O365 Auditoría de Buzones Compartidos - Mejores Prácticas

By: Caio Ribeiro Cesar, Rodolfo Lima, Jesús Santaella, Noah De Wit

Cuando las empresas necesitan compartir recursos con diversos usuarios para que puedan leer y enviar mensajes de correo electrónico en un único buzón, utilizamos buzones compartidos (Shared Mailboxes).

Con un buzón compartido, un grupo de usuarios puede acceder a datos y enviar correos desde un único acceso. El buzón compartido posee facilidades como la utilización de un SMTP genérico para el envío y recepción de mensajes (por ejemplo llamenos@contoso.com), servicios centralizados para funcionarios (por ejemplo helpdesk@contoso.com).

Cuando creamos u buzón compartido en el ambiente de O365, no necesitamos asignar una licencia -por lo que cada usuario que requiere acceso a este buzón compartido necesita tener una licencia asignada.

Los administradores generalmente crean un buzón compartido por medio del proceso común:

A. Creación de buzón de tipo Shared por cmdlet New-Mailbox:

New-Mailbox -Name "Cloud Shared" -Alias llamenos -Shared

B. Configuración de cuotas en este buzón compartido:

Set-Mailbox "Cloud Shared" -ProhibitSendReceiveQuota 5GB -ProhibitSendQuota 4.75GB -IssueWarningQuota 4.5GB

C. Creación de un Grupo de Seguridad para que los usuarios puedan acceder a este buzón compartido:

Mi Organización > Usuarios y Grupos > Grupos de Distribución > Nuevo > Cambiar este grupo a grupo de seguridad

D. Asignar permisos de FullAccess al grupo de seguridad para ingresar al buzón compartido:

Add-MailboxPermission "Cloud Shared" -User LlamenosDG -AccessRights FullAccess

E. Asignar permisos de SendAs para que el grupo LlamenosDG pueda enviar correos como el buzón compartido "Cloud Shared" :

Add-RecipientPermission "Cloud Shared" Trustee llamenosdg -AccessRights SendAs

Luego de aproximadamente 1 hora los permisos estarán propagados.

La mayoría de los administradores crea este último permiso y ya permite que los usuarios accedan al buzón de correo sin problemas. ¿Cuál sería la mayor preocupación de una empresa que se preocupa con qué es ingresado, compartido y removido de un buzón de correo que es ingresada simultáneamente por diversos usuarios?

En el año 2000, Microsoft ha publicado un artículo por Scott Gulp -una versión enfocada al administrador para las "Ten Immutable Laws of Security". En este artículo, tenemos la ley #5 que se aplica a lo que discutiremos en este artículo:

  • Law #5: Eternal vigilance is the price of security: Básicamente lo que discute la Ley 5 es que incluso aplicando parches de seguridad, efectuando endurecimiento de sistemas y otros métodos de protección un atacante puede utilizar métodos donde tendrá acceso a los datos de la empresa. El log de eventos es un arma de defensa del administrador, sabiendo que ocurre en la organización y que hacer para mantener los datos seguros.

La mayor preocupación de una empresa que posee diversos usuarios ingresando a un buzón compartido y teniendo datos históricos de lo que se ha producido del acceso a este buzón compartido, por lo que debemos, como mejor práctica, habilitar la auditoría para cualquier buzón de tipo Shared.

Auditoría de buzones, por el contrario de auditoría de administración, no está habilitado por defecto en un ambiente de O365. El primer paso es entonces habilitar la auditoría al buzón compartido:

Set-Mailbox "Cloud Shared" -AuditEnabled $true

De esta manera, habilitamos auditoría para el buzón compartido. Ingresando al portal, puede validar que la auditoría está funcionando:

Mi organización > Informes > Acceso al buzón de correo por parte de usuarios no propietarios

image

Cuando habilitamos la auditoría para delegados, por defecto, estas son las propiedades que serán auditadas:

Get-Mailbox "Cloud Shared" | Select-Object -ExpandProperty AuditDelegate

Update

SoftDelete

HardDelete

SendAs

Create

Los accesos que serán auditados serán solamente los de edición de mensajes, borrado, enviar como y crear nuevo mensaje.

La siguiente tabla muestra las acciones que pueden ser auditadas:

Acción

Descripción

Administradores

Usuarios Delegados

Update

Cambiar mensaje

Si

Si

Copy

Copiar mensaje a carpeta

No

No

Move

Mover mensaje a carpeta

Si

No

MoveToDeletedItems

Mover mensaje a la carpeta de Elementos Eliminados

Si

No

SoftDelete

Eliminar mensajes de la carpeta de Elementos Eliminados

Si

Si

HardDelete

Purgar mensajes de la carpeta de Elementos Recuperables

Si

Si

FolderBind

Acceso a carpeta

Si

No

SendAs

Enviar mensaje utilizando permisos de Enviar Como (se ve como si lo enviara el dueño del buzón)

Si

Si

SendOnBehalf

Enviar mensaje utilizando permisos de Enviar A Nombre De (identifica el mensaje como enviado por otra persona diferente al dueño del buzón)

Si

No

MessageBind

Ver mensajes en el panel de vista previa o abrir mensaje

No

No

De esta manera, podemos validar que el acceso a las carpetas del buzón no es auditado. Habilite esta función siguiendo el modelo del siguiente comando:

Set-Mailbox "Cloud Shared" -AuditDelegate,Update,SoftDelete,HardDelete,SendAs,Create,FolderBind

Confirmando que FolderBind fue adicionado:

Get-Mailbox "Cloud Shared" | Select-Object -ExpandProperty AuditDelegate

Update

SoftDelete

HardDelete

FolderBind

SendAs

Create

De esta manera los accesos a los directorios de los buzones de correo compartidos serán auditados:

image

Otros ejemplos:

image

image

image

image