Exchange 2016- inplace hold, inplace archive, inplace ediscovery, litigation hold 都有啥区别以及原理

最新推荐文章于 2019-01-03 11:59:00 发布
原创 最新推荐文章于 2019-01-03 11:59:00 发布 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Exchange 2016 #compliance #litigation #inplace hold

本文解析了Exchange2016中inplacearchive、inplaceediscovery、inplacehold及litigationhold等概念的区别与联系,阐述了它们在合规管理中的作用。

Exchange 2016 给IT用户们带来了很多变动。有兴趣的同学可以通过这边文章一览大概 (What's new in Exchange 2016 https://technet.microsoft.com/en-us/library/jj150540%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396).


在这些变动中,对于compliance的管理加强是一个重点。Compliance 更多强调的是合规性,有时带有法律强制性要求。在业务多元化,信息日益增长和变化的时代,用户应该及时洞悉并主动管理邮件系统中的信息合规性。不过Exchange 2016 里有很多看似相近的概念 -- inplace hold, inplace archive, inplace ediscovery, litigation hold,什么区别,什么时候用哪一个?这些相近的概念容易引起用户疑惑。 我们今天就简单做一个比较:


inplace archive: 是Exchange 2016 为配合mailbox archive 特性而为用户准备的archive mailbox. 顾名思义,它是用来给用户存放超过一定时间的邮箱内容。所以inplace archive与合规性没有关系;

inplace ediscovery: 简单来说,inpalce ediscovery 是一个搜索功能,它让管理员能够以搜索的形式访问到所有复合搜索条件的所有邮箱的内容。它这一功能的实现基于Exchange Search 和 Exchange 2016 里的RBAC (基于角色访问控制)。搜索的语法基于KQL (Keyword query language 关键字查询语言),可以在Exchange 2016 管理中心 (EAC)或者powershell 里面用new-mailboxsearch 来实现,搜索的结果可以保存到一个特定邮箱,或者导出存为PST,或者将搜索到的内容开启 inplace hold 进行监管,方便管理员/稽查访问或者存档。所以inplace ediscovery 是和inplace hold 一起作为一个wizard出现在Exchange 2016.


inplace hold: 管理员可以对符合搜索条件的邮箱内容开启inpalce hold. 使得这一部分的内容在指定时间内无法被彻底删除,篡改(任何更改会有版本留档)。改功能的实现基于-InPlaceHoldEnabled $true 这个属性,以及Exchange Dumpster (Exchange Recover deleted items 实现的基础)。

litigation hold: 相比于inplace hold基于inplace ediscovery 查询,litigation hold 对象是整个邮箱。一旦对于一个邮箱开启litigation hold (-LitigationHoldEnabled $true),该邮箱的所有内容无法彻底删除/篡改,它的工作机制和inplace hold 一致。


所以,litigation hold 和 inplace hold 是类似功能,区别在于litigation hold面向邮箱,inplace hold 基于查询;是同一种功能的不同维度场景应用。


那么问题来了,litigation hold/inplace hold 怎么实现内容无法彻底删除/篡改? 这里要引入Dumpster的概念, 先看一张图:


Recoverable Items folder


Dumpster: Exchange 赋予 mailbox的一个“系统文件夹”,又叫recoverable items folder, 用于保留被用户删除的内容实现流程化的内容删除回复,以及合规管理。 从deleted items 被删除的邮件先进入deletions, 邮件在deletions 满足了 deleted item retention time 就会移动到purges, 然后MFA把这些内容彻底删除。所以从purges 中消失的内容才是真正删除; Dumpster 是Exchange 实现 Single item recovery, 实现inplace hold, litigation hold的一个基础。


Deletions: 从deleted items被删除的邮件进入deletions;

Versions: 开启litigation hold 或者 inpalce hold后有邮件修改发生,原版和修改版都会保留在Versions (所以无法篡改);

Purges: Deletions 里面的内容满足Deleted item retention time 就到 Purges. 如果没有开 Single Item Recovery, litigation hold, MFA (mailbox folder assistant) 会将里面内容彻底删除。如果开了Single item recovery, litigation hold, Purges 里面的内容不会删除 (所以开启litigation hold 后用户是无法彻底删除内容的);

Audits : 用来保存mailbox auditting log。

DiscoveryHold: inplace hold 开启后,MFA不会将超过deleted item retention time的内容彻底删除,而是存放到inplace ediscovery (所以开启inplace hold后用户无法彻底删除内容).


综上可知,inplace hold 和 litigation hold 的区别有两个 :


1. litigation hold 面向整个邮箱,inplace hold 基于查询,他们是同一个功能在不同场景的应用;

2. litigation hold 的实现基于dumpster purges, inplace hold的实现基于dumpster DiscoveryHold.


希望此文可以给广大用户们理清 inplace archive, inplace ediscovery, inplace hold, litigation hold这几个概念。有问题欢迎留言.



Exchange 2016 信息安全利器 - DLP
DynamicsAgg的博客
10-09 529
熟悉Exchange 的同学们可能早熟悉了DLP (Data Loss prevention). 信息资产将是今后所有公司的重点资产,因而旨在成为公司信息传输/协作解决方案的Exchange 提出了信息安全高要求。结合前文所讲Inplace hold/litigation hold,DLP 与他们一起组成了信息合规/信息安全的一道主动屏障. DLP在Exchange 2013中首次亮相,在Office365中经过广大企业用户的试炼之后,在Exchange 2016中得到了扩展,具体表现为: 1. 更多.
Exchange高危0day漏洞 -- 直接拿下你的域控和服务器 -- 立即行动!CVE-2021-26855
DynamicsAgg的博客
03-03 5112
漏洞介绍: 微软在今天2020-03-02 发布了紧急的0day漏洞更新, 有以下几个漏洞:CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065 CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and ...
Microsoft Exchange In-Place Hold and Litigation Hold
aozhui7913的博客
01-03 433
In-Place Hold and Litigation Hold 是用来保留和管理邮件的一种设置。区别: 去向不同, In-Place Hold ==>discoverHold文件夹 Litigation Hold ==> purge文件夹 Hold的点不同 In-Place hold 按需hold,比如:时间范围,关键词,from,to的...
exchange server 2013 In-Place eDiscovery问题
weixin_33834679的博客
08-17 157
前段时间,接到用户的电话,说是在打开exchange server 2013 ECP管理中心后,打开:就地电子数据展示和保留时报错,错误截图如下: 通过分析这个选项是调用后端服务器的EWS进行的,判断问题应该出在CAS跟MBX通讯时出错. 打开ADSI EDIT,定位到以下目录:CN=EWS (Exchange Back End),CN=HTTP,CN=Protocols,CN=MBX01,CN=...
Microsoft Exchange Inactive mailbox
aozhui7913的博客
01-03 272
Inactive mailbox是指邮箱在开启了Litigation Hold 后,用户被删除后,其邮箱就变成了Inactive mailbox。 Inactive mailbox的查看再Security & Compliance中的Data Governance下的Retention, 点击...进入    Inactive mailbox恢复方式有两种: ...
Microsoft Exchange eDiscovery
aozhui7913的博客
01-03 325
eDiscovery就是用来找回已删除的recoverable items邮件。 现在因为改版,新的search到了Security & Compliance中的Search & investigation 传统的eDiscovery需要再eDiscovery management中添加成员,赋予权限 需要注意的一点是,当用命令操作的时候,先要new一个search...
Exchange 2013 就地保留
weixin_34364071的博客
07-01 197
转自Exchange中文站:http://www.exchangecn.com/html/exchange2013/20130502_451.html当存在诉讼的合理预期时,需要组织保留与事实相关的以电子方式存储的信息 (ESI),包括电子邮件。 这种预期通常会在知道事实的细节之前发生,并且保留内容通常很广泛。 组织可能需要保留与特定主题相关的所有电子邮件,或特定个人的所有电...
08-Archiving, eDiscovery and Compliance.pptx
09-04
在现代企业管理中,归档、电子发现(eDiscovery)和合规性是确保信息管理符合法律和组织需求的关键组成部分。Microsoft的归档解决方案提供了一系列功能,旨在帮助企业管理员和用户更加高效地处理信息保留、搜索和...
IGN-ITP-05-Exchange Online 服务概览和管理.pptx
最新发布
09-08
Exchange Online是微软提供的一款企业电子邮件和协作服务,它具备世界领先的电子邮件服务器架构,并由微软进行管理和维护。该服务继承了Exchange多年在企业邮件领域的投入,并获得了客户的信任和依赖。Exchange On...
8 Archiving, eDiscovery and Compliance.pptx
09-29
支持本地、在线以及Exchange Online Archiving,提供灵活的归档选择。自动和基于时间的归档策略可以在文件夹级别和邮件级别上设置,邮件中能显示过期日期,帮助用户及时管理过期的邮件。 归档功能在管理方面也进行...
Exchange Server 2013就地保留诉讼保留
weixin_33686714的博客
04-17 513
9.3 就地保留诉讼保留当存在诉讼的合理预期时,需要组织保留与事实相关的以电子方式存储的信息 (ESI),包括电子邮件。这种预期通常会在知道事实的细节之前发生,并且保留内容通常很广泛。组织可能需要保留与特定主题相关的所有电子邮件,或特定个人的所有电子邮件。可能会采用以下度量标准来保留电子邮件,具体取决于组织的电子发现(电子数据展示)实践:可能会要求最终用户通过不删除任何邮件...
易宝典——玩转O365中的EXO服务 之三十五 实现诉讼保留
weixin_33910385的博客
03-16 563
基于用户邮箱,可以通过诉讼保留来实现其邮箱所有内容的保留。如果企业需要实现这一功能,为用户分配的Office 365订阅必须是企业E3版或以上,也可以是Exchange Online计划2或以上。对于世纪互联版Office 365的高级商业版是不独立支持,但可以附加采购Exchange Online计划2。置于诉讼保留中的邮箱,将保留包括已删除项和已修改项的原始版本在内的所有...
Exchange - Deleted Item Recovery and Deleted Mailbox Recovery
weixin_33754065的博客
11-25 289
Deleted Item Recovery and Deleted Mailbox Recovery This article describes how to use the Deleted Item Retension and Deleted Mailbox Retension feature in Exchange 2000. Published: ...
修改input中placehold的属性
weixin_34413065的博客
11-23 3643
2019独角兽企业重金招聘Python工程师标准>>> ...
Exchange 单封邮件的恢复
挨踢人生
12-26 1327
1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。 2. 找到并单击下面的注册表子项:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Exchange/Client/Options 3. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。 4. 键入 DumpsterAlwaysOn,然后按 Enter。 5. 双击“Dumpste
关于hold-out data的一些资料
Deep Learning and NLP Farm
10-20 6999
http://www.genetics.org/content/197/2/573.long http://stats.stackexchange.com/questions/104713/hold-out-validation-vs-cross-validation http://www.cnblogs.com/chaofn/p/4673478.html http://www.cs
Exchange Server 各版本比较
weixin_34194379的博客
10-22 533
下表显示了与以前版本相比,Exchange Server 2013 提供的新功能或改进功能。Exchange Server 2007Exchange Server 2010Exchange Server 2013查看许可选项保持控制简化的管理: 借助 Exchange 管理中心使用单个基于 Web 的界面管理所有 Exchange 服务(包括内部部署服务和在线服务)。稳健灵...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值