O365 Shared Mailbox Auditing – Melhores Praticas
By: Caio Ribeiro Cesar, Rodolfo Lima
Quando as empresas precisam compartilhar recursos com diversos usuários para que eles possam ler e enviar mensagens de email em uma única caixa de correio, utilizamos caixas de correio compartilhadas (Shared Mailboxes).
Com a caixa de correio compartilhada, um grupo de usuários podem acessar dados e enviar email de um acesso único. A caixa de correio compartilhada possui facilidades como a utilização de um SMTP genérico para envio e recebimento de mensagens (por exemplo faleconosco@contoso.com), serviços centralizados a funcionários (por exemplo helpdesk@contoso.com).
Quando criamos uma shared mailbox no ambiente O365, não precisamos atribuir uma licença – porém cada usuário que efetua o acesso à esta caixa de correio compartilhada precisa ter uma licença atribuida.
Os administradores geralmente criam uma mailbox compartilhada pelo processo comum:
A) Criação da mailbox de type Shared pelo cmdlet new-mailbox:
New-Mailbox -Name "Fale Conosco" -Alias faleconosco –Shared
B) A configuração de quota nesta Shared mailbox:
Set-Mailbox faleconosco -ProhibitSendReceiveQuota 5GB -ProhibitSendQuota 4.75GB -IssueWarningQuota 4.5GB
C) A criação de um grupo de segurança para que os usuários possam acessar esta Shared Mailbox:
Minha Organização > Usuários e Grupos > Grupos de Distribuição > Novo > Tornar este grupo um grupo de segurança
D) Atribuindo FullAccess ao grupo de segurança para acessar a caixa de correio compartilhada:
Add-MailboxPermission "Fale Conosco" -User FaleConoscoDG -AccessRights FullAccess
E) Concedendo a permissão de SendAs para que o grupo FaleConoscoDG possa enviar emails como a caixa de correio compartilhada “Faleconosco”:
Add-RecipientPermission "Fale Conosco" -Trustee faleconoscodg -AccessRights SendAs
Após aproximadamente uma hora os acessos estarão “ok”.
A maioria dos administradores cria este último acesso e já permite que os usuários acessem a caixa de correio sem problemas. Qual seria a maior preocupação de uma empresa que se preocupa com o que é acessado, compartilhado e removido de uma caixa de correio que é acessada simultaneamente por diversos usuários?
Em 2000, a Microsoft teve um artigo publicado por Scott Gulp – uma versão focada no administrador para o “Ten Immutable Laws of Security”. Neste artigo, temos a lei #5 que se aplica ao que iremos discutir neste post:
- Law #5 Eternal vigilance is the price of security: Basicamente o que é discutido na Lei#5 é que mesmo aplicando patches de segurançã, efetuando hardening de sistemas e outros métodos de proteção um atacante pode utilizar métodos aonde ele terá acesso aos dados da empresa. O log de evento é uma arma de defesa do administrador, sabendo o que ocorre na organização e o que fazer para manter os dados seguros.
Fonte: https://technet.microsoft.com/en-us/library/cc722488#EGAA (Ten Immutable Laws of Security Administration).
A maior preocupação de uma empresa que possui diversos usuários acessando uma caixa de correio compartilhada é ter dados históricos do que ocorreu de acesso nesta shared mailbox, e é por isto que devemos, como uma melhor prática, habilitar auditing para qualquer mailbox de type shared.
Auditing mailbox, ao contrário de Auditing Admin, não é habilitado por deafult em um ambiente O365. O primeiro passo então é habiltiar audit na shared mailbox:
Set-Mailbox faleconosco -AuditEnabled $true
Desta maneira, habilitamos auditing para a shared mailbox. Acessando o portal, posso validar que o auditing está funcionando:
Minha Organização > Funções de Auditoria > Executar um relatório de acesso à caixa de correio não proprietária
Quando habilitamos o audit para delegates, por default, estas são as propriedades que serão auditadas:
Get-Mailbox Faleconosco | Select-Object -ExpandProperty AuditDelegate
Update
SoftDelete
HardDelete
SendAs
Create
Ou seja, os acessos que serão auditados serão somente os de alteração de mensagem, delete, enviar como e criação de uma nova mensagem.
A tabela abaixo ilustra as ações que podem ser auditadas:
Action |
Description |
Administrators |
Delegated Users |
Update |
Change a message |
Yes |
Yes |
Copy |
Copy message to a folder |
No |
No |
Move |
Move message to a folder |
Yes |
No |
MoveToDeletedItems |
Move message to Deleted Items folder |
Yes |
No |
SoftDelete |
Delete message from the Deleted Items folder |
Yes |
Yes |
HardDelete |
Purge message from Recoverable Items folder |
Yes |
Yes |
FolderBind |
Access a folder |
Yes |
No |
SendAs |
Send message using SendAs permission (really looks like the mailbox owner sent it) |
Yes |
Yes |
SendOnBehalf |
Send message using SendOnBehalf permission (identifies the message as being sent by someone other than mailbox owner) |
Yes |
No |
MessageBind |
View message in preview pane or open message |
No |
No |
Desta maneira, podemos validar que o acesso as pastas da caixa de correio não são auditados. Habilite esta feature seguindo o modelo do comando abaixo:
Set-mailbox faleconosco –auditdelegate,update,softdelete,harddelete,sendas,create,folderbind
Confirmando que o FolderBind foi adicionado:
Get-Mailbox Faleconosco | Select-Object -ExpandProperty AuditDelegate
Update
SoftDelete
HardDelete
FolderBind
SendAs
Create
Desta maneira o acesso aos diretórios da caixa de correio compartilhada serão auditados:
