Post by enrico_ciniIl problema è che un utente vorrebbe avere la sicurezza che nessun
amministratore possa vedere la sua posta senza che l'utente stesso se ne
accorga .
Un esempio semplice : l'amministratore delegato dell'azienda che NON vuole
lette le sue e-mail !!
Qualche consiglio ?
Per quanto riguarda la delega di Outlook è l'amministratore delegato che
deve pensare a quello che fa.
Nel caso dell'amministratore la soluzione per accorgersene è fare auditing e
diversificare i ruoli (non solo sull'accesso alla mailbox ma anche sulla
modifica dei permessi di un oggetto in AD) (vedi documento già segnalato).
Una persona diversa dall'amministratore deve avere i diritti solo per poter
leggere/esportare/cancellare i log (altrimenti l'amministratore cambierebbe
i permessi e poi cancellerebbe i log che lo dimostrano).
Rimuovi l'opzione di sovrascrittura degli eventi dali vari log Application,
Security e System (altrimenti la soluzione sarebbe generare talmente tanti
eventi da sovrascrivere quelli incriminanti).
Imposta la policy che, in caso di impossibilità di scrivere il Security log,
faccia lo shut down del server.
L'analisi dei log dovrà essere fatta da una terza persona (specialmente gli
eventi di cancellazione log. Non si sa mail che la seconda persona si
accordi con l'amministratore per cancellare i log).
Sconsiglio che la terza persona sia un end-user in quanto potrebbe essere
un'operazione troppo complessa per lui.
Invece di usare l'utente "administrator" usa un account personale.
Gli Exchange Administrator non devono essere domain admin o server admin.
Dai a tutti gli amministratori Exchange il ruolo di "Exchange Admin" (NON
"Exchange Full Admin") che non ha la possibilità di modificare le ACL degli
oggetti.
--------
Da "Exchange 2003 Security Hardening Guide":
Exchange Full Administrator: Grants all permissions to all objects below
that container except for the ability to open user mailboxes or impersonate
a user's mailbox, including the ability to change permissions. Assign this
role only to administrators who are required to delegate permissions to
objects. Installing Exchange 2003 requires Exchange Full Administrator
permissions. The first server in any domain (including the very first in the
forest) requires Exchange Full Administrative privileges at the organization
level. Additional servers in the same domain can be installed with accounts
that have Exchange Full Administrative privileges at the Administrative
Group level.
Exchange Administrator: Grants all permissions except for ability to take
ownership, change permissions, or open user mailboxes. If the administrator
will need to add objects or modify object properties, but will not be
required to delegate permissions on the objects, assign this role.
--------
Un utente con diritti "Exchange Full Admin" dovrà esistere ma la password
sarà nelle mani di un'altra persona (l'amministratore delegato ?) oppure
potresti dare metà password a una persona e metà ad un'altra.
Queste persone non devono sapere il nome dell'utente Full Admin. Anche se in
teoria, se lo scoprono e si accordano tra loro, si ritorna alla situazione
di partenza.
Questa ruoli si dovranno riflettere nelle procedure di amministrazione e
disaster recovery in quanto l'installazione di un nuovo Exchange
richiederebbe la presenza di almeno 3/4 persone (Il server admin o domain
admin, un amministratore Exchange che sa qual è l'utente con Full Admin
rights e l'utente che sa la password (ovviamente le operazioni di reset
della password dovranno essere monitorate sui DC.
Questo non tiene conto di chi gestisce i backup e i restore di Exchange
(potrebbero fare il restore di un backup poi portarselo a casa ed esportarsi
i dati). Sarebbe consigliato che chi fa il backup non possa fare il restore
e viceversa.
Per quanto riguarda l'accesso a una mailbox avresti bisogno di almeno 2/3
persone (1 Amministratore Exchange e le 2 persone che hanno la password
dell'utente Full Admin) e, per cancellare le loro tracce, se ho fatto bene i
conti, dovrebbe esserci la collaborazione di 5/6 persone.
Questa lista è lungi dall'essere completa e spero che esperti di security
migliori di me correggano i miei errori (spero non troppi e troppo gravi)
Letture consigliate:
Exchange 200x Auditing
http://flaphead.dns2go.com/archive/2007/04/04/auditing-within-exchange-200x.aspx
NSA Security Guides su Exchange
http://www.nsa.gov/ia/guidance/security_configuration_guides/current_guides.shtml
(Qui le trovi tutte. Quelle Exchange sono nella sezione Application Guides)
Microsoft Exchange Server 2003 Security Hardening Guide
http://www.microsoft.com/downloads/thankyou.aspx?familyId=6a80711f-e5c9-4aef-9a44-504db09b9065&displayLang=en
Ciao
Gabriele
--
Gabriele Tansini [MSFT]
Microsoft Certified Master: Exchange 2007
***@online.microsoft.com
Please do not send mail directly to this alias.
This alias is for Newsgroup purposes only.
"This posting is provided "AS IS" with no warranties, and confers no
rights"