Cómo deshabilitar el panel de opciones de Outlook Web Access en Exchange Server 2007

Seleccione idioma Seleccione idioma
Id. de artículo: 2299129 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe cómo deshabilitar el panel de opciones de Outlook Web Access (OWA) de Exchange Server 2007. La intención es proporcionar una solución para la vulnerabilidad divulgada de Exchange.

La vulnerabilidad es un ataque de falsificación de solicitud entre sitios en los que un usuario engañado visitar una página Web malintencionada que está diseñada específicamente para la organización de Exchange de destino. Esto podría permitir al atacante realizar acciones en nombre del usuario, como la adición de nuevas reglas de la Bandeja de entrada y cambiar otras opciones de usuario OWA.

Para reducir el riesgo de este ataque, puede deshabilitar el panel de opciones mediante el uso de UrlScan. Puede utilizar UrlScan para bloquear los elementos conocidos de direcciones URL que se utilizan para tener acceso a las páginas de opciones de OWA.

NotaLas páginas de opciones es donde reside la mayoría de la configuración del nivel de usuario y las reglas de OWA.

Más información

UrlScan


UrlScan es característica de Aniithää que utiliza un filtro ISAPI para procesar las solicitudes http enviadas al sitio Web de OWA. Cada solicitud de primeras pasadas a través de este filtro antes de que la solicitud es procesada por Server.There de intercambio son patrones predecibles dentro de la parte de la cadena de consulta y el cuerpo de cada solicitud transmitida al panel de opciones. Los modelos de predicción pueden utilizarse para denegar las solicitudes de forma selectiva.

NotaUrlScan rechazarán todas las solicitudes para obtener acceso a o para actualizar los elementos de opciones o de las normas en OWA. Estos includerequests de usuarios legítimos dentro de la organización.

Para descargar UrlScan de 32 bits, visite el siguiente sitio Web de Microsoft:
Descargar UrlScan de 32 bits
Para descargar UrlScan de 64 bits, visite el siguiente sitio Web de Microsoft:
Descargar UrlScan de 64 bits
Para obtener más información acerca de UrlScan, visite el siguiente sitio Web de Microsoft:
Información general acerca de UrlScan

Cómo deshabilitar el panel de opciones de Exchange Server 2007


Instalación


Tiene que configurar UrlScanas un filtro para el sitio Web de OWA. Para obtener más información acerca de cómo configurar UrlScan, visite el siguiente sitio Web:
Cómo configurar UrlScan

Después de instalar UrlScan, el filtro ISAPI en el equipo es similar a la siguiente:
Contraer esta imagenAmpliar esta imagen
Captura de la pantalla para el filtro ISAPI.


Configuración del archivo de TheUrlScan.ini


Configurar el archivo UrlScan.ini con la configuración que se muestra debajo. Se buscan todas las cadenas especificadas en "DenyOWAOptions" en la cadena de dirección URL y de consulta. Si se producen, IIS deniega la solicitud.
[Options]

UseAllowVerbs=0

AllowDotInPath=1 

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Experiencia del usuario final


Después de instalar UrlScan y configurar las opciones, los usuarios pueden iniciar sesión en OWA como se muestra en la siguiente imagen:
Contraer esta imagenAmpliar esta imagen
Captura de la pantalla para OWA.




Sin embargo, cuando un usuario hace clic en el botón Opcionesen la esquina superior derecha, el usuario recibe el siguiente mensaje de 403 error:
Contraer esta imagenAmpliar esta imagen
Captura de la pantalla para el error 403.




Tareas administrativas


El directorio de instalación de UrlScan también tiene un archivo de registro que contiene los detalles de las solicitudes que se han bloqueado y el motivo del bloqueo. Por ejemplo, puede ver información similar a la siguiente información en el archivo de registro:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

El administrador puede utilizar el registro de IIS estándar, tales como LogParser, las herramientas de análisis para obtener más información y estadísticas acerca de los registros. Para obtener más información acerca de cómo consultar estos registros, visite el siguiente sitio Web:
Cómo consultar los registros

Cómo deshabilitar el panel de opciones de Exchange Server 2003

UrlScan no puede utilizarse en Exchange Server 2003 para deshabilitar el panel de opciones o en el panel reglas.

Propiedades

Id. de artículo: 2299129 - Última revisión: martes, 29 de octubre de 2013 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Palabras clave: 
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2299129

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com