auditoria de exchange
TRANSCRIPT
A
nal
lely
Gu
zmán
Cas
tro
20
12
Au
dit
orí
a a
Mic
roso
ft E
xch
an
ge
S
erv
er
20
10
El siguiente documento muestra la forma de generar una auditoria a
Microsoft Exchange 2010.
Universidad Tecnológica de Tecámac
Integradora II
Omar Tellez
Contenido Introducción ................................................................................................................................. 3
Alcance ........................................................................................................................................ 4
Servicio de TI a Auditar .............................................................................................................. 4
Exchange 2010............................................................................................................................ 4
Implementar auditoria en Microsoft Exchange Server 2010 ................................................... 5
¿Como verifico un Servidor de Exchange Server sus Buzones? ........................................... 8
Conclusiones ............................................................................................................................. 10
Introducción
La auditoría permite realizar un seguimiento de lo que está pasando con
Exchange Server. Puede utilizar la auditoría para recopilar información relacionada
con los inicios de sesión de información y cierres de sesión, el permiso de uso, y
mucho más. Cada vez que una acción que se ha configurado para la auditoría se
produce, esta acción como está escrito en el registro de seguridad del sistema,
donde se almacena para su revisión. Puede acceder al registro de seguridad del
Visor de sucesos.
Alcance
Asesorar a la empresa para que la auditoria de correo electrónico (Exchange
server 2010) aplique las políticas necesarias para el buen funcionamiento de este.
Mantener adecuado control sobre la información.
Servicio de TI a Auditar
El Microsoft Exchange Server es un software propietario de colaboración entre
usuarios, desarrollado por Microsoft. Es parte de la familia Microsoft Server ya que
es una de las aplicaciones destinadas para el uso de servidores. Es utilizado para
brindar soluciones para la aplicación de "Lotus cc:Mail" con el nombre "Network
courier", pocas semanas después de haber salido. Después de eso fue adquirido
por la Consumer Software Inc en abril de 1991. Fue escrito enteramente desde
cero, basándose en el Sistema de correos X.400 cliente-servidor, con una sola
base de datos para almacenamiento que soportaba servicios y directorios de
X.500.
Exchange 2010
Microsoft lanzó esta versión en el segundo semestre de 2009. Con la intención de
conseguir mejorar el despliegue así como la alta disponibilidad y otras funciones,
especialmente relacionadas con la movilidad.
Exchange 2010 solo está disponible para plataformas de 64 bits y funciona como
mínimo en Windows Server 2008 x64 SP2 y Windows server 2008 R2.
Implementar auditoria en Microsoft Exchange Server 2010
1. Uso de auditorías
Para habilitar la auditoría en el dominio a través de directivas de grupo. Usted
puede pensar en políticas de grupo como conjunto de reglas que ayudan a
administrar los recursos. Usted puede aplicar políticas de grupo a los dominios,
unidades organizativas dentro de los dominios y sistemas individuales. Las
políticas que se aplican a los sistemas individuales se conocen como las directivas
de grupo local y sólo se almacenan en el sistema local. Otras políticas de grupo
están vinculadas a objetos de Active Directory.
Puede auditar la actividad de intercambio al permitir la auditoría en un objeto de
directiva de grupo se aplica a los servidores de Exchange. Este objeto de directiva
puede ser un objeto de directiva de grupo local o un objeto de grupo de Active
Directory Política. Usted maneja un servidor de objetos de directiva de grupo local
mediante la herramienta Directiva de seguridad local. Usted administrar la directiva
de grupo de Active Directory con el Group Policy Management Console (GPMC).
GPMC se incluye como una característica de Windows con Windows Vista, y las
versiones posteriores del sistema operativo. Después de agregar GPMC como una
característica, se puede acceder en el menú Herramientas administrativas.
2. Configuración de Auditoría
Se puede habilitar la auditoría de Exchange, completando los siguientes pasos:
1. Inicie el Group Policy Management Console haciendo clic en Inicio, Todos
los programas, Herramientas administrativas, Administración de directivas
de grupo. Ahora puede navegar a través del bosque y los dominios de la
organización para ver los objetos de directiva de grupo individuales.
2. Para auditar específicamente las acciones de los usuarios de Exchange
Server, se debe considerar la creación de una unidad organizativa (UO)
para servidores de Exchange y, a continuación definir la política de
auditoría para un objeto de directiva de grupo aplicada a la unidad
organizativa. Después de crear la unidad organizativa o si tiene una unidad
organizativa existente para los servidores de Exchange, haga clic con el
objeto de directiva relacionada, a continuación, seleccione Editar para abrir
el objeto de directiva para su edición en el Editor de administración de
directivas de grupo.
3. Como se muestra en la Figura 1 se accede al nodo Directiva de Auditoría
por su forma de trabajo a través del árbol de la consola. Expanda
Configuración del equipo, políticas, Configuración de Windows,
Configuración de seguridad y Directivas locales. A continuación, seleccione
Directiva de auditoría.
Figura 1. Utilice el nodo Directiva de auditoría en el Editor de Group Policy
Management para habilitar la auditoría.
4. Ahora debería ver las opciones de auditoría siguientes:
Auditar sucesos de inicio de sesión de cuenta temas de autenticación de los
usuarios cuenta durante el inicio de sesión. Los eventos de inicio de sesión
de cuenta se generan en el equipo que se autentica cuando un usuario está
autenticado.
a. Gestión de Auditoría de Cuentas temas de gestión de cuentas a
través de Active Directory usuarios y equipos. Los eventos se
generan a cualquier usuario el tiempo, las cuentas de equipo o grupo
se crean, modifican o eliminan.
b. Directorio de auditoría Acceso del servicio de pistas de acceso a
Active Directory. Los eventos se generan los usuarios en tiempo o
los ordenadores acceder al directorio.
c. Eventos de auditoría de inicio de sesión Registra sucesos del inicio
de sesión local para un servidor o estación de trabajo.
d. Auditar el acceso a objetos de Seguimiento del uso de los recursos
del sistema de buzones de correo, tiendas de la información, y otros
tipos de objetos.
e. Cambio de directiva de auditoría seguimiento de los cambios a los
derechos de los usuarios, auditoría, y relaciones de confianza.
f. Uso de Auditoría Privilegio un seguimiento del uso de los derechos y
privilegios de usuario, tales como el derecho a crear buzones de
correo.
g. Pistas de auditoría de seguimiento de procesos del sistema de
procesos y los recursos que utilizan.
h. Auditar sucesos del sistema temas de arranque del sistema, el
apagado y reinicio, así como las acciones que afectan a la seguridad
del sistema o el registro de seguridad.
5. Para configurar una directiva de auditoría, haga doble clic o haga clic en su
entrada, y luego seleccione Propiedades. Esto abre un cuadro de diálogo
Propiedades de la política.
6. Seleccione la opción Definir esta configuración de directiva casilla de
verificación, a continuación, seleccione la casilla de verificación correcto, la
caja de chequeo de fallos, o ambas cosas. Éxito registra los eventos
exitosos, como los intentos de inicio de sesión con éxito. Si no registra los
eventos fallidos, como los intentos fallidos para iniciar sesión.
7. Repita los pasos 5 y 6 para permitir que otras políticas de auditoría. Los
cambios de política no se aplicarán hasta que la próxima vez que inicie el
servidor de Exchange.
¿Como verifico un Servidor de Exchange Server sus Buzones?
Exchange Server 2010 tiene una serie de cmdlets de PowerShell que hacen que
sea fácil de hacer un chequeo de salud de los servidores de buzones. Por
ejemplo, podemos:
Test Run-Servicehealth para verificar los servicios requeridos son todos
corriendo
Ejecutar Get-MailboxDatabase para comprobar si las bases de datos de
buzones están montadas.
Test Run-MapiConnectivity para comprobar que las bases de datos están
respondiendo a las solicitudes MAPI
Ejecutar ensayos de flujo de correo para confirmar que el correo
electrónico es capaz de pasar con éxito entre dos servidores.
Ejecutar Get-MailboxDatabaseCopyStatus para los miembros de DAG para
comprobar el estado de la copia de base de datos, colas, y los índices de
contenido
Esa es una cmdlets pocas para correr, especialmente si tenemos más de un
servidor de buzones en la organización. Y por supuesto cada uno de los cmdlets
necesita para funcionar y mostrar la salida que tiene que interpretar.
Me gusta hacer la vida un poco más fácil y el uso de scripts de PowerShell para
acelerar este tipo de tareas. Así que, naturalmente, he creado un script para
realizar todas las pruebas anteriores (y algunos más) en los servidores de mi
buzón de correo y mostrar un aspecto sencillo código de color de salida para que
yo pueda ver a simple vista si podría haber un problema.
Esto no está diseñado para hacer un diagnóstico de los problemas, sólo chequea
los fundamentos y me da un simple pase / fallo y algunos indicadores otros que se
pueden solucionar, si fuera necesario.
Conclusiones
Microsoft Exchange 2010 es un software de colaboración entre usuarios,
desarrollado por Microsoft. Es parte de la familia Microsoft Server ya que es una
de las aplicaciones destinadas para el uso de servidores, tener un buen control de
este dentro de la organización es muy importante ya que atreves de este
mantenemos información entre grupos y personas importantes que la requieren,
esto nos mas seguridad para poder procesar la información adecuadamente.