Так уж сложилось, что поиск необходимой информации в почтовых ящиках пользователей всегда был для администраторов Microsoft Exchange весьма мудреной задачей, и не только в техническом отношении. Одна из причин в том, что компании всегда проявляют особенную осторожность, когда речь идет о содержимом почтовых ящиков персонала, поскольку проблемы с законом (например, об охране персональных данных) очень вероятны. . В этой статье мы рассмотрим технологию, на которой основана описанная выше возможность, а также последовательность действий, которые необходимо выполнить, чтобы осуществить подобного рода поиск.

В предыдущих версиях Exchange, если у компании возникала потребность получить доступ к данным в почтовом ящике пользователя, для этого требовалось предоставить все права доступа к объекту почтового ящика уполномоченному администратору, который и производил поиск необходимой информации. В качестве альтернативы можно было произвести экспорт почтового ящика целиком и открыть его на другом компьютере. Однако оба эти способа позволяли администраторам получить доступ одновременно только к одному почтовому ящику. В Exchange 2007 уже появилась возможность производить поиск по нескольким почтовым ящикам с помощью команды Export-Mailbox оболочки Windows PowerShell, однако без удобного графического интерфейса. К тому же производить такой поиск мог любой администратор Exchange, что могло представлять угрозу безопасности.

Реализованная в Exchange 2010 функция поиска по нескольким почтовым ящикам позволяет системным администраторам производить поиск (с помощью графической оболочки или командной строки) одновременно в нескольких пользовательских почтовых ящиках, не имея при этом полных прав доступа к ним.

Сценарии поиска

Во многих компаниях содержимое почтовых ящиков пользователей вовсе не считается личной информацией. В таких случаях сотрудников, как правило, заранее предупреждают, что их почта может быть выборочно или полностью прочитана уполномоченными лицами, если для этого будут какие-либо основания, либо необходимость. Например, если компания подозревает сотрудников в отправке за пределы компании конфиденциальной информации посредством электронной почты, их корреспонденция может отслеживаться тем или иным способом. Кроме того, возможность произвести при необходимости поиск в почтовых ящиках пользователей важна с правовой точки зрения. Может, к примеру, существовать юридическое предписание о готовности к выдаче по запросу всей электронной почты определенной тематики либо судебное решение об отслеживании электронной корреспонденции конкретных пользователей.

Для отслеживания сообщений можно использовать транспортные правила сервера Exchange, определив текстовые шаблоны, соответствие которым в теле электронного письма может означать присутствие в нем конфиденциальной информации. Также можно задействовать журналирование, при котором все сообщения определенного пользователя архивируются в отдельном почтовом ящике. С появлением Exchange 2010 стало возможным выполнение поиска по определенным критериям сразу во всех или в нескольких почтовых ящиках организации, на основе ключевых слов.

Для выполнения юридических предписаний поиск может использоваться еще в одном сценарии: юридическое удержание. В Exchange 2010 режим юридического удержания может быть активирован на почтовом ящике определенного пользователя, после чего все сообщения, хранящиеся в нем, а также все вновь созданные будут сохранены, даже если пользователь удалит какое-либо сообщение и очистит папку «Удаленные». Все эти сохраненные сообщения будут доступны при выполнении поиска по нескольким почтовым ящикам.

Технологии поиска

Несмотря на внешнюю простоту, функция поиска по нескольким почтовым ящикам включает несколько технологий. Чтобы осуществить поиск по множеству почтовых ящиков, эта функция задействует индексы содержимого, созданные службой Exchange Search. Возможности этой службы теперь значительно расширены для соответствия весьма значительным потребностям функции поиска по нескольким почтовым ящикам. Кроме того, наличие единого движка индексации содержимого позволяет не задействовать дополнительные ресурсы при выполнении поиска.

Для выполнения поиска по нескольким почтовым ящикам применяется административный интерфейс панели управления Exchange (ECP). ECP — это новая веб-консоль, предназначенная как для системных администраторов, так и для конечных пользователей, которая обеспечивает дружественный поисковый интерфейс как для технических специалистов, так и для других категорий сотрудников — юристов, аудиторов, специалистов по оперативному учету, менеджеров по кадрам. Поскольку ECP является веб-консолью, использовать ее можно практически где угодно, к тому же она весьма проста в использовании: для ее функционирования не требуется какая-либо оснастка. Более того, в применении ECP во многом подобна Outlook Web Access (в Exchange 2010 это приложение переименовано в Outlook Web App (OWA)), что существенно облегчает пользователям ее освоение.

Exchange 2010 обеспечивает новый с точки зрения безопасности метод делегирования полномочий в Exchange — управление доступом на основе ролей (RBAC). Этот метод включает ролевую группу управления обнаружением Discovery Management, которая позволяет делегировать право осуществлять поиск уполномоченным пользователям, не наделяя их излишними правами доступа, такими, например, как полный доступ к почтовому ящику или право вносить изменения в текущие настройки Exchange. По умолчанию группа Discovery Management не имеет участников, в нее не включены даже администраторы Exchange.

Все результаты поиска хранятся в особом почтовом ящике, называемом Discovery Search Mailbox; хранить результаты поиска в другом почтовом ящике, например пользовательском, нельзя. Почтовый ящик обнаружения создается во время развертывания Exchange и не может использоваться для стандартных целей, таких, например, как отправка и получение почты, поскольку на него наложен ряд ограничений на доставку. Ученая запись пользователя, ассоциированная с почтовым ящиком обнаружения, отключена, поэтому никто не может получить к нему доступ, если явно не наделен надлежащими правами. Члены группы Discovery Management имеют полные права доступа к почтовому ящику обнаружения. Управлять участием в группе Discovery Management можно при помощи параметра Restricted group объекта групповой политики.

Поскольку почтовый ящик обнаружения должен быть рассчитан на хранение значительного объема информации, при создании ему назначается дисковая квота в 50 Гбайт. Если в организации существует несколько групп сотрудников, использующих поиск методом обнаружения и при этом они должны иметь доступ только к своим результатам поиска, возможно создание дополнительных почтовых ящиков обнаружения. Это делается при помощи командной консоли Exchange (EMS).

Разрешения для поиска

В отличие от других технологий, таких как транспортные правила и журналирование, которые необходимо активировать и настроить перед использованием, производить поиск можно в любое время, без активации этой функции на организационном уровне. Однако, прежде чем уполномоченный пользователь сможет производить поиск, нужно выполнить определенные действия.

Прежде всего, необходимо иметь вескую причину для выполнения поиска, а также набор соответствующих процедур и политик, разработанных совместно с юридическим департаментом, которые делают такой поиск законным. Эти соображения не совсем технического свойства, но о них нужно обязательно помнить. В противном случае вы рискуете нарушить закон и, возможно, лишиться работы.

После того как улажена юридическая сторона вопроса, необходимо назначить соответствующие права тому, кто будет производить поиск. Для этого существует две возможности. Можно при помощи оснастки Active Directory Users and Computers добавить учетную запись пользователя в группу Discovery Management. Группа состоит из двух управляющих ролей: роль поиска в почтовом ящике Mailbox Search, которая позволяет пользователю производить поиск; и роль юридического удержания, которая позволяет ставить почтовый ящик на юридическое удержание Legal Hold. Также можно назначить права при помощи EMS, выполнив следующую команду:

Add-RoleGroupMember
   -Identity "Discovery Management"
   -Member Damir

Для того чтобы проверить, какие пользователи имеют разрешение на произведение поиска в нескольких почтовых ящиках, необходимо выполнить следующую команду:

Get-RoleGroupMember
   "Discovery Management"

После того как пользователь будет добавлен в группу ролей Discovery Management, он также получит полные права доступа на почтовый ящик обнаружения Discovery Search Mailbox. Помните, что это почтовый ящик по умолчанию для хранения результатов поиска, но также возможно создание дополнительных ящиков такого типа. Для этого необходимо использовать EMS и команду New-Mailbox. Например,

New-Mailbox -Name "Mailbox Discovery"
   -UserPrincipalName "MailboxDiscovery
      @logosoft.ba"
   -Discovery

создает дополнительный почтовый ящик обнаружения. Использо­ванный в этой команде ключ -discovery отвечает за создание именно почтового ящика обнаружения, а если использовать ключ -name, то этому почтовому ящику можно назначить произвольное имя.

Если нет уверенности в том, что в организации не созданы дополнительные почтовые ящики обнаружения, это легко проверить с помощью следующей команды:

Get-Mailbox -Filter
   { RecipientTypeDetails
   -eq "DiscoveryMailbox" }

Производим поиск

Теперь, когда у нас есть пользователи, которые могут производить поиск, пора приступать к делу. В первую очередь необходимо подключиться к ECP, набрав в браузере https://yourexchangeserver/ecp и указав имя пользователя и пароль на странице авторизации. В интерфейсе ECP нужно выбрать Reporting, после чего появится интерфейс поиска в почтовых ящиках, как показано на экране 1. Эта страница недоступна пользователям, не имеющим соответствующих прав.

 

Экран 1. Интерфейс поиска в почтовых ящиках в ECP

 

 

Экран 2. Создание поиска в почтовых ящиках в окне «Новый поиск в почтовых ящиках»

 

Чтобы создать новый поиск, нужно выбрать New, после чего откроется окно New Mailbox Search, как показано на экране 2. Первое поле Keywords служит для указания ключевых слов, фраз или шаблонов (возможно использование групповых символов), по которым нужно произвести поиск. В рассматриваемом примере выполним поиск по слову «пароль». В случае когда необходимо осуществить поиск по нескольким словам, их следует разделить словом AND (именно в верхнем регистре) либо просто запятыми. Если же нужно произвести поиск по любому из введенных слов, разделить их следует словом OR (также в верхнем регистре). Если использовать слово NOT между двумя словами, то второе из них будет исключено из поиска. Знак звездочки (*), указанный в конце слова, используется в качестве группового символа (заменяет один или несколько символов подряд), а для того чтобы найти точную фразу, ее следует заключить в двойные кавычки. Благодаря новым возможностям, реализованным в службе поиска Exchange, для указания ключевых слов можно также воспользоваться дополнительным синтаксисом запроса Advanced Query Syntax (AQS). С помощью AQS можно добиться гораздо более точных результатов поиска. Этот синтаксис запроса используется в поиске Windows, а также в мгновенном поиске Microsoft Outlook 2007 и более поздних версиях. Получить дополнительную информацию об AQS можно в статье Microsoft «Using Advanced Query Syntax Programmatically» (msdn.microsoft.com/en-us/library/bb266512.aspx).

Если существует вероятность, что некоторые элементы в почтовом ящике пользователя защищены или зашифрованы, можно установить флажок Include items that can’t be searched. Если этот флажок отмечен, результаты поиска будут включать не только сообщения, содержащие искомые ключевые слова, но и те элементы, которые по умолчанию недоступны для поиска — зашифрованные или защищенные при помощи службы Information Rights Management (IRM) сообщения, а также те, которые содержат вложения неизвестного формата. Это стало возможным благодаря использованию IRM-дешифрования в функции Exchange Search. Соответственно, когда производится поиск по нескольким почтовым ящикам, проиндексированные сообщения, защищенные при помощи IRM, отображаются в результатах. Чтобы активировать функцию дешифровки, серверы Exchange должны иметь доступ к сообщению. Это делается посредством добавления почтового ящика федеративной доставки (системного почтового ящика, созданного программой установки Exchange), в группу суперпользователей на сервере Active Directory Rights Management Services (AD RMS). Подробнее с этим процессом можно ознакомиться в статье Microsoft «Add a Federated Delivery Mailbox to the AD RMS Super User Group» (technet.microsoft.com/en-us/library/ee424431.aspx). Для активации поиска по защищенному IRM-содержимому на стороне Exchange необходимо выполнить следующую команду:

Set-irMconfiguration
   -Searchenabled
   $true

Под полем для ввода ключевых слов расположена очень полезная кнопка Select message type. Эта кнопка позволяет выбрать типы элементов, среди которых нужно произвести поиск, как показано на экране 3. Например, можно выбрать для поиска только сообщения электронной почты и элементы календаря, но не задачи, не заметки и т. д. Или можно выбрать поиск сразу по всем элементам в почтовом ящике.

 

Экран 3. Выбор типов сообщений для поиска

 

Следующая секция окна New Mailbox Search, Messages To and From Specific E-mail Addresses, позволяет сузить область поиска до конкретных отправителей или получателей, если они известны. Обратите внимание, что здесь не указывается почтовый ящик, в котором необходимо произвести поиск, а лишь уточняется предмет поиска. Если точный почтовый адрес отправителя или получателя неизвестен, можно указать только имя домена. Например, если ввести @logosoft.ba в поле From, то будет произведен поиск всех сообщений, пришедших от пользователей домена logosoft.ba. Поле To используется аналогичным образом.

Секция Date Range позволяет задать диапазон дат для сообщений к поиску. Диапазон дат можно установить любой. Однако, если диапазон не задан, поиск будет занимать гораздо более длительное время.

Следующая секция — Maiboxes to Search. В этой секции указывается конкретный почтовый ящик или ящики, в которых необходимо произвести поиск. Нажав на кнопку Add, можно добавить к поиску один или несколько почтовых ящиков организации либо произвести поиск сразу по всем почтовым ящикам, выбрав вариант Search all mailboxes. Поиск по всем почтовым ящикам может занять длительное время, особенно если ящиков много и для поиска не указан точный диапазон дат. Обратите внимание, что если поиск производится в почтовом ящике, для которого включен личный архив, то поиск будет производиться и в этом архиве.

Последняя секция — Search name and Storage Location. В поле Search Name можно ввести все что угодно (в этом примере в качестве имени поиска использовано password sharing). Далее нужно нажать кнопку Browse, после чего будет показан список всех доступных в организации ящиков Discovery Search Mailbox; если дополнительные ящики не создавались, то доступен будет только один почтовый ящик обнаружения. В этой же секции можно выбрать возможность отправки уведомления по электронной почте по окончании поиска, а также включить ведение полного журнала. Полный журнал содержит детализированную информацию обо всех найденных во время поиска сообщениях и в виде файла формата CSV (значения, разделенные запятыми) будет вложен в электронное письмо с базовой информацией.

Поиск начинается после нажатия кнопки Save. Если в поиске не задействовано значительное количество объектов, то завершается он, как правило, быстро. Ход поиска можно отслеживать в ECP либо дождаться письма с уведомлением. Также можно запустить более одного поиска одновременно. После того как статус поиска, отображаемый в правой панели ECP, изменится на Succeeded, как показано на экране 4, можно будет открыть результаты поиска. Строчку Results нужно сдвинуть вправо, пока не появится ссылка Open, нажав на которую вы увидите почтовый ящик Discovery Search Mailbox. Чтобы открыть почтовый ящик Discovery Search Mailbox в OWA, необходимо выбрать вариант My Mail. В почтовом ящике для каждого поиска будет создана своя папка, названная по имени этого поиска. Раскрывая папки, можно будет увидеть почтовые ящики и сообщения, которые удовлетворяют параметрам поиска, как показано на экране 5. Каждый найденный элемент можно открыть и просмотреть его содержимое, а также свойства: в какой папке он расположен, отправителя, получателя и время отправки. Если поиск производится по нескольким почтовым ящикам, то одно и то же сообщение может встречаться в результатах поиска несколько раз, поскольку у одного пользователя оно может быть в папке Sent, а у другого — в папке Inbox.

 

Экран 4. Так выглядит результат поиска в ECP

 

 

Экран 5. Структура папок почтового ящика Discovery Search Mailbox с результатами поиска

 

Поиск по нескольким почтовым ящикам может быть также инициирован при помощи EMS. В то время как ECP больше подходит для выполнения время от времени разового поиска, EMS является куда более гибким инструментом, если поиск нужно производить на регулярной основе. Для запуска Discovery Search Mailbox можно использовать код из листинга. Эта команда запускает поиск на обнаружение в почтовом ящике «Дамир Диздаревич» в диапазоне дат, который охватывает весь 2009 год. Поиск производится по словам «пароль» и «конфиденциально», причем искомое сообщение должно содержать оба эти слова; также в поиск включены сообщения, в которых нельзя вести поиск.

Юридическое удержание

Помимо поиска по содержимому основного и архивного почтовых ящиков, для поиска по нескольким почтовым ящикам доступны также элементы, удаленные пользователем. В некоторых обстоятельствах (судебное решение, иск) может возникнуть необходимость в проверке не только текущей электронной корреспонденции, но и той, которую пользователи удаляют. Прежде чем рассматривать эту технологию, необходимо упомянуть об изменениях, которые внесены в корзину Exchange 2010. В предыдущих версиях Exchange корзина была реализована как представление для каждой папки. Фактически это означает, что элементы, находящиеся в корзине, на самом деле оставались в тех же самых папках, из которых были удалены (даже при использовании сочетания клавиш Shift+Delete или очистке папки Deleted Items, но при этом помечались флагом ptagDeletedOnFlag. Помеченные таким образом элементы хранилища исключались из всех стандартных видов Outlook, а также всех квот. Помимо этого, данные с таким флагом не отображались при поиске и не индексировались. Пользователь мог восстановить эти элементы с помощью инструмента Recovery Deleted Items, доступного в OWA, а также окончательно удалить их.

В Exchange 2010 реализована корзина версии 2.0. В отличие от версии 1.0, новая версия реализована не как простое представление, а как папка, именуемая Recoverable Items. Эта папка расположена внутри почтового ящика пользователя в поддереве Non-IPM и в пользовательском интерфейсе не видна. Она индексируется, в ней можно производить поиск, а также предотвратить удаление из нее информации посредством включения функции юридического удержания. Также на эту папку можно назначить квоту. В Exchange 2010, когда пользователь удаляет какой-либо элемент, он более не помечается флагом ptagDeletedOnFlag; вместо этого данный элемент перемещается в подпапку Deletions папки Recoverable Items. Из этой же папки пользователь может восстановить элементы, которые были удалены. Так или иначе, но окончательное удаление пользователем элементов из этой папки теперь невозможно. Если пользователь удаляет какой-либо элемент в папке Recoverable Items, он просто перемещается в подпапку Purges. После этого данный элемент становится недоступен пользователю, однако по-прежнему остается доступен системному администратору, что позволяет предотвратить умышленное сокрытие или уничтожение элементов пользователями.

Функция Legal Hold в основе своей опирается именно на корзину версии 2.0. Функцию Legal Hold можно использовать для:

  • постановки на удержание почтовых ящиков пользователей и сохранения их содержимого в неизмененном виде;
  • сохранения элементов почтового ящика, которые пользователи пытаются удалить после постановки на удержание;
  • сохранения элементов почтового ящика, которые удалены автоматически, согласно политикам хранения управления записями сообщений (MRM).

Юридическое удержание активируется для каждого почтового ящика отдельно и остается практически незаметным для пользователя, поскольку политики хранения продолжают действовать. Включение юридического удержания позволяет сохранить практически все элементы как основного почтового ящика, так и личного архива, и даже если пользователь удалит что-либо, эти элементы по-прежнему будут доступны для поиска.

Элементы в папке Recoverable Items не включаются в квоту пользовательского почтового ящика, что, несомненно, удобно для пользователя. Папка Recoverable Items имеет собственную квоту, которая включает два параметра: RecoverableItemsWarningQuota и RecoverableItemsQuota. По умолчанию значения этих параметров установлены в 20 и 30 Гбайт соответственно. При исчерпании одной из этих квот в журнал приложений сервера почтовых ящиков записывается соответствующее событие, а следовательно, мониторинг этого журнала очень важен. Для изменения размера этих квот для всей базы данных почтовых ящиков используется команда Set-MailboxDatabase, а для отдельных почтовых ящиков — команда Set-Mailbox.

Для активации юридического удержания на почтовом ящике пользователя в EMS применяется следующая команда:

Set-Mailbox user@domain.com
   -Litigationholdenabled $true

Для снятия юридического удержания используется аналогичная команда, только в этом случае параметр $true нужно заменить на $false. При постановке почтовых ящиков на юридическое удержание имеется возможность уведомить об этом пользователей посредством Outlook 2010. Если в организации необходимо уведомлять пользователей о включении режима юридического удержания, можно добавить в свойство Retention Comment почтового ящика пользователя соответствующее уведомление. Это свойство можно задать в EMS при помощи ключа -RetentionComment. Outlook 2010 отображает это уведомление в области Backstage.

Когда поиск методом обнаружения производится в почтовых ящиках, которые поставлены на юридическое удержание, результаты поиска будут включать в себя не только элементы из обычных папок почтового ящика, но также элементы из папки Recoverable Items, которые соответствуют заданным критериям поиска. Таким образом, процедура поиска в почтовых ящиках, поставленных на юридическое удержание, идентична таковой для обычных ящиков, и никаких дополнительных действий производить не требуется.

Используйте силу разумно

Как вы уже могли убедиться, Exchange 2010 предоставляет мощные и при этом удобные для пользователя инструменты для поиска и отслеживания электронной корреспонденции. Однако их применение неуполномоченными лицами может представлять потенциальную угрозу. В некоторых случаях неуполномоченными лицами могут быть даже системные администраторы, несмотря на то что они имеют возможность задействовать эту технологию.

Дамир Диздаревич (ddamir@logosoft.ba) — менеджер учебного центра компании Logosoft в г. Сараево, Босния. Опубликовал более 380 статей в различных ИТ-журналах. Имеет статус MVP в области Windows Server Infrastructure Management и сертификаты MCSE, MCTS, MCITP и MCT

Листинг. Создание Discovery Search Mailbox посредством EMS
New-MailboxSearch -Name "SearchName"
  -StartDate "1/1/2009" -EndDate "12/31/2009"
  -SourceMailboxes "Damir Dizdarevic"
  -TargetMailbox "Discovery Search Mailbox"
  -SearchQuery ‘"password" AND "confidential"’
  -MessageTypes Email
  -IncludeUnsearchableItems
  -LogLevel Full