我正在尝试确定可以执行Exchange安全监视的工具。 理想情况下,这些工具应该能够拿起像这样的东西:
奖励点数,如果可以部署没有重大的交换重新configuration。
有什么喜欢的吗?
如果您正在运行Exchange 2010,则应查看“pipe理员审计日志logging概述” 。 您告诉Exchange它应该审计哪些cmdlet,并会logging各种相关信息。 它也支持cmdlet名称上的通配符匹配。 由于Exchange 2010(包括GUI)中的所有内容都使用cmdlet,因此无法绕过审计。
如果您安装了Exchange 2010 SP1(而不是从Exchange 2010 RTM升级),则默认情况下,pipe理审核日志logging已打开。 如果您需要打开此项,请运行Set-AdminAuditLogConfig -AdminAuditLogCmdlets * 。
至于你的第二个问题,我认为你不能达到那个目标。 单单的Outlook创build的连接到你的邮箱的公平份额,一些不好的Outlook插件创造更多 ,你可能知道,如果你曾经有过“32最大连接”的问题。 即使您确实弄清楚了哪个连接属于某个特定的“会话”,您是否意外地打开了一个新的Outlook实例? 那会发出你的警报。
您也不要指望Exchange允许您在邮箱中获取的众多方式。 我有一台笔记本电脑,但是我经常在我们的build造房间的一个单独的桌面上找几个小时,我也想在那里收到我的电子邮件。 我还通过ActiveSync连接了手机,当我无法启动笔记本电脑并连接VPN在晚上快速回复电子邮件时,我从个人笔记本电脑上检查OWA。 不太常见,但它发生,是我也有一个实用程序,我写了使用Exchange Web服务来访问我的邮箱中的东西。 如果启用了POP3或IMAP访问function,那么有两种方法可以访问您的邮箱,这样可能会触发您的警报。
编辑:我完全忘记了代表和共享项目。 例如,如果某人有一位秘书,委派人员可以访问邮箱,则会显示与特定邮箱的更多连接。 Exchange还允许用户在他们之间分享事物,而无需pipe理员干预。 所有共享的联系人和共享的日历将会使监控成为绝对的噩梦。