Проверка доступа к почтовым ящикам с помощью консоли Exchange System Manager и Event Viewer

Порой бывает необходимо отследить, кто и когда получает доступ к другим почтовым ящикам. Достаточное количество основной информации можно получить с помощью Exchange System Manager и Event Viewer; именно этому и посвящена данная статья. Также я покажу вам, как использовать средство PFDAVAdmin для определения того, к каким именно папкам был произведен доступ.

В консоли Exchange System Manager объекты Mailboxes (Почтовые ящики) и Logons (Зарегистрированные пользователи) находятся в каждом хранилище почтовых ящиков, которые вы создали на сервере Exchange 2000 или Exchange 2003. Оба этих объекта можно использовать для просмотра колонки Last Logged on By (Последний зарегистрировавшийся), в которой указывается учетная запись, последней получившей доступ к отдельному почтовому ящику. На Рисунке 1 изображена копия экрана, где выбран объект Mailboxes из хранилища почтовых ящиков по умолчанию. Справа вы видите список почтовых ящиков, содержащихся в хранилище, а также информацию колонок Last Logged on By (Последний зарегистрировавшийся) и Size (Размер). Вы видите, что в подсвеченный ящик пользователя User1 последним получил доступ пользователь User3 из домена NGH.

Рисунок 1: Информация по последнему зарегистрировавшемуся

Часто администраторы тревожатся, когда в колонке Last Logged on By они видят имя пользователя, отличное от имени владельца ящика, и отсылают запросы в конференции, форумы и списки рассылки. Например, посмотрев на Рисунок 1, администраторы могут задать такие вопросы: "Почему пользователь User3 зарегистрировался в почтовом ящике пользователя User1?" или "Читает ли пользователь User3 почту пользователя User1?"

Регистрация – как все обстоит на самом деле

Обычно в таких случаях не стоит беспокоиться. Колонка Last Logged on By может обновляться несколькими способами при нормальной работе Exchange-сервера. Важно отметить, что данная колонка обновляется тогда, когда пользователь запрашивает одну из папок, принадлежащих другому пользователю. Одним из самых распространенных возможных вариантов может быть запрос папки календаря пользователя для просмотра встреч или информации о присутствии пользователя при назначении встречи.

В нашем случае, если пользователь User1 не дал пользователю User3 особый доступ к своему почтовому ящику, или, например, администратор не дал пользователю User3 полный доступ к почтовому ящику пользователя User1, пользователь User3 вряд ли мог сам получить доступ к ящику пользователя User1. Большинство администраторов думают, что раз они являются членами группы Domain Admins (Администраторы домена), они могут открыть почтовый ящик любого пользователя. Однако, это не так, поскольку администраторам по умолчанию запрещен доступ ко всем почтовым ящикам серверов Exchange 2000 и Exchange 2003. Дополнительную информацию можно взять из статьи 821897 базы знаний Microsoft.

Конечно, если вы не сами решаете все вопросы с Exchange-сервером, вы должны будете назначить кому-нибудь, кому вы доверяете, выполнение некоторых административных задач. Однако, если права доступа вызывают у вас озабоченность, вы можете временно увеличить журналирование для таких категорий почтовых ящиков, как Logons (Зарегистрированные пользователи) и Access Control (Контроль доступа). Для этого запустите консоль Exchange System Manager и найдите необходимый объект. После этого щелкните правой кнопкой по объекту и раскройте его свойства. На вкладке Diagnostics Logging (Журналы диагностики) раскройте пункт MSExchangeIS и выделите объект Mailboxes (Почтовые ящики). Выберите категории Logons (Зарегистрированные пользователи) и Access Control (Контроль доступа) и установите их значением Maximum (Максимум) (Рисунок 2). Теперь вы можете осуществлять поиск в журнале событий приложения детальной информации по регистрации по времени регистрации.

Рисунок 2: Запись в журнал регистрации пользователей и контроля доступа

Возьмем случай, когда пользователь User3 успешно получил доступ к календарю пользователя User1, поскольку у пользователя User1 на календарь установлены разрешения по умолчанию на роль Reviewer (Просмотр). Сделав поиск по журналу событий, мы увидим событие с номером 1016 с категорией Logons (Регистрации). (Рисунок 3):

Рисунок 3: Событие 1016

Описание события 1016 говорит само за себя, т.е. указанная учетная запись Windows NT получила доступ к указанному почтовому ящику, не являясь при этом первичной учетной записью для этого ящика. Как я уже говорил, классическим примером такого события является доступ к календарю. Сервер Exchange 5.5 записывал событие 1016 в журнал в независимости от уровня журналирования. Однако, в серверах Exchange 2000 и Exchange 2003 для просмотра этого события вы должны изменить уровень, как я уже описывал выше.

Как насчет автоматизированных процессов, например, работа приложений антивирусов и резервного копирования? Или же работа функции Mailbox Manager сервера? Конечно, в этих случаях тоже появляется событие 1016 (Рисунок 4). Обратите внимание, что учетной записью здесь является NT AUTHORITY\SYSTEM.

Рисунок 4: Событие 1016 при работе приложения Mailbox Manager

Вы видели, что событие 1016 является ключевым для поиска информации о доступе к почтовому ящику. Теперь рассмотрим другие события, которые вы можете повстречать, посматривая журнал событий.

Другие записи журнала событий

Событие 1013 часто появляется вместе с событием 1016. Событие 1013 говорит о том, что пользователь с указанной учетной записью открыл дополнительный почтовый ящик. Пример на Рисунке 5. Здесь вы видите, что пользователь NGH\User1 был определен как пользователь, чей атрибут legacyExchangeDN имеет значение /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User1, однако он зарегистрировался в почтовом ящике с атрибутом legacyExchangeDN со значением /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User2. Т.е. пользователь User1 открыл календарь пользователя User2. Как вы заметили, данное событие не говорит о том, какую именно папку или сообщение открыл пользователь User1. Другими словами, вам может потребоваться подтвердить ваши исследования дополнительными документами, точно отражающими все разрешения на почтовые ящики пользователей.

Рисунок 5: Событие 1013

Событие 1009 указывает, что пользователь зарегистрировался в определенном почтовом ящике. На Рисунке 6 видно, что пользователь NGH\User1 успешно зарегистрировался в почтовом ящике с атрибутом legacyExchangeDN со значением /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User1. Другими словами, это нормальная регистрация пользователя в своем почтовом ящике. Обратите внимание, что категория события 1009 - Logons (Регистрации).

Рисунок 6: Событие 1009

И, наконец, если вы изменили журналирование для категории Access Control (Контроль доступа), как я описал выше, вы сможете увидеть несколько событий с номером 1029. Это событие говорит о том, что указанному пользователю не удалась попытка получить доступ к определенной папке другого почтового ящика (Рисунок 7).

Рисунок 7: Событие 1029

В этом случае пользователю User1 не удалось получить доступ к папке почтового ящика администратора. В самом последнем куске описания, не попавшем в копию экрана (Рисунок 7), говорится, что ID папки включен в описание внутри раздела данных; этот ID выделен на Рисунке 7. Потому мы знаем, что ID папки - 1-4C. Как определить, к какой именно папке пытался получить доступ пользователь User1? Для этого воспользуемся средством PFDAVAdmin. Если вы не знакомы с этим средством, прочтите мою статью.

Предположим, что вы прочли мою статью о PFDAVAdmin, поскольку в ней содержится информация о том, как с помощью средства соединиться с почтовыми ящиками. Вот как можно с помощью PFDAVAdmin найти ID папки:

1. Запустите PFDAVAdmin и выберите соединение со всеми почтовыми ящиками (All Mailboxes). Конечно, вы также можете соединиться с единственным необходимым вам почтовым ящиком.
2. В списке почтовых ящиков раскройте ящик администратора.
3. Щелкните правой кнопкой по объекту Top of Information Store (Верх информационного хранилища) и выберите из контекстного меню пункт Property Editor (Редактор свойств).
4. В окне Property Editor (редактор свойств) выберите поле ptagFID : 0x67480014, убедитесь, что выбран параметр Display (Показать), а также что выбран параметр Perform this action on all subfolders of the selected folder (Выполнить данную операцию для всех подпапок выбранной папки) (Рисунок 8). Нажмите Execute (Выполнить).
5. Рисунок 8: Редактор свойств
6. После нажатия на кнопку Execute (Выполнить) появится отдельное окно, в котором будет показан список папок внутри почтового ящика вместе с ID этих папок. На Рисунке 9 выделена папка с ID 1-4C. Вы видите, что доступ осуществлялся к папке календаря администратора.
7. Рисунок 9: ID папок в средстве PFDAVAdmin

Резюме

Проверка доступа к почтовым ящикам с помощью консоли Exchange System Manager и Event Viewer может дать вам основную информацию о том, кто получает доступ к почтовым ящикам. Это не идеальное решение, но сочетание этих средств может дать вам необходимую информацию при отслеживании разрешений пользователя. С помощью средства PFDAVAdmin можно определить, кто пытался получить доступ к какой папке, что порой бывает очень полезно.