Concetti relativi al controllo di accesso alla cassetta postale con Exchange Server 2007 Service Pack 2
Si applica a: Exchange Server 2007 SP2
Ultima modifica dell'argomento: 2012-03-26
Il controllo di accesso è implementato nel processo Store.exe di Microsoft Exchange, che rappresenta il punto di accesso della posta nei database delle cassette postali. Il controllo di accesso rappresenta una serie di eventi del registro eventi, progettata per fornire agli amministratori le informazioni sulle risorse delle cassette postali aperte dagli utenti. Questi eventi sono nuovi e non modificano quelli esistenti, che possono essere utilizzati per altri scopi.
Il controllo di accesso è attivato da una serie di categorie Registrazione diagnostica per la risorsa Microsoft Exchange IS, dove ogni categoria corrisponde a un tipo diverso di accesso alle risorse. Ciascuna categoria può essere attivata indipendentemente. In tal modo, un amministratore può scegliere il livello di informazioni (e il carico corrispondente relativo alla registrazione) adeguato all'organizzazione specifica.
Le categorie Registrazione diagnostica comprendono:
Accesso alle cartelle: consente di registrare gli eventi che corrispondono all'apertura delle cartelle, quali ad esempio Posta in arrivo, Posta in uscita o Posta inviata.
Accesso ai messaggi: consente di registrare gli eventi che corrispondono esplicitamente all'apertura dei messaggi.
Invia come esteso: consente di registrare gli eventi che corrispondono all'invio di un messaggio come utente abilitato all'utilizzo delle cassette postali.
Invia per conto di esteso: consente di registrare gli eventi che corrispondono all'invio di un messaggio per conto di un utente abilitato all'utilizzo delle cassette postali.
Ciascuna categoria supporta i livelli di registrazione da zero (non abilitato) a cinque (massimo livello di registrazione). I livelli di registrazione più elevati aumentano la quantità e i dettagli dei dati registrati.
Confronto tra il controllo di accesso e il controllo di Windows
Il servizio Archivio informazioni di Microsoft Exchange supporta gli eventi di controllo di Windows NT basati sul criterio di sistema. Tali eventi riflettono ogni istanza di un oggetto aperto e sono registrati nel registro eventi protezione. Questo tipo di registrazione è il livello di controllo più elevato disponibile e offre diversi record di accesso agli oggetti. L'obiettivo del controllo di accesso non è sostituire il controllo di Windows. Il controllo di Windows si concentra sugli eventi di apertura e chiusura degli oggetti. Il controllo di accesso ignora implicitamente determinati eventi oggetto a favore di eventi che rappresentano i veri dati utente ai quali si accede.
Si prenda in considerazione l'esempio riportato di seguito.
Con il controllo Windows, l'attività principale è "Accessi a cassetta postale". In Exchange, l'evento di accesso consiste nell'operazione di associazione ai dati, che consente poi al client di tentare l'apertura delle cartelle. L'oggetto di accesso stesso non concede l'accesso a dati specifici. Rappresenta un punto focale falso ai fini del controllo.
Il controllo di accesso si concentra sugli eventi che riflettono un client che accede agli effettivi dati di messaggistica o che utilizza i diritti che influenzano i dati di messaggistica. Ad esempio:
Aprendo una cartella, il client ottiene l'accesso ai dati effettivi.
Aprendo un messaggio, il client ottiene l'accesso ai dati effettivi.
L'accesso a una cassetta postale è un'operazione implicita per ottenere l'accesso alla cartella. Il controllo di accesso consente di ignorare le operazioni che si verificano sotto il sottoalbero IPM, quali le operazioni di ricerca della cache di disponibilità. Inoltre, ignora l'accesso dei processi di sistema di Exchange. Il controllo di accesso può registrare anche solo una o più classi di accesso particolari. I compromessi tra il controllo di Windows e il controllo di accesso si trovano nel processo di configurazione. Il controllo di Windows può essere impostato per criterio. Il controllo di accesso è regolato dalle categorie di diagnostica dell'Archivio informazioni di Microsoft Exchange.
Importante
Il controllo di accesso non controlla le eliminazioni dei messaggi, ma l'accesso agli stessi.
Registro eventi di controllo di Exchange
Il volume degli eventi di controllo registrati è direttamente correlato al carico di un server insieme al numero di operazioni utente del tipo controllato che si verificano in qualsiasi momento. Poiché il registro applicazioni è anche una fonte di dati diagnostici e di dati per la risoluzione dei problemi, non vi vengono registrati eventi. In Exchange 2007 Service Pack 2 (SP2), l'installazione del ruolo del server Cassette postali in un server crea un nuovo registro eventi. Questo è il registro eventi di controllo di Exchange. Per impostazione predefinita, il registro eventi di controllo di Exchange si trova in \Exchange Server\Logs\AuditLogs. In un computer Windows Server 2008 questo registro eventi si trova in Applications and Services Logs\Exchange Auditing. La posizione predefinita di questo file di registro è %PROGRAMMI%\Exchange Server\Logging\Auditlogs. L'elenco di controllo di accesso (ACL) sul registro eventi di controllo di Exchange consente i seguenti permessi:
Amministratori dei destinatari Exchange: Accesso in lettura e cancellazione
Amministratori dell'organizzazione di Exchange: Accesso in lettura e cancellazione
Server Exchange: Accesso in lettura e scrittura
Accesso totale servizio locale
Per modificare l'elenco ACL predefinito, è necessario aggiornare il valore CustomSD nel Registro di sistema. Aggiornare il valore CustomSD per includere il gruppo o utente al quale si desidera concedere l'accesso al registro eventi di controllo di Exchange. Il valore CustomSD si trova nella seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
Nota
L'elenco ACL archiviato nel valore CustomSD è archiviato in formato SDDL. Per ulteriori informazioni su come modificare le autorizzazioni sul registro eventi di Windows e per ulteriori informazioni sui formati SDDL, vedere l'argomento Event Log (informazioni in lingua inglese).
Per ottenere un valore SID utente o gruppo, utilizzare lo strumento PsGetSid di Windows Sysinternals. Per ulteriori informazioni su questo strumento, vedere PsGetSid v1.43.
In alternativa, è possibile utilizzare PowerShell per ottenere il valore SID. Per ottenere ad esempio il valore SID per un utente, utilizzare il seguente comando:
$objUser = New-Object System.Security.Principal.NTAccount("Amministratori organizzazione di Exchange")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Controllo di accesso per livello del registro eventi
In caso di eventi che rappresentano l'accesso da parte di un utente alla cassetta postale di un altro utente, le seguenti linee guida generali descrivono il tipo di eventi registrati a ciascun livello di registrazione diagnostica:
Al livello di registrazione zero (0) non viene effettuata alcuna registrazione.
Al livello di registrazione uno (1) vengono registrate solo le azioni per cui l'utente attivo ha richiamato privilegi amministrativi.
Ai livelli di registrazione due (2) e quattro (4) viene registrato solo l'accesso a un'altra cassetta postale di un utente abilitato a una cassetta postale diversa.
Ai livelli di registrazione tre (3) e cinque (5) viene registrato l'accesso di qualsiasi utente a qualsiasi cassetta postale.
Informazioni su eventi di controllo comuni
Gli eventi di controllo che riflettono le azioni basate sull'accesso utente mostrano un insieme comune di informazioni. I dati client estesi sono disponibili solo quando il programma ne supporta l'invio. Outlook 2003 e le versioni successive di Outlook inviano dati client estesi.
Controllo Accesso alle cartelle
Gli eventi Accesso alle cartelle indicano la corretta apertura di una cartella nella cassetta postale. Il controllo Accesso alle cartelle fornisce eventi diversi a livelli di controllo differenti. Ciò consente all'amministratore di selezionare il livello di registrazione appropriato ai requisiti di controllo. Nell'elenco seguente vengono descritti gli eventi registrati a ciascun livello di registrazione:
Al livello zero (0) non viene effettuata alcuna registrazione. A questo livello di registrazione, non vengono registrati eventi in risposta all'accesso alle cartelle.
Al livello uno (1) viene registrato solo l'accesso mediante diritti amministrativi.
Ai livelli di registrazione due (2) e quattro (4) viene registrato solo l'accesso a un'altra cassetta postale di un utente abilitato.
Ai livelli di registrazione tre (3) e cinque (5) viene registrato l'accesso di qualunque utente alle cartelle.
Registrazione di eventi base e di tutti gli eventi
La gerarchia delle cartelle della cassetta postale include un sottoalbero non IPM, che ospita le cartelle per l'utilizzo delle applicazioni, come le cartelle di ricerca, insieme a un sottoalbero IPM che ospita le cartelle visualizzate dagli utenti, quali Posta in arrivo e Posta inviata. Gli eventi base rappresentano l'accesso tipico alle cartelle visualizzate dall'utente. Normalmente queste cartelle vengono definite "cartelle di posta". L'accesso a una cartella viene registrato al livello di base se si tratta di una sottocartella del sottoalbero IPM. La registrazione di tutti gli eventi include le cartelle che non sono visibili all'utente, come la cartella radice della cassetta postale e le cartelle del sottoalbero non IPM. Gli amministratori che desiderano controllare l'accesso alle "cartelle di posta" quali Posta in arrivo, Posta inviata o Bozze non devono abilitare la registrazione eventi di livello superiore. Nella seguente tabella sono illustrati gli eventi registrati a ciascun livello di registrazione per la categoria Accesso alle cartelle.
Categoria: Accesso alle cartelle
| Livello di registrazione | Diritti di amministratore necessari | Utente attivo | Cassetta postale | Risultato |
|---|---|---|---|---|
0 |
Non applicabile |
Non applicabile |
Non applicabile |
Nessuno |
1 |
No |
Non applicabile |
Non applicabile |
Nessuno |
1 |
Sì |
Non applicabile |
Non applicabile |
Eventi base |
2 |
Non applicabile |
UtenteA |
UtenteA |
Nessuno |
2 |
Non applicabile |
UtenteA |
UtenteB |
Eventi base |
3 |
Non applicabile |
UtenteA |
UtenteA |
Eventi base |
3 |
Non applicabile |
UtenteA |
UtenteB |
Eventi base |
4 |
Non applicabile |
UtenteA |
UtenteA |
Nessuno |
4 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
5 |
Non applicabile |
UtenteA |
UtenteA |
Tutti gli eventi |
5 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
Quando è abilitato il controllo di accesso alle cartelle, vengono registrati eventi simili ai seguenti:
ID evento: 10100 Gravità: Informativo Funzionalità: AccessAuditing La cartella %1 nella cassetta postale "%3" è stata aperta dall'utente %4 Nome visualizzato: %2 Utente di accesso: %5 Cassetta postale: %6 Diritti amministrativi: %7 Identificatore: %8 Informazioni client (se disponibili): Nome computer: %9 Indirizzo: %10 Nome processo: %11 ID processo: %12 ID applicazione: %13 |
I parametri di questo messaggio di evento rappresentano i seguenti elementi:
%1 rappresenta il nome URL della cartella. In questo modo viene fornito il percorso completo della cartella.
%2 rappresenta il nome visualizzato della cartella. Si può utilizzare il nome visualizzato insieme al percorso della cartella, per differenziare più cartelle con il medesimo nome.
Informazioni su eventi di controllo comuni:
%3 rappresenta il legacyDN della cassetta postale aperta.
%4 rappresenta il nome utente della persona che ha eseguito l'autenticazione nell'archivio informazioni.
%5 rappresenta il legacyDN dell'utente che ha aperto l'oggetto.
%6 rappresenta il legacyDN della cassetta postale.
%7 è un contrassegno che indica se sono stati utilizzati diritti amministrativi per aprire la cartella.
%8 è un identificatore relativamente univoco. Si può utilizzare questo parametro per correlare una serie di azioni in un periodo breve.
Informazioni client:
%9 rappresenta il nome del computer.
%10 rappresenta l'indirizzo composto dal client. Questo valore dipende dal protocollo utilizzato per connettersi al server. Le connessioni locali (connessioni dallo stesso computer) utilizzano il nome del computer. Se possibile, i file binari di Exchange inviano l'indirizzo IPV6. In caso contrario, inviano l'indirizzo IPV4. Se viene inviato un indirizzo IP, questo rappresenta l'indirizzo IP identificato dal client. Per i client che si trovano dietro un gateway NAT, l'indirizzo IP potrebbe non fornire un indirizzo distintivo.
%11 rappresenta il nome del processo. È il file binario dell'applicazione che ha eseguito la chiamata per accedere all'oggetto.
%12 rappresenta l'ID del processo (PID). È l'identificatore numerico per quel determinato processo.
%13 rappresenta l'ID dell'applicazione. È un valore che il client imposta per consentire di differenziare le istanze di Powershell.exe. In alternativa, può trattarsi di un evento che consente di etichettare un componente aggiuntivo di un processo durante le operazioni di accesso al server.
Esempio di voce del registro eventi per l'accesso alla cartella
Nome registro: Controllo di Exchange Origine: Controllo MSExchangeIS ID evento: 10100 Categoria attività: Controllo Accesso alla cassetta postale Livello: Informazioni Parole chiave: Classico Descrizione: La cartella /Posta in arrivo della cassetta postale "UtenteA" è stata aperta dall'utente CONTOSO\UtenteB Nome visualizzato: Posta in arrivo Utente di accesso: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/ccn=Destinatari/cn=UtenteB Diritti amministrativi: false Identificatore: 00000000318A00E0 Informazioni client (se disponibili) Nome computer: <ClientName> Indirizzo: <Indirizzo IP> Nome processo: OUTLOOK.EXE ID processo: 0 ID applicazione: N/D |
Controllo Accesso ai messaggi
Gli eventi Accesso ai messaggi indicano la corretta apertura di un messaggio nell'Archivio informazioni di Exchange. I messaggi non supportano gli eventi base. L'accesso a tutti i messaggi viene controllato in base al livello di registrazione impostato dall'amministratore. Nella seguente tabella sono illustrati gli eventi registrati a ciascun livello di registrazione per la categoria Accesso ai messaggi.
Categoria: Accesso ai messaggi
| Livello di registrazione | Diritti di amministratore necessari | Utente attivo | Cassetta postale | Risultato |
|---|---|---|---|---|
0 |
Non applicabile |
Non applicabile |
Non applicabile |
Nessuno |
1 |
No |
Non applicabile |
Non applicabile |
Nessuno |
1 |
Sì |
Non applicabile |
Non applicabile |
Eventi base |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
4 |
Non applicabile |
UtenteA |
UtenteA |
Nessuno |
4 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
5 |
Non applicabile |
UtenteA |
UtenteA |
Tutti gli eventi |
5 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
Quando è abilitato il controllo Accesso ai messaggi, vengono registrati eventi simili ai seguenti:
ID evento: 10102 Gravità: Informativo Funzionalità: AccessAuditing Il messaggio %1 nella cassetta postale %3 è stato aperto dall'utente %4 Cartella: %2 Utente di accesso: %5 Cassetta postale: %6 Diritti amministrativi: %7 Identificatore: %8 Informazioni client (se disponibili): Nome computer: %9 Indirizzo: %10 Nome processo: %11 ID processo: %12 ID applicazione: %13 |
I parametri di questo messaggio di evento rappresentano i seguenti elementi:
%1 rappresenta l'ID messaggio Internet del messaggio aperto.
%3 rappresenta la cassetta postale in cui è salvato il messaggio.
%4 rappresenta l'utente che ha eseguito l'autenticazione nell'Archivio informazioni.
%5 rappresenta il legacyDN dell'utente che ha aperto il messaggio.
%6 rappresenta il legacyDN della cassetta postale.
%7 è un contrassegno che indica se sono stati utilizzati diritti amministrativi per aprire il messaggio.
%8 è un identificatore relativamente univoco che può essere utilizzato per correlare una serie di azioni in un periodo breve.
Informazioni sul client
%9 rappresenta il nome del computer.
%10 rappresenta l'indirizzo composto dal client. Questo valore dipende dal protocollo utilizzato per connettersi al server. Le connessioni locali (connessioni dallo stesso computer) utilizzano il nome del computer. Se possibile, i file binari di Exchange inviano l'indirizzo IPV6. In caso contrario, inviano l'indirizzo IPV4. Se viene inviato un indirizzo IP, questo rappresenta l'indirizzo IP identificato dal client. Per i client che si trovano dietro un gateway NAT, l'indirizzo IP potrebbe non fornire un indirizzo distintivo.
%11 rappresenta il nome del processo. È il file binario dell'applicazione che ha eseguito la chiamata per accedere all'oggetto.
%12 rappresenta l'ID del processo (PID). È l'identificatore numerico per quel determinato processo.
%13 rappresenta l'ID dell'applicazione. È un valore che il client imposta per consentire di differenziare le istanze di Powershell.exe. In alternativa, può trattarsi di un evento che consente di etichettare un componente aggiuntivo di un processo durante le operazioni di accesso al server.
Esempio di voce di registro eventi di accesso ai messaggi
Nome registro: Controllo di Exchange Origine: Controllo MSExchangeIS Data: <data> ID evento: 10102 Categoria attività: Controllo Accesso alla cassetta postale Livello: Informazioni Parole chiave: Classico Descrizione: Il messaggio <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> nella cassetta postale UtenteA è stato aperto dall'utente CONTOSO\UtenteB Cartella: /Posta in arrivo Utente di accesso: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/ccn=Destinatari/cn=UtenteB Diritti amministrativi: false Identificatore: 00000000318A00E0 Informazioni client (se disponibili) Nome computer: <ClientName> Indirizzo: <Indirizzo IP> Nome processo: OUTLOOK.EXE ID processo: 0 ID applicazione: N/D |
Controllo Invia come esteso
Gli eventi Invia come esteso indicano che un utente ha inviato un messaggio con un nome utente diverso. Gli eventi Invia come esteso non supportano gli eventi base e si applicano solo quando un utente invia un messaggio con un nome utente diverso. Al livello di registrazione uno (1), un evento viene registrato solo se l'utente ha utilizzato privilegi di amministratore per aprire la cassetta postale e ha inviato un messaggio con un nome utente diverso. Al livello di registrazione cinque (5), un evento viene registrato se un utente invia un messaggio con un nome utente diverso. Nella seguente tabella sono illustrati gli eventi registrati a ciascun livello di registrazione per la categoria Invia come esteso.
Categoria: Invia come esteso
| Livello di registrazione | Diritti di amministratore necessari | Utente attivo | Cassetta postale | Risultato |
|---|---|---|---|---|
0 |
Non applicabile |
Non applicabile |
Non applicabile |
Nessuno |
1 |
No |
UtenteA |
UtenteA |
Non applicabile |
1 |
Sì |
UtenteA |
UtenteB |
Tutti gli eventi |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
4 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
4 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
5 |
Non applicabile |
UtenteA |
UtenteA |
Non applicabile |
5 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
Quando è abilitato il controllo Invia come esteso, vengono registrati eventi simili ai seguenti:
ID evento: 10106 Gravità: Informativo Funzionalità: SendAs %1 ha inviato un messaggio come %2 ID messaggio: %3 Nome account: %4 Utente di accesso: %5 Cassetta postale: %6 Diritti amministrativi: %7 Identificatore: %8 Informazioni client (se disponibili): Nome computer: %9 Indirizzo: %10 Nome processo: %11 ID processo: %12 ID applicazione: %13 |
I parametri di questo messaggio di evento rappresentano i seguenti elementi:
%1 rappresenta il legacyDN del mittente.
%2 rappresenta il legacyDN del nome utente relativo all'operazione Invia come.
%3 rappresenta l'ID messaggio Internet del messaggio.
%4 rappresenta l'utente che ha eseguito l'autenticazione nell'Archivio informazioni.
%5 rappresenta il legacyDN dell'utente di accesso.
%6 rappresenta il legacyDN della cassetta postale.
%7 è un contrassegno che indica se sono stati utilizzati diritti amministrativi per inviare il messaggio.
%8 è un identificatore relativamente univoco che può essere utilizzato per correlare gli eventi in un periodo breve.
Informazioni sul client
%9 rappresenta il nome del computer.
%10 rappresenta l'indirizzo composto dal client. Questo valore dipende dal protocollo utilizzato per connettersi al server. Le connessioni locali (connessioni dallo stesso computer) utilizzano il nome del computer. Se possibile, i file binari di Exchange inviano l'indirizzo IPV6. In caso contrario, inviano l'indirizzo IPV6. Se viene inviato un indirizzo IP, questo rappresenta l'indirizzo IP identificato dal client. Per i client che si trovano dietro un gateway NAT, l'indirizzo IP potrebbe non fornire un indirizzo distintivo.
%11 rappresenta il nome del processo. È il file binario dell'applicazione che ha eseguito la chiamata per accedere all'oggetto.
%12 rappresenta l'ID del processo (PID). È l'identificatore numerico per quel determinato processo.
%13 rappresenta l'ID dell'applicazione. È un valore che il client imposta per consentire di differenziare le istanze di Powershell.exe. In alternativa, può trattarsi di un evento che consente di etichettare un componente aggiuntivo di un processo durante le operazioni di accesso al server.
Per ulteriori informazioni su come concedere l'autorizzazione Invia come, vedere Come concedere le autorizzazioni Invia come per una cassetta postale.
Esempio di voce di registro eventi Invia come
Nome registro: Controllo di Exchange Origine: Controllo MSExchangeIS Data: <data> ID evento: 10106 Categoria attività: Invia come Livello: Informazioni Parole chiave: Classico Descrizione: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/cn=Destinatari/cn=UtenteB ha inviato un messaggio come /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/cn=Destinatari/cn=UtenteA ID messaggio: <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> Cassetta postale: UtenteB Nome account: CONTOSO\UtenteB Utente di accesso: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/ccn=Destinatari/cn=UtenteB Cassetta postale:<NULL> Diritti amministrativi: false Identificatore: 00000000317A7130 Informazioni client (se disponibili) Nome computer: <ClientName> Indirizzo: <Indirizzo IP> Nome processo: OUTLOOK.EXE ID processo: 0 ID applicazione: N/D |
Controllo Invia per conto di esteso
Gli eventi Invia per conto di esteso indicano che un utente ha inviato un messaggio per conto di un altro utente. Gli eventi Invia per conto di esteso non supportano gli eventi base e si applicano solo quando un utente invia un messaggio per conto di un altro utente. Al livello uno (1), un evento viene registrato solo se l'utente ha utilizzato privilegi di amministratore per aprire la cassetta postale e ha inviato un messaggio per conto di un altro utente. Al livello di registrazione cinque (5), un evento viene registrato se un utente invia un messaggio per conto di un altro utente. Nella seguente tabella sono illustrati gli eventi registrati a ciascun livello di registrazione per la categoria Invia per conto di esteso.
Categoria: Invia per conto di esteso
| Livello di registrazione | Diritti di amministratore necessari | Utente attivo | Cassetta postale | Risultato |
|---|---|---|---|---|
0 |
Non applicabile |
Non applicabile |
Non applicabile |
Nessuno |
1 |
No |
UtenteA |
UtenteA |
Non applicabile |
1 |
Sì |
UtenteA |
UtenteB |
Tutti gli eventi |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
2 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
3 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
4 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
4 |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
5 |
Non applicabile |
UtenteA |
UtenteA |
Non applicabile |
5 |
Non applicabile |
UtenteA |
UtenteB |
Tutti gli eventi |
Quando è abilitato il controllo Invia per conto di esteso, vengono registrati eventi simili ai seguenti:
ID evento: 10104 Gravità: Informativo Funzionalità: SendOnBehalfOf %1 ha inviato un messaggio per conto di %2 ID messaggio: %3 Nome account: %4 Utente di accesso: %5 Cassetta postale: %6 Diritti amministrativi: %7 Identificatore: %8 Informazioni client (se disponibili): Nome computer: %9 Indirizzo: %10 Nome processo: %11 ID processo: %12 ID applicazione: %13 |
I parametri di questo messaggio di evento rappresentano i seguenti elementi:
%1 rappresenta il legacyDN del mittente.
%2 rappresenta il legacyDN del nome utente relativo all'operazione Invia per conto di.
%3 rappresenta l'ID messaggio Internet del messaggio.
%4 rappresenta l'utente che ha eseguito l'autenticazione nell'Archivio informazioni.
%5 rappresenta il legacyDN dell'utente di accesso.
%6 rappresenta il legacyDN della cassetta postale.
%7 è un contrassegno che indica se sono stati utilizzati diritti amministrativi per inviare il messaggio.
%8 è un identificatore relativamente univoco che può essere utilizzato per correlare gli eventi in un periodo breve.
Informazioni sul client
%9 rappresenta il nome del computer.
%10 rappresenta l'indirizzo composto dal client. Questo valore dipende dal protocollo utilizzato per connettersi al server. Le connessioni locali (connessioni dallo stesso computer) utilizzano il nome del computer. Se possibile, i file binari di Exchange inviano l'indirizzo IPV6. In caso contrario, inviano l'indirizzo IPV6. Se viene inviato un indirizzo IP, questo rappresenta l'indirizzo IP identificato dal client. Per i client che si trovano dietro un gateway NAT, l'indirizzo IP potrebbe non fornire un indirizzo distintivo.
%11 rappresenta il nome del processo. È il file binario dell'applicazione che ha eseguito la chiamata per accedere all'oggetto.
%12 rappresenta l'ID del processo (PID). È l'identificatore numerico per quel determinato processo.
%13 rappresenta l'ID dell'applicazione. È un valore che il client imposta per consentire di differenziare le istanze di Powershell.exe. In alternativa, può trattarsi di un evento che consente di etichettare un componente aggiuntivo di un processo durante le operazioni di accesso al server.
Esempio di voce di registro eventi Invia per conto di
Nome registro: Controllo di Exchange Origine: Controllo MSExchangeIS Data: <data> ID evento: 10104 Categoria attività: Invia per conto di Livello: Informazioni Parole chiave: Classico Descrizione: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/cn=Destinatari/cn=UtenteB ha inviato un messaggio per conto di /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/cn=Destinatari/cn=UtenteA ID messaggio: <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> Cassetta postale: UtenteB Nome account: CONTOSO\UtenteB Utente di accesso: /o=Prima Organizzazione/ou=Gruppo amministrativo di Exchange (FYDIBOHF23SPDLT)/ccn=Destinatari/cn=UtenteB Cassetta postale:<NULL> Diritti amministrativi: false Identificatore: 0000000031718B30 Informazioni client (se disponibili) Nome computer: <ClientName> Indirizzo: <Indirizzo IP> Nome processo: OUTLOOK.EXE ID processo: 0 ID applicazione: N/D |
Diritti Escludi controllo
Le applicazioni che eseguono l'accesso a più cassette postali utente con un account di servizio attendibile generano un carico più elevato da controllare. Ciò è dovuto al fatto che può essere registrata ogni operazione di accesso alla cassetta postale eseguita dall'account di servizio.
In Exchange 2007 SP2, allo schema viene aggiunto un nuovo diritto esteso: Escludi controllo. Il diritto Escludi controllo impedisce la registrazione delle azioni dell'account utente cui viene concesso. Pertanto, tale diritto non deve essere concesso agli utenti che si desidera controllare.
Nota
Per impostazione predefinita, Windows concede tutti i diritti estesi al gruppo degli amministratori di dominio. Un amministratore di dominio non deve essere abilitato all'utilizzo della posta se è necessario controllare l'accesso a tutte le cassette postali. Per consentire il controllo degli amministratori di dominio, è possibile negare il diritto Escludi controllo a livello dell'organizzazione di Exchange. Ciò consente il controllo degli account Amministratore di dominio che sono abilitati alla posta. Per negare ad esempio il diritto Escludi controllo per il gruppo Domain Admins, eseguire il seguente comando da Exchange Management Shell:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true
È possibile utilizzare il cmdlet Add-ADPermission per concedere il diritto appropriato a ciascun database delle cassette postali per disabilitare il controllo di account di servizio specifici. Ad esempio, per concedere a Example\ServiceAccount il diritto Escludi controllo accesso, eseguire il seguente comando da Exchange Management Shell:
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
Scelta di una strategia di controllo
In Exchange il controllo dell'accesso alle cassette postali è un processo complesso che dipende dall'uso previsto delle informazioni, dai requisiti di controllo specifici dell'organizzazione, dalle applicazioni in uso e dal livello di affidabilità dell'amministratore.
Il controllo della protezione di Windows NT è la soluzione migliore per le organizzazioni con il livello più elevato di requisiti di controllo. Questa forma di controllo registra l'accesso a tutti gli oggetti da parte di tutti gli utenti e archivia le informazioni registrate nel registro di protezione.
Il controllo di accesso di Exchange è adatto alle organizzazioni che non richiedono la protezione di controllo di Windows. Il controllo di accesso di Exchange è la soluzione adatta per le organizzazioni che intendono controllare quanto segue:
Solo gli amministratori con diritti amministrativi aprono le cassette postali.
Solo i casi in cui un utente apre la cassetta postale di un altro utente.
Solo i casi in cui la risorsa alla quale si esegue l'accesso si trova nel sottoalbero IPM.
Controllo dell'accesso amministratore mediante privilegi amministrativi
Al livello uno di registrazione diagnostica (1), tutte le categorie registrano solo gli eventi in cui gli utenti attivi esercitano diritti amministrativi per accedere a una cassetta postale. Le organizzazioni che utilizzano il controllo di accesso di Exchange devono tenere presente che, per impostazione predefinita, gli amministratori di Exchange possono modificare i livelli di registrazione diagnostica o cancellare il registro eventi del controllo di accesso di Exchange. Inoltre, gli amministratori di Exchange possono concedere il diritto Escludi controllo. Le organizzazioni che desiderano controllare solo gli amministratori di Exchange devono implementare un modello di divisione delle autorizzazioni per impedire agli amministratori di Exchange di modificare i livelli di registrazione e i descrittori di protezione o di cancellare il registro eventi.
Solo controllo dell'accesso da una cassetta postale all'altra
Ai livelli di registrazione due (2) e quattro (4), il controllo dell'accesso alle cartelle e ai messaggi registra eventi quando un utente abilitato all'utilizzo delle cassette postali apre cartelle o messaggi di un altro utente. Tale livello di registrazione non rileva tutti i tipi di accesso alla cassetta postale condivisa. Una cassetta postale condivisa o una cassetta postale per la risorsa è associata a un account utente disabilitato, quindi l'accesso alla cassetta postale viene concesso a ulteriori utenti. Se tali utenti non sono abilitati all'utilizzo delle cassette postali, l'accesso alla cassetta postale condivisa o alla cassetta postale per la risorsa non viene registrato al livello diagnostico due (2) o quattro (4).
Controllo degli eventi base rispetto a tutti gli eventi
Ai livelli diagnostici due (2) e tre (3), il controllo di accesso alle cartelle registra gli eventi base o tutti gli eventi. Gli eventi base includono solo le cartelle che risultano sottocartelle del sottoalbero IPM. Oppure le cartelle che sono al secondo livello o le sottocartelle superiori del sottoalbero non IPM (per applicazioni che memorizzano nella cache i dati in queste posizioni). L'attivazione di livelli di diagnostica superiori indica che sono stati registrati più eventi. Questa registrazione ulteriore aumenta il carico sul server. Inoltre, il livello di registrazione incrementato potrebbe registrare eventi falsi positivi come operazioni di ricerca nella cache di disponibilità. Tali operazioni accedono alla radice della cassetta postale e sono operazioni di ricerca non dannose.
Per decidere se un'organizzazione deve controllare gli eventi base o estesi, è necessario sapere quali applicazioni sono distribuite dall'organizzazione e dove vengono archiviati i dati sensibili. Se un'applicazione archivia i dati sensibili in una cartella secondaria immediatamente superiore al sottoalbero non IPM, solo la registrazione di tutti gli eventi (livello di diagnostica quattro o cinque) registrerà l'accesso alle cartelle specifiche.
Limitazioni del controllo di accesso
Informazioni estese del client
I programmi del client che non inviano il blocco delle informazioni estese del client generano eventi di controllo che non popolano le informazioni del client. Queste sono versioni di Outlook precedenti a Outlook 2003.
Tabelle del contenuto delle cartelle
Il controllo Accesso ai messaggi non può rilevare tutte le informazioni recuperate da una cassetta postale. Ciò è dovuto al fatto che l'accesso alla tabella dei contenuti della cartella, ovvero una tabella riepilogativa delle proprietà dei messaggi usate comunemente, non richiede che l'utente apra un messaggio. L'oggetto del messaggio, le informazioni sul destinatario e molte altre proprietà di base dei messaggi fanno parte della tabella delle cartelle dei messaggi. Queste informazioni possono essere lette senza aprire un messaggio, pertanto senza generare un evento di accesso al messaggio.
Considerazioni sulla protezione
Quando un'organizzazione sceglie il controllo di accesso per i suoi requisiti di controllo, è bene tenere presente una serie di scenari di protezione, al fine di valutare il costo finale di un accesso totalmente sicuro ai registri di controllo e della protezione del contenuto del registro.
Escludi controllo
Se a un utente viene concesso il diritto esteso Escludi controllo, l'utente non viene controllato. Si consiglia di monitorare gli ACL Active Directory per verificare che un utente con accesso di descrittore di protezione di scrittura non conceda a se stesso il diritto Escludi controllo.
Amministratori di dominio
Windows concede tutti i diritti estesi agli amministratori di dominio. L'account di un amministratore di dominio non deve essere abilitato all'utilizzo della posta se l'accesso a tutte le cassette postali deve essere controllato
Modifiche alla registrazione diagnostica
Dato che i livelli di registrazione diagnostica controllano gli eventi che vengono registrati nel registro eventi di controllo di Exchange, la modifica del livello di registrazione diagnostica di determinate categorie potrebbe dare risultati imprevisti. Ad esempio, determinati eventi previsti potrebbero non essere più registrati. Inoltre, dato che il processo Store.exe non è in grado di identificare l'utente che ha modificato i livelli di registrazione o addirittura se i livelli sono stati modificati da una sessione precedente, il processo Store.exe non è in grado di identificare le modifiche apportate alla configurazione di controllo.
Amministratori locali
Il registro di controllo di Exchange contiene un record degli eventi controllati e il Visualizzatore eventi è dotato di un ACL, che impedisce agli utenti tipici di cancellare il registro eventi. Se un amministratore locale ha assunto la proprietà della chiave di registro appropriata, reimpostato il valore CustomSD e riavviato il server, può cancellare il registro di controllo di Exchange.
Considerazioni sulle prestazioni
Il registro eventi del controllo di Exchange potrebbe risultare un registro eventi a traffico elevato, a seconda della configurazione del server e delle azioni degli utenti. Pertanto, è consigliabile collocare il registro eventi del controllo di Exchange su un'unità disco rigido dedicata con spazio sufficiente e in grado di supportare operazioni di scrittura veloci.
Per ulteriori informazioni sulla configurazione dei registri eventi del controllo di Exchange, vedere i seguenti argomenti:
Come configurare l'archiviazione automatica dei registri degli eventi di controllo di Exchange
Come configurare la dimensione e la posizione dei registri eventi del controllo di Exchange
Come visualizzare i livelli di registrazione del controllo di Exchange correnti
Come modificare i livelli di registrazione del controllo di Exchange
Ulteriori informazioni
Per ulteriori informazioni su come modificare i livelli di registrazione diagnostica in Exchange, vedere Come modificare i livelli di registrazione per i processi di Exchange.