none
Datenbank oder Transaktionsprotokolle manipulierbar? RRS feed

  • Frage

  • Guten Tag zusammen,

    ich habe eine Frage, die im ersten Anblick vielleicht etwas komisch klingt. Ich möchte gern wissen, ob ein Anwender bzw. Administrator rein technisch dazu in der Lage wäre, eine Datenbank von Exchange Server 2010 bzw. die Transaktionslogs zu manipulieren. Zum Beispiel das entfernen eines Datensatzes über eine gesendete Mail... Und das ganze ohne Spuren zu hinterlassen oder die Datenbank zu beschädigen. Mir persönlich ist da nichts bekannt, ich stecke aber ehrlich gesagt nicht so tief drin, als das ich das mit Sicherheit beurteilen könnte...

    Danke im Voraus und freundliche Grüße
    Stefan Fenselau


    Dienstag, 10. September 2013 09:08

Antworten

  • Hi,

    wenn du das TrackingLog, die gesendete Email, den serverseitigen Papierkorb, das SMTP-Log löschst und das TransaktionenLog über ein Backup abschneidest, solltest du nichts mehr finden, wobei es immer etwas gibt und sei es die fehlenden Logs, die mich misstrauisch machen.

    Grundsätzlich vertraut man einem Admin und man sagt adieu.

    

    Grüße

    Christian

    • Als Antwort markiert Alex Pitulice Mittwoch, 16. Oktober 2013 12:52
    Dienstag, 10. September 2013 11:29
    Moderator
  • Moin,

    ergänzend zu Christian, der ja nur über die "Klartext"-Logs spricht. Die kann man natürlich manipulieren.

    In der Exchange Datenbank selbst dürfte es für einen Admin nicht möglich sein, irgendwas ohne weitere Beschädigungen zu löschen. Die Datenbank ist zwar nicht verschlüsselt, dass gesamte Gebilde aber offiziell nicht dokumentiert. Es nützt Dir aber nur wenig, denn mit einfachen Mitteln kommst Du auch nicht an die Info.

    Den serverseitigen Papierkorb zu löschen, nützt bei aktiviertem Dumpster 2.0 wenig, da die Mails dann noch im Dumpster liegen, den ein Admin zwar sehen, aber nicht löschen kann (wobei ich aus dem Kopf nicht weiß, ob man eventuell mit MFCMAPI da rankommt).

    Selbst danach sind die Mails noch in der EDB-Datei enthalten, bis sie überschrieben werden. Das ist aber auch nur theoretisch, den genauso, wie der Admin die nicht Daten da nicht löschen kann, gibt es für Dich kein Werkzeug für den Zugriff. Das heißt aber nicht, dass nicht z.B. im Rahmen eines Ermittlungsverfahrens Microsoft selbst diese Daten bereitstellen könnte.


    Grüße aus Berlin schickt Robert MVP Exchange Server

    • Als Antwort markiert Alex Pitulice Mittwoch, 16. Oktober 2013 12:52
    Dienstag, 10. September 2013 15:24

Alle Antworten

  • Hi,

    wenn du das TrackingLog, die gesendete Email, den serverseitigen Papierkorb, das SMTP-Log löschst und das TransaktionenLog über ein Backup abschneidest, solltest du nichts mehr finden, wobei es immer etwas gibt und sei es die fehlenden Logs, die mich misstrauisch machen.

    Grundsätzlich vertraut man einem Admin und man sagt adieu.

    

    Grüße

    Christian

    • Als Antwort markiert Alex Pitulice Mittwoch, 16. Oktober 2013 12:52
    Dienstag, 10. September 2013 11:29
    Moderator
  • Moin,

    ergänzend zu Christian, der ja nur über die "Klartext"-Logs spricht. Die kann man natürlich manipulieren.

    In der Exchange Datenbank selbst dürfte es für einen Admin nicht möglich sein, irgendwas ohne weitere Beschädigungen zu löschen. Die Datenbank ist zwar nicht verschlüsselt, dass gesamte Gebilde aber offiziell nicht dokumentiert. Es nützt Dir aber nur wenig, denn mit einfachen Mitteln kommst Du auch nicht an die Info.

    Den serverseitigen Papierkorb zu löschen, nützt bei aktiviertem Dumpster 2.0 wenig, da die Mails dann noch im Dumpster liegen, den ein Admin zwar sehen, aber nicht löschen kann (wobei ich aus dem Kopf nicht weiß, ob man eventuell mit MFCMAPI da rankommt).

    Selbst danach sind die Mails noch in der EDB-Datei enthalten, bis sie überschrieben werden. Das ist aber auch nur theoretisch, den genauso, wie der Admin die nicht Daten da nicht löschen kann, gibt es für Dich kein Werkzeug für den Zugriff. Das heißt aber nicht, dass nicht z.B. im Rahmen eines Ermittlungsverfahrens Microsoft selbst diese Daten bereitstellen könnte.


    Grüße aus Berlin schickt Robert MVP Exchange Server

    • Als Antwort markiert Alex Pitulice Mittwoch, 16. Oktober 2013 12:52
    Dienstag, 10. September 2013 15:24