by Eddie
18. January 2015 20:35
對於一個郵件伺服器的管理者而言,如何讓客戶或者同仁的信件可以正確快速的收發
是一件很重要的事情,管理者可以利用黑白名單來讓客戶的郵件不被郵件規則封鎖,
同時也可以鎖定特定IP來源的郵件,避免垃圾信不斷的寄給公司的信箱。
另外除了確保收發信件的正常以外,
定期的稽核公司的使用者是否有不符合公司規範的行為時,
也可以透過稽核的行為來檢查,
下面就來介紹在Office 365上的黑白名單設定以及稽核的方式。
有時候公司的客戶可能郵件會被誤判為垃圾郵件而被阻擋或者封鎖,
以前在Exchange 的控制台上,可以設定黑白名單,
讓特定的IP可以被封鎖或者放行,同樣的在Exchange Online上也可以設定黑白名單。
在Office 365上的Exchange 系統管理中心的「保護」中,
連線篩選器→編輯就可以設定
在設定的畫面中加上所要允許以及封鎖的IP後,
點選確定後就可以完成IP黑白名單的設定
相關的文件說明請參考:安全寄件者和封鎖寄件者清單常見問題集
而在Exchange 系統管理中心中也可以進行稽核的相關設定。
在Exchange Online中使用信箱稽核記錄,
可以判斷擁有者以外的使用者是否已存取信箱。也可以追蹤非擁有者的使用者執行過哪些動作。
而在Exchange 系統管理中心所記錄的資訊請參考下列表格
動作
描述
Update
郵件已變更。
複製
郵件已複製到另一個資料夾。
Move
郵件已移到另一個資料夾。
移至刪除的郵件
郵件已經移至 [刪除的郵件] 資料夾。
虛刪除
郵件已經從 [刪除的郵件] 資料夾刪除。
實刪除
郵件已經從 [可復原的項目] 資料夾清除。
FolderBind
已存取信箱資料夾。這也是系統管理員或代理人開啟信箱時會記錄的項目。
傳送為
已使用 SendAs 權限傳送郵件。這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。
傳送代理者
已使用 SendOnBehalf 權限傳送郵件。這表示,另一個使用者已代表信箱擁有者傳送郵件。此郵件會向收件者指示,此郵件是代表誰傳送,以及實際傳送郵件的人是誰。
MessageBind
在預覽窗格中檢視郵件或將它開啟。
參考文件:
(1). 在 Exchange Online 中使用稽核報告
(2). 交換稽核報告
(3). Office 365 中的稽核
by Joseph Wu
2. August 2011 17:57
不知道大家是否有和我一樣的錯誤經驗。
狀況說明: 設定檔案稽核之後,為何於安全性的事件中,依然無法查詢出檔案系統的稽核??
解決方式:
(1) 設定安全性原則 (這是比較容易乎略的部份)
如果沒加入 AD 設定 “本機安全性原則設定” ,而 加入 AD 的話於 GPO 中設定即可
這方面可參考我之前寫的文章 http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx
http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx
另外,和我的文章不同的是,是設定稽核物件存取,如下圖:
(2) 設定檔案稽核
這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核,如此在設定與管理上會較為方便。
(3) 檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。
by Joseph Wu
28. March 2011 00:47
上一篇「本機稽核」中,說明了一些基本的設定方式。而本篇,將本機延伸至網域,做更大範圍的稽核。但我們要知道,這觀念是大同小異的。
首先,在DC上,要注意本機稽核是無法使用的,它已經整合至網域稽核中了。打開Group Policy Management後,會發現和本機稽核一樣的設定,如下圖:
有沒有很熟悉,Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來,而右邊panel的Audit logon events,則是上一篇所敘述的設定。
稽核的事件,也將統一存放至DC的事件檢視器中。
by Joseph Wu
28. March 2011 00:00
今天研究的本機稽核設定,在此分享給大家。
首先,是本機稽核,有使用過AD 的朋友一定不陌生Group Policy Mangement,在本機設定時,是使用 Local Security Policy,啟動稽核原則。在檢視部份,和網域機稽核一樣,是使用event viewer的工具進行的。設定如下:
1、按開啟→系統管理工具→本機安全性原則
2、在左邊的panel中點選Local Policies →Audit Policy ;接著在右邊的panel中,點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)
3、接著我們先核意登入失敗,然後再打開event logs檢查,果然發現了event id=4625的稽核。
4、打開內容後,我們可以檢查一些詳細資訊,比方說,是使用什麼帳號登入錯誤,在什麼時間,使用什麼ip位址……等。
5、皆著我們重複2~4步驟,但這次,我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下:
(1)按下圖點選至正確位置
(2)按下 ctrl + alt + delete,點選修改密碼,接著我們刻意讓修改密碼失敗。打開event viewer,即可發現稽核事件。
(3)一樣在此可以檢查錯誤的詳細資訊。
稽核方式千變萬化,端看SA是想要知道什麼樣的訊息,或者是利用稽核來做安全性控管、釣魚……等等。