Infra - Exchange Server

Gerenciando Auditoria de direitos administrativos no Exchange Server 2010

Neste tutorial vamos demonstrar como Auditar alterações no Exchange Server 2010 através de uma nova funcionalidade do produto: cmdlet extension agents.

por Anderson Patricio


Autor: Anderson Patricio / Rodrigo Rodrigues

Overview

Neste tutorial vamos demonstrar como Auditar alterações no Exchange Server 2010 através de uma nova funcionalidade do produto: cmdlet extension agents. Neste tutorial vamos demonstrar como habilitar e gerenciar auditoria em uma organização Exchange. Como estamos falando de auditoria para fins de legais e de normas que determinadas empresas necessitam de acordo com a indústria que ela pertence. O objetivo desta funcionalidade é auditar as configurações e por este motivo os cmdlets Get-<Verbo> não serão armazenados.

Solução

Os principais comandos para gerenciar a auditoria dos direitos administrativos é Get-AdminAuditLogConfig e Set-AdminAuditLogConfig. Vamos utilizar ambos neste tutorial, primeiramente vamos verificar as configurações existentes e vamos começar a configurar uma caixa para receber as informações da auditoria. Neste tutorial vamos criar uma caixa chamada svc.AuditAdmin@apatricio.local e vamos configurar nossa auditoria para enviar e-mail para esta caixa através do seguinte comando:

Set-AdminAuditLogConfig -AdminAuditLogMailbox:svc.auditadmin@apatricio.local

A listagem das configurações atuais de auditoria e a definição de uma caixa são demonstrados no seguinte cmdlet:

Vamos rodar novamente o Get-AdminAuditLogConfig e já podemos ver que o e-mail já está definido na auditoria, vamos habilitar a auditoria através do Set-AdminAuditLogConfig -AdminAuditLogEnabled:$true, com isto qualquer alterações que fizermos agora vai para a caixa especificada anteriormente.

Validando as alterações feitas..

Para testar o procedimento, usando a conta administrator vamos remover o usuário chamado EX02 usando o Exchange Management Shell, o resultado será uma nova mensagem na caixa de auditoria, como mostrado na figura abaixo. Para cada mensagem teremos os seguintes campos:

  • Message Subject: Nome do usuário + cmdlet utilizado

  • Cmdlet Name: Nome do cmdlet utilizado

  • Object Modified: Nome do objeto alterado

  • Parameter Modified: Parametros que foram utilizados no cmdlet em questão

  • Caller: Usuário que rodou o cmdlet

  • Succeeded: Dois possíveis valores (true or false) e representa se o comando foi executado com sucesso

  • Error: Caso o cmdlet tenha falhado o erro será descrito neste campo

  • Run Date: Data que o cmdlet foi executado, a data é no formato UTC

Gerenciando a auditoria...

Nós podemos customizar a auditoria em nível de especificos cmdlets, parametros, no seguinte formato:

Auditando específicos CMDLETS

Temos um opção chamada -AdminAuditLogCmdlets por padrão é *, ou seja, todos os cmdlets (com exceção dos get-*, como vimos anteriormente), podemos usar wildcards para este parametros, tais como: *Transport, *Management*, Set-Transport*, ou ainda nome fixos de cmdlets, tipo New-Mailbox, New-SendConnector.
Exemplos:

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-mailbox, Remove-mailbox, *Transport*

 O cmdlet acima irá auditar tudo que for New-Mailbox, Remove-Mailbox ou qualquer outro cmdlet que conter Transport no comando.

Auditando especificos parametros

Podemos utilizar o parametro -AdminAuditLogParameters, tais como Database, identity, ou ainda wildcards tipo *Address*. Quando configuramos este parametros, somente os cmdlets que tenham os parametros especificados aqui serão logados. A configuração padrão é *.

Pontos a validar..

Alguns pontos a validar quando habiltiando a auditoria:

  • Tenha certeza que a conta que está recebendo a auditoria é segura

  • Ele loga também as alteraçoes feitas na Console, pq tudo que é feito na console gera um cmdlet em background

  • No Beta 1 do Exchange Server 2010, reinicie o Exchange Management Console senão as alterações nao surtirão efeito se a console já estiver aberta

  • Se for uma organização grande, aguarde a replicação, para ter sucesso na auditoria de todo o ambiente

Conclusão

Com este tutorial mostrados como Auditar Administrativamente as tarefas usando cmdlets que podem alterar ou remover configurações do Exchange.
Anderson Patricio

Anderson Patricio - Trabalha com informática desde 1995, é consultor Microsoft em projetos de Active Directory, Exchange e ISA pela Quattuor Informática em Porto Alegre.
Certificações: MCSE +M +S 2003, MCSE +M +S 2000, MCSA +M +S 2003, MCSA +M +S 2000
Blog: http://spaces.msn.com/members/andersonpatricio/