Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Γιατί είναι σημαντικό
Εάν η παράκαμψη ελέγχου γραμματοκιβωτίου είναι ενεργοποιημένη για έναν λογαριασμό, αυτός ο λογαριασμός μπορεί να έχει πρόσβαση σε οποιοδήποτε γραμματοκιβώτιο για το οποίο έχει δικαιώματα χωρίς να δημιουργούνται καταχωρήσεις στο αρχείο ελέγχου. Αυτό σημαίνει ότι ενέργειες όπως διαγραφές μηνυμάτων ή μη εξουσιοδοτημένη πρόσβαση παραμένουν εντελώς ακαταγραφές, καθιστώντας αδύνατο τον εντοπισμό εσωτερικών απειλών ή κακόβουλων ενεργειών. Για τους διαχειριστές IT, αυτό δημιουργεί ένα τυφλό σημείο που υπονομεύει την αντιμετώπιση περιστατικών και τις εγκληματολογικές έρευνες.
Τι ελέγχει το Aether365
Το Aether365 επαληθεύει ότι η ιδιότητα AuditBypassEnabled δεν είναι ενεργοποιημένη σε κανέναν λογαριασμό γραμματοκιβωτίου στον οργανισμό σας στο Microsoft 365. Αυτός ο έλεγχος εμφανίζεται στο ταμπλό του Aether365 στην ενότητα microsoft-365 και επισημαίνει λογαριασμούς όπου η παράκαμψη ελέγχου είναι ενεργή.
Πώς να το διορθώσετε
- Συνδεθείτε στο Exchange Online PowerShell χρησιμοποιώντας έναν λογαριασμό με τον κατάλληλο ρόλο διαχειριστή (π.χ. Organization Management).
- Εκτελέστε την ακόλουθη cmdlet για να εντοπίσετε όλους τους λογαριασμούς με ενεργοποιημένη παράκαμψη ελέγχου:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Για κάθε λογαριασμό που δεν πρέπει να έχει παράκαμψη ελέγχου, αφαιρέστε την παράκαμψη εκτελώντας:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Για λογαριασμούς όπου υπάρχει γραπτή εξαίρεση (π.χ. για λογαριασμούς υπηρεσιών ή εργαλεία παρακολούθησης που απαιτούν παράκαμψη), τεκμηριώστε την εξαίρεση και διασφαλίστε ότι πραγματοποιούνται τακτικές αναθεωρήσεις.
Συμμόρφωση
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- Ευθυγραμμίζεται με τις βέλτιστες πρακτικές καταγραφής ελέγχου για αντιμετώπιση περιστατικών και εγκληματολογική ετοιμότητα