瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing

Exchange 2007
 

適用版本: Exchange Server 2007 SP2

上次修改主題的時間: 2012-03-26

存取稽核實作在 Microsoft Exchange Store.exe 處理程序中,這是信箱資料庫裡的訊息存取點。「存取稽核」代表一組事件日誌的事件,這些事件是設計來提供系統管理員有關於使用者已開啟之信箱資源的資訊。這些是新的事件。這些新的事件不會修改現有的事件 (現有的事件可能用於其他目的)。

存取稽核是以 [Microsoft Exchange IS] 資源的一組 [診斷記錄] 類別啟用,每個類別對應到不同的資源存取類型。可以獨立啟用每個類別。這讓系統管理員能夠選擇適合特定組織的資訊等級 (以及記錄它所造成的對應負載)。

診斷記錄類別包含下列項目:

  • 資料夾存取:可讓您記錄對應到開啟資料夾的事件,例如 [收件夾]、[寄件夾] 或 [寄件備份] 等資料夾
  • 郵件存取:可讓您記錄對應到明確開啟郵件的事件
  • 延伸以下列傳送:可讓您記錄對應到以擁有信箱功能的使用者身分傳送郵件的事件
  • 延伸傳送代理者:可讓您記錄對應到代表擁有信箱功能的使用者傳送郵件的事件

每個類別支援從 0 (未啟用) 到 5 (最大記錄) 的記錄等級。較高的記錄等級會增加記錄資料的數量和詳細程度。

Microsoft Exchange 資訊儲存庫服務支援根據系統原則的 Windows NT 稽核事件。這些事件反映開啟物件的每個執行個體,且記錄在安全性事件日誌中。這種記錄類型是可用的最高稽核等級,提供大量的物件存取記錄。存取稽核的目標並不是取代 Windows 稽核。Windows 稽核著重於物件開啟和物件關閉事件。存取稽核隱含地忽略了某些物件事件,以支持代表存取中之真實使用者資料的事件。

請考慮下列範例:

對於 Windows 稽核,主要焦點是「登入信箱」。在 Exchange 中,登入事件是繫結到資料的動作,此資料接著會讓用戶端嘗試開啟資料夾。登入物件本身並不會授與對特定資料的存取權。而是代表稽核的假性焦點。

存取稽核著重於反映用戶端取得對實際訊息資料之存取的事件,或是執行影響訊息資料之權限的事件。例如:

  • 藉由開啟資料夾,用戶端取得了對實際資料的存取權。
  • 藉由開啟郵件,用戶端取得了對實際資料的存取權。

登入信箱即是隱含取得對資料夾之存取權的作業。存取稽核讓您忽略在 IPM 樹狀子目錄底下發生的作業,例如空閒/忙碌快取查閱作業。此外,存取稽核會忽略 Exchange 系統處理程序的存取。存取稽核也可以只記錄特定類別的存取。Windows 稽核與存取稽核之間的交換在於組態處理程序。Windows 稽核可以用原則來設定。存取稽核是由 Microsoft Exchange 資訊儲存庫的診斷類別來控制。

important重要事項:
存取稽核不會稽核郵件刪除,只會稽核訊息存取。

記錄的稽核事件量與伺服器上的負載,還有隨時發生之稽核類型的使用者作業數直接相關。由於應用程式記錄檔也是診斷和疑難排解資料的來源,存取稽核並不會將事件記錄到應用程式記錄檔。在 Exchange 2007 Service Pack 2 (SP2) 中,在伺服器上安裝 Mailbox server role 會建立新的事件日誌。此為 Exchange 稽核事件日誌。Exchange 稽核事件日誌預設位於 \Exchange Server\Logs\AuditLogs 下。在 Windows Server 2008 電腦上,此事件日誌位於 Applications and Services Logs\Exchange Auditing 下。這個記錄檔的預設檔案位置是 %PROGRAMFILES%\Exchange Server\Logging\Auditlogs。Exchange 稽核記錄檔上的預設存取控制清單 (ACL) 允許下列權限:

  • Exchange 收件者系統管理員:讀取和清除權
  • Exchange 組織系統管理員:讀取和清除權
  • Exchange Server:讀取和寫入權
  • 本機服務 - 所有存取權

若要變更預設 ACL 清單,您必須更新登錄中的 CustomSD 值。更新 CustomSD 值,以納入您要存取 Exchange 稽核事件日誌的群組或使用者。CustomSD 值位於下列登錄機碼的下方:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing

note附註:
CustomSD 值中所儲存的 ACL,是以 SDDL 格式儲存。如需如何變更 Windows 事件日誌中權限的相關資訊,以及 SDDL 格式的相關資訊,請檢視主題事件日誌 (英文)。

若要取得使用者或群組 SID 值,請使用 Windows Sysinternals 中的 PsGetSid 工具。如需此工具的相關資訊,請參閱 PsGetSid v1.43

或者,您可以使用 PowerShell 來取得 SID。例如,若要取得使用者的 SID,請使用下列命令:

$objUser = New-Object System.Security.Principal.NTAccount("Exchange Organization Administrators")

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

對於代表一個使用者存取另一個使用者信箱的事件,下列一般指導方針描述在每個診斷記錄等級會記錄哪些事件:

  • 在記錄等級 0,不會記錄任何項目。
  • 在記錄等級 1,只會記錄執行使用者呼叫了系統管理權限的動作。
  • 在記錄等級 2 和 4,只會記錄從一個擁有信箱功能之使用者對另一個信箱的存取。
  • 在記錄等級 3 和 5,會記錄任何使用者對任何信箱的存取。

若要稽核反映根據使用者登入之動作的事件,會暴露一組常見的資訊。延伸的用戶端資料,只有在程式支援傳送延伸用戶端資料時才能使用。Outlook 2003 和較新版本的 Outlook 會傳送延伸用戶端資料。

「資料夾存取」事件指出在信箱中成功開啟資料夾。「資料夾存取」稽核會在不同的稽核等級提供不同的事件。這讓系統管理員能選取適合其稽核需求的記錄等級。下列清單描述了每個記錄等級會記錄的事件:

  • 在等級 0,不會記錄任何項目。在這個記錄等級中,不會因為回應資料夾存取而記錄任何事件。
  • 在等級 1,只會記錄使用系統管理權限的存取。
  • 在記錄等級 2 和 4,只會記錄由一個擁有信箱功能之使用者對另一個信箱的存取。
  • 在記錄等級 3 和 5,會記錄任何使用者對資料夾的存取。

信箱資料夾階層包含非 IPM 樹狀子目錄 (其中存放了應用程式使用的資料夾,例如搜尋資料夾),以及 IPM 樹狀子目錄 (其中存放了使用者檢視和使用的資料夾,例如 [收件匣] 或 [寄件備份] 資料夾)。基本事件代表對使用者所見資料夾的一般存取。這些資料夾一般定義為「郵件資料夾」。如果資料夾是 IPM 樹狀子目錄的子資料夾,對資料夾的存取會在基本等級進行記錄。所有事件記錄包括了使用者看不到的資料夾,例如信箱根資料夾以及非 IPM 樹狀子目錄資料夾。系統管理員若想要稽核對「郵件資料夾」的存取,例如 [收件匣] 資料夾、[寄件備份] 資料夾,或是 [草稿] 資料夾,並不必啟用較高等級的事件記錄。下表說明在每個記錄等級,針對「資料夾存取」類別記錄的事件。

類別:資料夾存取

 

記錄等級 需要系統管理員權限 執行使用者 信箱 結果

0

不適用

不適用

不適用

沒有項目

1

不適用

不適用

沒有項目

1

不適用

不適用

基本事件

2

不適用

使用者 A

使用者 A

沒有項目

2

不適用

使用者 A

使用者 B

基本事件

3

不適用

使用者 A

使用者 A

基本事件

3

不適用

使用者 A

使用者 B

基本事件

4

不適用

使用者 A

使用者 A

沒有項目

4

不適用

使用者 A

使用者 B

所有事件

5

不適用

使用者 A

使用者 A

所有事件

5

不適用

使用者 A

使用者 B

所有事件

啟用「資料夾存取」稽核時,會記錄類似下列的事件:

 

事件識別碼:10100

嚴重性:參考

設備:AccessAuditing

信箱 '%3' 中的資料夾 %1 已被使用者 %4 開啟

顯示名稱:%2

存取使用者: %5

信箱: %6

系統管理權限:%7

識別碼:%8

用戶端資訊 (如果可用):

機器名稱: %9

位址: %10

處理程序名稱: %11

處理程序識別碼: %12

應用程式識別碼: %13

這個事件訊息中的參數代表下列項目:

  • %1 代表資料夾的 URL 名稱。可提供您資料夾的完整路徑。
  • %2 代表資料夾的顯示名稱。可以一起使用顯示名稱和資料夾路徑,區別名稱相同的多個資料夾。

常見的稽核事件資訊:

  • %3 代表所開啟信箱的 legacyDN。
  • %4 代表向資訊儲存庫驗證的使用者之使用者名稱。
  • %5 代表開啟物件之使用者的 legacyDN。
  • %6 代表信箱的 legacyDN。
  • %7 是一個標幟,指出是否使用了系統管理員權限來開啟資料夾。
  • %8 是唯一的識別碼。可以使用此參數,讓短期間內的一系列動作產生關聯。

用戶端資訊:

  • %9 代表電腦名稱。
  • %10 代表由用戶端組成的位址。這個值依存於用來連線至伺服器的通訊協定。本機連線 (來自相同電腦的連線) 使用電腦名稱。Exchange 二進位檔可能的話會傳送 IPV6 位址,若無法傳送 IPV6 位址則傳送 IPV4 位址。如果傳送了 IP 位址,則它代表用戶端用以識別的 IP 位址。針對在 NAT 閘道後的用戶端,IP 位址可能無法提供辨別位址。
  • %11 代表處理名稱。這是發出存取物件呼叫的應用程式二進位檔案。
  • %12 代表處理識別碼 (PID)。這是特定程序的數值識別碼。
  • %13 代表應用程式識別碼。這是用戶端所設定,以在 Powershell.exe 執行個體之間允許差異的值。或是,在存取伺服器的作業期間允許將處理程序中的增益集標示為增益集的事件。

資料夾存取事件日誌項目的範例

 

記錄檔名稱:Exchange 稽核

來源:MSExchangeIS 稽核

事件識別碼: 10100

工作類別:信箱存取稽核

等級:參考

關鍵字:Classic

描述:信箱 'UserA' 中的資料夾 /Inbox 已被使用者 CONTOSO\UserB 開啟

顯示名稱:收件匣

存取使用者:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB

系統管理權限:false

識別碼:00000000318A00E0

用戶端資訊 (如果可用)

機器名稱:<ClientName>

位址:<IP Address>

處理程序名稱:OUTLOOK.EXE

處理程序識別碼: 0

應用程式識別碼:無

「訊息存取」事件指出在 Exchange 資訊儲存庫中成功開啟郵件。郵件不支援基本事件。所有訊息存取會根據系統管理員設定的記錄等級進行稽核。下表說明在每個記錄等級,針對「訊息存取」類別記錄的事件。

類別:訊息存取

 

記錄等級 需要系統管理員權限 執行使用者 信箱 結果

0

不適用

不適用

不適用

沒有項目

1

不適用

不適用

沒有項目

1

不適用

不適用

基本事件

2

不適用

不適用

不適用

不適用

2

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

4

不適用

使用者 A

使用者 A

沒有項目

4

不適用

使用者 A

使用者 B

所有事件

5

不適用

使用者 A

使用者 A

所有事件

5

不適用

使用者 A

使用者 B

所有事件

啟用「訊息存取」稽核時,會記錄類似下列的事件:

 

事件識別碼:10102

嚴重性:參考

設備:AccessAuditing

信箱 '%3' 中的郵件 %1 已被使用者 %4 開啟

資料夾: %2

存取使用者: %5

信箱:%6

系統管理權限:%7

識別碼:%8

用戶端資訊 (如果可用):

機器名稱:%9

位址:%10

處理程序機器名稱:%11

處理程序識別碼:%12

應用程式識別碼: %13

這個事件訊息中的參數代表下列項目:

  • %1 代表要開啟訊息的網際網路訊息識別碼。
  • %3 代表儲存郵件所在的信箱。
  • %4 代表向資訊儲存庫驗證的使用者。
  • %5 代表開啟郵件之使用者的 legacyDN。
  • %6 代表信箱的 legacyDN。
  • %7 是一個標幟,指出是否使用了系統管理員權限來開啟郵件。
  • %8 是唯一的識別碼,可以用來讓短期間內的一系列動作產生關聯。

用戶端資訊

  • %9 代表電腦名稱。
  • %10 代表由用戶端組成的位址。這個值依存於用來連線至伺服器的通訊協定。本機連線 (來自相同電腦的連線) 使用電腦名稱。Exchange 二進位檔可能的話會傳送 IPV6 位址,若無法傳送 IPV6 位址則傳送 IPV4 位址。如果傳送了 IP 位址,則它代表用戶端用以識別的 IP 位址。針對在 NAT 閘道後的用戶端,IP 位址可能無法提供辨別位址。
  • %11 代表處理名稱。這是發出存取物件呼叫的應用程式二進位檔案。
  • %12 代表處理識別碼 (PID)。這是特定程序的數值識別碼。
  • %13 代表應用程式識別碼。這是用戶端所設定,以在 Powershell.exe 執行個體之間允許差異的值。或是,在存取伺服器的作業期間允許將處理程序中的增益集標示為增益集的事件。

訊息存取事件日誌項目的範例

 

記錄檔名稱:Exchange 稽核

來源:MSExchangeIS 稽核

日期:<date>

事件識別碼: 10102

工作類別:信箱存取稽核

等級:參考

關鍵字:傳統

描述:信箱 UserA 中的郵件 <BA15978123F9C848B820A8C5C1DC29B5F06B6F@Server.Contoso.com> 已被使用者 CONTOSO\UserB 開啟

資料夾:/Inbox

存取使用者:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB

系統管理權限:false

識別碼:00000000318A00E0

用戶端資訊 (如果可用)

機器名稱:<ClientName>

位址:<IP 位址>

處理程序名稱:OUTLOOK.EXE

處理程序識別碼:0

應用程式識別碼:無

「延伸以下列傳送」事件指出一個使用者以另一個使用者的身分傳送郵件。「延伸以下列傳送」事件不支援基本事件,且只適用於一個使用者以另一個使用者的身分傳送郵件時。在記錄等級 1,只會在使用者利用系統管理員權限開啟信箱,然後以另一個使用者的身分傳送郵件時,才會記錄事件。在記錄等級 5,如果一個使用者以另一個使用者的身分傳送郵件,便會記錄事件。下表說明在每個記錄等級,針對「延伸以下列傳送」類別記錄的事件。

類別:延伸以下列傳送

 

記錄等級 需要系統管理員權限 執行使用者 Mailbox 結果

0

不適用

不適用

不適用

沒有項目

1

使用者 A

使用者 A

不適用

1

使用者 A

使用者 B

所有事件

2

不適用

不適用

不適用

不適用

2

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

4

不適用

不適用

不適用

不適用

4

不適用

不適用

不適用

不適用

5

不適用

使用者 A

使用者 A

不適用

5

不適用

使用者 A

使用者 B

所有事件

啟用「延伸以下列傳送」稽核時,會記錄類似下列的事件:

 

事件識別碼:10106

嚴重性:參考

設備:SendAs

%1 以 %2 身分傳送郵件

訊息識別碼:%3

帳戶名稱: %4

存取使用者: %5

信箱:%6

系統管理權限:%7

識別碼:%8

用戶端資訊 (如果可用):

機器名稱:%9

位址:%10

處理程序機器名稱:%11

處理程序識別碼:%12

應用程式識別碼: %13

這個事件訊息中的參數代表下列項目:

  • %1 代表傳送使用者的 legacyDN。
  • %2 代表原先是「以下列傳送」之使用者的 legacyDN。
  • %3 代表訊息的網際網路訊息識別碼。
  • %4 代表向資訊儲存庫驗證的使用者。
  • %5 代表存取使用者的 legacyDN。
  • %6 代表信箱的 legacyDN。
  • %7 是一個標幟,指出是否使用了系統管理權限來傳送郵件。
  • %8 是唯一的識別碼,可以用來讓短期間內的事件產生關聯。

用戶端資訊

  • %9 代表電腦名稱。
  • %10 代表由用戶端組成的位址。這個值依存於用來連線至伺服器的通訊協定。本機連線 (來自相同電腦的連線) 使用電腦名稱。Exchange 二進位檔可能的話會傳送 IPV6 位址,若無法傳送 IPV6 位址則傳送 IPV4 位址。如果傳送了 IP 位址,則它代表用戶端用以識別的 IP 位址。針對在 NAT 閘道後的用戶端,IP 位址可能無法提供辨別位址。
  • %11 代表處理名稱。這是發出存取物件呼叫的應用程式二進位檔案。
  • %12 代表處理識別碼 (PID)。這是特定程序的數值識別碼。
  • %13 代表應用程式識別碼。這是用戶端所設定,以在 Powershell.exe 執行個體之間允許差異的值。或是,在存取伺服器的作業期間允許將處理程序中的增益集標示為增益集的事件。

如需如何授與「以下列傳送」權限的相關資訊,請參閱如何授與信箱的以下列傳送權限

以下列傳送事件日誌項目的範例

 

記錄名稱:Exchange 稽核

來源:MSExchangeIS 稽核

日期:<日期>

事件識別碼:10106

工作類別:以下列傳送

等級:資訊

關鍵字:傳統

描述:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB sent a message as /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA

訊息識別碼:<BA15978123F9C848B820A8C5C1DC29B5038E9D50@Server.Contoso.com>

信箱:UserB

帳戶名稱:CONTOSO\UserB

存取使用者:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB

信箱:<NULL>

系統管理權限:false

識別碼:00000000317A7130

用戶端資訊 (如果可用)

機器名稱:<ClientName>

位址:<IP 位址>

處理程序名稱:OUTLOOK.EXE

處理程序識別碼:0

應用程式識別碼:無

「延伸傳送代理者」事件指出一個使用者代表另一個使用者傳送郵件。「延伸傳送代理者」事件不支援基本事件,且只適用於一個使用者代表另一個使用者傳送郵件時。在等級 1,只會在使用者利用系統管理員權限開啟信箱,然後代表另一個使用者傳送郵件時,才會記錄事件。在記錄等級 5,如果一個使用者代表另一個使用者傳送郵件,便會記錄事件。下表說明在每個記錄等級,針對「延伸傳送代理者」類別記錄的事件。

類別:延伸傳送代理者

 

記錄等級 需要系統管理員權限 執行使用者 Mailbox 結果

0

不適用

不適用

不適用

沒有項目

1

使用者 A

使用者 A

不適用

1

使用者 A

使用者 B

所有事件

2

不適用

不適用

不適用

不適用

2

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

3

不適用

不適用

不適用

不適用

4

不適用

不適用

不適用

不適用

4

不適用

不適用

不適用

不適用

5

不適用

使用者 A

使用者 A

不適用

5

不適用

使用者 A

使用者 B

所有事件

啟用「延伸傳送代理者」稽核時,會記錄類似下列的事件:

 

事件識別碼:10104

嚴重性:參考

設備:SendOnBehalfOf

%1 代表 %2 身分傳送郵件

訊息識別碼:%3

帳戶名稱: %4

存取使用者: %5

信箱:%6

系統管理權限:%7

識別碼:%8

用戶端資訊 (如果可用):

機器名稱:%9

位址:%10

處理程序機器名稱:%11

處理程序識別碼:%12

應用程式識別碼: %13

這個事件訊息中的參數代表下列項目:

  • %1 代表傳送使用者的 legacyDN。
  • %2 代表原先是「傳送代理者」之使用者的 legacyDN。
  • %3 代表訊息的網際網路訊息識別碼。
  • %4 代表向資訊儲存庫驗證的使用者。
  • %5 代表存取使用者的 legacyDN。
  • %6 代表信箱的 legacyDN。
  • %7 是一個標幟,指出是否使用了系統管理權限來傳送郵件。
  • %8 是唯一的識別碼,可以用來讓短期間內的事件產生關聯。

用戶端資訊

  • %9 代表電腦名稱。
  • %10 代表由用戶端組成的位址。這個值依存於用來連線至伺服器的通訊協定。本機連線 (來自相同電腦的連線) 使用電腦名稱。Exchange 二進位檔可能的話會傳送 IPV6 位址,若無法傳送 IPV6 位址則傳送 IPV4 位址。如果傳送了 IP 位址,則它代表用戶端用以識別的 IP 位址。針對在 NAT 閘道後的用戶端,IP 位址可能無法提供辨別位址。
  • %11 代表處理名稱。這是發出存取物件呼叫的應用程式二進位檔案。
  • %12 代表處理識別碼 (PID)。這是特定程序的數值識別碼。
  • %13 代表應用程式識別碼。這是用戶端所設定,以在 Powershell.exe 執行個體之間允許差異的值。或是,在存取伺服器的作業期間允許將處理程序中的增益集標示為增益集的事件。

傳送代理者事件日誌項目的範例

 

記錄名稱:Exchange 稽核

來源:MSExchangeIS 稽核

日期:<日期>

事件識別碼: 10104

工作類別:傳送代理者

等級:資訊

關鍵字:傳統

描述:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB sent a message on behalf of /o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserA

訊息識別碼:<BA15978123F9C848B820A8C5C1DC29B50406C46E@Server.Contoso.com>

信箱:UserB

帳戶名稱:CONTOSO\UserB

存取使用者:/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=UserB

信箱:<NULL>

系統管理權限:false

識別碼:0000000031718B30

用戶端資訊 (如果可用)

機器名稱:<ClientName>

位址:<IP 位址>

處理程序名稱:OUTLOOK.EXE

處理程序識別碼:0

應用程式識別碼:無

以信任服務帳戶登入多個使用者信箱的應用程式,會產生較高的稽核負載。這是因為可能會記錄服務帳戶的每個信箱存取作業。

在 Exchange 2007 SP2 中,在架構中新增了新的延伸權限。也就是「略過稽核」權限。「略過稽核」權限會避免記錄已授與權限之使用者帳戶的動作。因此,您不應該授與「略過稽核」權限給想要稽核的使用者。

note附註:
Windows 預設會授與 Domain Administrators 群組所有延伸的權限。如果必須稽核所有信箱存取,網域系統管理員便不應該擁有郵件功能。若要允許網域系統管理員的稽核,您可以在 Exchange 組織層級上拒絕「略過稽核」權限。如此可允許擁有郵件功能之網域系統管理員帳戶的稽核。例如,若要拒絕「Domain Admins 群組」的略過稽核權限,請在 Exchange 管理命令介面中執行下列命令:
Add-ADPermission -Identity "CN=Contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Domain\Domain Admins" -AccessRights ExtendedRight -ExtendedRights Ms-Exch-Store-Bypass-Access-Auditing -Deny:$true

可以使用 Add-ADPermission 指令程式,授與每個信箱資料庫的適當權限,以略過特定服務帳戶的稽核。例如,若要授與 Example\ServiceAccount [略過存取稽核] 權限,請從 Exchange 管理命令介面執行下列命令:

get-mailboxdatabase -Identity "Server01\StorageGroup01\MailboxDatabase01" | Add-ADPermission -User example\ServiceAccount -ExtendedRights ms-Exch-Store-Bypass-Access-Auditing -InheritanceType All

稽核 Exchange 中的信箱存取是個複雜的程序,取決於資訊的預期用途、組織的特定稽核需求、使用中的應用程式,以及系統管理員的信任程度。

Windows NT 安全性稽核對於具有最高稽核需求等級的組織而言是最好的解決方案。這個形式的稽核會記錄所有使用者對所有物件的存取,並將記錄的資訊儲存在安全性記錄中。

Exchange 存取稽核適合於不需要 Windows 稽核安全性的組織。Exchange 存取稽核適合於想要稽核下列項目的組織:

  • 只稽核執行系統管理員權限來開啟信箱的系統管理員。
  • 只稽核一個使用者開啟另一個使用者信箱的案例。
  • 只稽核受存取資源位於 IPM 樹狀子目錄中的案例。

在診斷記錄等級 1,所有類別只會記錄執行使用者執行系統管理權限來存取信箱的事件。使用 Exchange 存取稽核的組織必須隨時記得,Exchange 系統管理員預設可以修改診斷記錄等級,或是清除 Exchange 存取稽核事件日誌。此外,Exchange 系統管理員也可以授與「略過稽核」權限。只想要稽核 Exchange 系統管理員的組織,必須實作分開的權限模型,避免 Exchange 系統管理員修改記錄等級、安全性描述元,或是清除事件日誌。

在記錄等級 2 和 4,資料夾和郵件存取稽核會記錄由一個擁有郵件功能之使用者開啟另一個擁有郵件功能之使用者資料夾或郵件時的事件。這個記錄等級不會偵測所有的共用信箱存取類型。共用信箱或資源信箱會與停用的使用者帳戶關聯,然後其他的使用者則被授與信箱的存取權。如果其他的使用者未擁有信箱功能,在診斷記錄等級 2 或 4,並不會記錄對共用信箱或資源信箱的存取。

在診斷等級 2 和 3,資料夾存取稽核會記錄基本事件或所有事件。基本事件只包含 IPM 樹狀子目錄之子資料夾的資料夾。或者是非 IPM 樹狀子目錄的第二級或更高子資料夾的資料夾 (這是針對將資料快取在這些位置的應用程式)。啟用較高的診斷等級表示會記錄較多事件。此額外的記錄會增加伺服器上的負載。此外,增加記錄等級也可能記錄誤判事件,例如空閒/忙碌快取查閱作業。空閒/忙碌快取查閱作業會存取信箱的根目錄。這些是非惡意的查閱作業。

若要決定組織是需要稽核基本事件還是延伸事件,必須知道組織部署了什麼應用程式,以及機密的使用者資料儲存在何處。如果應用程式將機密的使用者資料儲存在非 IPM 樹狀子目錄的直接子資料夾,只有所有事件 (診斷等級 4 或 5) 記錄會記錄對特定資料夾的存取。

不會傳送延伸用戶端資訊的用戶端程式會阻礙不填入用戶端資訊的稽核事件產生。這些是比 Outlook 2003 更舊的 Outlook 版本。

「訊息存取稽核」無法偵測到從信箱擷取的所有資訊。這是因為存取資料夾內容表格 (常用郵件內容的摘要表格) 時,並不需要使用者開啟郵件。郵件主旨、收件者資訊,以及許多基本郵件內容都是郵件資料夾表格的一部份。不用開啟郵件即可能讀取此資訊,因此不會產生訊息存取事件。

當組織為了其稽核需求而選擇「存取稽核」時,必須考慮許多的安全性情況,才能評估完全保護稽核記錄檔之存取,以及保護記錄檔內容的最終成本。

如果授與使用者「略過稽核」延伸權限,將不會稽核該使用者。我們建議您監視 Active Directory ACL,以確認具有「寫入安全性描述元」存取權的使用者,不會授與自己「略過稽核」權限。

Windows 會授與網域系統管理員所有延伸的權限。如果必須稽核所有信箱存取,網域系統管理員帳戶便不應該擁有郵件功能。

由於診斷記錄等級控制了記錄到 Exchange 稽核事件日誌的事件,針對特定類別變更診斷記錄等級可能會帶來意外的結果。例如,某些預期中的事件可能不再記錄。此外,由於 Store.exe 處理程序無法識別哪個使用者變更了記錄等級,或甚至是記錄等級是否已從先前的工作階段變更,Store.exe 處理程序並無法識別稽核組態的變更。

Exchange 稽核記錄檔包含了受稽核事件的記錄,事件檢視器則有 ACL 可避免一般使用者清除事件日誌。如果本機系統管理員取得了適當登錄機碼的擁有權、重設 [CustomSD] 值,然後重新啟動伺服器,系統管理員便可清除 Exchange 稽核記錄檔。

視伺服器組態和使用者動作而定,Exchange 稽核事件日誌可能是高流量的事件日誌。因此,我們建議將 Exchange 稽核事件日誌放在專用的硬碟機,其具有足夠的空間,且可以支援快速的寫入作業。

如需如何設定 Exchange 稽核事件日誌的相關資訊,請參閱下列主題:

如需如何修改 Exchange 中診斷記錄等級的相關資訊,請參閱如何變更 Exchange 處理程序的記錄等級

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: