Comment faire pour désactiver le panneau Options dans Outlook Web Access dans Exchange Server 2007

Traductions disponibles Traductions disponibles
Numéro d'article: 2299129 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article explique comment désactiver le panneau d'Options dans Outlook Web Access (OWA) dans Exchange Server 2007. L'objectif est de fournir une solution de contournement pour la vulnérabilité révélée publiquement.

La vulnérabilité est une attaque de contrefaçon de requête intersites dans laquelle un utilisateur est par la ruse à visiter une page Web malveillante qui est conçue spécifiquement pour l'organisation Exchange cible. Ceci permettrait à l'attaquant d'exécuter des actions au nom de l'utilisateur, telles que l'ajout de nouvelles règles de boîte de réception commande modifier d'autres options d'utilisateur OWA.

Pour réduire le risque pour ce type d'attaque, vous pouvez désactiver le panneau d'Options à l'aide de UrlScan. Vous pouvez utiliser UrlScan pour bloquer des parties connues d'URL qui sont utilisées pour accéder aux pages Options dans OWA.

Remarque :Les pages d'Options est où se trouvent la plupart des paramètres de niveau utilisateur et les règles dans OWA.

Plus d'informations

UrlScan


UrlScan est la fonction anIIS qui utilise un filtre ISAPI pour traiter les demandes http envoyées sur le site Web OWA. Chaque demande passe en premier par l'intermédiaire de ce filtre avant que la demande est traitée par Exchange Server.There est des modèles prévisibles dans la partie de chaîne de requête et le corps de chaque demande transmise au panneau Options. Les modèles prévisibles peuvent servir à rejeter sélectivement les demandes.

Remarque :UrlScan ignore toutes les requêtes pour accéder à ou mettre à jour les éléments des Options ou des règles dans OWA. Ces includerequests par des utilisateurs légitimes au sein de l'organisation.

Pour télécharger UrlScan 32 bits, visitez le site Web Microsoft suivant :
Télécharger UrlScan 32 bits
Pour télécharger UrlScan 64 bits, visitez le site Web Microsoft suivant :
Télécharger UrlScan 64 bits
Pour plus d'informations sur UrlScan, reportez-vous au site Web de Microsoft suivant :
Informations générales à propos de UrlScan

Comment faire pour désactiver le panneau Options dans Exchange Server 2007


Installation


Vous devez définir un filtre pour le site Web OWA UrlScanas. Pour plus d'informations sur la façon de configurer UrlScan, reportez-vous au site Web suivant :
Comment faire pour configurer UrlScan

Après l'installation de UrlScan, le filtre ISAPI sur votre ordinateur ressemble à ceci :
Réduire cette imageAgrandir cette image
La capture d'écran pour le filtre ISAPI.


Paramètre de fichier TheUrlScan.ini


Avec les paramètres de l'illustration ci-dessous montre la valeur du fichier UrlScan.ini. Toutes les chaînes spécifiées dans « DenyOWAOptions » sont recherchés dans la chaîne de requête et les URL. S'ils se produisent, la demande est refusée par IIS.
[Options]

UseAllowVerbs=0

AllowDotInPath=1 

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Utilisateur final


Après l'installation d'UrlScan et configurer les paramètres, les utilisateurs peuvent connecter à OWA comme le montre l'image suivante :
Réduire cette imageAgrandir cette image
La capture d'écran pour OWA.




Toutefois, lorsqu'un utilisateur clique sur le bouton Optionsdans le coin supérieur droit, l'utilisateur reçoit le message de 403 erreur suivant :
Réduire cette imageAgrandir cette image
La capture d'écran de l'erreur 403.




Tâches d'administration


Le répertoire d'installation de UrlScan a également un fichier journal contenant les détails des demandes qui ont été bloqués et le motif du blocage. Par exemple, vous pouvez voir que des informations semblables aux suivantes dans le fichier journal :
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

L'administrateur peut utiliser les outils, tels que LogParser, d'analyse de journal IIS standard pour obtenir plus d'informations et statistiques sur les journaux. Pour plus d'informations sur la façon d'interroger ces journaux, visitez le site Web suivant :
Comment faire pour interroger des journaux

Comment faire pour désactiver le panneau Options dans Exchange Server 2003

UrlScan ne peut pas être utilisé dans Exchange Server 2003 pour désactiver le panneau d'Options ou les règles.

Propriétés

Numéro d'article: 2299129 - Dernière mise à jour: mardi 29 octobre 2013 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Mots-clés : 
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 2299129
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com