pmqdesousa
Goto Top

Überprüfen wer Postfachstellvertretung geändert hat

Guten Morgen

wir haben ein heiteres Thema welches wir klären müssen.
Man vermutet, dass einige Systemadministratoren die berechtigt waren auf dem Exchange Postfachstellvertretungen einzustellen, diese Rechte missbraucht haben.

Und zwar haben sich womöglich diese Admins die Mailboxen anderer eingebunden, um deren Emails zu lesen.

Existiert ein sogenannter "LOG" wo folgendes zu entnehmen ist:

Welcher Exchange Admin hat wann welche Postfachstellvertretungen geändert
Was wurde dabei geändert


Gruß

Pedro de Sousa

Content-Key: 354566

Url: https://administrator.de/contentid/354566

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: 134464
134464 12.11.2017 aktualisiert um 08:11:09 Uhr
Goto Top
Das Mailbox Auditing muss man vorher aktivieren
https://technet.microsoft.com/de-de/library/ff459237(v=exchg.160).aspx
Dann lässt sich alles nachvollziehen.

Zusätzlich aktiviert man das Active Directory Auditing auf den entsprechenden Mailboxobjekten oder der übergeordneten Datenbank, und kann dann die Änderungen wer was an den Berechtigungen geschraubt hat im Security-Eventlog nachvollziehen.

Diese Einstellungen muss man aber vorher aktiviert haben, per Default sind diese also nicht aktiviert.
Mitglied: Vision2015
Vision2015 12.11.2017 um 09:18:49 Uhr
Goto Top
Moin...

wir haben ein heiteres Thema welches wir klären müssen.

also wenn das ein heiteres Thema ist, ist ja alles gut! face-smile

Existiert ein sogenannter "LOG" wo folgendes zu entnehmen ist:
wo ist dieser "LOG"

Und zwar haben sich womöglich diese Admins die Mailboxen anderer eingebunden, um deren Emails zu lesen.
sagt wer und wann und was ?
womöglich ? kann auch sein das es nicht so ist?
wie viele Admin habt ihr den?
wer ist den Richtiger Administrator ?

und was machst du in deinem Unternehmen genau?

Frank
Mitglied: SeaStorm
SeaStorm 12.11.2017 um 09:49:42 Uhr
Goto Top
Hi im Exchangeserver in die Ereignissanzeige.
Da unter denselben Anwendungsbereich logs bei Exchange.
Da werden alle Powershell Befehle die ausgeführt wurden, gelogged