Exchange Online FullAccess İzni Verilmiş Kullanıcı Mailbox ve SharedMailbox’ların PowerShell ile Listelenmesi
Organizasyonunuz içerisinde Exchange Online kullanıyorsanız, muhakkak Mailbox (Posta Kutusu) ve SharedMailbox (Paylaşılan Posta Kutusu) oluşturmuşsunuzdur. Bazı durumlarda oluşturulan bu posta kutularını ful erişim yetkisi vererek ilgili posta kutularını başkalarının görmesini sağlayabilirsiniz. Örnek verecek olursak info,satıs, finans gibi posta kutularını yetkili olan kişilere tanımlayarak kişilerin bu posta kutularına tam erişim sağlamasını sağlayabiliriz. Böylelikle bu kişiler bu posta kutuları üzerinde kendi posta kutularında olduğu gibi izinlere sahip olacaktır. Peki bir şekilde bu posta kutularını yetkisi olmayan kullanıcılara tanımlanırsa ne olacak ? cevap oldukça basit görmemesi gerek kullanıcıların buradaki bilgilere erişmesini sağlayacak ve muhtemelen veri sızıntılarına neden olacaktır. Bu durumların önüne geçebilmek için belirli periyotlarda bu posta kutularının izinlerini kontrol etmek gerekecektir. Ufak organizasyonlar için GUI üzerinden bu işlemi yapmak kolay olacaktır lakin büyük organizasyonlar için çin işkencesine dönüşeceği için hem mailbox’ların hemde sharedmailbox’ların yetkilerini PowerShell yardımı ile FullAccess yetkisi verilmiş kullanıcıları görüntüleyebileceğiz.
Öncelikle bu işlemi yapmadan önce PowerShell uygulamamızı Yönetici olarak çalıştırmamız ve Exchange Online servisine bağlanmamız gerekecektir. Bu işlemleri yapabilmek için bu bağlantıdan yardım alabilirsiniz.
Mailbox’ların PowerShell ile Listelenmesi
Get-Mailbox | Where-Object {$_.RecipientTypeDetails -eq "UserMailbox"} | Get-MailboxPermission | Where-Object { $_.AccessRights -match "FullAccess" -and $_.IsInherited -eq $false -and $_.User.ToString().IndexOf("@") -gt 0 } | Select-Object Identity,User,AccessRights
Yukarıdaki PowerShell betiğini kullanarak organizasyon içerisinde bulunan Mailbox (Posta Kutusu) kullanıcılarını görüntüleyebiliriz. Burada sadece FullAccess yetkisi almış kullanıcıları göreceğiz. Yukarıdaki görseli kontrol ettiğimizde Identity bölümündeki kullanıcılara user kısmında yazan kullanıcılara FullAccess yetkisinin verildiğini göstermektedir. Yani User yazan kısımda admin kullanıcısının adem kullanıcının posta kutusuna eriştiğini görebiliriz.
SharedMailbox’ların PowerShell ile Listelenmesi
Get-Mailbox -RecipientTypeDetails SharedMailbox -ResultSize:Unlimited | Get-MailboxPermission | Where-Object { $_.AccessRights -match "FullAccess" -and $_.IsInherited -eq $false -and $_.User.ToString().IndexOf("@") -gt 0 } |Select-Object Identity,User,AccessRights
Yukarıdaki PowerShell betiğini kullanarak organizasyon içerisinde bulunan SharedMailbox (Paylaşılan Posta Kutusu) kullanıcılarını görüntüleyebiliriz. Burada sadece FullAccess yetkisi almış kullanıcıları göreceğiz. Yukarıdaki görseli kontrol ettiğimizde Identity bölümündeki kullanıcılara user kısmında yazan kullanıcılara FullAccess yetkisinin verildiğini göstermektedir. Yani User yazan kısımda admin kullanıcısının Hacker User kullanıcının posta kutusuna eriştiğini görebiliriz.