Discussione:
Possibilità di fare Mailbox i cui dati siano visibili dai propriet
(troppo vecchio per rispondere)
enrico_cini
2009-01-17 13:44:03 UTC
Permalink
Vorrei se possibile fare alcune Mailbox i cui dati siano visibili solo ed
esclusivamente dai proprietarii delle mailbox senza che ne l'amministratore
di sistema ne altre persone siano in grado di poter leggere i messaggi e
quant'altro presente nella mailbox .
Se non è possibile ciò almeno vorrei che l'utente proprietario della mailbox
fosse avvisato in qualche modo che qualcuno sta leggendo i suoi messaggi.

E' una cosa fattibile ?

Grazie
Gabriele Tansini [MSFT]
2009-01-18 16:07:26 UTC
Permalink
Post by enrico_cini
Vorrei se possibile fare alcune Mailbox i cui dati siano visibili solo ed
esclusivamente dai proprietarii delle mailbox senza che ne
l'amministratore
di sistema ne altre persone siano in grado di poter leggere i messaggi e
quant'altro presente nella mailbox .
Questo è il default.
Ci sono 2 casi principali in cui questo potrebbe succedere:

1) L'utente ha delegato l'accesso a un utente tramite Outlook. In questo
caso è stato lui a dare il permesso. Se qualcuno legge qualcosa che non deve
leggere è perchè l'utente stesso gli ha dato il permesso di farlo. Chi è
causa del suo mal pianga se stesso.
2) Un amministratore ha dato "Full Mailbox Access" a se stesso o ad altri.
In questo caso non dovrebbe essere l'utente a dirti che c'è stato un accesso
non autorizzato ma dovresti essere tu ad accorgerti che qualcuno si è dato
dei permessi che non doveva avere. L'auditing lo devi fare tu e non
l'utente.
Post by enrico_cini
Se non è possibile ciò almeno vorrei che l'utente proprietario della mailbox
fosse avvisato in qualche modo che qualcuno sta leggendo i suoi messaggi.
Non mi risulta si possa mandare un avviso all'utente ma puoi fare in modo di
loggare quando qualcuno accede a una mailbox.
Se vuoi fare auditing ti consiglio di dare una letta a questo documento:

http://flaphead.dns2go.com/archive/2007/04/04/auditing-within-exchange-200x.aspx

Ciao
Gabriele
--
Gabriele Tansini [MSFT]
Microsoft Certified Master: Exchange 2007
***@online.microsoft.com
Please do not send mail directly to this alias.
This alias is for Newsgroup purposes only.
"This posting is provided "AS IS" with no warranties, and confers no
rights"
enrico_cini
2009-01-19 11:53:02 UTC
Permalink
Il problema è che un utente vorrebbe avere la sicurezza che nessun
amministratore possa vedere la sua posta senza che l'utente stesso se ne
accorga .
Un esempio semplice : l'amministratore delegato dell'azienda che NON vuole
lette le sue e-mail !!
Qualche consiglio ?

Grazie
Post by Gabriele Tansini [MSFT]
Post by enrico_cini
Vorrei se possibile fare alcune Mailbox i cui dati siano visibili solo ed
esclusivamente dai proprietarii delle mailbox senza che ne
l'amministratore
di sistema ne altre persone siano in grado di poter leggere i messaggi e
quant'altro presente nella mailbox .
Questo è il default.
1) L'utente ha delegato l'accesso a un utente tramite Outlook. In questo
caso è stato lui a dare il permesso. Se qualcuno legge qualcosa che non deve
leggere è perchè l'utente stesso gli ha dato il permesso di farlo. Chi è
causa del suo mal pianga se stesso.
2) Un amministratore ha dato "Full Mailbox Access" a se stesso o ad altri.
In questo caso non dovrebbe essere l'utente a dirti che c'è stato un accesso
non autorizzato ma dovresti essere tu ad accorgerti che qualcuno si è dato
dei permessi che non doveva avere. L'auditing lo devi fare tu e non
l'utente.
Post by enrico_cini
Se non è possibile ciò almeno vorrei che l'utente proprietario della mailbox
fosse avvisato in qualche modo che qualcuno sta leggendo i suoi messaggi.
Non mi risulta si possa mandare un avviso all'utente ma puoi fare in modo di
loggare quando qualcuno accede a una mailbox.
http://flaphead.dns2go.com/archive/2007/04/04/auditing-within-exchange-200x.aspx
Ciao
Gabriele
--
Gabriele Tansini [MSFT]
Microsoft Certified Master: Exchange 2007
Please do not send mail directly to this alias.
This alias is for Newsgroup purposes only.
"This posting is provided "AS IS" with no warranties, and confers no
rights"
Gabriele Tansini [MSFT]
2009-01-19 15:26:34 UTC
Permalink
Post by enrico_cini
Il problema è che un utente vorrebbe avere la sicurezza che nessun
amministratore possa vedere la sua posta senza che l'utente stesso se ne
accorga .
Un esempio semplice : l'amministratore delegato dell'azienda che NON vuole
lette le sue e-mail !!
Qualche consiglio ?
Per quanto riguarda la delega di Outlook è l'amministratore delegato che
deve pensare a quello che fa.

Nel caso dell'amministratore la soluzione per accorgersene è fare auditing e
diversificare i ruoli (non solo sull'accesso alla mailbox ma anche sulla
modifica dei permessi di un oggetto in AD) (vedi documento già segnalato).
Una persona diversa dall'amministratore deve avere i diritti solo per poter
leggere/esportare/cancellare i log (altrimenti l'amministratore cambierebbe
i permessi e poi cancellerebbe i log che lo dimostrano).
Rimuovi l'opzione di sovrascrittura degli eventi dali vari log Application,
Security e System (altrimenti la soluzione sarebbe generare talmente tanti
eventi da sovrascrivere quelli incriminanti).
Imposta la policy che, in caso di impossibilità di scrivere il Security log,
faccia lo shut down del server.
L'analisi dei log dovrà essere fatta da una terza persona (specialmente gli
eventi di cancellazione log. Non si sa mail che la seconda persona si
accordi con l'amministratore per cancellare i log).
Sconsiglio che la terza persona sia un end-user in quanto potrebbe essere
un'operazione troppo complessa per lui.
Invece di usare l'utente "administrator" usa un account personale.
Gli Exchange Administrator non devono essere domain admin o server admin.
Dai a tutti gli amministratori Exchange il ruolo di "Exchange Admin" (NON
"Exchange Full Admin") che non ha la possibilità di modificare le ACL degli
oggetti.

--------
Da "Exchange 2003 Security Hardening Guide":

Exchange Full Administrator: Grants all permissions to all objects below
that container except for the ability to open user mailboxes or impersonate
a user's mailbox, including the ability to change permissions. Assign this
role only to administrators who are required to delegate permissions to
objects. Installing Exchange 2003 requires Exchange Full Administrator
permissions. The first server in any domain (including the very first in the
forest) requires Exchange Full Administrative privileges at the organization
level. Additional servers in the same domain can be installed with accounts
that have Exchange Full Administrative privileges at the Administrative
Group level.

Exchange Administrator: Grants all permissions except for ability to take
ownership, change permissions, or open user mailboxes. If the administrator
will need to add objects or modify object properties, but will not be
required to delegate permissions on the objects, assign this role.
--------

Un utente con diritti "Exchange Full Admin" dovrà esistere ma la password
sarà nelle mani di un'altra persona (l'amministratore delegato ?) oppure
potresti dare metà password a una persona e metà ad un'altra.
Queste persone non devono sapere il nome dell'utente Full Admin. Anche se in
teoria, se lo scoprono e si accordano tra loro, si ritorna alla situazione
di partenza.

Questa ruoli si dovranno riflettere nelle procedure di amministrazione e
disaster recovery in quanto l'installazione di un nuovo Exchange
richiederebbe la presenza di almeno 3/4 persone (Il server admin o domain
admin, un amministratore Exchange che sa qual è l'utente con Full Admin
rights e l'utente che sa la password (ovviamente le operazioni di reset
della password dovranno essere monitorate sui DC.
Questo non tiene conto di chi gestisce i backup e i restore di Exchange
(potrebbero fare il restore di un backup poi portarselo a casa ed esportarsi
i dati). Sarebbe consigliato che chi fa il backup non possa fare il restore
e viceversa.

Per quanto riguarda l'accesso a una mailbox avresti bisogno di almeno 2/3
persone (1 Amministratore Exchange e le 2 persone che hanno la password
dell'utente Full Admin) e, per cancellare le loro tracce, se ho fatto bene i
conti, dovrebbe esserci la collaborazione di 5/6 persone.

Questa lista è lungi dall'essere completa e spero che esperti di security
migliori di me correggano i miei errori (spero non troppi e troppo gravi)

Letture consigliate:

Exchange 200x Auditing
http://flaphead.dns2go.com/archive/2007/04/04/auditing-within-exchange-200x.aspx

NSA Security Guides su Exchange
http://www.nsa.gov/ia/guidance/security_configuration_guides/current_guides.shtml
(Qui le trovi tutte. Quelle Exchange sono nella sezione Application Guides)

Microsoft Exchange Server 2003 Security Hardening Guide
http://www.microsoft.com/downloads/thankyou.aspx?familyId=6a80711f-e5c9-4aef-9a44-504db09b9065&displayLang=en

Ciao
Gabriele
--
Gabriele Tansini [MSFT]
Microsoft Certified Master: Exchange 2007
***@online.microsoft.com
Please do not send mail directly to this alias.
This alias is for Newsgroup purposes only.
"This posting is provided "AS IS" with no warranties, and confers no
rights"
Loading...