3
Überprüfen wer Postfachstellvertretung geändert hat
Guten Morgen
wir haben ein heiteres Thema welches wir klären müssen.
Man vermutet, dass einige Systemadministratoren die berechtigt waren auf dem Exchange Postfachstellvertretungen einzustellen, diese Rechte missbraucht haben.
Und zwar haben sich womöglich diese Admins die Mailboxen anderer eingebunden, um deren Emails zu lesen.
Existiert ein sogenannter "LOG" wo folgendes zu entnehmen ist:
Welcher Exchange Admin hat wann welche Postfachstellvertretungen geändert
Was wurde dabei geändert
Gruß
Pedro de Sousa
wir haben ein heiteres Thema welches wir klären müssen.
Man vermutet, dass einige Systemadministratoren die berechtigt waren auf dem Exchange Postfachstellvertretungen einzustellen, diese Rechte missbraucht haben.
Und zwar haben sich womöglich diese Admins die Mailboxen anderer eingebunden, um deren Emails zu lesen.
Existiert ein sogenannter "LOG" wo folgendes zu entnehmen ist:
Welcher Exchange Admin hat wann welche Postfachstellvertretungen geändert
Was wurde dabei geändert
Gruß
Pedro de Sousa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 354566
Url: https://administrator.de/contentid/354566
Printed on: April 19, 2024 at 12:04 o'clock
3 Comments
Latest comment
Das Mailbox Auditing muss man vorher aktivieren
https://technet.microsoft.com/de-de/library/ff459237(v=exchg.160).aspx
Dann lässt sich alles nachvollziehen.
Zusätzlich aktiviert man das Active Directory Auditing auf den entsprechenden Mailboxobjekten oder der übergeordneten Datenbank, und kann dann die Änderungen wer was an den Berechtigungen geschraubt hat im Security-Eventlog nachvollziehen.
Diese Einstellungen muss man aber vorher aktiviert haben, per Default sind diese also nicht aktiviert.
https://technet.microsoft.com/de-de/library/ff459237(v=exchg.160).aspx
Dann lässt sich alles nachvollziehen.
Zusätzlich aktiviert man das Active Directory Auditing auf den entsprechenden Mailboxobjekten oder der übergeordneten Datenbank, und kann dann die Änderungen wer was an den Berechtigungen geschraubt hat im Security-Eventlog nachvollziehen.
Diese Einstellungen muss man aber vorher aktiviert haben, per Default sind diese also nicht aktiviert.
Moin...
also wenn das ein heiteres Thema ist, ist ja alles gut!
womöglich ? kann auch sein das es nicht so ist?
wie viele Admin habt ihr den?
wer ist den Richtiger Administrator ?
und was machst du in deinem Unternehmen genau?
Frank
wir haben ein heiteres Thema welches wir klären müssen.
also wenn das ein heiteres Thema ist, ist ja alles gut!
Existiert ein sogenannter "LOG" wo folgendes zu entnehmen ist:
wo ist dieser "LOG"Und zwar haben sich womöglich diese Admins die Mailboxen anderer eingebunden, um deren Emails zu lesen.
sagt wer und wann und was ?womöglich ? kann auch sein das es nicht so ist?
wie viele Admin habt ihr den?
wer ist den Richtiger Administrator ?
und was machst du in deinem Unternehmen genau?
Frank
Hi im Exchangeserver in die Ereignissanzeige.
Da unter denselben Anwendungsbereich logs bei Exchange.
Da werden alle Powershell Befehle die ausgeführt wurden, gelogged
Da unter denselben Anwendungsbereich logs bei Exchange.
Da werden alle Powershell Befehle die ausgeführt wurden, gelogged
