Злоумышленникам нравится использовать Outlook в различных целях. Например, злоумышленник может автоматически пересылать электронные письма на удаленный адрес или сохраняются в сети, создавая правила на стороне клиента, которые запускают вредоносную программу / сценарий, когда пользователь получает электронное письмо. Есть ли способ запросить правила Outlook, хранящиеся в Exchange, для обнаружения потенциально вредоносных правил? Можно ли заблокировать некоторые типы правил Outlook (например, выполнение программы / сценария)?
В PowerShell (конечно!) Есть несколько удобная Get-InboxRule
Technet Link . Я говорю несколько удобно, потому что он может запрашивать только один почтовый ящик.
Поскольку вы пытаетесь обнаружить определенные типы правил (утечка информации за пределы организации), я бы посоветовал вам поискать некоторые конкретные свойства правила.
DeleteMessage
= True ForwardAsAttachmentTo
= (не null) ForwardTo
= (not null) Могут быть и другие, которые имеют отношение к вам. Используйте Get-InboxRule -Mailbox (скрыто) | FL
, чтобы перечислить все свойства, или сослаться на ссылку на статью Technet.
Это правда! Некоторые типы правил есть только в клиенте Outlook. Эта ссылка предоставляет руководство по типам правил, которые будет труднее отследить.
Лучшее решение, о котором я знаю прямо сейчас, - это использовать инструмент NotRuler . Кроме того, наполовину готовое решение состоит в том, чтобы извлечь двоичный BLOB-объект, в котором хранится двоичный BLOB-объект действия правила (один пример можно найти здесь с использованием управляемого API веб-служб Exchange) и запустить строки для действия правила. двоичный BLOB-объект и ищите любые подозрительные строки (бегущие строки - это хитрый способ проанализировать двоичный блок, поскольку структура большого двоичного объекта не задокументирована).