Tenemos la posibilidad
de poder auditar aquellas acciones que realicen nuestros administradores o
usuarios en nuestra organización de Exchange, ya sea via Consola, Shell o
Exchange Control Panel. Todas menos aquellos comandos “Get” que solo aportan
información de consulta.
Acciones necesarias a realizar antes de ejecutar el comando de auditoría:
Acciones necesarias a realizar antes de ejecutar el comando de auditoría:
- Configurar un buzón dedicado para el almacenamiento de estos logs. Cualquier acción realizada genera un log que se envía por correo. Habrá que controlar el acceso a este buzón.
- La característica de auditoría tiene que estar habilitada.
- Configurar el agente de auditoría para que envie logs al buzón de auditoría.
- Los cmdlets que van a ser auditados necesitan ser configurados, si no vamos a auditar todo.
- Los parámetros a auditar necesitan ser configurados.
Por defecto, la
auditoria está deshabilitada:
En primer lugar, la habilitamos:
Podemos verificarlo con el cmdlet inicial, donde vemos que ha pasado de False a True:
- AdminAuditLogEnabled.- Habilitar o deshabilitar esta opción de auditoria.
- TestCmdletLogginEnabled.- Habilitar la auditoria de los cmdlets de Testeo,
- AdminAuditlLogCmdlets.- que cmdlets queremos auditar al administrador. Se puede utilizar el wildcard *.
- AdminAuditLogParameters.- Podemos auditar los parámetros asociados a los cmdlets. También podemos utilizar el wildcard *.
- AdminAuditLogAgeLimit.- Por defecto se auditan los últimos 90 dias pero podemos especificar otro período de tiempo.
- AdminAuditLogMailbox .- Especificamos el buzón al que irá la auditoría a los administradores. Este parámetro en Exchange 2010 SP2 ya no existe.
En el caso de tener Exchante 2010 RTM o Exchange 2010 SP1, una vez habilitado, crearemos, si no lo tenemos creado, un buzón de correo denominado, por ejemplo “Audit Admin Mailbox” para enviarle toda la información. Posteriormente, configuraremos dicho envio de correos de auditoría:
Set-AdminAuditLogConfig –AdminAuditlogMailbox “auditadmin@robezno.com”
Si tenemos instalado el SP2 de Exchange 2010 desaparece la opción de AdminAuditLogMailbox y se sustituye por acceso desde Exchange Control Panel (ECP).
En el siguiente paso, seleccionaremos qué es lo que queremos auditar, como ejemplo, auditaremos cualquier cambio hecho en los servidores de buzones y en las características de los Hub Transport, o todos los cmdlets que se ejecuten (excepto los que vengan precedidos por Get):
Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*
Set-AdminAuditLogConfig –AdminAuditLogCmdlets *
De la misma forma, podemos auditar
cualquier cambio en los parámetros, por ejemplo, database y server:
Set-AdminAuditLogConfig –AdminAuditLogParameters database, server
o auditar solo aquellos casos en los que el parámetro contenga la palabra"name"
Set-AdminAuditLogConfig –AdminAuditLogParameters *Name
Como hemos comentado, en versiones de Exchange 2010 anteriores al SP2, se suele enviar el resultado de la auditoría a un buzón, os dejo estas capturas:
Por lo que en el buzón de auditoría
tendríamos que ver registrado dicho cambio:
En el asunto viene el comando ejecutado:
Y se puede ver la fecha y hora a la que se
realizó:
A partir del SP2 tenemos que utilizar las opciones de RBAC para asignar permisos de auditoría a aquellos usuarios que van a auditar a los administradores. Posteriormente, a traves de ECP accederan a dicha información. Permisos requeridos:
- Organization management.
- Records Management.
Una vez tenemos dichos permisos, accedemos a ECP y nos encontramos con las siguientes opciones:
Podemos realizar una búsqueda entre determinadas fechas:
Podemos enviarnos los resultados de una auditoria por correo a un usuario:
Nos vemos robeznos.
No hay comentarios:
Publicar un comentario