Noções básicas sobre Auditoria de Acesso à Caixa de Correio com o Exchange Server 2007 Service Pack 2
Aplica-se a: Exchange Server 2007 SP2
Tópico modificado em: 2012-03-26
A Auditoria de Acesso está implementada no processo Store.exe do Microsoft Exchange, que é o ponto de acesso para emails nos bancos de dados da caixa de correio. A Auditoria de Acesso representa um conjunto de eventos do Log de eventos criado para fornecer aos administradores informações sobre os recursos de caixa de correio abertos pelos usuários. Esses eventos são novos. Eles não modificam os eventos existentes, que podem ser usados para outros propósitos.
A Auditoria de Acesso é habilitada por um conjunto de categorias do Log de Diagnóstico para o recurso Microsoft Exchange IS, sendo que cada categoria corresponde a um tipo diferente de acesso ao recurso. Cada categoria pode ser habilitada independentemente. Isso permite que um administrador escolha o nível de informações (e o carregamento correspondente de sua gravação) adequado para a organização específica.
As categorias de Log de Diagnóstico incluem as seguintes:
Acesso à Pasta: permite registrar os eventos que correspondem à abertura de pastas, como Caixa de Entrada, Caixa de Saída ou Itens Enviados.
Acesso à Mensagem: permite registrar os eventos que correspondem à abertura explícita de mensagens.
Enviar Como Estendido: permite registrar os eventos que correspondem ao envio de uma mensagem como um usuário habilitado para caixa de correio.
Enviar em Nome de Estendido: permite registrar os eventos que correspondem ao envio de uma mensagem em nome de um usuário habilitado para caixa de correio.
Cada categoria oferece suporte aos níveis de log de zero (não habilitado) a cinco (log máximo). Os níveis de log mais altos aumentam a quantidade e os detalhes dos dados registrados.
Comparando a Auditoria de Acesso com a Auditoria do Windows
O serviço Armazenamento de Informações do Microsoft Exchange oferece suporte aos eventos de Auditoria do Windows NT com base na diretiva do sistema. Esses eventos refletem cada instância de um objeto aberto e são registrados no Log de eventos de segurança. Esse tipo de log é o nível de auditoria mais alto disponível e oferece registros extensivos de acesso ao objeto. O objetivo da Auditoria de Acesso não é substituir a auditoria do Windows. A auditoria do Windows se concentra em eventos de abertura e fechamento de objetos. A Auditoria de Acesso ignora implicitamente determinados eventos de objetos para obter eventos que representam dados reais do usuário que estão sendo acessados.
Considere o seguinte exemplo:
Com a auditoria do Windows, o principal foco refere-se a "Logons na Caixa de Correio". No Exchange, um evento de logon é o ato de associação aos dados que permitem que o cliente tente abrir pastas. O objeto de logon em si não concede acesso a dados específicos. Ele representa um ponto focal falso para a auditoria.
A Auditoria de Acesso se concentra em eventos que refletem um cliente obtendo acesso a dados reais do sistema de mensagens ou exercendo direitos que afetam os dados do sistema de mensagens. Por exemplo:
Ao abrir uma pasta, o cliente obtém acesso a dados reais.
Ao abrir uma mensagem, o cliente obtém acesso a dados reais.
O logon em uma caixa de correio é uma operação implícita para obter acesso à pasta. A Auditoria de Acesso permite desconsiderar operações que ocorrem abaixo da subárvore IPM, como operações de pesquisa de cache de disponibilidade. Além disso, ela ignora o acesso por meio de processos do sistema do Exchange. Ela também pode registrar apenas uma classe ou várias classes específicas de acesso. As compensações entre a auditoria do Windows e a Auditoria de Acesso encontram-se no processo de configuração. A Auditoria do Windows pode ser definida pela diretiva. A Auditoria de Acesso é controlada por categorias de diagnóstico do armazenamento de informações do Microsoft Exchange.
Importante
A Auditoria de Acesso não faz a auditoria de exclusões de mensagens, apenas do acesso a mensagens.
Log de Eventos de Auditoria do Exchange
O volume de eventos de auditoria registrados está diretamente relacionado ao carregamento em um servidor e ao número de operações do usuário do tipo auditado que ocorrem a todo o momento. Como o Log do aplicativo também é uma fonte de dados de diagnóstico e de solução de problemas, a Auditoria de Acesso não registra eventos no Log do aplicativo. No Exchange 2007 Service Pack 2 (SP2), a instalação da função de servidor Caixa de Correio em um servidor cria um novo log de eventos. Esse é o Log de eventos de auditoria do Exchange. Por padrão, ele fica localizado em \Exchange Server\Logs\AuditLogs. Em um computador baseado no Windows Server 2008, esse log de eventos está localizado em Applications and Services Logs\Exchange Auditing. A localização padrão do arquivo de log é %PROGRAMFILES%\Exchange Server\Logging\Auditlogs. A lista de controle de acesso (ACL) padrão no log de Auditoria do Exchange concede as seguintes permissões:
Administradores de Destinatários do Exchange: acesso para Leitura e Limpeza
Administradores da Organização do Exchange: acesso para Leitura e Limpeza
Servidores Exchange: acesso para Leitura e Gravação
Todos os acessos para serviço local
Para alterar a lista ACL padrão, você deve atualizar o valor CustomSD no Registro. Atualize o valor CustomSD para incluir o grupo ou usuário que você deseja acessar o Log de Eventos de Auditoria do Exchange. O valor CustomSD está localizado sob a seguinte chave de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing
Dica
A ACL armazenada no valor CustomSD está armazenadas no formato SDDL: Para obter mais informações sobre como alterar as permissões nos Logs de Eventos do Windows e sobre os formatos SDDL, consulte o tópico Event Log (página em inglês).
Para obter um valor SID de usuário ou grupo, use a ferramenta PsGetSid do Windows Sysinternals. Para obter mais informações sobre essa ferramenta, consulte PsGetSid v1.43 (página em inglês).
Ou use o PowerShell para obter o SID. Por exemplo, para obter informações sobre o SID de um usuário, use o comando a seguir:
$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Auditoria de Acesso por nível de log de eventos
Para eventos que representam o acesso por um usuário à caixa de correio de outro usuário, as seguintes diretrizes gerais descrevem quais eventos estão registrados em cada nível de log de diagnóstico:
No nível de log zero (0), nada é registrado.
No nível de log um (1), apenas as ações para as quais o usuário ativo chamou privilégios administrativos são registradas.
Nos níveis de log dois (2) e quatro (4), apenas o acesso do usuário habilitado para uma caixa de correio até a outra caixa de correio é registrado.
Nos níveis de log três (3) e cinco (5), o acesso de qualquer usuário a qualquer caixa de correio é registrado.
Informações comuns de eventos de auditoria
Os eventos de auditoria que refletem as ações baseadas no logon de um usuário expõem um conjunto comum de informações. Os dados estendidos do cliente ficam disponíveis apenas quando o programa oferece suporte para o envio de dados estendidos do cliente. O Outlook 2003 e as versões posteriores do Outlook enviam dados estendidos do cliente.
Auditoria de Acesso à Pasta
Os eventos de Acesso à Pasta indicam a abertura bem-sucedida de uma pasta em uma caixa de correio. A auditoria de Acesso à Pasta fornece eventos diferentes em níveis distintos de auditoria. Isso permite que um administrador selecione o nível correto de log de acordo com as suas necessidades de auditoria. A lista a seguir descreve os eventos registrados em cada nível de log:
No nível zero (0), nada é registrado. Nesse nível de log, nenhum evento é registrado em resposta ao acesso à pasta.
No nível um (1), apenas o acesso que usa direitos Administrativos é registrado.
Nos níveis de log dois (2) e quatro (4), apenas o acesso por um usuário habilitado para caixa de correio a outro usuário habilitado para caixa de correio é registrado.
Nos níveis de log três (3) e cinco (5), é registrado o acesso a pastas por qualquer usuário.
Log de eventos básicos e log de todos os eventos
A hierarquia de pastas de caixa de correio consiste em uma subárvore não IPM, que hospeda pastas para uso do aplicativo, como pastas de pesquisa, junto com uma subárvore IPM que hospeda pastas exibidas e usadas por usuários, como as pastas Caixa de Entrada ou Itens Enviados. Os eventos básicos representam o acesso típico às pastas que o usuário vê. Essas pastas geralmente são definidas como "pastas de email". O acesso a uma pasta será registrado no nível básico se ela for uma pasta filha da subárvore IPM. O log de Todos os Eventos inclui as pastas que não são visíveis para o usuário, como a pasta raiz da caixa de correio e as pastas da subárvore que não é IPM. Os administradores que desejam auditorar o acesso a "pastas de email", como Caixa de Entrada, Itens Enviados ou Rascunhos, não precisam habilitar o log de eventos de nível mais alto. A tabela a seguir ilustra os eventos que são registrados em cada nível de log para a categoria Acesso à Pasta.
Categoria: Acesso à Pasta
| Nível de log | Direitos de administrador necessários | Usuário ativo | Caixa de Correio | Resultado |
|---|---|---|---|---|
0 |
Não se aplica |
Não se aplica |
Não se aplica |
Nada |
1 |
Não |
Não se aplica |
Não se aplica |
Nada |
1 |
Sim |
Não se aplica |
Não se aplica |
Eventos básicos |
2 |
Não se aplica |
UsuárioA |
UsuárioA |
Nada |
2 |
Não se aplica |
UsuárioA |
UsuárioB |
Eventos básicos |
3 |
Não se aplica |
UsuárioA |
UsuárioA |
Eventos básicos |
3 |
Não se aplica |
UsuárioA |
UsuárioB |
Eventos básicos |
4 |
Não se aplica |
UsuárioA |
UsuárioA |
Nada |
4 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
5 |
Não se aplica |
UsuárioA |
UsuárioA |
Todos os eventos |
5 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
Quando a auditoria de Acesso à Pasta está habilitada, os eventos que se assemelham aos itens a seguir são registrados:
ID do Evento: 10100 Gravidade: Informativos Recurso: AccessAuditing A pasta %1 na Caixa de Correio '%3' foi aberta pelo usuário %4 Nome para Exibição: %2 Usuário que Acessa: %5 Caixa de Correio: %6 Direitos Administrativos:%7 Identificador: %8 Informações do Cliente (se Disponíveis): Nome da Máquina: %9 Endereço: %10 Nome do Processo: %11 ID do Processo: %12 ID do Aplicativo: %13 |
Os parâmetros nesta mensagem de evento representam os seguintes itens:
%1 representa o nome da URL da pasta. Ele fornece a você o caminho completo da pasta.
%2 representa o nome para exibição da pasta. Você pode usar o nome para exibição junto com o caminho de pasta para diferenciar melhor as várias pastas que têm o mesmo nome.
Informações comuns de eventos de auditoria:
%3 representa o legacyDN da caixa de correio aberta.
%4 representa o nome do usuário que foi autenticado no armazenamento de informações.
%5 representa o legacyDN do usuário que abriu o objeto.
%6 representa o legacyDN da caixa de correio.
%7 é um sinalizador que indica se os direitos do administrador foram usados para abrir a pasta.
%8 é um identificador relativamente exclusivo. Você pode usar esse parâmetro para correlacionar uma série de ações em um curto período.
Informações do cliente:
%9 representa o nome do computador.
%10 representa o endereço da maneira que foi redigido pelo cliente. Esse valor depende do protocolo usado para conectar-se ao servidor. As conexões locais (conexões provenientes do mesmo computador) usam o nome do computador. Os arquivos binários do Exchange enviarão o endereço IPV6, se possível, e o endereço IPV4, caso não possam enviar o endereço IPV6. Se um endereço IP for enviado, ele será representado da maneira identificada pelo cliente. Para clientes por trás de um gateway NAT, o endereço IP poderá não fornecer um endereço distinto.
%11 representa o nome do processo. Esse é o arquivo binário do aplicativo que fez a chamada para acessar o objeto.
%12 representa a ID do processo (PID). Esse é um identificador numérico para o processo específico.
%13 representa a ID do aplicativo. Esse é um valor que o cliente define para permitir a diferenciação entre as instâncias do Powershell.exe. Ou então, um evento para permitir que um suplemento em um processo seja rotulado como um suplemento durante as operações para acessar o servidor.
Exemplo de entrada do log de eventos de acesso à pasta
Nome do log: Auditoria do Exchange Origem: Auditoria MSExchangeIS ID do evento: 10100 Categoria da Tarefa: Auditoria de Acesso à Caixa de Correio Nível: Informações Palavras-chave: Clássico Descrição: A pasta /Inbox na Caixa de Correio 'UsuárioA' foi aberta pelo usuário CONTOSO\UsuárioB Nome para Exibição: Caixa de Entrada Usuário que Acessa: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB Direitos Administrativos: false Identificador: 00000000318A00E0 Informações do Cliente (se Disponíveis) Nome da Máquina: <ClientName> Endereço: <Endereço IP> Nome do Processo: OUTLOOK.EXE ID do Processo: 0 ID do Aplicativo: N/A |
Auditoria de Acesso a Mensagens
Os eventos de Acesso a Mensagens indicam a abertura bem-sucedida de uma mensagem no armazenamento de informações do Exchange. As mensagens não aceitam Eventos Básicos. A auditoria de todo o acesso a mensagens é feita com base no nível de log definido pelo administrador. A tabela a seguir ilustra os eventos registrados em cada nível de log para a categoria Acesso a Mensagens.
Categoria: Acesso a Mensagens
| Nível de log | Direitos de administrador necessários | Usuário ativo | Caixa de Correio | Resultado |
|---|---|---|---|---|
0 |
Não se aplica |
Não se aplica |
Não se aplica |
Nada |
1 |
Não |
Não se aplica |
Não se aplica |
Nada |
1 |
Sim |
Não se aplica |
Não se aplica |
Eventos básicos |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
4 |
Não se aplica |
UsuárioA |
UsuárioA |
Nada |
4 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
5 |
Não se aplica |
UsuárioA |
UsuárioA |
Todos os eventos |
5 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
Quando a auditoria de Acesso a Mensagens está habilitada, os eventos que se assemelham aos itens a seguir são registrados:
ID do Evento: 10102 Gravidade: Informativos Recurso: AccessAuditing A mensagem %1 na Caixa de Correio %3 foi aberta pelo usuário %4 Pasta: %2 Usuário que Acessa: %5 Caixa de Correio: %6 Direitos Administrativos:%7 Identificador: %8 Informações do Cliente (se Disponíveis): Nome da Máquina: %9 Endereço: %10 Nome do Processo: %11 ID do Processo: %12 ID do Aplicativo: %13 |
Os parâmetros nesta mensagem de evento representam os seguintes itens:
%1 representa a ID da Mensagem da Internet que está sendo aberta.
%3 representa a caixa de correio em que a mensagem é salva.
%4 representa o usuário que foi autenticado no armazenamento de informações.
%5 representa o legacyDN do usuário que abriu a mensagem.
%6 representa o legacyDN da caixa de correio.
%7 é um sinalizador que indica se os direitos do administrador foram usados para abrir a mensagem.
%8 é um identificador relativamente exclusivo, que pode ser usado para correlacionar um conjunto de ações em um curto período.
Informações do cliente
%9 representa o nome do computador.
%10 representa o endereço da maneira que foi redigido pelo cliente. Esse valor depende do protocolo usado para a conexão ao servidor. As conexões locais (conexões provenientes do mesmo computador) usam o nome do computador. Os arquivos binários do Exchange enviarão o endereço IPV6, se possível, e o endereço IPV4, caso não possam enviar o endereço IPV6. Se um endereço IP for enviado, ele será representado da maneira identificada pelo cliente. Para clientes por trás de um gateway NAT, o endereço IP poderá não fornecer um endereço distinto.
%11 representa o nome do processo. Esse é o arquivo binário do aplicativo que fez a chamada para acessar o objeto.
%12 representa a ID do processo (PID). Esse é um identificador numérico para o processo específico.
%13 representa a ID do aplicativo. Esse é um valor que o cliente define para permitir a diferenciação entre as instâncias do Powershell.exe. Ou então, um evento para permitir que um suplemento em um processo seja rotulado como um suplemento durante as operações para acessar o servidor.
Exemplo de entrada do log de eventos de acesso a mensagens
Nome do log: Auditoria do Exchange Origem: Auditoria MSExchangeIS Data: <data> ID do evento: 10102 Categoria da Tarefa: Auditoria de Acesso à Caixa de Correio Nível: Informações Palavras-chave: Clássico Descrição: A mensagem <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> na Caixa de Correio UsuárioA foi aberta pelo usuário CONTOSO\UsuárioB Pasta: /Inbox Usuário que Acessa: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB Direitos Administrativos: false Identificador: 00000000318A00E0 Informações do Cliente (se Disponíveis) Nome da Máquina: <ClientName> Endereço: <Endereço IP> Nome do Processo: OUTLOOK.EXE ID do Processo: 0 ID do Aplicativo: N/A |
Auditoria de Enviar Como Estendido
Os eventos Enviar Como Estendido indicam que um usuário enviou uma mensagem como outro usuário. Esses eventos não oferecem suporte aos eventos Básicos e se aplicam apenas quando um usuário envia uma mensagem como outro usuário. No nível de log um (1), um evento será gravado apenas se o usuário tiver usado os privilégios de administrador para abrir a caixa de correio e, em seguida, tiver enviado uma mensagem como outro usuário. No nível de log cinco (5), um evento será gravado se um usuário enviar uma mensagem como outro usuário. A tabela a seguir ilustra os eventos registrados em cada nível de log para a categoria Enviar Como Estendido.
Categoria: Enviar Como Estendido
| Nível de log | Direitos de administrador necessários | Usuário ativo | Caixa de Correio | Resultado |
|---|---|---|---|---|
0 |
Não se aplica |
Não se aplica |
Não se aplica |
Nada |
1 |
Não |
UsuárioA |
UsuárioA |
Não se aplica |
1 |
Sim |
UsuárioA |
UsuárioB |
Todos os eventos |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
4 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
4 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
5 |
Não se aplica |
UsuárioA |
UsuárioA |
Não se aplica |
5 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
Quando a auditoria Enviar Como Estendido está habilitada, os eventos que se assemelham aos itens a seguir são registrados:
ID do Evento: 10106 Gravidade: Informativos Recurso: SendAs %1 enviou uma mensagem como %2 ID da Mensagem:%3 Nome da Conta: %4 Usuário que Acessa: %5 Caixa de Correio: %6 Direitos Administrativos:%7 Identificador: %8 Informações do Cliente (se Disponíveis): Nome da Máquina: %9 Endereço: %10 Nome do Processo: %11 ID do Processo: %12 ID do Aplicativo: %13 |
Os parâmetros nesta mensagem de evento representam os seguintes itens:
%1 representa o legacyDN do usuário de envio.
%2 representa o legacyDN do usuário que foi Enviado Como.
%3 representa a ID da mensagem da Internet.
%4 representa o usuário que foi autenticado no armazenamento de informações.
%5 representa o legacyDN do usuário de acesso.
%6 representa o legacyDN da caixa de correio.
%7 é um sinalizador que indica se os direitos administrativos foram usados para enviar a mensagem.
%8 é um identificador relativamente exclusivo, que pode ser usado para correlacionar eventos em um curto período.
Informações do cliente
%9 representa o nome do computador.
%10 representa o endereço da maneira que foi redigido pelo cliente. Esse valor depende do protocolo usado para conectar ao servidor. As conexões locais (conexões do mesmo computador) usam o nome do computador. Os arquivos binários do Exchange enviarão o endereço IPV6, se possível, e o endereço IPV4, caso não possam enviar o endereço IPV6. Se um endereço IP for enviado, será representado da maneira que o cliente o identificar. Para clientes por trás de um gateway NAT, o endereço IP poderá não fornecer um endereço distinto.
%11 representa o nome do processo. Esse é o arquivo binário do aplicativo que fez a chamada para acessar o objeto.
%12 representa a ID do processo (PID). Esse é um identificador numérico para o processo específico.
%13 representa a ID do aplicativo. Esse é um valor que o cliente define para permitir a diferenciação entre as instâncias do Powershell.exe. Ou então, um evento para permitir que um suplemento em um processo seja rotulado como um suplemento durante as operações para acessar o servidor.
Para obter mais informações sobre como conceder a permissão Enviar Como, consulte Como conceder permissões Enviar como para uma caixa de correio.
Entrada do log de eventos Envio Estendido Como
Nome do log: Auditoria do Exchange Origem: Auditoria MSExchangeIS Data: <data> ID do evento: 10106 Categoria da Tarefa: Enviar Como Nível: Informações Palavras-chave: Clássico Descrição: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB enviou uma mensagem como /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioA ID da Mensagem: <BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com> Caixa de Correio: UsuárioB Nome da Conta: CONTOSO\UsuárioB Usuário que Acessa: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB Caixa de Correio:<NULL> Direitos Administrativos: false Identificador: 00000000317A7130 Informações do Cliente (se Disponíveis) Nome da Máquina: <ClientName> Endereço: <Endereço IP> Nome do Processo: OUTLOOK.EXE ID do Processo: 0 ID do Aplicativo: N/A |
Auditoria de Enviar em Nome de Estendido
Os eventos Enviar em Nome de Estendido indicam que um usuário enviou uma mensagem em nome de outro usuário. Esses eventos não oferecem suporte aos eventos Básicos e são aplicáveis apenas quando um usuário envia uma mensagem em nome de outro usuário. No nível de log um (1), um evento será gravado apenas se o usuário tiver usado privilégios de administrador para abrir uma caixa de correio e, em seguida, enviar uma mensagem em nome de outro usuário. No nível de log cinco (5), um evento será gravado se um usuário enviar uma mensagem em nome de outro usuário. A tabela a seguir ilustra os eventos registrados em cada nível de log para a categoria Enviar em Nome de Estendido.
Categoria: Enviar em Nome de Estendido
| Nível de log | Direitos de administrador necessários | Usuário ativo | Caixa de Correio | Resultado |
|---|---|---|---|---|
0 |
Não se aplica |
Não se aplica |
Não se aplica |
Nada |
1 |
Não |
UsuárioA |
UsuárioA |
Não se aplica |
1 |
Sim |
UsuárioA |
UsuárioB |
Todos os eventos |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
2 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
3 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
4 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
4 |
Não se aplica |
Não se aplica |
Não se aplica |
Não se aplica |
5 |
Não se aplica |
UsuárioA |
UsuárioA |
Não se aplica |
5 |
Não se aplica |
UsuárioA |
UsuárioB |
Todos os eventos |
Quando a auditoria de Enviar em Nome de Estendido está habilitada, os eventos que se assemelham aos itens a seguir são registrados:
ID do Evento: 10104 Gravidade: Informativos Recurso: SendOnBehalfOf %1 enviou uma mensagem em nome de %2 ID da Mensagem:%3 Nome da Conta: %4 Usuário que Acessa: %5 Caixa de Correio: %6 Direitos Administrativos:%7 Identificador: %8 Informações do Cliente (se Disponíveis): Nome da Máquina: %9 Endereço: %10 Nome do Processo: %11 ID do Processo: %12 ID do Aplicativo: %13 |
Os parâmetros nesta mensagem de evento representam os seguintes itens:
%1 representa o legacyDN do usuário de envio.
%2 representa o legacyDN do usuário que foi Enviado em Nome de.
%3 representa a ID da mensagem da Internet.
%4 representa o usuário que foi autenticado no armazenamento de informações.
%5 representa o legacyDN do usuário de acesso.
%6 representa o legacyDN da caixa de correio.
%7 é um sinalizador que indica se os direitos administrativos foram usados para enviar a mensagem.
%8 é um identificador relativamente exclusivo, que pode ser usado para correlacionar eventos em um curto período.
Informações do cliente
%9 representa o nome do computador.
%10 representa o endereço da maneira que foi redigido pelo cliente. Esse valor depende do protocolo usado para conectar ao servidor. As conexões locais (conexões do mesmo computador) usam o nome do computador. Os arquivos binários do Exchange enviarão o endereço IPV6, se possível, e o endereço IPV4, caso não possam enviar o endereço IPV6. Se um endereço IP for enviado, será representado da maneira que o cliente o identificar. Para clientes por trás de um gateway NAT, o endereço IP poderá não fornecer um endereço distinto.
%11 representa o nome do processo. Esse é o arquivo binário do aplicativo que fez a chamada para acessar o objeto.
%12 representa a ID do processo (PID). Esse é um identificador numérico para o processo específico.
%13 representa a ID do aplicativo. Esse é um valor que o cliente define para permitir a diferenciação entre as instâncias do Powershell.exe. Ou então, um evento para permitir que um suplemento em um processo seja rotulado como um suplemento durante as operações para acessar o servidor.
Exemplo da entrada de log de eventos Envio em Nome de
Nome do log: Auditoria do Exchange Origem: Auditoria MSExchangeIS Data: <data> ID do evento: 10104 Categoria da Tarefa: Enviar em Nome de Nível: Informações Palavras-chave: Clássico Descrição: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB enviou uma mensagem em nome de /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioA ID da Mensagem: <BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com> Caixa de Correio: UsuárioB Nome da Conta: CONTOSO\UsuárioB Usuário que Acessa: /o=Primeira Organização/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=UsuárioB Caixa de Correio:<NULL> Direitos Administrativos: false Identificador: 0000000031718B30 Informações do Cliente (se Disponíveis) Nome da Máquina: <ClientName> Endereço: <Endereço IP> Nome do Processo: OUTLOOK.EXE ID do Processo: 0 ID do Aplicativo: N/A |
Ignorar Direitos de Auditoria
Os aplicativos que fazem logon em várias caixas de correio de usuário como uma conta de serviço confiável geram uma carga mais elevada de auditoria. Isso ocorre porque cada operação de acesso à caixa de correio pela conta de serviço pode ser registrada.
No Exchange 2007 SP2, um novo direito estendido é adicionado ao esquema. É o direito Ignorar Auditoria. Ele impede o log de ações pela conta de usuário à qual o direito é concedido. No entanto, você não deve conceder o direito Ignorar Auditoria aos usuários que deseja auditorar.
Dica
Por padrão, o Windows concede todos os direitos estendidos ao grupo Administradores de Domínio. Um administrador de domínio não deverá estar habilitado para email se você precisar auditorar todos os acessos de caixa de correio. Para permitir a auditoria dos administradores de domínio, é possível negar o direito Ignorar Auditoria no nível da Organização do Exchange. Isso permite a auditoria das contas de Administrador de Domínio habilitadas para email. Por exemplo, para negar o direito de ignorar auditoria para o Grupo de Administradores de Domínio, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true
Você pode usar o cmdlet Add-ADPermission para conceder o direito adequado para cada banco de dados de caixa de correio e ignorar auditorias de contas de serviço específicas. Por exemplo, para conceder a Example\ServiceAccount o direito de Ignorar Auditoria de Acesso, execute o seguinte comando no Shell de Gerenciamento do Exchange:
get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All
Escolhendo uma estratégia de auditoria
A auditoria de acesso à caixa de correio no Exchange é um processo complexo que depende do uso pretendido das informações, das necessidades de auditoria específicas da organização, dos aplicativos que estão em uso e do nível de confiança do administrador.
A Auditoria de Segurança do Windows NT é a solução ideal para organizações que precisam do mais alto nível de auditoria. Essa forma de auditoria registra o acesso a todos os objetos por todos os usuários e armazena as informações registradas no Log de segurança.
A Auditoria de Acesso do Exchange é adequada para organizações que não exigem segurança de Auditoria do Windows. Ela também é adequada para organizações que desejam fazer a auditoria de:
Apenas administradores que usam direitos de Administrador para abrir caixas de correio.
Apenas casos em que um usuário abre a caixa de correio de outro usuário.
Apenas casos em que o recurso acessado está localizado na subárvore IPM.
Fazendo a auditoria de acesso de Administrador com privilégios de administrador
No nível um (1) de log de diagnóstico, todas as categorias registram apenas eventos em que os usuários ativos usam direitos administrativos para acessar uma caixa de correio. As organizações que usam a Auditoria de Acesso do Exchange devem se lembrar que, por padrão, os administradores do Exchange podem modificar os níveis de log de diagnóstico ou limpar o log de eventos de Auditoria de Acesso do Exchange. Além disso, o direito Ignorar Auditoria pode ser concedido a administradores do Exchange. As organizações que desejam auditorar apenas administradores do Exchange devem implementar um modelo de permissões divididas para impedir que os administradores do Exchange modifiquem os níveis de log e os descritores de segurança ou limpem o log de eventos.
Fazendo auditoria apenas do acesso de uma caixa de correio a outra
Nos níveis de log dois (2) e quatro (4), a pasta e a mensagem acessam os eventos de log de auditoria quando um usuário habilitado para email abre a pasta ou a mensagem de outro usuário habilitado para caixa de correio. Esse nível de log não detecta todos os tipos de acesso à caixa de correio compartilhada. Uma caixa de correio compartilhada ou uma caixa de correio de recursos está associada a uma conta de usuário desabilitada e, sendo assim, o acesso à caixa de correio é concedido a usuários adicionais. Se esses usuários não estiverem habilitados para caixa de correio, o acesso à caixa de correio compartilhada ou de recursos não será registrado no nível de diagnóstico dois (2) ou quatro (4).
Fazendo a auditoria de eventos básicos versus todos os eventos
No nível de diagnóstico dois (2) e três (3), a auditoria de Acesso à Pasta registra Eventos básicos ou Todos os eventos Os eventos Básicos incluem apenas pastas que são subpastas da subárvore IPM ou pastas que estão na segunda posição ou subpastas superiores da subárvore que não seja IPM (para aplicativos que armazenam dados em cache nesses locais). Se níveis de diagnóstico mais altos forem habilitados, mais eventos serão registrados. Esse log adicional aumentará a carga no servidor. Além disso, o aumento no nível de log poderá registrar eventos falsos positivos, como operações de pesquisa de cache de disponibilidade, que acessam a raiz da caixa de correio. Essas operações de pesquisa não são mal-intencionadas.
Para decidir se uma organização precisa auditorar eventos Básicos ou estendidos, é necessário saber quais aplicativos a organização implantou e onde estão armazenados dados confidenciais do usuário. Se um aplicativo armazenar dados confidenciais em uma pasta filha imediata da subárvore que não seja IPM, apenas o log de Todos os eventos (nível de diagnóstico quatro ou cinco) registrará o acesso às pastas específicas.
Limitações da auditoria de acesso
Informações de cliente estendido
Os programas clientes que não enviam o bloco de informações estendidas do cliente geram eventos de auditoria que não preenchem as informações do cliente. Essas são versões do Outlook anteriores ao Outlook 2003.
Tabelas de conteúdo das pastas
A Auditoria de Acesso a Mensagens não pode detectar todas as informações recuperadas de uma caixa de correio. Isso ocorre porque o acesso à tabela de conteúdo das pastas, que é uma tabela resumida de propriedades de mensagens comumente usadas, não exige que o usuário abra uma mensagem. O assunto da mensagem, as informações do destinatário e muitas propriedades básicas da mensagem fazem parte da tabela de pastas de mensagens. Essas informações podem ser lidas sem abrir uma mensagem e, portanto, sem gerar um evento de acesso às mensagens.
Considerações sobre segurança
Quando uma organização seleciona a Auditoria de Acesso para seu requisito de auditoria, vários cenários de segurança devem ser considerados para avaliar o custo final de proteção total do acesso aos logs de auditoria e de proteção ao conteúdo do log.
Ignorar Auditoria
Se o direito estendido de Ignorar Auditoria for concedido a um usuário, ele não será auditorado. É recomendável monitorar as ACLs do Active Directory para verificar se um usuário que tem acesso de Descritor de Segurança de Gravação não concedeu a ele mesmo o direito Ignorar Auditoria.
Administradores de Domínio
O Windows concede aos Administradores de Domínio todos os direitos estendidos. Uma conta de administrador de domínio não deverá estar habilitada para email se todos os acessos à caixa de correio precisarem ser auditorados.
Alterações do log de diagnóstico
Como os níveis de log de diagnóstico controlam os eventos registrados no log de eventos de Auditoria do Exchange, a alteração desse nível para categorias específicas pode gerar resultados inesperados. Por exemplo, determinados eventos esperados podem não ser mais registrados. Além disso, como o processo Store.exe não pode identificar o usuário que alterou os níveis de log, nem mesmo se os níveis de log foram alterados de uma sessão anterior, ele não poderá identificar as alterações na configuração de auditoria.
Administradores Locais
O log de Auditoria do Exchange contém um registro dos eventos auditorados e o Visualizador de Eventos tem uma ACL que impede usuários típicos de limpar o log de eventos. Se um administrador local tiver obtido a propriedade da chave do Registro adequada, redefinido o valor de CustomSD e reiniciado o servidor, o administrador poderá limpar o log de Auditoria do Exchange.
Considerações sobre desempenho
O log de eventos de Auditoria do Exchange pode ser um log de eventos de alto tráfego, dependendo da configuração do servidor e das ações do usuário. Portanto, é recomendável que o log de eventos de Auditoria do Exchange esteja localizado em uma unidade de disco rígido dedicada, com espaço suficiente e que possa oferecer suporte a operações de gravação rápida.
Para obter mais informações sobre como configurar logs de eventos de Auditoria do Exchange, consulte os seguintes tópicos:
Como configurar o arquivamento automático de logs de evento de auditoria do Exchange
Como configurar o tamanho e o local dos logs de eventos de Auditoria do Exchange
Como exibir os níveis de log de auditoria atuais do Exchange
Para obter mais informações
Para obter mais informações sobre como modificar níveis de log de diagnóstico no Exchange, consulte Como alterar níveis de log para processos do Exchange.