Я пытаюсь определить инструменты, которые могут выполнять мониторинг безопасности Exchange. В идеале инструменты должны улавливать такие вещи, как:
Бонусные баллы, если его можно развернуть без серьезной перенастройки обмена.
Есть что-нибудь подобное?
Если вы используете Exchange 2010, вам следует взглянуть на Обзор ведения журнала аудита администратора. Вы сообщаете Exchange, какие командлеты следует проверять, и он будет регистрировать различные важные биты информации. Он также поддерживает подстановочные знаки в именах командлетов. Поскольку все в Exchange 2010 (включая графический интерфейс) использует командлеты, вы не можете обойтись без аудита.
Если вы установили Exchange 2010 SP1 (в отличие от обновления с Exchange 2010 RTM), то ведение журнала административного аудита уже включено по умолчанию. Если вам нужно включить это, запустите Set-AdminAuditLogConfig -AdminAuditLogCmdlets *.
Что касается вашего второго вопроса, я не думаю, что вы сможете ответить на этот вопрос. Один только Outlook создает больше, чем его справедливая доля подключений к вашему почтовому ящику, а некоторые хитрые плагины Outlook создают даже больше, о чем вы могли знать, если у вас когда-либо возникала проблема «максимум 32 соединения». Даже если вам удалось выяснить, какие соединения принадлежат определенному «сеансу», вы когда-нибудь случайно открывали новый экземпляр Outlook, когда он уже открыт? Это вызовет срабатывание будильника.
Вы также не рассчитываете на множество способов, которыми Exchange позволяет вам получить доступ к вашему почтовому ящику. У меня есть ноутбук, но я часто на несколько часов оказываюсь на отдельном рабочем столе в нашей сборочной комнате, и мне тоже нужны мои электронные письма. У меня также есть телефон, подключенный с помощью ActiveSync, и я проверяю OWA со своего личного ноутбука, когда мне не нужно загружать рабочий ноутбук и подключать VPN, чтобы быстро ответить на электронное письмо вечером. Реже, но это случается, у меня также есть написанная мной утилита, которая использует веб-службы Exchange для доступа к содержимому моего почтового ящика. Если был включен доступ по протоколу POP3 или IMAP, это еще 2 способа доступа к вашему почтовому ящику, которые потенциально могут вызвать срабатывание будильника.
Редактировать: Я совершенно забыл о делегатах и общих вещах. Если, например, у кого-то есть секретарь с делегированным доступом к почтовому ящику, это будет отображаться как больше подключений к определенному почтовому ящику. Exchange также позволяет пользователям обмениваться данными между собой без вмешательства администратора. Все общие контакты и общие календари, которые у вас есть, сделают наблюдение за этим абсолютным кошмаром.