Mit kostenlosem Tool und Bordmitteln

Exchange-Umgebungen vor Angriffen schützen und überwachen

12.03.2015
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Exchange-Administratoren mit Bordmitteln überwachen

Seit Exchange Server 2010 haben Sie die Möglichkeit Änderungen, die Administratoren am System durchführen, zu überprüfen und nachzuvollziehen. Dazu verwendet Exchange unter anderem die Administrator-Überwachungsprotokollierung.

Nach der Installation protokolliert Exchange alle Änderungen am System automatisch. Jedes CMDlet das Administratoren ausführen, erzeugt einen Protokolleintrag. Da alle Änderungen im System, auch in der Exchange-Verwaltungskonsole, auf CMDlets der Exchange-Verwaltungsshell aufbauen, lassen sich damit alle Konfigurationsänderungen von Administratoren erfassen.

Wollen Sie Änderungen an der Protokollierung vornehmen, verwenden Sie das CMDlet Set-AdminAuditLogConfig mit der Option -AdminAuditLogCmdlets. Nach der Option -AdminAuditLogCmdlets schreiben Sie eine Liste der CMDlets, die Sie überwachen wollen. In der Liste können Sie auch mit dem Platzhalter * arbeiten um mehrere CMDlets zu überwachen, zum Beispiel mit *mailbox* alle CMDlets in denen "mailbox" vorkommt.

Wollen Sie nur einige Optionen der überwachten CMDlets im Protokoll aufnehmen, also nicht alle möglichen Optionen aller CMDlets überwachen, verwenden Sie noch die Option -AdminAuditLogParameters des CMDlets Set-AdminAuditLogConfig. Mit dieser Option legen Sie, ebenfalls mit einer kommagetrennten Liste, die zu überwachenden Optionen der CMDlets fest. Auch hier können Sie mit dem Platzhalter arbeiten, zum Beispiel Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address.

Wollen Sie die aktuellen Einstellungen der Protokollierung anzeigen, verwenden Sie am besten das CMDlet Get-AdminAuditLogConfig | fl. Dieses zeigt in einer formatierten Liste alle Einstellungen an die für die Protokollierung aktiviert und gesetzt sind.

Sie können die Protokollierung jederzeit testen und durchgeführte Änderungen anzeigen. Dazu nehmen Sie einfach eine Änderung am System vor, welche die Protokollierung überwacht. Da nach der Installation von Exchange Server 2010/2013 die Überwachung ohnehin aktiv ist, können Sie für den ersten Test die Standardeinstellungen verwenden:

1. Rufen Sie die Exchange-Systemsteuerung als Administrator auf über den Link https://<Servername>/ecp. So erreichen Sie in Exchange Server 2013 auch das Exchange Admin Center.

2. Klicken Sie dann auf Rollen und Überwachung\Überwachung und dann auf Administratorüberwachungsprotokoll exportieren.

3. Es öffnet sich ein neues Fenster in dem Sie den Zeitraum auswählen können von dem Sie das Überwachungsprotokoll anzeigen lassen wollen.

4. In diesem Fenster wählen Sie auch aus, zu welchem Postfach der Exchange-Server das Protokoll senden soll.

5. Klicken Sie auf Exportieren um den Exportvorgang zu starten.

Änderungen in der Ereignisanzeige anzeigen

Exchange protokolliert zwar viele Änderungen in der Ereignisanzeige des Servers. Um Änderungen in der Ereignisanzeige anzuzeigen, gehen Sie folgendermaßen vor:

1. Geben Sie eventvwr ein und starten Sie die Ereignisanzeige.

2. Navigieren Sie zu Anwendungs- und Dienstprotokolle\Microsoft\MSExchange Management.

3. Im rechten Bereich sehen Sie alle durchgeführten Änderungen, allerdings nicht wer die Änderung durchgeführt hat.

Neben der Überwachung einzelner Administratoren, sollten Sie in regelmäßigen Abständen auch die generelle Vergabe der Berechtigungen zur Verwaltung der Exchange-Organisation überprüfen. Mit der Option GetEffectiveUsers des Cmdlets Get-ManagementRoleAssignment, können Sie anzeigen welchen Benutzern die Berechtigungen einer Verwaltungsrolle gewährt sind:

Get-ManagementRoleAssignment -Role <Verwaltungsrolle> -GetEffectiveUsers

Wollen Sie nur einen bestimmten Benutzer anzeigen, geben Sie die mit Get-ManagementRoleAssignment erstellte Liste an das Cmdlet Where weiter:

Get-ManagementRoleAssignment -Role <Verwaltungsrolle> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<Name des Benutzers>" }

Wollen Sie alle Verwaltungsrollen anzeigen die Sie einem Benutzer zugewiesen haben, verwenden Sie zum Beispiel den Befehl

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<Name des Benutzers>" }