none
2013CU9: Protokollierung der Outlook Anmeldungen RRS feed

  • Frage

  • Liebes Forum,

    unser Betriebsrat möchte wissen, ob denn die Anmeldungen von Outlook am Exchange protokolliert werden.

    Wenn dies die Standardeinstellung ist, wie kann ich nur diese Verbindungen aus dem Protokoll nehmen?
    Oder werden keine IPs protokolliert (wäre ziemlich sinnlos, aber wer weiß)?

    Viele Grüße aus Berlin
    Davorin

    Donnerstag, 4. Februar 2016 14:07

Antworten

  • Moin,

    es gibt diverse Logs, in denen Infos zu Benutzeranmeldungen stehen. Im Exchange sind es besonders die POP3-, SMTP- IMAP4 und IIS-Logs. Man kann hier nicht differenziell deaktivieren. Es geht nur an oder aus.

    Aber auch in den Security Events der Server und DCs usw. stehen Login-Informationen. Die kann man über Gruppenrichtlinien-Einstellungen steuern. Und schließlich protokolliert Exchange den letzten Login in einem Postfach im Postfach selbst, da kenne ich keine Möglichkeiten, das zu deaktivieren.

    Da nur "an oder aus" geht, würde ich mit Betriebsrat an Deiner Stelle lieber vereinbaren, dass nicht die Protokollierung abgeschaltet, sondern der Zugriff auf die Protokolle geregelt wird. Die Protokolle sind ein wichtiges Mittel für das Troubleshooting und die Informationssicherheit, da man mit ihnen ja auch Angriffe erkennen kann. Das Abschalten würde ein notwendiges Arbeitsmittel wegnehmen und damit eventuell sogar die Betriebsicherheit gefährden (und es wäre oft ein Verstoß gegen den BSI-Grundschutz, falls das bei Euch ein Argument ist).

    Eventuell hilft es auch, dem BR mal in Ruhe die technischen Grundlagen zu erklären. Ich hatte so einen Wunsch auch schon öfter und oft haben die Leute eingesehen, dass die reine technische Information der IP-Adresse oder des Anmeldevorganges überbewertet wird. Zum Beispiel weil DHCP im Einsatz ist und der User immer andere Adressen hat. Oder zum Beispiel weil kein DHCP im Einsatz ist und die Adresse damit sowieso bekannt. Oder weil schlicht die Abmeldung nicht protokolliert wird (das ist Standard und kann in manchen Logs auch gar nicht aktiviert werden) Wenn ich nur weiß, wann und an welchen Rechnern sich ein Benutzer angemeldet hat, aber nicht, wann er sich wieder abgemeldet hat, wird eine Kontrolle meist nutzlos, weil sie grundsätzlich anfechtbar ist. Und dann interessiert sich ein BR auch nicht mehr dafür.

    Wichtig ist in meine Erfahrung nur immer gewesen, dass man den BR und den Datenschutzbeauftragen von Anfang an einfängt und an den Infos teilhaben lässt. Die hatten oft vollkommen abgehobene Vorstellungen davon, was möglich ist und wenn man ihnen einfach mal die Protokolle gezeigt hat, kamm da ganz schnell Ernüchterung auf.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 5. Februar 2016 08:22