Caixas de correio do Secure Exchange

Não sei se você pode bloquear o administrador. Como você repararia a caixa de correio se houver corrupção?

Sysadmins são sysadmins em parte porque há uma camada de confiança implícita para o administrador de sistema de alto nível. Sysadmins podem ler qualquer dado no servidor, ler e-mails, farejar tráfego, redefinir senhas ... essencialmente eles são deuses dentro da rede e dos servidores.

Se você não confia no administrador do sistema, você tem um problema.

Esta é uma questão de RH e política, não uma questão de tecnologia. Você precisa definir claramente as políticas que ditam o que pode e o que não pode ser tolerado. Caso contrário, eles precisariam saber que, mesmo se as caixas de correio estiverem seguras, os administradores poderiam usar sniffing de pacotes, captura de tela, etc ... e se você conseguisse de alguma forma bloquear o administrador, boa sorte para recuperar e-mails, diagnosticar problemas nessas máquinas, e descobrir se alguém instalou malware nessas estações de trabalho e está lendo essas mensagens!

Como já foi dito, isso não é realmente possível.

O que pode ser feito, é claro, é que os eventos nessas caixas de correio possam ser auditados e os logs de eventos nos servidores do Exchange possam ser protegidos. Como Erik ressalta, mesmo isso não ajudará se um administrador de sistema levar uma fita de backup para casa e restaurá-la.

A única maneira de isso ser possível é não manter os emails no Exchange, o que os isenta de qualquer sistema de arquivamento de emails. Dependendo do tipo de ambiente regulatório em que você vive, isso pode ser uma ideia muito ruim.

Mas, no final das contas, tudo se resume à questão da confiança. Se eles não puderem confiar em seus próprios administradores de nível mais alto para não meterem o nariz em áreas para as quais não foram convidados (talvez tenham lido muitas histórias de BOFH), então esse administrador não precisa trabalhar lá . É chamado de ética profissional, e um dos principais para os administradores de sistemas é não procurar informações por curiosidade. É por isso que obtive uma sólida verificação de antecedentes para esse e meu último trabalho de administrador de sistemas.

Dito isso, tenho visto exemplos em que os usuários de nível superior tinham sua própria pessoa de TI apenas para eles. Eles mantinham ambientes de e-mail separados e eram a pessoa que lidava com a TI de desktop para o C-suite. O resto do hoi polloi tinha que trabalhar através dessa pessoa. Pode realmente funcionar quando essa pessoa é um cara legal e está disposta a trabalhar com o resto da empresa. Pode ser completamente mal quando essa pessoa deixa o poder subir à cabeça e eles começam a seguir o seu próprio caminho apenas para seguir o seu próprio caminho.

O administrador sempre tem alguma forma de acessar as caixas de correio dos usuários, seja por meio do servidor Exchange, via OWA, por meio de um dispositivo de filtro de spam de terceiros ou talvez até restaurando de um backup (isso evita até mesmo os logs de auditoria padrão no servidor do Exchange). Esta é realmente uma questão de confiança mais do que técnica.

A única maneira realmente segura de fazer isso seria os diretores seniores usarem a criptografia do lado do cliente para todos os seus e-mails, usando uma chave protegida por senha. Eu tenho dificuldade em acreditar que eles vão concordar em pular os aros necessários para fazer isso, no entanto.

Não é possível. A segurança da Microsoft sempre foi a de que os administradores podem acessar tudo, até mesmo coisas que eles não podem acessar (seja através da alteração de permissões ou da posse de um objeto).

Agora, outros, como a Novell, adotaram uma abordagem diferente no passado, na qual os administradores podiam ter acesso removido de objetos sem nenhuma maneira de recuperá-los. A grande desvantagem é que partes do seu sistema de arquivos, armazenamento de diretórios ou caixas de correio podem facilmente ficar totalmente inacessíveis sem recurso.

Portanto, a menos que seus executivos desejem gerenciar seu próprio servidor (e domínio) do Exchange, você terá que viver dentro dos limites da Microsoft.

E se os administradores reais (as pessoas que trabalham no dia-a-dia) forem removidos dos grupos da unidade de organização do administrador de domínio e do Exchange? O meu entendimento [*] é que estas são as permissões necessárias para visualizar uma caixa de correio.

Em seguida, a senha da conta de administrador "real" (que ainda tem associação com o Admin de domínio e a unidade de troca do Exchange) é conhecida apenas pelos diretores da empresa.

É claro que isso limitará os recursos de depuração e configuração dos administradores reais; mas quando o acesso extra for necessário, um dos diretores terá que se envolver.

Observe que essa sugestão ignora a capacidade de interceptação de e-mails quando eles estão conectados.

[*] Aviso: só estou aprendendo essas coisas, então, por favor, tome com um enorme grão de sal.