Exchange 2010 – Auditar las acciones de los administradores.



Tenemos la posibilidad de poder auditar aquellas acciones que realicen nuestros administradores o usuarios en nuestra organización de Exchange, ya sea via Consola, Shell o Exchange Control Panel. Todas menos aquellos comandos “Get” que solo aportan información de consulta.

Acciones necesarias a realizar antes de ejecutar el comando de auditoría: 

  • Configurar un buzón dedicado para el almacenamiento de estos logs. Cualquier acción realizada genera un log que se envía por correo. Habrá que controlar el acceso a este buzón. 
  • La característica de auditoría tiene que estar habilitada.  
  • Configurar el agente de auditoría para que envie logs al buzón de auditoría.  
  • Los cmdlets que van a ser auditados necesitan ser configurados, si no vamos a auditar todo. 
  • Los parámetros a auditar necesitan ser configurados.
Por defecto, la auditoria está deshabilitada: 

En primer lugar, la habilitamos:

Podemos verificarlo con el cmdlet inicial, donde vemos que ha pasado de False a True:

Tenemos 6 opciones a utilizar para configurar esta utilidad :

  • AdminAuditLogEnabled.- Habilitar o deshabilitar esta opción de auditoria.
  • TestCmdletLogginEnabled.- Habilitar la auditoria de los cmdlets de Testeo,
  • AdminAuditlLogCmdlets.- que cmdlets queremos auditar al administrador. Se puede utilizar el wildcard *.
  • AdminAuditLogParameters.- Podemos auditar los parámetros asociados a los cmdlets. También podemos utilizar el wildcard *.
  • AdminAuditLogAgeLimit.-  Por defecto se auditan los últimos 90 dias pero podemos especificar otro período de tiempo.
  • AdminAuditLogMailbox .- Especificamos el buzón al que irá la auditoría a los administradores. Este parámetro en Exchange 2010 SP2 ya no existe.

En el caso de tener Exchante 2010 RTM o Exchange 2010 SP1, una vez habilitado, crearemos, si no lo tenemos creado, un buzón de correo denominado, por ejemplo “Audit Admin Mailbox” para enviarle toda la información. Posteriormente, configuraremos dicho envio de correos de auditoría:

Set-AdminAuditLogConfig –AdminAuditlogMailbox auditadmin@robezno.com

Si tenemos instalado el SP2 de Exchange 2010 desaparece la opción de AdminAuditLogMailbox y se sustituye por acceso desde Exchange Control Panel (ECP). 

En el siguiente paso, seleccionaremos qué es lo que queremos auditar, como ejemplo, auditaremos cualquier cambio hecho en los servidores de buzones y en las características de los Hub Transport, o todos los cmdlets que se ejecuten (excepto los que vengan precedidos por Get):

Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*

Set-AdminAuditLogConfig –AdminAuditLogCmdlets *


De la misma forma, podemos auditar cualquier cambio en los parámetros, por ejemplo, database y server:
Set-AdminAuditLogConfig –AdminAuditLogParameters database, server
o auditar solo aquellos casos en los que el parámetro contenga la palabra”name”

Set-AdminAuditLogConfig –AdminAuditLogParameters *Name

  
Como hemos comentado, en versiones de Exchange 2010 anteriores al SP2,  se suele enviar el resultado de la auditoría a un buzón, os dejo estas capturas:

Por lo que en el buzón de auditoría tendríamos que ver registrado dicho cambio: 

 
En el asunto viene el comando ejecutado: 


Y se puede ver la fecha y hora a la que se realizó: 

A partir del SP2 tenemos que utilizar las opciones de RBAC para asignar permisos de auditoría a aquellos usuarios que van a auditar a los administradores. Posteriormente, a traves de ECP accederan a dicha información. Permisos requeridos:

  • Organization management.
  • Records Management.

Nota: también podemos asignar manualmente el role de gestión “View-Only Audit Logs”.

Una vez tenemos dichos permisos, accedemos a ECP y nos encontramos con las siguientes opciones:

Podemos realizar una búsqueda entre determinadas fechas:

Podemos enviarnos los resultados de una auditoria por correo a un usuario:

 

Nos vemos robeznos.

Anuncios

Publicado el 30/08/2012 en Exchange 2010 y etiquetado en . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: