Mit kostenlosem Tool und Bordmitteln

Exchange-Umgebungen vor Angriffen schützen und überwachen

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
Mit dem kostenlosen Tool Netwrix Active Directory Change Reporter können Sie Änderungen in der Exchange-Organisation überwachen und vor unberechtigten Änderungen schützen. Zudem helfen Exchange-Bordmittel bei der Überwachung.

Netwrix Active Directory Change Reporter arbeitet als geplante Aufgabe auf dem Exchange-Server. Die Nachverfolgung der Änderungen erfolgt also nicht in Echtzeit, sondern Sie können Zeitpunkt auswählen, an dem das Tool Änderungen in der Umgebung untersucht und automatisiert E-Mails an bestimmte Empfänger versendet. Den Zeitpunkt der Aufgabe können Sie in der Aufgabenverwaltung, nach der Einrichtung des Tools steuern.

Wurden Änderungen durchgeführt, sehen Sie auch welche das sind. Sie erkennen zum Beispiel wenn Rechte geändert wurden, oder Mitgliedschaften in bestimmten Gruppen. Dabei werden die genauen Details der Änderungen angezeigt.. Die kostenpflichtige Variante zeigt außerdem noch an, wer die Änderungen durchgeführt hat, und wann die Änderungen durchgeführt wurden. Die Informationen der kostenlosen Version reichen aber in den meisten Fällen aus. Die geplante Aufgabe können Sie auch manuell jederzeit starten.

Netwrix Active Directory Change Reporter installieren und einrichten

Die Einrichtung ist im Grunde genommen sehr einfach. Sie installieren das Tool auf dem Exchange-Server und starten die Einrichtung. In den Optionen aktivieren Sie zunächst die Überwachung mit Enable Active Directory Change Reporter. Danach legen Sie fest, was Sie alles überwachen wollen. Am besten aktivieren Sie dazu Enable Group Policy Change Reporter und Enable Exchange Change Reporter.

Im Anschluss legen Sie fest, welche Domäne Sie überwachen wollen und an wen Sie die Berichte senden wollen, die das Tool erstellt. Neben einzelnen Postfächern oder externen Empfängern können Sie auch öffentliche Ordner und Verteilerlisten verwenden.

Außerdem legen Sie im Tool noch fest über welchen SMTP-Server die Berichte gesendet werden sollen. Hier bietet sich der lokale Exchange-Server oder eben ein anderer Server an, der SMTP-E-Mails empfangen kann. Achten Sie auch auf den korrekten Port. Mit der Schaltfläche Verify überprüfen Sie Ihre Einstellungen. Mit dieser Schaltfläche werden erste Test-E-Mails gesendet. Über den Bereich Reports legen Sie mit Configure die Berichte fest, die das Tool versenden soll.

Netwrix Change Viewer - Änderungen jederzeit nachvollziehen

Darüber hinaus Sie mit dem Tool Netwrix Change Viewer auf dem Exchange-Server jederzeit einen umfassenden Bericht erstellen lassen, welche Änderungen in der Exchange-Umgebung in einem bestimmten Zeitraum durchgeführt wurden.

Im Tool wählen Sie aus, für welches Überwachungsmodul Sie den Bericht erstellen wollen. Hier stehen Active Directory, Group Policy und Exchange zur Verfügung. Anschließend öffnet sich ein Bericht im HTML-Format und zeigt die Änderungen an.

Event Log Consolidation, Reporting and Alerting Tool - Ereignisanzeigen überwachen

Die Hersteller von Netwrix Active Directory Change Reporter bieten noch das kostenlose Tool Event Log Consolidation, Reporting and Alerting Tool. Mit diesem können Sie die Ereignisanzeigen Ihrer Server überwachen und ebenfalls Berichte erstellen lassen. Die beiden Tools ergänzen sich hervorragend. Sie müssen Event Log Consolidation, Reporting and Alerting Tool auf dem Server installieren und danach über die Startseite die Einrichtung starten.

Im NetWrix Event Log Manager aktivieren Sie die Überwachung zunächst und tragen die Server ein, die Sie überwachen wollen. Auch hier können Sie wieder Berichte per E-Mail versenden lassen. Die anderen Einstellungen im Fenster sind nur optional und werden am Anfang nicht benötigt.

Wurden die Ereignisse der verschiedenen Server gesammelt, versendet das Tool eine E-Mail an die gewünschten Empfänger. Über das Tool Viewer auf dem Server wählen Sie jetzt aus, welche Ereignisanzeige der überwachten Sie Server anzeigen lassen wollen.

Danach erstellt das Tool auf Basis der von Ihnen eingegebenen Daten eine EVT-Datei. Diese können Sie zum Beispiel auch mit dem windows-internen Ereignisviewer ansehen und überprüfen. Die EVT-Datei enthält nur genau die Daten, die Sie im Viewer konfiguriert haben.