Exchange 就地电子取证和保留 |简介 | 5#7

Exchange 就地保留和电子数据展示是一个非常强大的工具，可以帮助我们完成三个主要任务。

1. 在单个或多个邮箱中搜索信息（邮件项目）。
2. 将特定信息置于“保留”状态（能够无限期保存信息）。
3. 恢复已删除的邮件项目。

在本文中，我们将回顾 Exchange 就地保留和电子数据展示工具的逻辑和概念。
在下一篇文章中使用 Exchange 就地电子数据展示和保留来恢复已删除的邮件项目 | 6#7，我们将演示如何使用 Exchange 就地保留和电子数据展示工具来恢复已删除的邮件项目。

关于 Exchange 就地电子数据展示和保留，我们应该了解的一件事是，我们使用此工具的“第一次会议”可能会有点混乱，因为我们还不熟悉此工具的逻辑和特征

Exchange 就地电子取证和保留 |服务器端邮箱搜索工具。

如果我们想简化 Exchange 就地电子数据展示和保留的目的，我们可以将 Exchange 就地电子数据展示和保留视为一个巨大的搜索工具。

我使用“巨型”一词是因为与 Outlook 或 OWA 中包含的搜索工具（可以帮助我们在特定邮箱中查找信息）相比，Exchange 就地电子数据展示和保留可以在托管于某个邮箱的所有邮箱中执行搜索。特定的交换组织。

换句话说，Exchange 就地电子数据展示和保留帮助我们“扁平化”所有可能包含数百甚至数千个邮箱的复杂 Exchange 存储基础设施。

Exchange 就地电子数据展示和保留工具的另一个有趣功能是，我们可以使用它来查找和查找位于 Exchange 邮箱所有“不同部分”的特定信息。

使用 Exchange 就地电子数据展示和保留工具，我们可以查找位于用户邮箱所有不同“部分”的信息（邮件项目）。

例如，当使用 Exchange In-Place eDiscovery 时，我们可以在用户邮箱的以下“部分”中搜索特定信息（邮件项目）

• “标准”邮箱（收件箱、已发送邮件、草稿箱等）
• 网上存档邮箱
• 可恢复项目文件夹分区

当我们需要访问邮箱分区（可恢复项目文件夹）时，Exchange 就地电子数据展示工具的真正威力就体现出来了。我们的用户无法访问它来搜索和恢复特定邮件项目。

当我们使用 Exchange 就地电子数据展示查找邮件项目时，结果可能包括有关存储在可恢复项目文件夹中的邮件项目的信息>。

Exchange 就地电子数据展示和保留作为“保留”工具

顾名思义，Exchange 就地电子数据展示和保留有两个主要目的：电子数据展示和保留。

那么，“持有”一词的含义是什么？

术语“就地保留”与我们作为 Exchange 管理员保护特定数据不被删除的能力有关。

例如 - 当我们谈论标准邮箱时，如果用户执行硬删除（从删除文件夹中删除信息） ，默认的 Exchange
已删除项目保留 策略将使我们（作为 Exchange 管理员）能够在一段时间内恢复数据14天。此期限结束后，数据将永远丢失。

“就地保留”操作使我们能够“覆盖”或“绕过”默认的 Exchange 已删除项目保留政策，并且决定我们要将特定邮件项目或特定邮箱数据定义为“未删除”。

在 Exchange 架构中，术语“保留”可以通过使用以下选项之一来实现：

1. 原地保持
2. 诉讼保留

Exchange 2010 服务器版本中引入了诉讼保留功能，Exchange 2013 服务器版本中引入了 Exchange 就地电子数据展示和保留的未来。

Exchange 2013 支持此选项（诉讼保留或就地保留）。

• 在 Exchange 2010 服务器体系结构中，用于在用户邮箱中执行搜索的“部件”被描述为：多个邮箱搜索，而用于保留邮箱的“工具”被描述为诉讼保留。
• 在 Exchange 2013 服务器架构中，搜索多个邮箱+保留信息（邮件项目）的“部分”被统一为一个工具，名为“Exchange 就地电子数据展示和保留”。

提供诉讼保留或就地保留的原因是什么？

诉讼保留或就地保留交换功能“回答”的最初原因或业务需求是为了提供用于实施电子数据展示的工具。

具有法律需求或遵守规定强制性需求的企业公司 - 保存信息（在我们的案例中是邮件）并在公司员工发生非法或犯罪活动时提供证据。

例如，我们怀疑公司员工从事非法或犯罪活动，并且担心他会试图通过删除证据（邮件）来掩盖自己的踪迹。在这种情况下，我们需要完成两个任务：

1. 防止员工选择永久删除特定邮件（将信息置于“保留”状态）
2. 有能力为公司员工的非法或犯罪活动提供证据（有能力扫描用户邮箱并“拉出”所需的邮件）。

随着时间的推移，Exchange 开发人员思考如何使用诉讼保留功能的令人印象深刻的功能作为“备份和恢复”工具，以及 Exchange 2013 版本中提出的诉讼保留的“改进版本”，名称为“就地电子数据展示和恢复”。抓住 ”。

术语“就地电子取证”

“就地电子数据展示”一词是一个有点模糊的术语。
这可能听起来很傲慢，但我敢打赌，即使您是 Exchange 专业人士，您也并不完全清楚这个术语。

造成这种模糊性的原因是：

• Exchange 就地电子数据展示这一术语建立在 Exchange 基础结构中的许多不同部分和组件之上并与其相关，甚至还与其他 Microsoft 技术和产品（例如 SharePoint）相关。
• 公开信息不是那么清晰，并且没有太多信息可以理解“大局”，即呈现与“就地电子数据展示”相关的所有不同 Exchange Online 组件和基础设施。

如果我们想更正式，让我们使用维基百科对该术语的定义 - 电子数据展示

电子证据开示（或 e-discovery 或 ediscovery）是指诉讼或政府调查中涉及电子格式信息交换的证据开示（通常称为电子存储信息或 ESI）。[1]这些数据受当地规则和商定流程的约束，并且在移交给对方律师之前通常会经过特权和相关性审查。
数据被律师识别为潜在相关数据并被合法保留。然后使用数字取证程序提取和分析证据，并使用文件审查平台进行审查。文档可以作为本机文件或转换为 PDF 或 TIFF 格式后进行审阅。[1]文档审阅平台因其能够聚合和搜索大量 ESI 而非常有用。

电子数据展示的概念如何在 Exchange 基础架构中实施？

在基于 Exchange 的环境（Exchange 版本 2013）中实施电子数据展示，通过名为：Exchange 就地电子数据展示和保留的功能实现。

使用 Exchange 就地电子数据展示和保留，我们可以满足所需的需求：

1. 索引数据存储在所有用户邮箱中。
2. 使用使我们能够搜索该基础设施的工具。
3. 使用“保存”数据的工具，意味着可以选择防止特定数据被删除。
4. 从用户邮箱“提取”或“获取”特定数据到“其他位置”的收费 - 我们可以将此操作与在非法或犯罪活动场景中证明的保存相关联，或者仅将此操作与恢复已删除邮件项目的选项。

Exchange 就地电子数据展示和保留基础设施的不同“部分”

尽管需要保持简单，但我发现提供与 Exchange 就地电子数据展示和保留基础架构相关的不同组件的简要概述很重要。

在下图中，我们可以看到创建名为 Exchange 就地电子数据展示和保留的 Exchange 服务的不同“部件”或“构建块”。

1. “坚持”

这部分使我们能够“通知 Exchange”，我们希望将“标记”特定信息（邮件项目）“标记”为在任何情况下都不会删除的信息。

2.邮箱已删除项目“存储”（可恢复项目文件夹）

这是用户邮箱的“隐藏对硫磷”，用作已删除邮件项目的容器（以及用于审核等其他目的）。当我们说“保留”特定信息时，其含义是删除存储在可恢复邮件文件夹中的邮件项目。

3.搜索工具界面&搜索Hold工具界面

这是 Exchange Online Web 管理工具，使我们能够执行搜索、定义搜索参数，并在需要时定义对回答搜索参数的邮件项目的“保留”。

4.搜索结果“商店”

当我们使用 Exchange 就地电子数据展示和保留来搜索“回答”特定参数的邮件项目时，结果将通过使用 OWA Web 客户端的“平面视图”显示。

如果我们需要保存信息（不仅仅是查看信息）以供进一步分析、作为证据或用于恢复目的，但我们也可以要求将数据（搜索结果）“存储”在特定存储中。

Exchange 发现搜索邮箱是内置系统邮箱，充当就地电子数据展示搜索结果的“容器”。

在下面的屏幕截图中，我们可以看到 PowerShell 命令的输出：

Get-Mailbox

我们可以看到 Exchange 发现搜索邮箱与其他用户邮箱一起出现。

我们使用 PowerShell 命令来显示有关 Exchange 发现搜索邮箱的信息，因为 Exchange 发现搜索邮箱不会出现在显示 Exchange 收件人的图形界面中。

5.交易所指数服务

能否在数百甚至数千个邮箱中快速高效地执行操作在很大程度上取决于“交换索引”服务。

搜索并不是通过搜索每个邮箱中存储的“实际数据”来进行的，而是通过搜索Exchange索引数据库来进行邮箱搜索的“搜索”（Exchange索引是配偶提供有关所有邮箱的信息）邮件项目存储在 Exchange 邮箱数据库中）。

Exchange 就地电子取证和保留 |搜索范围和搜索对象

Exchange In-Place eDiscovery & Hold 是一个非常强大的工具，使我们能够激发多种不同类型的搜索。

为了能够使用 Exchange 就地电子数据展示和保留搜索选项，重要的是我们不能使用 Exchange 就地电子数据展示和保留时可用的不同“搜索范围”。

搜索范围级别 1 - Exchange 就地电子数据展示和保留可以在特定用户邮箱、一组邮箱或所有现有邮箱中执行搜索。

大多数时候，在邮件恢复场景中，我们的搜索范围将集中在特定的邮箱上。

搜索范围级别 2 - Exchange 就地电子数据展示和保留邮件恢复方案的“威力”是能够“拉出”存储在
可恢复项目文件夹。

目前，搜索查询参数不包含用于定义仅在可恢复项目文件夹。

注意 - 如果您想要实现仅从可恢复项目文件夹邮箱分区查找和复制信息的邮箱搜索，您将需要使用 PowerShell 命令：

Search-Mailbox

您可以在文章 - 使用 PowerShell cmdlet 恢复已删除的邮件项目中阅读有关如何使用 Search-Mailbox 执行邮件恢复的更多信息7#7

搜索范围级别 3 - 我想提到的最后一个“搜索范围”是与我们要查找的邮件项目“类型”相关的搜索范围。

Exchange 就地电子数据展示和保留工具使我们能够定义特定类型的邮件项目，例如日历邮件项目、联系人邮件项目、注释邮件项目等。

就地电子取证和保留 |搜索查询和搜索结果

就地电子取证和保留 |搜索结果

当使用就地电子数据展示和保留选项搜索特定邮件项目时，“结果”意味着搜索结果，可以通过不同的方式“实施”。

例如，我们创建一个搜索查询并激活搜索过程，搜索过程的结果（搜索结果）可以通过以下方式使用：

1. 有关找到的邮件项目的信息 - 包含有关找到的每个邮件项目的信息的报告。
2. 在搜索过程中找到的特定邮件项目。我们可以要求保存找到的邮件，以用于恢复邮件等目的。
3. 搁置 - 我们可以使用搜索结果（特定邮件项目的列表）来“告诉”Exchange 将这些特定邮件项目搁置。

就地电子取证和保留 |搜索查询

当我们使用就地电子数据展示和保留时，第一步是定义搜索查询。
搜索查询充当我们定义的搜索参数的“容器”。

我们可以使用就地电子数据展示和保留创建的查询示例如下：

• 示例 1 - 我们可以定义一个查询，该查询将在特定时间范围内查找特定用户邮箱中的特定日历、邮件项目。
• 示例 2 - 我们可以定义一个查询，该查询将查找具有特定文本字符串的邮件项目，并执行包括 Exchange 组织中托管的所有邮箱的搜索（定义搜索范围）。

我们用于创建所需搜索查询的 Exchange 就地电子数据展示和保留界面是一个功能强大的界面，因为它使我们能够基于许多不同的参数创建非常具体的查询，例如：

• 日期范围
• 特定邮箱、邮箱组或所有 Exchange 组织邮箱
• 源收件人 - 创建电子邮件项目的收件人。
• 目标收件人 - 接受电子邮件项目的收件人。
• 特定 Exchange 邮件项目 - 能够查找特定类型的 Exchange 邮件项目，例如日历邮件项目、邮件项目、便笺项目等。

创建所需的搜索查询后，我们“执行”搜索操作。

稍后，我们需要决定对“回答”我们定义的特定查询的邮件项目“做什么”。

就地电子取证和保留 |如何处理搜索结果？

搜索操作结束后，我们需要决定

1. 创建有关结果的报告（日志） - 在某些情况下，我们想要的只是获得有关找到的邮件项目的报告。
2. 查看搜索结果 - 此选项与我们想要大致查看找到的邮件项目、查找特定邮件项目内容等的场景相关。
3. 将搜索结果保留在发现搜索邮箱中 - 此选项与恢复邮件项目的场景或我们需要找到的邮件项目作为证据的场景相关。默认情况下，邮件项目将保存在自动创建并命名为“发现搜索邮箱”的 Exchange 专用系统邮箱中。
4. 将搜索结果保留在其他邮箱中 - 如果我们希望将搜索结果中的邮件项目保存在另一个邮箱中而不是默认的 Exchange 发现搜索邮箱中，我们可以这样做。仅当我们通过 PowerShell 界面激活就地电子数据展示和保留时，选择其他邮箱的选项才可用。
5. 将搜索结果导出到 PST 文件 - 这是一个非常有用且舒适的选项，使我们能够导出在 PST 文件中找到的邮件项目。注意 - 我们将在“步骤 5 - 将搜索结果导出到 PST 文件”部分中查看此选项
6. 搁置特定邮件项目 - Exchange 就地电子数据展示和搁置工具使用“搜索查询参数”作为过滤器来搜索回答搜索参数的特定邮件项目，当 Exchange 找到此邮件项目时，搁置“搁置”在此邮件项目上。

Exchange 就地电子数据展示和保留搜索中缺少的一件事

Exchange 就地电子数据展示和保留最显着的“缺失选项”之一是，我们用于创建搜索查询的界面（包含许多用于过滤搜索结果的选项和参数）不包含以下过滤器：使我们能够将搜索范围限制在邮箱分区 - 可恢复项目文件夹。

使用就地电子数据展示和保留的可选方案

场景1 |标准用户邮箱-硬删除事件

具有“标准”邮箱（没有诉讼保留或就地保留的邮箱）的 Exchange 用户和用户执行硬删除邮件项目的方案。

在这种情况下，邮件项目将重新定位到 中的 Purges 文件夹 可恢复项目文件夹分区，并且用户无法使用 Outlook 或OWA 邮件客户端来恢复特定邮件项目。

在这种情况下，Exchange Online 管理员可以使用 Exchange 就地电子数据展示工具恢复邮件，最长期限为 14 天。

场景2 |启用诉讼保留或就地保留的 Exchange 邮箱

用户邮箱配置为的场景：

• 启用诉讼保留
• 启用就地保持

在这种情况下，如果用户执行硬删除操作，我们将能够在诉讼保留或就地保留策略所保护的时间内恢复已删除的邮件。

情况 1 - 邮箱定义为启用诉讼保留
在这种情况下，硬删除的邮件项目将保存在清除文件夹。

情况 2 - 邮箱定义为启用就地保留
在这种情况下，硬删除的邮件项目将保存在DiscoveryHolds 文件夹中。

Exchange Online 就地电子取证 |两个流行的误解

1. Exchange 就地电子数据展示和保留工具仅用于配置为启用诉讼保留或启用就地保留的邮箱

这个假设是错误的！

Exchange 就地电子数据展示 & 顾名思义，它是一种“搜索工具”，用于根据特定参数（搜索查询）搜索邮件项目。

如果邮箱是标准邮箱或配置为启用诉讼保留或启用就地保留的邮箱，则 Exchange 就地电子数据展示和保留“不关心”。

标准邮箱与配置为启用诉讼保留或启用就地保留的邮箱之间的唯一区别是，如果我们在特定邮箱上实施“保留”选项，我们可以使用 Exchange 就地电子数据展示和拥有搜索功能，可搜索和恢复存储在Purges 文件夹或Discovery 保留文件夹的时间比默认的 14 天更长。

2. Exchange Online 就地电子数据展示和保留选项只能由已购买 E3 许可证的客户使用。

这个假设是错误的！

对于已购买 Office 365 商业许可证的 Office 365 客户，Exchange Online 管理界面确实有所不同。

拥有 Office 365 商业许可证的 Office 365 客户的 Exchange Online 管理界面被视为“简化”，并且“E”客户的 Exchange 管理界面中包含的许多菜单和选项不会出现在这个“简化的界面”中。 ”

例如，拥有 Office 365 商业版许可证的 Office 365 客户的“简化管理界面”不包括以下两个选项：就地电子数据展示和保留

我们大多数人不知道的小秘密是，拥有 Office 365 商业许可证的 Office 365 客户也可以使用就地电子数据展示和保留的 Exchange 选项。

问题是我们需要使用一些技巧来显示“高级 Exchange 在线管理”，其中包括就地电子数据展示和保留选项。

需要强调的是，购买 Office 365 商业版许可证的 Office 365 客户无法使用“保留”选项！

Exchange 就地电子数据展示和保留作为“搜索邮箱工具”运行，而不是用于“保留”特定数据