Главная Exchange/UC, Без рубрики, Новое Восстановление удаленных и модифицированных элементов в Exchange 2010
  • Восстановление удаленных и модифицированных элементов в Exchange 2010

    image В прошлой статье – «Поиск в нескольких почтовых ящиках в Exchange 2010 » мы начали обсуждать проблему контроля над оборотом конфиденциальных данных, и было рассказано про возможности Exchange 2010 в расследовании утечки информации методом поиска в почтовых ящиках пользователей. Но один лишь поиск определенных фраз не всегда решает задачу, стоящую перед сотрудниками службы внутренней безопасности. Чтобы предупредить удаление или модификацию записей в почтовых ящиках, Exchange 2010 предлагает администраторам функционал Юридического удержания (Litigation Hold) и восстановления отельных элементов (Single item recovery).

    Удаление записей в Exchange 2010

    Перед тем, как разбираться с техникой восстановления удаленных элементов, давайте посмотрим, как происходит процесс удаления записей из почтовых ящиков Exchange 2010. Его можно проиллюстрировать следующим изображением:

     

    image

    Рис.1: Процесс удаления записей в Exchange 2010

    Из всех папок в почтовом ящике записи сначала удаляются в папку «Удаленные» (1), затем при очистке папки «Удаленные» записи перемещаются в скрытую папку элементов для восстановления Recoverable Items folder\Deletions (2). При включенном режиме юридического удержания, в эту же папку перемещаются записи при их модификации (подпапка Versions) (4). Через 14 дней из подпапки Deletions записи перемещаются в подпапку Purges и удаляются на совсем из базы данных во время работы помощника по обслуживанию почтовых ящиков (Manage Folder Assistant), т.е. по умолчанию каждый день с 01-00 до 09-00. Далее давайте обсудим данные стадии подробнее.

    Первое, что нужно знать – это то, что в Exchange существует 2 вида удалений:

    • · обратимое удаление (1) – простое удаление записей, при котором элементы перемещаются в папку «Удаленные»;
    • · необратимое удаление (2) – осуществляется при удалении элементов из папки «Удаленные», либо путем нажатия сочетания клавиш SHIFT и DELETE.

    После выполнения необратимого удаления сообщение перемешается в папку элементов для восстановления (Recoverable Items folder) и пользователь больше его не видит. В этой папке сообщение хранится по умолчанию 14 дней.

    Папка элементов для восстановления (Recoverable Items folder)

    Папка элементов для восстановления (Recoverable Items folder) – это новая функция Exchange 2010, она заменяет компонент, обычно называемый корзиной в предыдущих версиях.

    Папка Recoverable Items folder содержит три дочерних папки:

    • · Удаление (Deletions) – сюда перемещаются элементы, удаленные из папки «Удаленные» или безвозвратно удаленные из других папок. Они будут видимы пользователю при использовании средства восстановления удаленных элементов в Outlook.
    • · Очистка (Purges) – сюда перемещаются элементы, удаленные из папки «Deletions» и элементы, для которых истек период хранения. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по обслуживанию почтовых ящиков (Managed Folder Assistant) обрабатывает почтовый ящик, элементы в папке «Очистка» удаляются из базы данных, но если ящик находится в режим хранения юридической информации (Litigation Hold), помощник по обслуживанию почтовых ящиков не удаляет элементы из этой папки.
    • · Версии (Versions). Когда пользователь Exchange 2010, для которого включен режим хранения юридической информации, меняет отдельные элементы почтового ящика, исходный элемент сохраняется для соблюдения требований обнаружения. Папка «Версии» не отображается для пользователей.

    Папки «Очистка» и «Версии» не доступны простым пользователям, но администраторы могут делегировать право доступа к ним путем добавления пользователя в группу ролей RBAC «Управление обнаружением» (Discovery Management), о процедуре добавления пользователей в группы ролей можно прочитать в предыдущей статье «Поиск в нескольких почтовых ящиках».

    Single item recovery

    Как уже было сказано выше, из подпапки Deletions в папке Recoverable Items folder, пользователь самостоятельно может восстановить элементы. Этот процесс называется Single item recovery, по умолчанию он включен, и удаленные сообщения хранятся в течение 14 дней, этот срок можно изменить для всех пользователей в настройках базы данных почтовых ящиков на вкладке Limits:

    image

    Рис.2: Срок хранения удаленных писем в настройках базы данных

    Set-MailboxDatabase –Identity <имя базы данных> –DeletedItemRetention <количество дней>

    Либо он может быть изменен для конкретного почтового ящика в его свойствах – вкладка Mailbox Settings – Storage Quota:

    image

    Рис.3: Изменение параметров хранения удаленных записей для конкретного почтового ящика.

    Set-Mailbox –Identity <имя почтового ящика> –RetainDeletedItemsFor <количество дней>

    Функцию Single Item Recovery можно отключить для всех почтовых ящиков на сервере командой:

    Get-Mailbox | Set-SingleItemRecovery $True/False

    О том, как пользователи могут самостоятельно восстанавливать элементы из папки Recoverable Items folder\Deletions мы поговорим дальше.

    Юридическое удержание (Litigation Hold) и Single item recovery

    В Exchange Server 2010 функция юридического удержания позволяет добиться следующего:

    • · Для пользователей можно включать режим хранения, чтобы поддерживать элементы почтовых ящиков в неизмененном состоянии;
    • · Сохраняются элементы почтовых ящиков, удаленные пользователями;
    • · Сохраняются элементы почтовых ящиков, автоматически удаляемые службой управления записями обмена сообщениями (MRM);
    • · Хранение юридической информации не затрагивает пользователя, так как работа службы управления записями обмена сообщениями не прерывается;
    • · Допускается поиск и обнаружение хранимых таким образом элементов.

    Для хранения юридической информации также используется папка элементов для восстановления (Recoverable Items folder).

    Юридическое удержание может быть включено для отдельного почтового ящика командой:

    Set-Mailbox user1@test.local -LitigationHoldEnabled $true

    При этом на активацию данной функции может уйти около часа.

    В Exchange 2010 SP1 юридическое удержание можно включить через Exchange Control Panel, либо через графическую консоль управления, как показано на рисунках:

    image

    Рис.4: Включение юридического удержания через ECP в Exchange 2010 SP1.

    image

    Рис.5: Включение юридического удержания через EMC в Exchange 2010 SP1.

    Сравнение Single item recovery и Litigation Hold

    Возможночти восстановления удаленных элементов при помощи функций Single item recovery и Litigation Hold можно сравнить в таблице:

    Функция Восстановление элементов после обратимого удаления Восстановление элементов после необратимого удаления Пользователи могут очистить папку для восстановления Автоматическая очистка
    Single item recovery – отключена ДА НЕТ ДА 14 дней и 120 дней для записей календаря
    Single item recovery – включена ДА ДА НЕТ 14 дней и 120 дней для записей календаря
    Юридическое удержание ДА ДА НЕТ НЕТ

    Восстановление записей

    Для самостоятельного восстановления пользователем записей, которые были необратимо удалены нужно воспользоваться средством восстановления удаленных элементов в MS Outlook, для этого в Outlook 2010 перейдем в меню Папка – раздел Очистка – пункт Восстановление удаленных элементов:

    image

    Рис.6: Восстановление писем из папки Recoverable Items folder\Deletions

    Далее нужно выбрать необходимые записи и нажать кнопку Восстановить. В этом же окне можно окончательно удалить записи, в результате чего они будут перемещены в подпапку Recoverable Items folder\Purges и удалены из базы данных при обработке почтового ящика помощником по обслуживанию почтовых ящиков (Manage Folder Assistant).

    Что касается содержимого папок Purges и Versions, то их содержимое может просмотреть только член группы Discovery Management, выполнив запрос на поиск в почтовом ящике. О том, как работает поиск по нескольким почтовым ящикам было рассказано в прошлой статье «Поиск в нескольких почтовых ящиках».

    Заключение

    В результате использования функций Single item recovery и Litigation Hold администраторы серверов Exchange 2010 могут дать пользователям возможность не только восстанавливать случайно удаленные записи, но и в случае необходимости восстанавливать эти записи в оригинальном виде, после их умышленной или не умышленной модификации.

    PS. Данная статья является частью цикла “Управление почтовыми ящиками в Exchange 2010”, полную версию которого вы можете скачать в формате PDF.

    Алексей Богомолов (Alexx)
    http://alexxhost.ru

Комментарии

  1. Статья интересная! Спасибо! но вот что интересно, в графике указано хранение удаленных сообщений например 30 дней, а в свойствах почтового ящика , этой же базы данных
    параметр –RetainDeletedItemsFor равен 14. И как это понимать?

  2. Там также есть параметр UseDatabaseRetentionDefaults, по умолчанию он имеет значение True, что говорит о том, что этот срок надо брать из настроек базы. Если его переключить в False, то бужет использоваться параметр RetainDeletedItemsFor.

  3. Да действительно есть. А все-таки какой срок назначается в таком случае, тот что прописан в настройках БД или тот который я вижу в shell ?

  4. Да все понял, пардон за лишний вопрос.

  5. Вы неверно описываете суть Single item recovery. Эта опция по умолчанию отключена и имеет весьма опосредованное отношение к параметру Keep deleted items for. Основная идея Single item recovery – позволить администратору восстановить сообщения, “необратимо” удаленные пользователем. В таблице сравнения, которую вы приводите ниже, это как раз и продемонстрировано.