在企业的信息管理中,对于系统稳健和信息安全尤为看重。对于用户来讲,可以通过配置各种权限、规则和策略来进行约束。那么具有相当权限乃至完全权限的管理员呢?又该如何对其进行约束,这就有为重要了。从“删库到跑路”的事件不断发生,怎样才能提前防范管理员哪些操作将会带来的风险?怎样才能确认管理员进行了哪些操作,并且这些操作是否合规?怎样才能在事后及时发现某个问题是由于管理员的操作导致的呢?
很明显最直接的方法,就是针对每一位管理员的所有敏感操作进行跟踪,记录管理员的所作所为,将这些记录保存为日志,以便后续待查。Exchange Online的审核功能最大的作用就是进行这些日志的记录,因此在Exchange Online中这些日志就被叫做审核日志。
一、审核日志
审核日志可以用来特定跟踪管理员进行的具体操作,以便进行配置性问题的排查。并为企业提供合符法规、遵从管理策略,以及与诉讼要求等方面的可靠信息。Exchange Online提供了以下两种类型的审核日志记录:
管理员审核日志,记录管理员基于PowerShell命令行对在Exchange Online进行的所有操作。该日志可以用于排查配置问题,或者用于识别与安全性相关或与合规性相关的问题,并进一步发现根本原因。另外,在Exchange Online中,还会记录微软管理员和委派管理员执行的操作。
邮箱审核日志,记录了邮箱的访问情况。包括管理员、指派用户,以及邮箱所有者对邮箱的访问情况。该日志用于确定邮箱在何时被何人访问过,以及访问者对邮件进行了哪些操作等。
二、启用审核日志记录
在获取审核日志之前,必须先配置审核日志记录。否则将无法导出并获取审核日志。
为了监控邮件管理员是否通过自己的特殊权限查看了用户邮箱中的内容,可以通过运行非所有者邮箱访问报告来获取相关的信息。
要让运行非所有者邮箱访问报告的邮箱存在内容,必须事先为每个需要监控管理员行为的邮箱启用邮箱审核日志记录。
对于Exchange Online来讲启用审核日志记录目前必须通过Exchange Online PowerShell来完成。并且不能针对于Office 365组相关联的邮箱启用审核(目前在国际版中也不能与Microsoft Teams相关联的邮箱启用审核)。
参考《易宝典文章——玩转Office 365中的Exchange Online服务 之五 怎样利用PSl连接Exchange Online实现管理》(https://blog.51cto.com/liulike/1668854)使用PowerShell通过全局管理员登录到Exchange Online。
1、为单个邮箱启用审核日志记录
使用Set-Mailbox为指定用户邮箱启用审核日志记录:
Set-Mailbox -Identity “Zhang San” -AuditEnabled $true
运行完成后,通过Get-Mailbox进行验证设置是否生效:
Get-Mailbox “Zhang San”| FL Audit*
2、为所有邮箱启用审核日志记录
同样为所有邮箱启用审核日志记录也只能通过PowerShell进行设置。
使用Get-Mailbox获取所有用户邮箱,然后再通过管道传递给Set-Mailbox设置启用审核日志。
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $true
完成后,通过Get-Mailbox查看并验证邮箱启用审核日志是否生效。
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | FL Name,Audit*
三、为邮箱指定需要审核其所有者的操作
默认情况下,启用邮箱的审核只会审核邮箱所有者(非管理员和委派权限用户,即邮箱用户本人)的某些操作。如果需要审核邮箱所有者的其它操作,则需要进行额外的设置。
为邮箱所有者默认启用审核的操作有:
UpdateCalendarDelegation:向邮箱分配了日历委派
UpdateFolderPermissions:更改了文件权限
UpdateInboxRules:进行了邮箱规则的添加、修改和删除
但是如果需要审核是否有进行邮箱登录,或者彻底删除邮件等操作。则需要通过手动操作来进行授予。
1、为单个邮箱启用审核的同时指定要审核的所有者操作
使用Set-Mailbox设置用户邮箱启用针对所有者进行登录审核。
Set-Mailbox “Li Si” -AuditEnabled $true -AuditOwner MailboxLogin
使用Get-Mailbox查看确认设置是否生效。
Get-Mailbox “Li Si”| FL Audit*
可以看到在AuditOwner属性中指定了MailboxLogin值。
2、为单个已启用了审核功能的邮箱指定审核所有者的多个操作
使用Set-Mailbox设置用户邮箱启用针对所有的登录审核和彻底删除邮件审核。
Set-Mailbox “Zhang San” -AuditOwner @{Add=”MailboxLogin”,”HardDelete”}
使用Get-Mailbox查看确认设置是否生效。
Get-Mailbox “Zhang San”| FL Audit*
3、为所有邮箱指定审核所有者的多个操作
使用Set-Mailbox设置用户邮箱启用针对所有的登录审核、删除邮件和彻底删除邮件审核。
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditOwner @{Add=”MailboxLogin”,”HardDelete”,”SoftDelete”}
验证使用配置成功。
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | FL Name,Audit*
