer de la part de (étendu) ne prennent pas en charge les événements simples et ne s'appliquent que lorsqu'un utilisateur envoie un message de la part d'un autre utilisateur. Au niveau un (1), un événement n'est enregistré que si l'utilisateur s'est servi de droits d'administrateur pour ouvrir une boîte aux lettres, puis a envoyé un message de la part d'un autre utilisateur. Au niveau d'enregistrement cinq (5), un événement est enregistré si un utilisateur envoie un message de la part d'un autre. Le tableau suivant présente les événements consignés à chaque niveau d'enregistrement de la catégorie Envoyer de la part de (étendu) :
Catégorie : Audit Envoyer de la part de (étendu)
| Niveau d'enregistrement | Droits d'administrateur requis | Utilisateur responsable de l'action | Boîte aux lettres | Résultat |
|---|---|---|---|---|
0 |
Non applicable |
Non applicable |
Non applicable |
Aucun |
1 |
Non |
Utilisateur_A |
Utilisateur_A |
Non applicable |
1 |
Oui |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
2 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
3 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
4 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
4 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_A |
Non applicable |
5 |
Non applicable |
Utilisateur_A |
Utilisateur_B |
Tous les événements |
Lorsque l'audit Envoyer de la part de (étendu) est activé, des événements similaires à ce qui suit sont consignés :
ID de l'événement : 10104 Gravité : Informations Installation : SendOnBehalfOf %1 a envoyé un message de la part de %2 ID du message : %3 Nom du compte : %4 Utilisateur : %5 Boîte aux lettres : %6 Droits d'administration : %7 Identifiant : %8 Informations client (si disponibles) : Nom de l'ordinateur : %9 Adresse : %10 Nom du processus : %11 ID du processus : %12 ID de l'application : %13 |
Les paramètres de ce message d'événement correspondent aux éléments suivants :
%1 correspond au legacyDN de l'expéditeur.
%2 correspond au legacyDN de l'utilisateur pour le compte de qui le message a été envoyé.
%3 correspond à l'ID de message Internet du message.
%4 correspond à l'utilisateur qui s'est authentifié auprès de la banque d'informations.
%5 correspond au legacyDN de l'utilisateur.
%6 correspond au legacyDN de la boîte aux lettres.
%7 est un indicateur permettant de savoir si des droits d'administrateur ont été utilisés pour envoyer le message.
%8 est un identifiant relativement unique qui permet de corréler des événements sur une courte période.
Informations client
%9 correspond au nom de l'ordinateur.
%10 correspond à l'adresse entrée par le client. Cette valeur dépend du protocole utilisé pour la connexion au serveur. Les connexions locales (à partir du même ordinateur) utilisent le nom de l'ordinateur. Les fichiers binaires Exchange envoient l'adresse IPV6 si possible. Sinon, ils envoient l'adresse IPV4. Lorsqu'une adresse IP est envoyée, elle représente l'adresse IP telle qu'identifiée par le client. Pour les clients situés derrière une passerelle NAT, l'adresse IP n'est pas forcément distinctive.
%11 correspond au nom du processus. Il s'agit du fichier binaire de l'application ayant demandé l'accès à l'objet.
%12 correspond à l'ID du processus (PID). Il s'agit d'un identifiant numérique spécifique du processus.
%13 correspond à l'ID de l'application. Il s'agit d'une valeur définie par le client pour permettre la différenciation des instances de Powershell.exe, ou d'un événement pour permettre l'étiquetage d'un complément dans un processus lors des opérations d'accès au serveur.
Exemple d'une entrée du journal des événements Envoyer de la part de
Nom du journal : Audit Exchange Source : Audit MSExchangeIS Date : <date> ID de l'événement : 10104 Catégorie de la tâche : Envoyer de la part de Niveau : Informations Mots clés : Classique Description : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B a envoyé un message de la part de /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_A ID du message : <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> Boîte aux lettres : Utilisateur_B Nom du compte : CONTOSO\Utilisateur_B Utilisateur : /o=Première organisation/ou=Groupe d'administration Exchange (FYDIBOHF23SPDLT)/cn=Destinataires/cn=Utilisateur_B Boîte aux lettres : <NULL> Droits d'administration : false Identifiant : 0000000031718B30 Informations client (si disponibles) : Nom de l'ordinateur : <Nom_client> Adresse : <Adresse IP> Nom du processus : OUTLOOK.EXE ID du processus : 0 ID de l'application : N/A |
Droits Ignorer l'audit
Les applications qui ouvrent une session sur plusieurs boîtes aux lettres d'utilisateur comme compte de service approuvé génèrent une charge plus élevée pour l'audit. En effet, chaque opération d'accès aux boîtes aux lettres par le compte de service peut être enregistrée.
Dans Exchange 2007 SP2, un nouveau droit étendu est ajouté au schéma. Il s'agit du droit Ignorer l'audit. Celui-ci empêche l'enregistrement des actions du compte d'utilisateur auquel le droit est octroyé. Vous ne devez donc pas octroyer le droit Ignorer l'audit aux utilisateurs que vous voulez auditer.
.gif "note") Remarque : |
|---|
| Par défaut, Windows octroie toutes les autorisations étendues au groupe Administrateurs de domaine. La messagerie d'un administrateur de domaine ne doit pas être activée si vous devez auditer l'accès à toutes les boîtes aux lettres. Pour permettre l'audit des administrateurs de domaine, vous pouvez refuser le droit Ignorer l'audit au niveau de l'organisation Exchange. Cela permet l'audit de comptes d'administrateur de domaine à extension messagerie. Par exemple, pour refuser le droit Ignorer l'audit au groupe Admins du domaine, exécutez la commande suivante à partir de l'environnement de ligne de commande Exchange Management Shell : Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true |
La cmdlet Add-ADPermission permet d'octroyer à chaque base de données de boîtes aux lettres le droit d'ignorer l'audit de comptes de service spécifiques. Par exemple, pour octroyer le droit Ignorer l'audit de l'accès au compte Exemple\Compte_service, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell :
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
Choix d'une méthode d'audit
L'audit de l'accès aux boîtes aux lettres dans Exchange est un processus complexe qui dépend de l'utilisation prévue des informations, des exigences d'audit propres à l'organisation, des applications utilisées et du niveau d'approbation de l'administrateur.
L'audit de sécurité Windows NT est la meilleure solution pour les organisations caractérisées par des exigences d'audit de haut niveau. Cette forme d'audit enregistre l'accès à tous les objets par tous les utilisateurs et stocke les informations consignées dans le journal de sécurité.
L'audit de l'accès Exchange est adapté aux organisations ne requérant pas la sécurité d'audit Windows. L'audit de l'accès Exchange est adapté aux organisations qui souhaitent auditer les éléments suivants :
uniquement les administrateurs utilisant des droits d'administrateur pour ouvrir des boîtes aux lettres ;
uniquement les cas où un utilisateur ouvre la boîte aux lettres d'un autre utilisateur ;
uniquement les cas où la ressource ouverte est située dans la sous-arborescence IPM.
Audit de l'accès des administrateurs utilisant des droits d'administrateur
Au niveau d'enregistrement un (1), l'ensemble des catégories n'enregistre que les événements pour lesquels les utilisateurs responsables de l'action se servent de droits d'administrateur pour accéder à une boîte aux lettres. Les organisations qui exécutent l'audit de l'accès Exchange doivent se rappeler que, par défaut, les administrateurs Exchange peuvent modifier les niveaux d'enregistrement des diagnostics ou effacer le journal des événements d'audit de l'accès Exchange. Les administrateurs Exchange peuvent également octroyer l'autorisation Ignorer l'audit. Les organisations qui souhaitent auditer les administrateurs Exchange uniquement doivent implémenter un modèle d'autorisations divisées pour empêcher la modification des niveaux d'enregistrement et des descripteurs de sécurité, ou l'effacement du journal des événements par les administrateurs Exchange.
Audit de l'accès depuis une boîte aux lettres à une autre boîte aux lettres
Aux niveaux d'enregistrement deux (2) et quatre (4), l'audit de l'accès aux dossiers et aux messages enregistre des événements quand un utilisateur à extension messagerie ouvre les dossiers ou les messages d'un autre utilisateur à extension messagerie. Ce niveau d'enregistrement ne détecte pas tous les types d'accès aux boîtes aux lettres partagées. Une boîte aux lettres partagée ou une boîte aux lettres de ressources est associée à un compte d'utilisateur désactivé. L'accès à la boîte aux lettres est octroyé par la suite à des utilisateurs supplémentaires. S'il ne s'agit pas d'utilisateurs à extension messagerie, l'accès à la boîte aux lettres partagée ou à la boîte aux lettres de ressources n'est pas enregistré au niveau d'enregistrement des diagnostics deux (2) ou quatre (4).
Audit des événements simples ou de tous les événements
Aux niveaux de diagnostic deux (2) et trois (3), l'audit de l'accès aux dossiers enregistre les événements simples ou tous les événements. Les événements simples incluent uniquement les dossiers qui sont des sous-dossiers dans la sous-arborescence IPM, ou les dossiers qui sont des sous-dossiers de second rang ou de niveau supérieur dans la sous-arborescence non IPM (pour les applications qui mettent des données en cache à ces emplacements). L'activation de niveaux de diagnostic supérieurs implique l'enregistrement d'un plus grand nombre d'événements. Ces enregistrements supplémentaires augmentent la charge sur le serveur. Par ailleurs, en raison du niveau d'enregistrement accru, des événements faux positifs, tels que les opérations de recherche dans le cache de disponibilité, risquent d'être enregistrés. Les opérations de recherche dans le cache de disponibilité accèdent à la racine de la boîte aux lettres. Il ne s'agit pas pour autant d'opérations malveillantes.
Pour décider si une organisation a besoin d'auditer les événements simples ou étendus, il est nécessaire de connaître les applications déployées par l'organisation, ainsi que l'emplacement de stockage des données utilisateur sensibles. Si une application stocke les données utilisateur sensibles dans un dossier enfant immédiat de la sous-arborescence non IPM, seul l'enregistrement de tous les événements (niveau de diagnostic quatre ou cinq) enregistre l'accès à ces dossiers particuliers.
Limites relatives à l'audit de l'accès
Informations client étendues
Les programmes client qui n'envoient pas le bloc d'informations client étendues génèrent des événements d'audit qui ne renseignent pas les informations client. Il s'agit des versions d'Outlook antérieures à Outlook 2003.
Tables de contenu des dossiers
L'audit de l'accès aux messages ne détecte pas toutes les informations extraites d'une boîte aux lettres. En effet, l'accès à la table de contenu des dossiers (qui est une table de résumé des propriétés de message fréquemment utilisées) n'implique pas l'ouverture d'un message par l'utilisateur. L'objet du message, les informations du destinataire et diverses propriétés de base du message font partie de la table MFT (Message Folder Table). Ces informations peuvent être lues sans ouvrir un message, aussi, aucun événement d'accès au message n'est généré.
Considérations relatives à la sécurité
Lorsqu'une organisation opte pour l'audit de l'accès pour ses exigences d'audit, plusieurs scénarios de sécurité doivent être pris en compte pour évaluer le coût global de la sécurisation de l'accès aux journaux d'audit et de la protection du contenu des journaux.
Ignorer l'audit
Si l'autorisation étendue Ignorer l'audit est octroyée à un utilisateur, celui-ci n'est pas audité. Il est recommandé de surveiller les listes de contrôle d'accès Active Directory et de vérifier qu'un utilisateur disposant de l'accès en écriture aux descripteurs de sécurité ne s'octroie pas à lui-même le droit Ignorer l'audit.
Administrateurs de domaine
Windows octroie toutes les autorisations étendues aux administrateurs de domaine. La messagerie d'un compte d'administrateur de domaine ne doit pas être activée si l'accès à toutes les boîtes aux lettres doit être audité.
Modification de l'enregistrement des diagnostics
Les niveaux d'enregistrement des diagnostics contrôlent les événements consignés dans le journal des événements d'audit Exchange. Aussi, la modification du niveau d'enregistrement des diagnostics pour des catégories spécifiques peut-elle provoquer des résultats inattendus. Par exemple, certains événements attendus risquent de ne plus être enregistrés. Par ailleurs, le processus Store.exe ne peut pas identifier l'utilisateur qui a modifié les niveaux d'enregistrement, ni contrôler si les niveaux d'enregistrement ont été modifiés à partir d'une session antérieure. Le processus n'est donc pas en mesure d'identifier les modifications apportées à la configuration de l'audit.
Administrateurs locaux
Le journal d'audit Exchange contient un enregistrement des événements audités et l'Observateur d'événements dispose d'une liste de contrôle d'accès qui empêche les utilisateurs normaux d'effacer le journal des événements. Si un administrateur local prend possession de la clé de registre appropriée, réinitialise la valeur CustomSD, puis redémarre le serveur, il peut effacer le journal d'audit Exchange.
Considérations relatives aux performances
Le journal des événements d'audit Exchange peut être soumis à un trafic important, selon la configuration du serveur et des actions des utilisateurs. Il est donc recommandé de le stocker sur un disque dur dédié, doté d'un espace suffisant et pouvant prendre en charge des opérations d'écriture rapides.
Pour plus d'informations sur la configuration des journaux des événements d'audit Exchange, consultez les rubriques suivantes :
Configuration de l'archivage automatique des journaux des événements d'audit Exchange
Configuration de la taille et de l'emplacement des journaux des événements d'audit Exchange
Pour plus d'informations
Pour plus d'informations sur la modification des niveaux d'enregistrement des diagnostics dans Exchange, consultez la rubrique Procédure de modification des niveaux d'enregistrement des processus Exchange.