對於一個郵件伺服器的管理者而言，如何讓客戶或者同仁的信件可以正確快速的收發 是一件很重要的事情，管理者可以利用黑白名單來讓客戶的郵件不被郵件規則封鎖， 同時也可以鎖定特定IP來源的郵件，避免垃圾信不斷的寄給公司的信箱。   另外除了確保收發信件的正常以外， 定期的稽核公司的使用者是否有不符合公司規範的行為時， 也可以透過稽核的行為來檢查， 下面就來介紹在Office 365上的黑白名單設定以及稽核的方式。   有時候公司的客戶可能郵件會被誤判為垃圾郵件而被阻擋或者封鎖， 以前在Exchange 的控制台上，可以設定黑白名單， 讓特定的IP可以被封鎖或者放行，同樣的在Exchange Online上也可以設定黑白名單。   在Office 365上的Exchange 系統管理中心的「保護」中， 連線篩選器→編輯就可以設定   在設定的畫面中加上所要允許以及封鎖的IP後， 點選確定後就可以完成IP黑白名單的設定 相關的文件說明請參考：安全寄件者和封鎖寄件者清單常見問題集   而在Exchange 系統管理中心中也可以進行稽核的相關設定。 在Exchange Online中使用信箱稽核記錄， 可以判斷擁有者以外的使用者是否已存取信箱。也可以追蹤非擁有者的使用者執行過哪些動作。 而在Exchange 系統管理中心所記錄的資訊請參考下列表格 動作 描述 Update 郵件已變更。 複製 郵件已複製到另一個資料夾。 Move 郵件已移到另一個資料夾。 移至刪除的郵件 郵件已經移至 [刪除的郵件] 資料夾。 虛刪除 郵件已經從 [刪除的郵件] 資料夾刪除。 實刪除 郵件已經從 [可復原的項目] 資料夾清除。 FolderBind 已存取信箱資料夾。這也是系統管理員或代理人開啟信箱時會記錄的項目。 傳送為 已使用 SendAs 權限傳送郵件。這表示，另一個使用者已傳送郵件，就像此郵件是來自信箱擁有者一樣。 傳送代理者 已使用 SendOnBehalf 權限傳送郵件。這表示，另一個使用者已代表信箱擁有者傳送郵件。此郵件會向收件者指示，此郵件是代表誰傳送，以及實際傳送郵件的人是誰。 MessageBind 在預覽窗格中檢視郵件或將它開啟。 參考文件： (1). 在 Exchange Online 中使用稽核報告 (2). 交換稽核報告 (3). Office 365 中的稽核

不知道大家是否有和我一樣的錯誤經驗。 狀況說明：  設定檔案稽核之後，為何於安全性的事件中，依然無法查詢出檔案系統的稽核?? 解決方式： (1)  設定安全性原則 (這是比較容易乎略的部份)                       如果沒加入 AD 設定 “本機安全性原則設定” ，而 加入 AD  的話於 GPO 中設定即可          這方面可參考我之前寫的文章          http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx          http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx          另外，和我的文章不同的是，是設定稽核物件存取，如下圖：          (2)  設定檔案稽核         這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核，如此在設定與管理上會較為方便。 (3)  檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。       

上一篇「本機稽核」中，說明了一些基本的設定方式。而本篇，將本機延伸至網域，做更大範圍的稽核。但我們要知道，這觀念是大同小異的。 首先，在DC上，要注意本機稽核是無法使用的，它已經整合至網域稽核中了。打開Group Policy Management後，會發現和本機稽核一樣的設定，如下圖： 有沒有很熟悉，Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來，而右邊panel的Audit logon events，則是上一篇所敘述的設定。 稽核的事件，也將統一存放至DC的事件檢視器中。

今天研究的本機稽核設定，在此分享給大家。 首先，是本機稽核，有使用過AD 的朋友一定不陌生Group Policy Mangement，在本機設定時，是使用 Local Security Policy，啟動稽核原則。在檢視部份，和網域機稽核一樣，是使用event viewer的工具進行的。設定如下： 1、按開啟→系統管理工具→本機安全性原則      2、在左邊的panel中點選Local Policies →Audit Policy ；接著在右邊的panel中，點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)      3、接著我們先核意登入失敗，然後再打開event logs檢查，果然發現了event id=4625的稽核。      4、打開內容後，我們可以檢查一些詳細資訊，比方說，是使用什麼帳號登入錯誤，在什麼時間，使用什麼ip位址……等。      5、皆著我們重複2~4步驟，但這次，我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下：      (1)按下圖點選至正確位置           (2)按下 ctrl + alt + delete，點選修改密碼，接著我們刻意讓修改密碼失敗。打開event viewer，即可發現稽核事件。           (3)一樣在此可以檢查錯誤的詳細資訊。        稽核方式千變萬化，端看SA是想要知道什麼樣的訊息，或者是利用稽核來做安全性控管、釣魚……等等。