Обеспечение защиты данных после того, как кто-то из работников организации был уволен, часто имеет большое значение, особенно если освобождаемый от должности сотрудник подозревается в каких-либо недобросовестных действиях. Системы Exchange 2010 и Exchange 2013 предусматривают целый ряд методов обеспечения безопасности данных почтового ящика, но программные средства бесполезны, если их не применять должным образом, следуя предписаниям хорошо документированного и проверенного процесса. Ниже приведены некоторые общие идеи, которые могут стать отправной точкой для процесса защиты почтового ящика. В зависимости от ситуации, повлекшей за собой увольнение, шаги, необходимые для защиты информации в почтовом ящике освобожденного от должности сотрудника могут требовать более срочного выполнения в случае, если сотрудник еще может получить доступ к своему почтовому ящику.

Команды, перечисленные в статье, работают в окружении Exchange 2013. Необходимо изменить команды ActiveSync для работы в системе Exchange 2010 (в Exchange 2013 были изменены имена), чтобы использовать команду Get-ActiveSyncDeviceStatistics и другие. Большинство команд Exchange также будут работать и в системе Exchange Online. Тем не менее не пропустите статью, описывающую, как справиться с такой ситуацией при работе в системе Office 36.

Прежде всего, отключите учетную запись Windows. Это кажется очевидным, но так вы помешаете бывшему сотруднику авторизоваться и получить доступ к данным. Вы можете решить задачу довольно быстро через оснастку AD Users and Computers, но если вы строите процесс на сценариях, то на первый план выходит команда Disable-ADAccount.

Disable-ADAccount -Identity "CN=Bad
   Employee, OU=IT, OU=Users,
   DC=Contoso, DC=COM"

Затем поместите почтовый ящик на судебное удержание, чтобы пресечь любую попытку удалить или отредактировать его содержимое. Система Exchange кэширует данные, чтобы избежать необходимости повторного создания подключений к почтовым ящикам, а вам не нужно, чтобы сотрудник мог использовать механизм ActiveSync на своем мобильном устройстве. Почтовые ящики можно поставить на удержание с помощью консоли EMC или центра администрирования EAC, но команда Set-Mailbox, как правило, быстрее дает результат:

Set-Mailbox -Identity ‘Bad Employee’
   -LitigationHoldEnabled $True
   -RetentionComment "Employee
   terminated on 1-April-2015"

Чтобы предотвратить отправку или получение любых новых сообщений, можно сократить квоты почтовых ящиков. Такой шаг не позволит сотруднику, получившему доступ к почтовому ящику, отправить самому себе сообщения, которые могут содержать конфиденциальную информацию.

Set-Mailbox -Identity ‘Bad
   Employee’ -ProhibitSendQuota 0
   -ProhibitSendReceiveQuota 0

Вы можете установить сообщение автоответа на почтовый ящик, чтобы другие пользователи знали, что человек больше не работает в компании. Команда Set-MailboxAutoReplyConfiguration (http://technet.microsoft.com/en-us/library/dd638217(v=exchg.150).aspx) позволяет изменить текст, который будет отправлен внутренним и внешним партнерам по переписке. Подсказка MailTip также полезна с точки зрения немедленного оповещения внутренних пользователей о том, что получатель более недоступен.

Set-MailboxAutoReplyConfiguration -Identity
   ‘Bad Employee’ -InternalMessage
   ‘Mr. Bad no longer works for us. Talk to
   HR if you want to know why!”
   -ExternalMessage ‘Mr. Bad is no longer
   an employee of this company.”
   -AutoReplyState Enabled
Set-Mailbox -Identity ‘Bad Employee’
   -MailTip ‘Bad Employee has left the
   building. Don’t bother sending email"

Альтернативным решением является добавление почтового ящика в специальную группу рассылки Disabled and Retained Mailboxes, на которую ссылается правило транспорта, следящее за любым сообщением, отправленным на адрес члена группы, и затем отбрасывающее его со специальным уведомлением о невозможности доставки.

New-TransportRule "Block Email to Disabled
   Mailboxes» -SentToMemberOf
   "Disabled and Retained Mailboxes"
   -RejectMessageEnhancedStatusCode
   "5.7.929" -RejectMessageReasonText
   "Regretfully the user that you attempted
   to contact is no longer with Contoso
   Corporation" -Enabled $True

Желательно убрать почтовый ящик из глобального списка адресов и удалить его из любой группы рассылки, к которой он мог бы принадлежать. Такой подход позволит уменьшить количество сообщений о невозможности принять письмо, создаваемых из-за того, что квота получения устанавливается в значение 0. Помните, что пройдет день или два, прежде чем обновление будет отражено в автономных адресных книгах, используемых клиентами. Некоторые специалисты стараются еще изменять SMTP-адрес почтового ящика, чтобы предотвратить его использование при адресации сообщений.

Set-Mailbox -Identity ‘Bad Employee’
   -HiddenFromAddressListsEnabled $True

Переместите почтовый ящик в другую базу данных. Это эффективный способ закрытия текущих сеансов доступа к почтовому ящику и принудительного переподключения клиентов. Однако перемещение почтового ящика службой Mailbox Replication Service (MRS) может занять некоторое время, поэтому лучше сначала поставить его на судебное удержание. Некоторые организации предпочитают использовать отдельную базу данных для хранения почтовых ящиков бывших сотрудников. Такой шаг подходит только для случаев локального развертывания, потому что в системе Office 365 нет возможности запустить перемещение почтового ящика.

New-MoveRequest -Identity ‘Bad Employee’
   -TargetDatabase DisabledMailboxesDB

Включите функцию аудита для почтового ящика, чтобы любые действия с ним отслеживались. Так как учетная запись Windows отключена, требуется проводить аудит только делегированного и административного доступа, однако выбор необходимых настроек аудита (http://technet.microsoft.com/en-us/library/ff461937(v=exchg.150).aspx) остается за вами.

Set-Mailbox -Identity ‘Bad Employee’
   -AuditEnabled $True

Используйте команду Clear-MobileDevice (в системе Exchange 2013) или команду Clear-ActiveSyncDevice (в Exchange 2010 или 2013), чтобы задать удаленный сброс всех устройств ActiveSync, зарегистрированных для почтового ящика. Разумеется, если вы не забрали все мобильные устройства, которые сотрудник использовал для подключения к системе Exchange.

Get-MobileDevice -Mailbox 'Bad Employee'
   | Clear-MobileDevice

Удалите связи с устройствами ActiveSync (EAS), которым разрешено подключаться к почтовому ящику, и отключите возможность доступа устройств к почтовому ящику через службу EAS. Если у вас настроены политики доступа для мобильных устройств, которые помещают в карантин новые устройства, этот шаг позволит предотвратить любые попытки использовать устройство для подключения к почтовому ящику, так как это устройство будет вынуждено повторно синхронизироваться. Тем не менее, из-за того что механизм EAS не проверяет параметр ActiveSyncEnabled для пользователя при каждом подключении, нам придется сначала обнаружить для каждого устройства идентификатор, который оно могло бы использовать, и добавить его в список заблокированных устройств, чтобы гарантировать, что пользователь не сможет добраться до своего почтового ящика. Механизм EAS сверяет идентификаторы устройств на постоянной основе, чтобы проверить, разрешено ли подключение для новых устройств, поэтому такой подход обеспечивает немедленную блокировку.

Get-MobileDeviceStatistics -Mailbox
   'Bad Employee' | Select DeviceType,
   DeviceID
Set-CASMailbox -Identity ‘Bad
   Employee’ -ActiveSyncBlockedDeviceIDs
   Device1ID, Device2ID, Device3ID
   -ActiveSyncAllowedDevices $Null
   -ActiveSyncEnabled $False
Get-MobileDevice -Mailbox ‘Bad Employee’
   | Remove-MobileDevice

Для окончательной блокировки вы, возможно, захотите использовать команду Set-CASMailbox (http://technet.microsoft.com/en-us/library/bb125264(v=exchg.150).aspx), чтобы отключить другие протоколы клиентского доступа. Эта команда также блокирует доступ через приложение OWA for Devices. Приложения Outlook блокируются через механизм ActiveSync.

Set-CASMailbox -Identity ‘Bad Employee’
   -EWSEnabled $False -IMAPEnabled
   $False -POPEnabled $False
   -MAPIEnabled $False -OWAEnabled
   $False -OWAForDevicesEnabled
   $False -EWSAllowMacOutlook $False
   -EWSAllowOutlook -EWSAllowEntourage
   $False $False -MAPIBlockOutlookRpcHttp
   $True -ECPEnabled $False

Помните, что система Exchange кэширует информацию для обеспечения максимальной производительности, поэтому некоторые из перечисленных шагов не могут дать результат немедленно. Как уже упоминалось выше, в случае локального развертывания вы можете переместить почтовый ящик на другой сервер, чтобы принудительно разорвать любые текущие сеансы. Кроме того, вы можете выполнить сброс служб IIS на серверах CAS, к которым могли подключиться подозрительные клиенты, или перезапустить конкретные пулы приложений IIS для определенного протокола (OWA, EAS и т. д.), чтобы очистить любые токены паролей, попавшие в кэш. Игры со службой IIS, скорее всего, затронут других пользователей, так что не надо ничего делать в спешке. К сожалению, если только вы не используете гибридное развертывание и можете перемещать почтовые ящики между локальными серверами и «облаком» или наоборот, у вас не будет рычагов управления, позволяющих контролировать подключения клиента (если вы являетесь подписчиком Office 365).

В конце концов, после того как все успокоится, вы можете решить, сохранить почтовый ящик на длительный срок или экспортировать его в файл. pst. Я настоятельно рекомендую избегать использования файлов. pst, когда это возможно, потому что, как только вы экспортировали информацию из системы Exchange, возникает риск, что ее потеряет из виду поисковый механизм Ediscovery, если впоследствии вы решите удалить почтовый ящик.

Существует немало способов помешать уволенному сотруднику удалить данные, и лучше всего сначала выяснить, какой из них больше подходит для вашей организации, а затем создать сценарий для автоматизации работы с использованием предложений, приведенных выше в качестве рекомендаций.

Важно иметь продуманный план к тому моменту, когда сотрудник отдела кадров или юридического отдела придет к вам в кабинет и потребует обеспечить безопасность почтового ящика. Проведение подготовительных работ упростит обработку подобных запросов.