Come disattivare il Pannello opzioni in Outlook Web Access in Exchange Server 2007

Traduzione articoli Traduzione articoli
Identificativo articolo: 2299129 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritto come disattivare il Pannello opzioni in Outlook Web Access (OWA) in Exchange Server 2007. Intende rappresentare una valida soluzione per la vulnerabilitÓ divulgata pubblicamente in Exchange.

La vulnerabilitÓ Ŕ con un attacco di Cross-Site Request falsificazione in cui un utente Ŕ indotto a visitare una pagina Web dannosa, realizzata appositamente per l'organizzazione di Exchange di destinazione. Ci˛ potrebbe consentire all'utente malintenzionato di eseguire azioni per conto dell'utente, ad esempio l'aggiunta di nuove regole posta in arrivo andto modificare altre opzioni utente OWA.

Per ridurre il rischio per l'attacco, Ŕ possibile disattivare il Pannello opzioni utilizzando UrlScan. ╚ possibile utilizzare UrlScan per bloccare noti parti dell'URL utilizzato per accedere alla pagina di opzioni in OWA.

Nota.Le pagine di opzioni Ŕ dove si trovano la maggior parte delle impostazioni a livello utente e le regole in OWA.

Informazioni

UrlScan


UrlScan Ŕ caratteristica anIIS utilizza un filtro ISAPI per elaborare le richieste http inviate al sito Web di OWA. Ogni richiesta di prime passate attraverso questo filtro prima che la richiesta viene elaborata dalla Server.There di Exchange sono modelli prevedibili all'interno della parte della stringa di query e il corpo di ogni richiesta trasmesso nel pannello Opzioni. Modelli prevedibili consente di negare in modo selettivo le richieste.

Nota.UrlScan rifiuterÓ tutte le richieste per l'accesso o per aggiornare gli elementi opzioni o le regole in OWA. Questi includerequests da utenti legittimi all'interno dell'organizzazione.

Per scaricare UrlScan a 32 bit, visitare il seguente sito Web Microsoft:
Scaricare UrlScan a 32 bit
Per scaricare UrlScan a 64 bit, visitare il seguente sito Web Microsoft:
Scaricare UrlScan a 64 bit
Per ulteriori informazioni su UrlScan, visitare il seguente sito Web Microsoft:
Informazioni generali su UrlScan

Come disattivare il Pannello opzioni in Exchange Server 2007


Installazione


╚ necessario impostare UrlScanas un filtro per il sito Web OWA. Per ulteriori informazioni su come configurare UrlScan, visitare il seguente sito Web:
Come configurare UrlScan

Dopo l'installazione di UrlScan, il filtro ISAPI nel computer in uso Ŕ simile al seguente:
Riduci l'immagineEspandi l'immagine
La schermata per il filtro ISAPI.


Impostazione del File TheUrlScan.ini


Impostare il file URLScan. ini con le impostazioni visualizzate di sotto. Tutte le stringhe specificate in "DenyOWAOptions" vengono eseguita la ricerca nella stringa di query e URL. Se si verificano, la richiesta viene negata da IIS.
[Options]

UseAllowVerbs=0

AllowDotInPath=1á

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Esperienza dell'utente finale


Dopo l'installazione di UrlScan e configurare le impostazioni, gli utenti possono accedere a OWA come illustrato nell'immagine seguente:
Riduci l'immagineEspandi l'immagine
Schermata di OWA.




Tuttavia, quando un utente fa clic sul pulsante Opzioninell'angolo superiore destro, l'utente riceve il seguente messaggio di 403 errore:
Riduci l'immagineEspandi l'immagine
Schermata dell'errore 403.




AttivitÓ amministrative


La directory di installazione di UrlScan dispone anche di un file di registro che contiene i dettagli di quali richieste sono state bloccate e il motivo per il blocco. Ad esempio, si pu˛ vedere che alcune informazioni analoghe alle seguenti nel file di registro:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

L'amministratore pu˛ utilizzare strumenti quali LogParser, di analisi del registro IIS standard per ottenere ulteriori informazioni e le statistiche sui registri. Per ulteriori informazioni su come eseguire una query di questi registri, visitare il seguente sito Web:
Come i log di query

Come disattivare il Pannello opzioni in Exchange Server 2003

Impossibile utilizzare UrlScan in Exchange Server 2003 per disattivare il pannello Opzioni o le regole.

ProprietÓ

Identificativo articolo: 2299129 - Ultima modifica: martedý 29 ottobre 2013 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Chiavi:á
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2299129
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com