Frédéric Laubel's Blog

Exchange Server Tips & Tricks

Exchange 2010: Audit des tâches d’administration

Posted by Frédéric Laubel sur août 25, 2009


Introduction

Exchange Server 2010 permet d’auditer les actions des comptes ayant des privilèges Exchange, que ceux-ci utilisent le Shell Exchange, la Console Exchange, ou l’interface d’administration Web Exchange.

L’activation et le paramétrage de l’audit s’effectue à l’aide une nouvelle Cmdlet du Shell Exchange nommée Set-AdminAuditLogConfig.

Activation de l’audit

Par défaut l’audit des tâches d’administration n’est pas activé. La vérification de la configuration initiale se fait  en utilisant la Cmdlet Get-AdminAuditLogConfig.

ScreenShot00483

L’activation de l’audit à lieu en mettant le paramètre AdminAuditLogEnabled à True :

2

Vérification de l’activation de l’audit :

ScreenShot00484

Configuration de la boite à lettres pour la réception des alertes

Après activation de l’audit il est nécessaire de spécifier la boite aux lettres qui sera utilisée pour recevoir les notifications de l’audit.

4

Vérification :

ScreenShot00485

A ce stade l’audit est opérationnel et chaque création ou modification d’un objet Exchange entrainera l’envoi d’un email dans la boite aux lettres dédiée à l’audit.

NB : Il est conseillé d’activer l’audit et spécifier la boite aux lettres dans la même Cmdlet :

Ici les deux étapes sont séparées pour mieux comprendre le processus.

Tests et consultation des alertes

Ici un administrateur change les propriétés d’un utilisateur.

ScreenShot00486

Immédiatement une notification est envoyée dans la boite aux lettres de l’audit :

ScreenShot00487

Quelque soit l’outil utilisé, la console Exchange, le Shell Exchange ou l’interface Web Exchange, le sujet de l’email indique l’action effectuée sous forme de Cmdlet Exchange. Dans cet exemple le champ Code Postal est modifié via la console Exchange, mais c’est l’équivalent Cmdlet qui apparait (Set-User).

En prenant d’autres exemples comme la désactivation d’un compte et le déplacement d’une boite aux lettres d’une base à une autre :
ScreenShot00488

NB : L’audit supervise uniquement les modifications donc les commandes de lecture ne sont pas prises en compte (Get-).

Modification du champ d’application de l’audit

L’activation de l’audit sans paramètres supplémentaires permet de superviser l’ensemble de tâches effectuées sur Exchange Server ce qui peut vite générer énormément d’alertes.

Il est possible de limiter l’audit uniquement à certains paramètres ou certaines cmdlet Exchange.

Tableau des paramètres de la cmdlet Set-AdminAuditLogConfig :

ScreenShot00489

Limiter l’audit à certaines cmdlet

Exemple pour limiter l’audit à la seule modification des boites aux lettres :
Set-AdminAuditLogConfig -AdminAuditLogCmdlets Set-Mailbox

Une alerte sera envoyée uniquement en cas de modification d’une boite aux lettres existante, quelque soit le paramètre modifié.

Limiter l’audit à certains paramètres

Example pour limiter l’audit à la seule modification du champ Alias :
Set-AdminAuditLogConfig -AdminAuditLogParameters Alias

Une alerte sera envoyée uniquement en cas de modification du champ Alias.

Application en une seule fois des modifications :

ScreenShot00490

Vérification:

ScreenShot00491

Le changement d’alias d’une boite aux lettres à pour conséquence la génération d’une alerte.

ScreenShot00492

Sorry, the comment form is closed at this time.

 
%d blogueurs aiment cette page :