Назад | Перейти на главную страницу

Защита почтовых ящиков Exchange от любопытных администраторов

По общему признанию, это дубликат этого вопроса: Безопасные почтовые ящики Exchange

Короче говоря, как можно настроить Microsoft Exchange 2010 таким образом, чтобы электронная почта была видна только владельцу этого почтового ящика и, возможно, владельцу / генеральному директору организации?

Ответы на связанный вопрос касались доверия администраторов и «модели» Microsoft для Exchange, то есть предполагается, что администраторы будут иметь все полномочия.

Но давайте предположим, что это просто недопустимый вариант: как новичок в Exchange и продуктах Microsoft в целом, мне было поручено настроить Exchange таким образом. Никто, кроме владельца компании, не должен видеть чью-либо электронную почту, кроме своей. Мы понимаем, что это ограничит возможности «администратора» (например, исправить повреждение почтового ящика), но это приемлемо.

Кроме того, в качестве продолжения общей темы ответов на повторяющийся вопрос, который я связал: правда ли, что в крупных организациях, использующих Microsoft Exchange, администраторы предприятия потенциально могут читать чей-то Эл. адрес? Например, в самой Microsoft есть кто-то (возможно, много людей), кто потенциально может прочитать электронную почту Стива Балмера? Или прочитать конфиденциальные кадровые документы о компенсации людей, или, может быть, сотрудник спрашивает о чем-то вроде EAP (программа помощи сотрудникам)? Или электронные письма с командой юристов, или разговоры с SEC, или, возможно, предстоящее приобретение?

Да, модель MS во многом основана на делегированном доверии. Будут суперпользователи, и Организация должна решать, кто что и где может видеть. Разработка системы, подобной той, которую вы ищете, с использованием Exchange потребует некоторых бизнес-практик, не связанных с Exchange.

  • Учетные записи администраторов домена / предприятия не используются. Такие учетные записи разбиваются только по очень конкретным и хорошо зарегистрированным обстоятельствам. Это пользователи Бога, которые могут все читать и видеть.
    • Такие действия выполняются по правилу лети с другом.. Любой, кто использует такие учетные записи, будет делать это только с кем-то еще, чтобы наблюдать.
    • Журналы событий безопасности отслеживаются, и использование учетной записи администратора перекрестно проверяется с утвержденным использованием. Этот критический этап аудита поможет выявить неправильное использование учетных данных с повышенными правами.
  • Пользователям-администраторам делегированы необходимые им права, и никто другой. Это сложно, поскольку администратор домена так легко. Но пользователи Admin, такие как мы, не бегают с правами Бога. Во время настройки нашим учетным записям делегируются необходимые нам права, чтобы делать то, что мы делаем.
    • Иногда одно из этих прав: разрешено подавать запрос на повышенный доступ при этих конкретных обстоятельствах.
  • Организация Exchange разбита на зоны доверия с локальными администраторами. Группа, занимающаяся коммуникациями SEC, имеет своего собственного почтового администратора, который может иметь расширенные права на соответствующие почтовые ящики пользователей. Этот человек находится внутри границы доверия для этой внутренней организации.
    • Да, это создает намного больше администраторов Exchange. Но вот что происходит, когда централизация невозможна.

Да, Microsoft действительно ожидает, что организация будет поддерживать пользователей с повышенными привилегиями до более высокого стандарта поведения. Это связано с тем, что большая часть нашей повседневной работы требует доступа к личным данным. Если эти переговоры о поглощении подлежат юридическому удержанию, нам нужно войти и настроить это. Если генеральный директор не может заставить свой iPhone разговаривать с Exchange, мы выясним, почему.

На моей старой работе, где я был администратором Exchange, нам пришлось подписать несколько соглашений, касающихся политики конфиденциальности, выдачи себя за другое лицо и штрафов за несоблюдение этих правил.

Шифрование почты, выполняемое на клиенте, когда только пользователь имеет доступ к своему закрытому ключу, является единственным надежным способом сделать это.

Существует слишком много способов, которыми недобросовестный администратор может «подсмотреть», невозможно учесть их все.

Однако здесь возникает вопрос. Почему эти ненадежные администраторы до сих пор работают?