Аудит использования Exchange Server

Аудита поможет вам следить за всеми событиями, происходя щими на Exchange Server: собирать сведения об использовании хранилища информации, о создании общих папок и много дру гое. Всякий раз, когда происходит действие, на которое настро ен аудит, об этом тут же делается запись в журнале безопас ности системы, который всегда доступен для просмотра сред ствами Event Viewer (Просмотр событий).
Прежде чем настраивать аудит для Exchange, следует вклю чить аудит на домене через Group Policy. После этого вы може те настроить конкретные серверы Exchange домена для сбора сведений об интересующих вас событиях. Для этого нужно вой ти в систему с учетной записью члена группы Administrators (Администраторы) или получить через Group Policy полномо чие Manage Auditing and Security Log (Управление аудитом и журналом безопасности).
Включение аудита в домене Включение аудита в домене осуществляется через Group Policy.
Групповые политики — это наборы правил для управления ре сурсами. Групповые политики применяются к доменам, органи зационным единицам внутри доменов и отдельным системам.
Политики, применяемые к отдельной системе, называются local group policies и хранятся лишь на локальной системе. Другие групповые политики связаны как объекты в Active Directory.

Для включения аудита Exchange сделайте следующее.

1. Запустите Active Directory Users and Computers (Active Directory — пользователи и компьютеры). В корне консо 188 ли щелкните правой кнопкой мыши узел домена, а затем выберите в контекстном меню команду Properties (Свой ства).
Примечание Следующая последовательность действий описывает включение аудита для домена Active Directory.
Дополнительно о групповых политиках и их работе рас сказано в главе 4 моей книги «Microsoft Windows Server 2003. Справочник администратора» («Русская Редакция», 2004).
2. В диалоговом окне Properties щелкните вкладку Group Policy (Групповая политика). Для изменения политики по умолча нию выберите Default Domain Policy, а затем щелкните Edit (Изменить).
3. Последовательно разверните узлы Computer Configuration (Конфигурация компьютера), Windows Settings (Конфи гурация Windows), Security Settings (Параметры безопас ности) и Local Policies (Локальные политики). Выделите элемент Audit Policy (Политика аудита), как показано на рис. 8-3.

Рис. 8-3. Включение аудита осуществляется на узле Audit Policy в Group Policy 189 4. Обратите внимание на предлагаемые варианты аудита:

• Audit Account Logon Events (Аудит событий входа в систему) — отслеживаются события, относящиеся к вхо ду пользователя в систему и выходу из системы;

• Audit Account Management (Аудит управления учетны ми записями) — отслеживается управление учетными записями, осуществляемое через Active Directory Users and Computers (Active Directory — пользователи и ком пьютеры). События возникают каждый раз при созда нии, изменении или удалении учетных записей пользо вателя, компьютера или группы;

• Audit Directory Service Access (Аудит доступа к службе каталогов) — отслеживается получение доступа к Active Directory. События возникают при каждом обращении пользователей или компьютеров к каталогу;

• Audit Logon Events (Аудит входа в систему) — отсле живаются события, относящиеся к входу и выходу пользователя, а также удаленные подключения к систе мам в сети;

• Audit Object Access (Аудит доступа к объектам) — от слеживается использование системных ресурсов для поч товых ящиков, хранилищ информации и других типов объектов;

• Audit Policy Change (Аудит изменения политики) — от слеживаются изменения в правах пользователей, аудите и доверительных отношениях;

• Audit Privilege Use (Аудит использования привилегий) — отслеживается применение прав и привилегий пользо вателя, например право создания общих папок;

• Audit Process Tracking (Аудит отслеживания процес сов) — отслеживаются системные процессы и использу емые ими ресурсы;

• Audit System Events (Аудит системных событий) — отслеживаются запуск, завершение и перезапуск систе мы, а также действия, влияющие на безопасность систе мы или ведение журнала безопасности.

5. Чтобы начать изменение политики аудита, щелкните ее двойным щелчком или щелкните ее правой кнопкой мыши, а затем выберите Security (Свойства). Появится диалого вое окно свойств для данной политики.
6. Выберите Define These Policy Settings (Определить следу ющие параметры политики), а затем установите флажки по выбору Success (Успех) и Failure (Отказ) или оба флажка.
В первом случае регистрируются события с благоприятным исходом, такие, как успешная попытка входа. Во втором — события отказа, например неудавшаяся попытка входа.
7. Повторите пункты 5 и б для включения других политик аудита. Изменения политики скажется только после перезапуска сервера Exchange.
Приступаем к ведению журнала событий, подлежащих аудиту В целях обеспечения безопасности и целостности Exchange Server задайте политики аудита, описав действия, подлежащие регистрации в журнале безопасности. Как и разрешения, по литики аудита Exchange Server переходят по наследству к до черним объектам. Поэтому вы можете сформировать много уровневый аудит.

• Globally (Глобально). Политики аудита, применяемые ко всем объектам на Exchange Server, устанавливаются на уров не организации. Механизм наследования объектов обеспечит повсеместное применение этих политик. Но не увлекайтесь — множество глобальных политик вызывает разбухание жур нала и снижение производительности Exchange Server.
• Per server (Для сервера). Политики аудита, отличающие ся на разных серверах, устанавливаются индивидуально для каждого сервера организации Exchange. Механизм наследо вания обеспечит применение этих политик ко всем узлам данного сервера. И здесь постарайтесь ограничить число действий, подлежащих аудиту. Иначе производительность Exchange Server может снизиться.
• Per storage group (Для группы хранения). Политики ауди та для групп хранения устанавливаются на уровне группы хранения. Механизм наследования обеспечит применение этих политик ко всем хранилищам почтовых ящиков и об щих папок для данной группы хранения.
• Per object (Для объекта). Политики аудита, характерные только для одного узла или объекта, устанавливаются для конкретного узла. Отключите, при необходимости, насле дование аудита для дочерних узлов.
  

Чтобы включить ведение журнала событий для сервера Exchange, сделайте следующее.
1. В System Manager щелкните правой кнопкой мыши нужный вам узел, а затем выберите в контекстном меню команду Properties (Свойства). Щелкните вкладку Security, а затем — Advanced (Дополнительно).
2. В диалоговом окне Advanced Security Settings (Дополни тельные параметры безопасности) щелкните вкладку Audi ting (Аудит). Для включения наследования параметров аудита от родительского объекта установите флажок Allow inheritable auditing entries... (Разрешить наследование эле ментов аудита...).
3. В списке; Auditing Entries (Элементы аудита) выберите пользователей, группы или компьютеры, действия которых нужно отслеживать. Для удаления учетной записи выбери те ее в списке и щелкните Remove (Удалить).
4. Для добавления объектов щелкните Add (Добавить), а затем в диалоговом окне Select User, Computer, or Group (Выбор: Пользователь, Компьютер или Группа) выберите имя добав ляемого объекта. Щелкнув ОК, вы откроете диалоговое ок но Auditing Entry For (Элемент аудита для) (рис. 8-4).
5. В списке Apply Onto (Применить) укажите, где требуется проводить аудит объектов.
6. Установите флажки Successful (Успех) и Failed (Отказ), можно оба сразу, для каждого отслеживаемого события. В первом случае фиксируются события с благоприятным ис ходом, такие, как успешное чтение файла. Во втором — со бытия отказа, например неудавшееся удаление файла. Со бытия, которые можно отслеживать, аналогичны разреше ниям, перечисленным в табл. 8-1 и 8-2.
7. По завершении щелкните ОК. Повторите процедуру для назначения аудита для других пользователей, групп или компьютеров.

Рис. 8-4. В диалоговом окне Auditing Entry For (Элемент аудита для) устанавливается аудит пользователей, компьютеров и групп