Deaktivieren Sie im Bereich Optionen in Outlook Web Access in Exchange Server 2007

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2299129 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt, wie das Optionsmenü in Outlook Web Access (OWA) in Exchange Server 2007 deaktiviert. Die Absicht ist eine Problemumgehung für die öffentlich gemeldete Sicherheitsanfälligkeit in Exchange bereitstellen.

Die Schwachstelle ist mit einem Cross-Site Request Forgery Angriff, in dem ein Benutzer eine bösartige Website, die speziell für die Zielorganisation von Exchange konzipierte besuchen verleitet. Dies könnte der Angreifer anstelle des Benutzers Aktionen durchführen, z. B. das Hinzufügen von neuen Regeln für den Posteingang und anderen Benutzeroptionen für OWA zu ändern.

Um das Risiko für diesen Angriff zu vermeiden, können Sie mithilfe von UrlScan Bereich Optionen deaktivieren. UrlScan können Sie blockieren bekannte Teile von URLs, die auf den Optionsseiten in OWA verwendet werden.

HinweisDie Optionsseiten ist, in denen meisten Benutzereinstellungen und Regeln in OWA befinden.

Weitere Informationen

UrlScan


UrlScan ist einen ISAPI-Filter verwendet, um auf die OWA-Website gesendeten HTTP-Anforderungen verarbeiten AnIIS Funktion. Jede Anforderung übergibt, die durch diesen Filter vor der Verarbeitung von Exchange-Server.There werden zuerst vorhersehbaren Mustern in den Abfragezeichenfolgenabschnitt und den Rumpf der jeder Anforderung an das Optionsmenü übertragen werden. Vorhersehbare Muster können verwendet werden, um selektiv die Anfragen ablehnen.

HinweisUrlScan wird jede Anforderung für den Zugriff auf oder Optionen Elemente oder die Regeln in OWA aktualisieren verweigert. Diese Includerequests von legitimen Benutzern innerhalb der Organisation.

Für den download der 32-Bit-UrlScan finden Sie auf der folgenden Microsoft-Website:
32-Bit-UrlScan downloaden
Für den download von UrlScan 64-Bit finden Sie auf der folgenden Microsoft-Website:
Download von UrlScan 64-bit
Weitere Informationen zu UrlScan finden Sie auf der folgenden Microsoft-Website:
Allgemeine Informationen zu UrlScan

Deaktivieren Sie im Bereich Optionen in Exchange Server 2007


Installation


Sie müssen einen Filter für die OWA-Website UrlScanas einrichten. Weitere Informationen zum Einrichten von UrlScan finden Sie auf der folgenden Website:
Gewusst wie: Einrichten von UrlScan

Nach der Installation von UrlScan ähnelt der ISAPI-Filter auf Ihrem Computer die folgenden:
Bild minimierenBild vergrößern
Der Screenshot für den ISAPI-Filter.


TheUrlScan.ini Einstellung


Legen Sie mit den Einstellungen angezeigt, darunter die Datei UrlScan.ini. Alle Zeichenfolgen, die in "DenyOWAOptions" angegeben, werden in der URL und die Abfragezeichenfolge Zeichenfolge durchsucht. Wenn sie auftreten, wird die Anforderung von IIS verweigert.
[Options]

UseAllowVerbs=0

AllowDotInPath=1 

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Benutzerfreundlichkeit


Nach der Installation von UrlScan und die Einstellungen konfigurieren, können Benutzer OWA wie die folgende Abbildung zeigt anmelden:
Bild minimierenBild vergrößern
Der Screenshot für OWA.




Klickt ein Benutzer auf die Schaltfläche Optionenin der oberen rechten Ecke, erhält der Benutzer jedoch die Fehlermeldung 403:
Bild minimierenBild vergrößern
Der Screenshot für 403-Fehler.




Administrative Aufgaben


Das UrlScan-Installationsverzeichnis hat auch eine Protokolldatei, die Informationen über die Anforderungen blockiert wurden und den Grund für das Sperren von enthält. Zum Beispiel sehen Sie, dass einige Informationen die folgende Informationen in der Protokolldatei ähnelt:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

Der Administrator kann standard IIS Protokoll-Analyse-Tools, z. B. LogParser, erhalten Sie weitere Informationen und Statistiken über die Protokolle verwenden. Weitere Informationen dazu, wie Sie diese Protokolle Abfragen finden Sie auf der folgenden Website:
Abfragen von Protokollen

Deaktivieren Sie im Bereich Optionen in Exchange Server 2003

UrlScan kann in Exchange Server 2003 verwendet werden, deaktivieren Sie die Optionen-Bedienfeld oder Bedienfeld "Regeln".

Eigenschaften

Artikel-ID: 2299129 - Geändert am: Montag, 28. Oktober 2013 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Keywords: 
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2299129
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com