Admins lesen fremde Mail

KnutWu · 26. August 2009

Hallo,

wir betreiben hier Exchange 2007 unter Windows Server 2008.

Ein Admin ist dabei erwischt worden, wie er heimlich fremde Mail las. Jetzt ist das Misstrauen groß und allen Admins wird jetzt so etwas unterstellt. Wir wollen nun sicherstellen, dass das nicht wieder geschieht und dass das Vertrauen wieder hegestellt wird.

Wir diskutieren hier 2 Varianten:

1. Die Rechte soweit einschränken, dass auch die Admins nicht mehr zugreifen können (das führt allerdings zu Problemen in der Arbeit).

2. Durch gute Protokollierung sicherstellen, dass jedem Admin ein unberechtigter Zgriff auf fremde Mail nachgewiesen werden kann.

Habt Ihr Erfahrungen damit oder Tipps?

Danke.

RobertW · 26. August 2009

Hallo,

wenn man Admins nicht vertrauen kann, hat man ein Problem mit den Admins - nicht mit dem Computer. Irgendein Admin ist per Defintion "Gott", das geht gar nicht anders. Ich persönlich würde mir überlegen, ob ich in einer Firma arbeiten möchte, wo ich für die Verbrechen anderer in Sippenhaft genommen werde.

Zu Deinen Fragen:

1. Das geht natürlich. Es ist fast alles machbar, aber sehr umständlich und fehlerträchtig. Neben den von Dir beschriebenen Problemen in der Arbeit, muss trotzdem eine Person den Hut auf haben und alle Rechte besitzen. Anders geht es nicht.

Hier kannst Du einiges über die Berechtigungen nachlesen:
http://technet.microsoft.com/de-de/library/aa997244.aspx

Das ist aber nur der Einstieg. Theoretisch kann man über AD alles und jeden bis in das kleinste Attribut berechtigen. Sinnvoll ist das aber nicht mehr.

Frage 2:
Mit Bordmitteln gibt es eine solche Protokollierung nicht. Erst in Exchange 2010 gibt es die ersten Ansätze zur Protokollierung. Dies sind zwar auch noch nicht perfekt, aber schon mal sehr interessant.

Ehrlich gesagt: Ich würde das Problem anders angehen. Ich würde dem Chef klar machen, dass Du nicht mit einem Admin verglichen werden willst, der Mist gemacht hat. *Du* hast in der Vergangenheit vertrauensvoll gearbeitet und es kann nicht Deine Aufgabe sein, Vertrauen zu gewinnen, dass Du gar nicht verspielt hast.

Wenn ein guter Chef in Ruhe darüber nachdenkt, wird ihm eh klar werden, dass er Admins nicht 100% kontrollieren und überwachen kann (denk Dir selbst 10 Beispiele aus, wie Du unbemerkt Daten aus der Firma bekommst...).

Dann kommt er ziemlich schnell zu dem Schluss, dass alle Teillösungen nur unnötig Zeit kosten und Fehler bergen, die den Betrieb gefährden.

Es gibt ein paar Funktionen, da muss man Vertrauen haben - oder sich andere Leute suchen, z.B. Sekretärin, Admins, Hausmeister.

StevensDE · 26. August 2009

Wie schon geschrieben wurde.. technisch kann man alles irgendwie realisieren. Aber Admins sind dafür da um die Systeme zu verwalten und ein Exchange Admin hat in der Regel auch Zugriffe auf die Postfächer.

Wenn ein Admin dabei erwicht wurde Mails von Mitarbeitern zu lesen, würde ich den entsprechenden Admin sofort abmahnen und falls sich das ganze wiederholt kündigen.

Was will man sonst machen? Admins einschränken (wegen kein Vertrauen) führt dazu, dass die Arbeit der Admins komplizierter und aufwendiger wird und dadurch laufen die Prozesse insgesamt langsamer.

Jürgen · 26. August 2009

habe Dir ne PM gesendet. schau mal links >Usermenü > Posteingang

KnutWu · 27. August 2009

Admins einschränken war auch für uns nicht akzeptabel.

Sinnvoll erscheint uns eine erhöhte Sicherheit durch Protokollierung. Klar ist, dass auch die auszutricksen ist, aber die Hemmschwelle ist höher. Und wer dabei erwischt wird ...

Aber wie sieht eine sinnvolle Protokollierung aus, sämtliche Lesezugriffe auf Mailboxen mitzuschreiben ist wohl zu aufwändig?

Gruß KnutWu

Jürgen · 27. August 2009

Hallo,

wenn ihr die Protokollierung hochdreht, dann wird auch viel geloggt. Und wer soll das auswerten?

Dann müsstet ihr je nach Größe des Unternehmens dediziert jemanden hinsetzen der die Protokollierung permanent anschaut.

Das ist ein Job für jemanden der Vater und Mutter erschlagen hat.

KnutWu · 31. August 2009

Genau bei der Protokollierung vernünftige Einstellungen zu finden ist die Schwierigkeit.

Was haltet Ihr davon, die Veränderung der Zugriffsrechte auf Mailboxen zu protokollieren und das Protokoll verschlüsselt zu archivieren, so dass es vom Admin nicht mehr einsehbar und manipulierbar ist.

Gruß KnutWu

RobertW · 7. September 2009

Hier noch mal was zum Lesen zu diesen Thema:
http://msexchangeteam.com/default.aspx

StevensDE · 7. September 2009

Nochmal was zum Thema Logging:

Was soll es bringen die Protokollierung zu erhöhen?

Was da an Daten anfällt kann kein normaler Mensch auswerten. Schaut doch nur mal auf einem Domain Controller im Eventlog unter Security was da alles geloggt wird.

Das auszuwerten ist beinah unmöglich, ausser man hat extra Mitarbeiter dafür die das auswerten.

Das nächste Problem: Wenn man Zugriffe loggt wird immer Domain / USER geloggt.

Aber ein Administrator hat ja durchaus auch die Möglichkeit Kennwörter von anderen Usern zurückzusetzen und vorübergehend diese Accounts zu benutzen. Damit entfällt die Möglichkeit wer wirklich zugegriffen hat. Oder man erstellt einfach einen neuen User, gibt dem kurzzeitig Adminrechte, greift illegal auf ein Postfach und löscht den User wieder.

In dem Fall ist es beinah unmöglich dann herauszufinden wer wirklich darauf zugegriffen hat. Natürlich geht es.. aber das erhöht den Aufwand noch mehr.

Meiner Meinung nach sollte die Lösung mal etwas sein die sich nicht per Computer realisieren lässt und das nenne ich:

Vertrauen

Einem Mitarbeiter sollte man vertrauen können, ansonsten ist er meiner Meinung nach nicht tragbar. Und da liegt auch das Grundproblem...

Ich denke nicht, dass man dieses Problem bei euch mit mehr Überwachung lösen kann.

luxor86 · 8. September 2009

Dazu vielleicht auch ganz wichtig:

Urteil: Unerlaubte E-Mail-Einsichtnahme durch Admin rechtfertigt Kündigung

Teilen