Реалии ведения современного бизнеса таковы, что зачастую стоимость одного документа с конфиденциальными данными является просто огромной. Одним из каналов утечки этих самых конфиденциальных данных может служить корпоративная почта. В связи с этим, перед сотрудниками службы внутренней безопасности встает задача мониторинга входящей и исходящей корреспонденции. Для решения задач мониторинга переписки пользователей или просто поиска информации, в Exchange 2010 существует функция поиска по нескольким почтовым ящикам. Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) – это базовая функция Exchange 2010, основанная на индексах содержимого. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных при обработке запросов на обнаружение.
Доступ к поиску по нескольким почтовым ящикам реализован через панель управления Exchange (ECP), открыть которую можно из Outlook Web App, либо по адресу https://YourServer/ecp. Благодаря простому пользовательскому интерфейсу, данной функцией могут управлять не только технически грамотные специалисты, но и простые сотрудники. В поиске по нескольким почтовым ящикам применяется синтаксис расширенных запросов (AQS), он используется службой Windows Search и мгновенным поиском в Microsoft Outlook 2007 и более поздних версиях. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы.
Очевидно, что доступом к такому функционалу должны обладать лишь строго определенные лица, по этому, в Exchange 2010 существует специальная группа ролей RBAC – Группа управления обнаружением (Discovery Management), данная группа включает в себя две роли:
- · Роль поиска в почтовых ящиках (Mailbox Search) – позволяет пользователям выполнять поиск на обнаружение;
- · Роль юридического удержания (Legal Hold) – позволяет пользователям включать для почтовых ящиков функцию юридического удержания.
По умолчанию, группа ролей Управление обнаружением не имеет участников, и даже администраторы не имеют права выполнять поиск на обнаружение. Они могут лишь делегировать данное право уполномоченным сотрудникам.
Делегирование прав на выполнение поиска на обнаружение
Проще всего добавить пользователя в группу ролей RBAC через Exchange Control Panel (ECP). Для этого необходимо открыть сайт ECP (https://YourServer/ecp), перейти в раздел Управление Организацией – Role & Auditing – Роли администратора – выбрать группу ролей Discovery Management – в открывшемся окне добавить пользователей к группе.
Рис.1: Добавление пользователей в группу «Управление обнаружением» (Discovery Management) через Exchange Control Panel.
Также можно это проделать и через командную консоль:
Add-RoleGroupMember -Identity “Discovery Management” -Member User1
Аудит использования функции поиска по нескольким почтовым ящикам
Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать использование этой технологии. Контролю должны быть подвергнуты как сами поисковые запросы, так и процесс добавления пользователей в группу ролей управления обнаружением.
Для операций поиска на обнаружение доступны два типа ведения журнала:
- · Обычное ведение журнала включено по умолчанию для всех операций поиска. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
- · Полное ведение журнала – При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Чтобы включить полное ведение журнала, выберите в консоли управления поиском Включить полное ведение журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LoggingLevel.
Для мониторинга добавления пользователей в группу ролей управления обнаружением служит аудит изменений в роли RBAC, который обеспечивает ведение соответствующих записей для отслеживания назначений групп ролей. Дополнительные сведения о ведении журнала аудита RBAC смотрите в справке TechNet.
Практическое использование поиска в нескольких почтовых ящиках
Добавив пользователей в группу Discovery Management и обеспечив себе контроль над их действиями, можно приступить к обучению сотрудников использованию этой функции.
Поиск
После добавления пользователя в группу Discovery Management, у него на сайте ECP появляется возможность попасть в параметры управления организацией и в меню Управление почтой отображается функция поиска в почтовых ящиках:
Рис.2: Функция поиска в нескольких почтовых ящиках на сайте ECP пользователя.
Для создания запроса на обнаружение необходимо нажать кнопку Создать и заполнить карточку поиска:
Рис.3: Карточка поиска в почтовых ящиках.
Полей для заполнения достаточно много, но смысл их интуитивно понятен, так что я думаю вы сами разберетесь что тут и зачем.
Примечание: Если не указан запрос поиска, то в целевой почтовый ящик будет скопирован весь контент указанных почтовых ящиков. Перед выполнением поиска следует убедиться, что в хранилище, на котором расположена база данных почтовых ящиков достаточно свободного места.
Просмотр результатов
После нажатия кнопки Сохранить задание поиска начнет выполняться и через какое-то время вы увидите статистику выполненного запроса, а результаты поиска будут скопированы в специальный почтовый ящик обнаружения.
Чтобы просмотреть результаты поиска необходимо открыть Discovery Search Mailbox, делается это из меню пользователя в правом верхнем углу Outlook Web App – Открыть другой почтовый ящик:
Рис.4: Подключение к другому почтовому ящику.
Нужно заметить, что доступ к Discovery Search Mailbox имеют только пользователи, добавленные в группу ролей Discovery Management. Открыв почтовый ящик вы увидите там структуру, повторяющую расположение записи в исходном почтовом ящике пользователя.
Примечание: Можно создать дополнительный почтовый ящик обнаружения (Discovery Search Mailbox) командой New-Mailbox SearchResults -Discovery -UserPrincipalName SearchResults@contoso.com
Заключение
При помощи функции поиска по нескольким почтовым ящикам (Multi-Mailbox Search) администраторы сервера Exchange 2010 могут делегировать уполномоченному персоналу возможность мониторинга пользовательской переписки путем выполнения поиска записей в их почтовых ящиках. Но ни кто не мешает сотрудникам удалять компрометирующие их письма. Для контроля над удалением и модификацией содержимого почтовых ящиков в Exchange 2010 существует функция Юридического удержания (Legal Hold) и восстановления отельных элементов (Single item recovery), о которых мы поговорим подробнее далее.
PS. Данная статья является частью цикла “Управление почтовыми ящиками в Exchange 2010”, полную версию которого вы можете скачать в формате PDF.
Алексей Богомолов (Alexx)
http://alexxhost.ru