Exchange mailbox beveiligen tegen administrator

In een Exchange 2000 omgeving worden exchange admins juist gedenied op andere mailboxen. Als dit bij jullie niet zo is, dan is er al met de rechten geprutst. Een admin kan zichzelf ten alle tijden weer rechten geven (anders zou het principe admin een beetje nutteloos worden )

Kun je de desbetreffende persoon niet simpelweg zijn exchange rechten ontnemen (en tijdelijk de admin wachtwoorden aanpassen)

Voor al mijn exchange vragen kijk ik meestal op
www.msexchange.org

Zeer goede site met zeer veel informatie
kijk daar eens misschien staat je oplossing er wel tussen

Ralphie schreef op vrijdag 04 november 2005 @ 23:10:
Het is niet de exchange admin, maar de gewone adminstrator. Het veranderen van het wachtwoord kan en mag niet, om prive redenen. De desbetreffende mailbox waar het om gaat, bevat info die de administrator niet mag inzien, daarom wil ik deze beveiligen met een extra (non AD) wachtwoord, of iets dergelijks..

als ik zoiets lees is het eerste waar ik aan denk: encryptie van alle "info"

Een administrator zal altijd bij de gegevens kunnen komen, daarom is het een administrator. Encryptie is de enige manier waarop een administrator de gegevens niet direct kan lezen (tenzij je natuurlijk de keys laat rondslingeren )

Ralphie schreef op vrijdag 04 november 2005 @ 23:30:
Maar wat heb ik aan een encryptie als hij gewoon de mailbox (in het domain) kan toevoegen? Ik bedoel dit gaat niet remote met een sniffer ofzo.. Ik ben even wat traag van begrip, dus neem me niet kwalijk, het is een te lange dag geweest..

met encryptie kan de admin de content niet lezen, maar ehm, zou je niet eerder iets willen doen aan het vertrouwen wat je hebt met de admin ipv allerlei technische zaken erbij te halen

Tijdelijke oplossing kan zijn om alle mail naar een pst file te laten deliveren. Dus gewoon in outlook opgeven dat je alle mail bezorgd wilt hebben in 1 persoonlijke werkmap. Deze pst kan je dan gewoon op je lokale hdd laten staan. Met een wachtwoord, dan zal zolang outlook aanstaat alle mail gelijk vanuit exchange box naar pst stromen.
Ik zeg alleen niets over backups etc. Want als je de pst-file weer in de backup mee laat lopen ( op het netwerk zet ) dan weerhoud niets de admin ervan om de backup te restoren naar een testmachine en daar rustig de pst file uit te lezen.

En dan beveilig je je pst http://www.slipstick.com/config/securepst.htm
en vervolgens word die weer gekraakt. Enige manier is de dialoog aangaan met de admin

Hij / zij is niet voor niks de admin. Het is ook een stukje vertrouwen wat je hebt in die persoon en als dat vertrouwen weg is snap ik niet dat dat nog steeds de admin is ??

Nog een stukje slipstick:
Securing Email from Prying Administrators
Last week I received an email for someone seeking help with a problem. He wrote: "How can I, as an end-user, password protect my mailbox from the system administrator? In other words how do I and other executives keep mail server administrators from snooping into other executive's mailboxes?"
To solve the immediate problem of preventing unauthorized people from reading your email, use personal encryption to secure private messages. Encrypt the message using an electronic email signature such one issued by your employer using Windows certificate services or a public digital signature issued by PGP, Thawte, or Verisign. If you use Outlook 2003, you have the option to use Rights Management instead of encryption. But because the recipient needs to have a copy of your public key to read encrypted messages or the ability to read messages protected by rights management, you should only use them on messages which contain information that needs to remain private and secure.

Beyond that, there isn't much you can do to prevent a determined administrator from reading anyone's email, short of getting a new administrator that you can trust. You could copy items to a personal store and password protect it, but passwords can easily be removed from psts. Many companies don't backup locally stored files and psts are easily corrupted when stored on the network, so you could lose the pst if your computer crashes. You'll also lose access to messages stored in a pst when you access your mailbox through OWA or OMA. For these reasons, I don't recommend using a pst with an Exchange mailbox for any reason.

While most administrators are very concerned about privacy issues when they have to work on a mailbox and go to great pains to avoid reading the contents, your company should have a written company policy covering snooping in other employees mailboxes. Although it won't stop anyone from snooping, a clear written policy gives you some 'teeth' when it comes to disciplining someone for reading other peoples mail without cause.

Finally, in your efforts to secure your email, don't forget to always lock your desktop when you walk away from it. It takes just a second to press the Windows and L keys to lock the desktop and will keep co-workers from reading not only your email, but also any file on your computer.


Als je die pst file op een memory stick zet zal het wel lukken kwa beveiliging.

offtopic

Dit soort ongein heb ik ook al is meegemaakt.
1 advies probeer buiten dit soort zaken te blijven. Op een gegeven moment moet jij voor beide alles gaan regelen en zit je tussen 2 vuren in. Kun je als je het mij vraagt het beste nog een tijdje thuis blijven zitten zodat ze het probleem met elkaar kunnen 'oplossen' (lees laten escaleren dus)

Anders zul je zien dat jij uiteindelijk met al je goede bedoelingen degene bent die de deksel op zijn neus krijgt.

Sterkte.

Dit is een erg onplezierige situatie.

Probeer er tussen uit te blijven. Dat is het enige wat je kunt volhouden, en waarmmee je jezelf do volgende dagen nog mee in de spiegel kunt kijken.

MX records aanpassen is geen optie?
(Alhoewel, dat gaat ongeveer gelijk op met "ga de dialoog aan met de sysadmin".)

[ Voor 52% gewijzigd door r0b op 05-11-2005 00:21 ]

Ralphie schreef op zaterdag 05 november 2005 @ 00:07:
Tja dat zou het makkelijkst zijn, maar de admin is tevens mede directeur, die dus in de mailbox wil kijken van de andere directeur. De dialoog aangaan is vanavond gebeurd, en heeft ervoor gezorgd dat ik nu ongeveer overspannen thuiszit

Als het een gewone sysad had geweest, dan hij allang weggeweest!

erhm makkelijkst is alle mail volgens mij tijdelijk naar een andere e-mail (extern) te forwarden Gmail account bv .. of naar zijn prive adres er zijn genoeg websites waar je e-mail via een provider kan lezen.

maar ja encryptie is ook te doen.

ik zou gewoon een advies geven om e-mail even extern te doen hoe lastig ook. en er vooral op aan te dringen niks digitaal op zakelijk nivo dat naar het desbetreffende mailadres verwijst.
In dit geval is wat niet weet is wat niet deert.

Als admin kan je overal/alles bij en dan ligt het nog aan de kennis van de desbetreffende persoon of hij niet keyloggers of iets dergelijks geinstalleerd heeft. of andere backdoors ingebouwd heeft die heb de macht geven over het hele domain.

In jou geval zou ik op het moment dat hij weg is alle data backuppen via een door jou geinstalleerde andere backup manier. dan vervolgens het domain van de grond af aan opnieuw op te zetten. en alleen software installeren waarvan je 100% zeker weet waarmee niet geknutseld is.

Een Admin is nou eenmaal Überscheißmeister in je netwerk. Je kunt 'm niet onderdelen van z'n rechten afpakken; die pakt-ie zo weer terug. Je kunt 'm wel z'n admin rechten afpakken, maar dat zal - gezien de situatie - een no-go zijn.

Al die suggesties over encryptie slaan nergens op: mail naar de mailbox toegestuurd wordt, is niet geëncrypt. Forwarden naar een andere mailbox is technisch gesproken een optie, maar ik kan me zo voorstellen dat je als (mede)directeur van een bedrijf niet aan je klanten wilt vragen om tijdelijk een g- of hotmail adres te gebruiken; dat geeft verkeerde signalen af.

Dit probleem heeft geen technische oplossing en ik denk dat je dat aan de andere non-admin directeur moet uittleggen.

Brahiewahiewa schreef op zaterdag 05 november 2005 @ 01:38:
Dit probleem heeft geen technische oplossing en ik denk dat je dat aan de andere non-admin directeur moet uittleggen.

En dan bijvoorbeeld voorstellen om de admin-passes te wijzigen en die in handen te leggen bij een door alle partijen accepteerde trustee of zoiets.

Brahiewahiewa schreef op zaterdag 05 november 2005 @ 01:38:
Al die suggesties over encryptie slaan nergens op: mail naar de mailbox toegestuurd wordt, is niet geëncrypt.

ehm, zodra je zorgt dat de belangrijkste e-mail's gewoon encrypted verzonden worden slaat het natuurlijk wel ergens op.

Dit probleem heeft geen technische oplossing en ik denk dat je dat aan de andere non-admin directeur moet uittleggen.

uiteraard, maar als ik de TS was geweest had ik gezegt dat ze het maar konden bekijken en dat ik me niet met hun problemen ga bemoeien.

Ik snap het probleem niet zo.
Een admin die zijn rechten misbruikt om kennis te nemen van data waar hij niets te zoeken heeft, breekt mijns inziens een beroepscode. Je hebt je adminrechten gekregen omdat ze noodzakelijk zijn je werk uit te voeren, niet om te misbruiken.

Wat mij aangaat is er maar een echte oplossing voor dit probleem:
Bewijslast verzamelen en ontslag op staande voet.

Zolang die admin rechten heeft op het beheer van de Exchange doos en op de AD kan 'ie zowel via de AD zichzelf (of iemand anders) rechten geven op een specifieke mailbox als op alle mailboxen in een store.

En met die rechten kan hij als owner aanloggen en dus in die mailbox alles doen wat jij er ook kunt doen.

Het *enige* wat je daar tegen kunnen doen is, zoals al gezegd, zorgen dat die mail niet in die mailbox staat, dus verplaatsen naar een beveiligde PST, doorsturen naar een ander adres of andere manier aan de beveiligings-scope van die beheerder onttrekken.

Zelf zou ik er voor kiezen de mail door te sturen naar een ander adres, maar ook dan heb je nog het risico dat de beheerder op de mailbox een alternate recipient configureert, waardoor deze toch de mail kan lezen.

En de beste oplossing: zorg dat de informatie die hij niet mag lezen niet in die mailbox terecht komt.

[ Voor 7% gewijzigd door StevenK op 05-11-2005 09:23 ]

Bastardhost schreef op zaterdag 05 november 2005 @ 09:20:
Ik snap het probleem niet zo.
Een admin die zijn rechten misbruikt om kennis te nemen van data waar hij niets te zoeken heeft, breekt mijns inziens een beroepscode. Je hebt je adminrechten gekregen omdat ze noodzakelijk zijn je werk uit te voeren, niet om te misbruiken.

Wat mij aangaat is er maar een echte oplossing voor dit probleem:
Bewijslast verzamelen en ontslag op staande voet.

Dat is ook eigenlijk _de_ reden waarom je nooit een directeur oid admin moet maken, die zijn wat moeilijk te ontslaan

Erkens schreef op zaterdag 05 november 2005 @ 09:21:
[...]

Dat is ook eigenlijk _de_ reden waarom je nooit een directeur oid admin moet maken, die zijn wat moeilijk te ontslaan

Ik begrijp uit

Tja dat zou het makkelijkst zijn, maar de admin is tevens mede directeur, die dus in de mailbox wil kijken van de andere directeur. De dialoog aangaan is vanavond gebeurd, en heeft ervoor gezorgd dat ik nu ongeveer overspannen thuiszit

Dat het gaat om twee directeurs ?

StevenK schreef op zaterdag 05 november 2005 @ 09:24:
[...]

Ik begrijp uit

[...]

Dat het gaat om twee directeurs ?

ja, maar dat doet niks af aan het feit dat een directeur over het algemeen lastig eruit te schoppen is
daarnaast was het ook meer als tip bedoeld voor alle andere

Eigenlijk hoort dit thuis in ONprofessional networking & Servers.

Misschien is de optie om een tweede mailserver neer tezetten.
Alle mail komt dan op deze server binnen en forward gewoon alles naar de Exchange omgeving, behalve de desbetreffende e-mail account. Die stuur je bv. door naar gmail ofzo.

Als je verstand van Linux hebt (en de admin hopelijk niet) dan moet dat te doen zijn. En als je het erg stiekum doet, valt het hem misschien niet eens op.

Wij hebben zo'n server gebouwd tegen spam en virussen (Clamav en spamassin in Qmail, Mcafee op Exchange). Dat is het enige wat hij doet. Daarna stuurt hij alles door naar Exchange. Om hier 1 e-mail adresje uit te vissen en deze naar een andere server te laten gaan is een eitje.

Dude, hoe graag je dit misschien niet horen wil (en al eerder is gezegd):

Dit is jouw probleem niet, 't wordt hooguit tot jouw probleem gemaakt (wat in jouw positie in de praktijk inderdaad helaas jouw probleem is)

*Jaymz ziet dat wel vaker; dat 'men' nogal makkelijk organisatorische problemen 'technisch' wil oplossen.

't enige dat jouw op dit moment rest is ervoor zorgen dat het jouw ondergang niet wordt, en in de praktijk komt dat (in mijn ervaring) erop neer dat je doet wat in je mogenlijkheden ligt en duidelijk weet te maken wat jouw mogelijkheden zijn (en wat de consequenties zijn van de verschillende mogelijkheden)

Vergeet alleen niet dat dit probleem technisch gewoonweg niet op te lossen is, behalve ervoor te zorgen dat dat mail van de persoon in kwestie niet op jullie domein terecht komt. Encryption en forwarding zijn zo snel genomen de enige mogelijkheden als de betreffende heren niet zo vreselijk technisch aangelegd zijn

Maar als de hoogste heren besluiten een partijtje: Wie heeft de grootste lul ? te gaan doen houdt het voor de rest die eronder zit gewoonweg op, doen wat er van je gevraagd wordt (hoe erg je het er ook mee oneens bent) op zo'n goed mogelijke manier is één van de laatste strohalmen dan

BTW: Nog een nadenkertje. Als je het al voor elkaar krijgt. Als mailbox 1 eerst 20 e-mail per dag krijgt en dan opeens 0 e-mail die te lezen is door de admin (/directeur 2).

Heb jij dan volgens de mening van admin (/directeur 2) niet al een partij gekozen die erop neerkomt dat je net zo goed admin privileges van die account af had kunnen halen???
Als je je met dit soort praktijken gaat bezighouden kies je bewust een kant (en geeft advies) en door het feit dat de admin het niet meer kan lezen weet de andere partij ook dat je een kant hebt gekozen.
Dus of doe alles ( admin privileges weghalen ) of doe niets en blijf onpartijdig en laat directie dit uitzoeken.

Als admin kan je overal/alles bij

Een Admin is nou eenmaal Überscheißmeister in je netwerk. Je kunt 'm niet onderdelen van z'n rechten afpakken; die pakt-ie zo weer terug.

Het is wel een beetje onzin dat één admin altijd overal in zou (moeten) kunnen (kijken).

Vziw is het heel normaal dat er bepaalde soorten admin's zijn met slechts bepaalde rechten (user-administratie, backup, etc.). Denk bijvoorbeeld aan applicaties waarmee geldtransacties of bijvoorbeeld boetes verwerkt worden. Of aan dossiers bij een geheime dienst.

(Dat dat in dit geval de oplossing niet is dat is wat anders.)

[ Voor 41% gewijzigd door Jesse op 08-11-2005 09:46 ]

Is het niet verstandiger om met auditing aan de slag te gaan en rapportages van (mis)bruik van bepaalde rechten van een van admins te sturen naar je opdrachtgever?

Jesse schreef op dinsdag 08 november 2005 @ 09:41:
[...]


[...]

Het is wel een beetje onzin dat één admin altijd overal in zou (moeten) kunnen (kijken).

Vziw is het heel normaal dat er bepaalde soorten admin's zijn met slechts bepaalde rechten (user-administratie, backup, etc.). Denk bijvoorbeeld aan applicaties waarmee geldtransacties of bijvoorbeeld boetes verwerkt worden. Of aan dossiers bij een geheime dienst.

(Dat dat in dit geval de oplossing niet is dat is wat anders.)

Je hebt gelijk. "een admin" is ook veel te generaliserend. Er is natuurlijk altijd de Enterprise Admin en/of de Exchange Full Administrator. Maar daarnaast kan je zelf mensen admin rechten geven die veel, maar niet alles kunnen.

paella schreef op dinsdag 08 november 2005 @ 10:49:
[...]


Je hebt gelijk. "een admin" is ook veel te generaliserend. Er is natuurlijk altijd de Enterprise Admin en/of de Exchange Full Administrator. Maar daarnaast kan je zelf mensen admin rechten geven die veel, maar niet alles kunnen.

True, daar heb je een punt, maar als een directeur ook admin is dan zal ie alle rechten willen hebben en dan heb je als ondergeschikte daar natuurlijk bar weinig over te vertellen. Helemaal als de directeuren ook nog gelijkwaardige partners zijn binnen het bedrijf is dit toch wel een situatie die enige politieke tact vereist. Uiteindelijk kan het als je het verkeerd aanpakt je jouw baan kosten ookal heb je de beste bedoelingen van de wereld...

Verwijderd schreef op zaterdag 05 november 2005 @ 00:13:
offtopic

Dit soort ongein heb ik ook al is meegemaakt.
1 advies probeer buiten dit soort zaken te blijven. Op een gegeven moment moet jij voor beide alles gaan regelen en zit je tussen 2 vuren in. Kun je als je het mij vraagt het beste nog een tijdje thuis blijven zitten zodat ze het probleem met elkaar kunnen 'oplossen' (lees laten escaleren dus)

Anders zul je zien dat jij uiteindelijk met al je goede bedoelingen degene bent die de deksel op zijn neus krijgt.

ik vind je post helemaal niet offtopic. dit is de ENIGE methode om hier heelhuids uit te geraken. een administrator kan je enkel rechten ontzeggen dmv ontslag, en dat is hier blijkbaar geen optie...
zelfs encryptie en buitenhuise opslag zijn makkelijk te omzeilen voor een doorwinterde admin.
mijn advies is dan ook (zoals reeds meermaals aangehaald) hou je neus hierbuiten en laat de kemphanen het zelf uitvechten