понедельник, 5 июля 2010 г.

Поиск в нескольких почтовых ящиках в Exchange 2010 (Multi-Mailbox Search)

image Реалии ведения современного бизнеса таковы, что зачастую стоимость одного документа с конфиденциальными данными является просто огромной. Одним из каналов утечки этих самых конфиденциальных данных может служить корпоративная почта. В связи с этим, перед сотрудниками службы внутренней безопасности встает задача мониторинга входящей и исходящей корреспонденции. Для решения задач мониторинга переписки пользователей в Exchange 2010 существует функция поиска по нескольким почтовым ящикам.

Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) – это базовая функция Exchange 2010, основанная на индексах содержимого. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных при обработке запросов на обнаружение.
Доступ к поиску по нескольким почтовым ящикам реализован через панель управления Exchange (ECP), доступную из Outlook Web App. Благодаря простому пользовательскому интерфейсу, данной функцией могут управлять не только технически грамотные специалисты, но и простые сотрудники. В поиске по нескольким почтовым ящикам применяется синтаксис расширенных запросов (AQS), он используется службой Windows Search и мгновенным поиском в Microsoft Outlook 2007 и более поздних версиях. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы.
Очевидно, что доступом к такому функционалу должны обладать лишь строго определенные лица, по этому, в Exchange 2010 существует специальная группа ролей RBACГруппа управления обнаружением (Discovery Management), данная группа включает в себя две роли:
  • Роль поиска в почтовых ящиках (Mailbox Search) – позволяет пользователям выполнять поиск на обнаружение;
  • Роль юридического удержания (Legal Hold) – позволяет пользователям включать для почтовых ящиков функцию юридического удержания.
По умолчанию, группа ролей Управление обнаружением не имеет участников, и даже администраторы не имеют права выполнять поиск на обнаружение. Они могут лишь делегировать данное право уполномоченным сотрудникам.

Делегирование прав на выполнение поиска на обнаружение

Проще всего добавить пользователя в группу ролей RBAC через Exchange Control Panel (ECP). Для этого необходимо открыть сайт ECP (https://YourServer/ecp), перейти в раздел Управление Организацией – Role & Auditing – Роли администратора – выбрать группу ролей Discovery Management – в открывшемся окне добавить пользователей к группе.
image
Рис.1: Добавление пользователей в группу «Управление обнаружением» (Discovery Management) через Exchange Control Panel.
Также можно это проделать и через командную консоль:
Add-RoleGroupMember -Identity "Discovery Management" -Member User1

Аудит использования функции поиска по нескольким почтовым ящикам

Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать использование этой технологии. Контролю должны быть подвергнуты как сами поисковые запросы, так и процесс добавления пользователей в группу ролей управления обнаружением.
Для операций поиска на обнаружение доступны два типа ведения журнала:
  • Обычное ведение журнала включено по умолчанию для всех операций поиска в почтовых ящиках. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
  • Полное ведение журнала - При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Чтобы включить полное ведение журнала, выберите в консоли управления Включить полное ведение журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LoggingLevel.
Для мониторинга добавления пользователей в группу ролей управления обнаружением служит аудит изменений в роли RBAC, который обеспечивает ведение соответствующих записей для отслеживания назначений групп ролей. Дополнительные сведения о ведении журнала аудита RBAC смотрите в справке TechNet.

Практическое использование поиска в нескольких почтовых ящиках

Добавив пользователей в группу Discovery Management и обеспечив себе контроль над их действиями, можно приступить к обучению сотрудников использованию этой функции.

Поиск

После добавления пользователя в группу Discovery Management, у него на сайте ECP появляется возможность попасть в параметры управления организацией и в меню Управление почтой отображается функция поиска в почтовых ящиках:
image
Рис.2: Функция поиска в нескольких почтовых ящиках на сайте ECP пользователя.
Для создания запроса на обнаружение необходимо нажать кнопку Создать и заполнить карточку поиска:
image
Рис.3: Карточка поиска в почтовых ящиках.
Полей для заполнения достаточно много, но смысл их интуитивно понятен, так что я думаю вы сами разберетесь что тут и зачем.
Примечание: Если не указан запрос поиска, то в целевой почтовый ящик будет скопирован весь контент указанных почтовых ящиков. Перед выполнением поиска следует убедиться, что в хранилище, на котором расположена база данных почтовых ящиков достаточно свободного места.

Просмотр результатов

После нажатия кнопки Сохранить задание поиска начнет выполняться и через какое-то время вы увидите статистику выполненного запроса.
Чтобы просмотреть результаты поиска необходимо открыть Discovery Search Mailbox, делается это из меню пользователя в правом верхнем углу Outlook Web App – Открыть другой почтовый ящик:
image
Рис.4: Подключение к другому почтовому ящику.
Нужно заметить, что доступ к Discovery Search Mailbox имеют только пользователи, добавленные в группу ролей Discovery Management. Открыв почтовый ящик вы увидите там структуру, повторяющую расположение записи в исходном почтовом ящике пользователя.
Примечание: Можно создать дополнительный почтовый ящик обнаружения (Discovery Search Mailbox) командой New-Mailbox SearchResults -Discovery -UserPrincipalName SearchResults@contoso.com

Заключение

При помощи функции поиска по нескольким почтовым ящикам (Multi-Mailbox Search) администраторы сервера Exchange 2010 могут делегировать уполномоченному персоналу возможность мониторинга пользовательской переписки путем выполнения поиска записей в их почтовых ящиках. Но ни кто не мешает сотрудникам удалять компрометирующие их письма. Для контроля над удалением и модификацией содержимого почтовых ящиков в Exchange 2010 существует функция Юридического удержания (Legal Hold) и восстановления отельных элементов (Single item recovery), о которых мы поговорим подробнее далее.
PS. Полный цикл статей по теме “Управление почтовыми ящиками” вы можете скачать в формате PDF.

10 комментариев:

AlektroNik комментирует...

Как обычно все четко и понятно ... облазил в доль и поперек http://help.outlook.com инфы много но на каждой странице "Для подробной информации читайте дальше" ... наоткрывал таким оброзом 7 вкладок и ни в одной толком не написано чтоже надо было делать!
В общем низкий поклон за статью :) И за помощь в предыдущих вопросах :)

AlektroNik комментирует...

Алексей подскажите пожалуйста такую вещь.
Когда в EMC 2010 ("Настройка получателей" - "Почтовые ящики") я прописываю на "Управление разрешением на полный доступ" (Правой кнопкой мыши по ящику) группу пользователей, пускай даже группа уже там стоит, к примеру, Discovery Management, то управлять ящиком не получается ... не пускает всеравно, а вот если я добавляю конкретного пользователя на управление, то дает управлять, подскажите в какую сторону копать.
Заранее большое спасибо!

Алексей Богомолов (Alexx) комментирует...

А группа Security?

Денис комментирует...

Отличный цикл статей: четко и ничего лишнего. Огромное спасибо

Анонимный комментирует...

После обновления до SP2 при поиске в интервале дат выдаёт ошибку.If the search query used short words with wildcard characters such as pat*, it can result in a large number of words or phrases because all permutations of words starting with “pat” are searched. Make search queries as specific as possible when using wildcard characters. '.
http://support.microsoft.com/kb/2628693
Причем если не ограничивать поиск датами всё ок.
Как побороть проблему.

Алексей Богомолов (Alexx) комментирует...

К сожалению у меня нет готового ответа на этот вопрос(

Михаил Козлов комментирует...

Добрый день! У меня такая проблема: Делаю новый запрос "новый поиск в почтовых ящиках", выбираю ключевое слово, почтовый ящик для поиска, имя поиска, и при нажатии "сохранить" выдает следующее: Пользователь не имеет почтового ящика Exchange, выбранный пользователь точно имеет рабочий почтовый ящик, с остальными пользователями такая же песня, и при галки "искать во всех ящиках" тоже самое.

agorlach комментирует...

MAPILab Search for Exchange – решение, предназначенное для поиска сообщений и других элементов по заданным критериям во множестве почтовых ящиках на серверах Microsoft Exchange. Им пользоваться гораздо удобнее ;)

http://www.mapilab.com/ru/exchange/exchange_search/

Константин Савельев комментирует...

А как удалить найденные результаты в MS Exchange 2010 (не sp1)?

Анонимный комментирует...

Подскажите пожалуйста, есть ли возможность в Exchange 2010 собирать всю почту на один адрес, как это было в 2003? Может какие то сторонние программы?

Отправить комментарий