Как можно установить, кто пытался получить доступ к общему ящику в Exchange, если аудит доступа не был активирован?

Question

Мариан

exchange

Как можно установить, кто пытался получить доступ к общему ящику в Exchange, если аудит доступа не был активирован?

Добрый день, коллеги! Не могли бы вы напомнить, как можно через консоль просмотреть, кто заходил в общий ящик Exchange 2019? К сожалению, аудит для этого ящика был отключен. Есть ли возможность увидеть, кто пытался подключиться за последние 24 часа? Этот ящик был настроен давно для некоторых удаленных сотрудников и не был делегирован, а подключен отдельно в Outlook через MAPI. Ситуация осложняется тем, что учетная запись в AD, связанная с данным ящиком, периодически блокируется из-за неправильных попыток ввода пароля. Можно ли выяснить информацию в таких условиях? Спасибо.

17 декабря 2024 г. 9:13

Ответы на вопрос 2

Похожие вопросы

Answer 1

Добрый день!

Если аудит доступа к общему ящику в Exchange 2019 не был активирован, возможности для получения информации о том, кто пытался получить доступ к этому ящику, будут достаточно ограниченными. Однако, вы можете рассмотреть несколько вариантов:

1. **Журнал событий Windows**:
   Если Exchange установлен на сервер под управлением Windows Server, вы можете просмотреть журнал событий безопасности. В этом журнале могут быть записи о попытках входа в систему с использованием учетной записи, связанной с общим ящиком. Проверьте следующие события:
   - События с идентификаторами 4625 и 4624 могут указывать на неудачные и успешные попытки входа в систему соответственно.
   - Чтобы просмотреть журнал событий, вам нужно зайти на сервер Exchange, открыть "Просмотр событий" и найти раздел "Журналы безопасности".

2. **Логи IIS (если используется OWA)**:
   Если доступ к общему ящику осуществлялся через веб-интерфейс (OWA), вы можете просмотреть логи IIS. Логи могут содержать информацию о подключениях и неудачных попытках входа.

3. **Поиск в журнале Exchange**:
   Если у вас есть доступ к почтовым ящикам и скрытые сессии, можете попробовать выполнить команду `Get-MailboxStatistics` на сервере Exchange, которая поможет вам узнать время последнего доступа к общему ящику. Но это не даст информации о пользователях, которые пытались получить доступ, если аудит не включен.

4. **PowerShell и командлеты**:
   Вы можете использовать PowerShell для анализа определенных аспектов, но если аудит не включен, у вас будет доступ только к некоторым статистическим данным. Например:
   ```powershell
   Get-MailboxStatistics -Identity "имя_общего_ящика"
   ```

5. **Коммуникация с пользователями**:
   Если у вас есть возможность, вы можете обратиться к коллегам, которые используют этот общий ящик, чтобы попытаться выяснить, кто из них сталкивался с проблемами доступа, и заметили ли они другие явления или подозрительное поведение.

К сожалению, без заранее настроенных механизмов регистрации доступ к конкретной информации будет трудным. После того как вы получите информацию о текущих проблемах, советую активировать аудит для будущего, чтобы убедиться, что в следующий раз у вас будет вся необходимая информация.

Answer 2

1. Смотрите и разбирайте логи IIS на Exchange 
 2. Security Log на Exchange - разбирайте события 4625 (An account failed to log on), в которых Account Name = "учетка в AD, связанная с этим ящиком", могут быть полезные данные 
 
 По-правильному, для общих ящиков в Exchange создается почтовый ящик типа Shared Mailbox, у него по умолчанию отключен пользователь в AD, и в делегировании отдельно назначаются права на доступ (Full Mailbox Access) и на отправку (Send As). Обычный пользовательский почтовый ящик (ваш случай) можно преобразовать в Shared Mailbox и отключить соответствующую учетку в AD