ADM: “Compliance”- Litigation Hold

Print Friendly, PDF & Email

Litigation hold fue introducido en Exchange 2010 RTM y sirve para requerimientos de regulación. Lo que nos hace es que cuando ponemos un buzón el “Hold” el usuario aunque borre los correos, estos correos nunca se borraran del Dumpster, ni siquiera cuando hayan pasado los 14 días de retención de los Ítems que tenemos por defecto configurado en la base de datos

Com Litigation Hold las Retention Policy no necesitan suspenderles, actúan como dicen, pero luego los mensajes no son dorados del dumpster ni siquiera haya pasado el periodo de retención

SLitigation Hold se usa para temas de leyes, en el cual no se puede perder ni un mail aunque se intente eliminar del mailbox, por ejemplo por temas de un juicio, y es muy importante que se mantengan los mails

la diferencia entre Litigation Hold y Single Ítem Recovery, es que en el primero los mails borrados nunca caducaran del dumpster y en el segundo caso, lo harán pasados los 14 días de rigor. De esta forma nunca habrá problemas legales por perdidas de correo de algún litigio, etc…

Qué pasa si tenemos Messaging Record Management (MRM) que dicen que se borren, o Retention policies?, Aquí es donde Litigation Holds nos permite evitar posible problemas

  • Preserve deleted or edited mailbox items (by users);
  • Preserve automatically deleted mailbox items (by MRM: retention policies, managed folder asistant)
  • Search and capture items placed on hold;

Como trabaja

Exchange 2010 introdujo el Recoverable Items folder (anteriormente llamado Dumpster) para proteger de borrados de correo accidentales o malicioso por parte del usuario

Estas carpetas residen en el non-IPM subtree de cada mailbox del usuario y es usado por

  • Deleted Item Retention;
  • Single Item Recovery;
  • Litigation Hold;
  • Mailbox Audit Logging.

 

Bajo esta carpeta hay 4 subcarpetas

  • Deletions, contiene los mailbox items que el usuario ha borrado de la papelera del Exchange y se guardan en esta carpeta, también llamada ( the Recover Deleted Items) mediante OWA o Outlook


  • Versions, usado por Litigation Hold o Single Item Recovery ycontiene el original y copias de modificaciones de los Items
  • Purges, usado por Litigation Hold o Single Item Recovery y contiene los ítems borrado de la carpeta Deletions
  • Audits usado por Mailbox Audit Logging si esta activate (Set-Mailbox Administrator -AuditEnabled $true)


Los items del Recoverable Items folder se mantienen duraran 14 días por defecto, y si un buzón no es puesto en Litigation Hold, pasado este tiempo los ítems serán borrados del dumpster pasado este tiempo de retención


Si un mailbox está activado el Litigation Hold, los ítems se guardan para siempre, hasta que se desactive el Litigation Hold

  • If a user deletes an item from the Deleted Items folder or shift-deletes it from any folder (soft delete), the item is moved to Recoverable Items\Deletions folder, where it can be recovered using the Outlook and OWA Recover Deleted Items view;
  • Si un usuario purga datos desde Recover Deleted Items view (hard delete desde Recoverable Items\Deletions folder), el item se mueve a la carpeta Recoverable Items\Purges
  • Si un usuario modifica un item, una copia del item original se guarda en la carpeta Recoverable Items\Versions

Este es el proceso de Litigation Hold (el mismo que Single Item Recovery)


Cuando un buzón está en Litigation Hold, los items de la subcarpeta Deletions (ventana Recover Deleted ítems) se mueven a la carpeta Purgues pasados los 14 días de retención (como con Single Item recovery), evitando así que el usuario sepa que su buzón está en modo Litigation Hold, es decir, el buzón se comporta de forma normal), pero de ahí no se booran ya jamas

Sabemos que en la carpeta Version se almacenan los items originales que se han modificado lanzándose un proceso coy-on-write con las siguientes acciones

Item

Properties that trigger copy-on-write

Messages or Posts

  • Subject
  • Body
  • Attachments
  • Sender and Recipients
  • Sent and Received Dates

Other items other than Messages or Posts

Any change to a visible property, except:

  • When an item is moved between folders
  • Item status change (read or unread)
  • Changes to a retention tag applied to an item

Draft items and RSS feeds

None. These items are exempt from copy-on-write page protection

Management Role “LEGAL HOLD”

Aunque Microsoft tiene el término “Legal Hold” para poner por ejemplo un buzon el Legal Hold y evitar que se borren correos, tenemos un Management Role (rol administrado) llamado “Legal Hold

La asignación de este rol a una persona de IT, le permite poder poner un buzón en nodo “Legal Hold” y si también quisiésemos que esa persona pudiera hacer un Multi-Mailbox Search (buscar contenido en los buzones) le asignaríamos el Management Role “Mailbox Search”

La forma más fácil de hacerlo es desde ECP. Crariamos un role group en el cual le añadiríamos solo el role managaement “Legal Hold” y le haríamos miembre al usuario de IT

Para matar dos pajaros de un tiro, tenemos un Role Group por defecto llamado “Discovery Management” el cual tiene integrado estos dos roles (Legal Hold y Mailbox search), por lo que asignando el Role group a la persona de IT, podrá activar buzones en modo Legal Hold y buscar en ellos a través de ECP

 

Multi-Mailbox Search (Discovery Mail Box)

Multi-Mailbox Search (conocido como Discovery Search) nos permite investigar dentro de múltiples buzones, por ejemplo en buzones con litigation Hold activado, o para recuperar mail con el Single Item recovery

El uso del Multi-Mailbox Search es delegado a través de RBAC, mediante el role groupDiscovery Management


Cualquier usuario No-Tecnico con este rol asignado puede hacer búsqueda en los buzones a través de ECP sin necesidad de otros privilegios administrativos de Exchange

Exchange 2010 crea por defecto un Discovery mailbox con el display name “Discovery Search Mailbox” y que como vemos tiene un usuario asociado pero que esta desactivado, ya que se accede a través del resultado de las búsquedas por ECP


Para conocer cuantos Discovery mailbox tenemos en la organización

  • Get-Mailbox -Resultsize unlimited | where {$_.RecipientTypeDetails -eq “DiscoveryMailbox”}
  • Get-Mailbox -Filter {RecipientTypeDetails -eq “DiscoveryMailbox”}

     


No obstante podemos crear nosotros un Discovery Mailbox mediante EMS con el cmdlet New-Mailbox y el switch -Discover

 

Mailbox Search también se apoya de un Mailbox del sistema llamado SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}, que no es visible en el EMC (como otros buzones de sistema), no aparece en el address list y que sirve para alojar metadatos para la funcionalidad Multi-Mailbox Search

 

Litigation Hold and Mailbox Quotas

Al igual que Single Item Recovery, un buzon el Litigation Hold nunca purge los mensajes de las carpetas purgues y Versions del Recoverable Item Folder


Esta carpeta (Recoverable ítem) para prevenir ataques de denegación de servicio tiene una cuota máxima, para que en el caso de que se vaya llenando y llenando no deje la base de datos de correo sin espacio, lo que significa que el Recoverable Item folder no cuenta para la cuenta de buzon de usuario

La cuota puede ser establecida a nivel de usuario o base de datos.

A nivel de usuario por defecto es ilimitada, con el tope que indica la cuota la base de datos (30 Gb


A nivel de base de datos es de 30 Gb con un warning a los 20 GB


 

¿Qué pasa si se alcanza esta cuota ?

Ya no se podría guardar más mails en el Recoverable Item Folder lo que significa:

  • El usuario no puede borrar ningún Ítem
  • Exchange no borrará items basándose en retention tags o managed folder settings
  • La protección de versiones no puede guardar en la carpeta versions copias de items editados por el usuario

Ya que esto sería un problema, para eso tenemos el parámetro RecoverableItemsWarningQuota con un umbral establecido, por lo que al llegar a los 20 Gb de uso del Recoverable Item folder se lanzara un Log Event ID 10024 (ID 10023 al llegar a los 30 Gb)

El administrador tendría 3 opciones

  • Eliminar el Litigation Hold del mailbox
  • Usar Search-Mailbox para copiar mensajes del Recoverable Items Folder al Discovery mailbox y entonces borrarlos del buzón (no recomendado)
  • Incrementar la cuota para el buzon:
    • Set-Mailbox <user> –RecoverableItemsWarningQuota 40GB RecoverableItemsQuota 50GB

Para conocer es espacio que un buzón usa del Recoverable Item Folder

  • Get-MailboxFolderStatistics <user> -FolderScope RecoverableItems | Select Identity, FolderAndSubfolderSize


El de todos los buzones juntos

  • Get-Mailbox -ResultSize Unlimited -Filter {LitigationHoldEnabled -eq $True} | Get-MailboxFolderStatistics –FolderScope RecoverableItems | FT Identity, FolderAndSubfolderSize


 

Paso 1: asignar a un administrador permisos “Legal hold”

Por defecto el administrador puede poner el buzón en modo legal Hold, aunque también le puede conceder a otro usuario la capacidad de activar el Litigation Hold a un buzón mediante el Management role “Legal Hold” y más adelante si quisiéramos que pudiera hacer búsquedas en los buzones, le asignaríamos el management roleMailbox Search“.

Puedo asignar el role Group “Discovery Management” que ya lo tiene incorporado

  • Add-RoleGroupMember “Discovery Management” -Member <user>

O crearme un role group llamado “Nike-Legal Hold” el cual solo tenga el rol “Legal Hold” y asignarselo al usuario


  • Add-RoleGroupMember “Nike-LegalHold” -Member juan

 

Paso 2: Poner un Mailbox on Litigation Hold

Por shell

  • Set-Mailbox –identity jose –LitigationHoldEnabled $true –RetentionComment “este buzon esta bajo litigation hold”

Ya esta activado: vemos quien lo puso en este modo (administrador) y cuando se puso


 

Estos son los parametros via EMS para configurar

  • LitigationHoldEnabled Con $True lo activa, con $False lo desactiva
  • LitigationHoldDate: Especifica la fecha de cuando fue el buzon puesto en Litigation Hold, y es rellenado automaticamente por Exchange, pero puede ser cambiado manualmete
  • LitigationHoldOwner Especifica quien puso en mailbox en Litigation Hold, y es rellenado automáticamente por Exchange, pero puede ser cambiado manualmente
  • RetentionComment
    : esta información se verá en Outlook
  • RetentionUrl
    : esta información se verá en Outlook

 

 

Exchange Management Console

Propiedades del mailbox > Mailbox settings > messaging Records management > propiedades > Enable Litigation hold


Opcionalmente al poner la URL y comentario le aparece al usuario

  • Poner un texto y URL a una web o documento para más información del usuario. Esta URL se ve en las propiedades del Outlook pasado un tiempo


IMPORTANTE: Aunque el Litigation Hold es procesado en los primeros 60 minutos tras activarlo, el comentario no se verá en el Outlook 2010 hasta que el MFA (Management Folder Assistant) haya procesado el Mailbox. Este ciclo puede tardar hasta un día (en cliclo de configuración de Ourtlook 2010)

Podemos forzar ejecutar MFA contra el mailbox

  • Start-ManagedFolderAssistant legallaw


.

Exchange Control Panel

Entrar en ECP > manage My organization > user > Mailbox > seleccionamos el buzón


En la columna Mailbox feature activamos el litigation Hold y nos pide que pongamos el texto


 

Si quisiera saber que buzones esta con Litigation Hold

  • Get-mailbox | where {$_.LitigationHoldEnabled –eq “$true”


Para desactivar en todos los buzones que lo tuvieran activado

  • Get-mailbox | where {$_.LitigationHoldEnabled –eq “$true” | set-mailbox – LitigationHoldEnabled $false


Paso 3: Recuperar datos de los buzones

Una vez que ya tenemos los buzones que queremos que tengan el litigation Hold, ahora habrá que dar permisos a usuarios que podrán buscar los mails dentro de esos buzones para buscar información si fuera necesario

Se necesita ser miembro del Role group “Discovery management” el cual tiene asignado los roles “search mailbox” y “Legal Hold“. Por defecto ni el administrador es miembro de este grupo, al igual que con Single Item Recovery

Por Shell

  • Add-RoleGroupMember “Discovery Management” -Member <user>

 

Por Grupo de AD: añadiendo al usuario a este grupo


Por ECP

Vamos a manage My organization > Roles & Auditing > Administrator role > doble click sobre el rol “Discovery management“.

Vemos que este Role Group tiene asignados los roles “Legal Hold” y “Mailbox search”


Añado a los usuarios que quiero puedan hacer la búsqueda en los buzones con Litigations Hold


Busqueda de los mails

Ahora con el usuario con los permisos de “Mailbox Search” entramos en ECP, y hacemos la búsqueda de información como con Single Item Recovery (Litigation Hold no implica tener que habilitar SIR)

Desde el ECP del usuario Ana > manage My organization > mail Control > Discovery > new search


Ponemos los parametros de busqueda: por ejemplo la palabra SMAC y que busque el el buzon con el Legal Hold activado


El nombre de la busqueda y el buzon donde guardar resultados, botón salvar


Aparece la búsqueda, y pinchando en el enlace “Open” se abrirá el “Discovery Search Mailbox” con los resultados


Esta es los resultados


 

LITIGATION HOLD REPORTS

Podemos ejecutar un report de Litigation Hold desde la consola ECP, para chequear que usuarios han tenido el Litigation Hold activado o desactivado de sus buzones

You can also run a Litigation Hold report from the ECP to check which users have had Litigation Hold enabled or disabled for their mailbox. To run it, go to the ECP -> Manage My Organization -> Roles & Auditing > Auditing > Run a Litigation Hold report…


Nos sale el resultado de todas las veces que se activó/desactivo


 

 

Borrado de un buzón con litigation Hold activado

Desde exchange 2010 SP2, exchange evita que un mailbox con Litigation Hold pueda ser borrado o desactivado, evitando asi los borrados accidentales



Para ello el administrador debe desactivarle el Litigation Hold o usar el parámetro “-IgnoreLegalHold”

  • Disable-Mailbox legallaw -IgnoreLegalHold


Este parámetro se ha añadido a:

  • Disable-Mailbox
  • Remove-Mailbox
  • Disable-RemoteMailbox
  • Remove-RemoteMailbox
  • Disable-MailUser
  • Remove-MailUser

 

 

Litigation Hold vs Single Item Recivery vs Retention Hold

Litigation Hold, as explained before, is used during a lawsuit, investigation or similar events to preserve mailbox items from inadvertent or purposeful modification or deletion by the user (or someone with access to the mailbox) and from automated deletion by retention policies. Until the hold is removed, deleted items are not purged from the mailbox database and if a mailbox item is modified, a copy of the original item is also retained. These are returned in Discovery searches performed when the mailbox is on Litigation Hold. Any retention policies applicable to the mailbox don’t need to be suspended. Because messages continue to be deleted as expected (except from the Recoverable Items\Purges folder!), users may not notice they’re on Litigation Hold.

Single Item Recovery preserves items that users purged from their Recoverable Items\Deletions as well as modified items until the deleted item retention period is reached (14 days be default). To the user the items will look purged, but they can still be recovered by an administrator.

Retention Hold prevents retention policies from deleting or moving e-mails to the user’s personal archive for a period of time while the user is temporarily away from work (holidays, sabbatical leave, etc.). Note that this does not affect the mailbox quota – if a user has ProhibitSendReceiveQuota set, e-mails will get bounced back if the mailbox goes over quota! Deleted messages are not treated any differently when a mailbox is on Retention Hold.

The following table hopefully will make the differences even clearer:

Feature State

Soft-deleted items kept in dumpster?

Modified and hard-deleted items kept in dumpster?

User can purge items from dumpster?

MRM automatically purges items from dumpster?

Retention Policies applied?

Single Item Recovery disabled

Yes

No

Yes

Yes, 14 days by default (120 days for calendar items)

Yes

Single Item Recovery enabled

Yes

Yes

No

Yes, 14 days by default (120 days for calendar items)

Yes

Litigation Hold enabled

Yes

Yes

No

No

Yes

Retention Hold enabled

Yes

No

Yes

Yes, 14 days by default (120 days for calendar items)

No

Be the first to comment

Leave a Reply