Exchange Server 2007 の Outlook Web Access の [オプション] パネルを無効にする方法

文書翻訳 文書翻訳
文書番号: 2299129 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料で Outlook Web Access (OWA) Exchange Server 2007年でのパネルのオプションを無効にする方法を説明します。目的は、Exchange の公開された脆弱性の回避策を提供します。

この脆弱性は、クロスサイト リクエスト偽造攻撃のユーザーは専用の先の Exchange 組織に巧妙に作成されたが、悪意のある web ページを訪問して騙されています。これにより、攻撃者は、ユーザーに代わってアクションを実行する、新しい受信トレイ ルールを追加するなどとその他の OWA ユーザー オプションを変更します。

この攻撃のリスクを抑えるためには UrlScan を使用して、オプション パネルを無効にできます。UrlScan を使用するには、OWA のオプション ページへのアクセスに使用される Url の既知の部分をブロックします。

メモ オプション ページでは、ユーザー レベルの設定と OWA のルールのほとんどが存在する場所です。

詳細

UrlScan


UrlScan は、OWA web サイトに送信された http 要求を処理する ISAPI フィルターを使用する anIIS 機能です。すべての要求は要求が Exchange Server.There によって処理される前に、このフィルターによって、最初のパスにはクエリ文字列部分と、[オプション] パネルに送信されるすべての要求の本文内の予測可能なパターンです。予測可能なパターンを選択して、要求を拒否することができます。

メモ UrlScan にアクセスするため、またはオプション項目、または OWA 内のルールを更新するには、すべての要求を拒否します。これらの includerequests、組織内で正当なユーザーからです。

UrlScan 32 ビットをダウンロードする、次のマイクロソフト web サイトを参照してください。
UrlScan 32 ビットをダウンロードします。
UrlScan 64 ビットをダウンロードする、次のマイクロソフト web サイトを参照してください。
UrlScan 64 ビットをダウンロードします。
UrlScan の詳細については、次のマイクロソフト web サイトを参照してください。
UrlScan の全般的な情報

Exchange Server 2007年では、オプション パネルを無効にする方法


インストール


UrlScanas、OWA web サイト用のフィルターの設定があります。UrlScan を設定する方法の詳細については、次の web サイトを参照してください。
UrlScan を設定する方法

UrlScan をインストールした後、コンピューターに ISAPI フィルターは、以下に示します。
元に戻す画像を拡大する
画面は、ISAPI フィルターのショットです。


TheUrlScan.ini ファイルの設定


下に表示の設定で、UrlScan.ini ファイルを設定します。"DenyOWAOptions"で指定されたすべての文字列は、URL とクエリ文字列で検索されます。発生した場合、要求は IIS によって拒否されます。
[Options]

UseAllowVerbs=0

AllowDotInPath=1?

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

エンド ユーザー エクスペリエンス


UrlScan をインストールし、設定を構成した後にユーザーが OWA にログオンとして次の図に示します。
元に戻す画像を拡大する
OWA のスクリーン ショットです。




ただし、ユーザーが右上隅にある [オプション] ボタンをクリックしたときに次の 403 エラー メッセージに届きます。
元に戻す画像を拡大する
403 エラーのスクリーン ショット。




管理タスク


UrlScan のインストール ディレクトリには、どの要求がブロックされていると、ブロックの原因の詳細が含まれるログ ファイルもあります。たとえば、いくつかの情報がログ ファイルには、次の情報に似ていますを参照して可能性があります。
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

管理者より多くの情報とログについての統計情報を取得するには、LogParser などのツールを解析する標準の IIS ログを使用できます。これらのログを照会する方法の詳細については、次の web サイトを参照してください。
ログを照会する方法

Exchange Server 2003年の [オプション] パネルを無効にする方法

UrlScan は、オプション パネルまたはルール ・ パネルを無効にする Exchange Server 2003年では使用できません。

プロパティ

文書番号: 2299129 - 最終更新日: 2013年10月29日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
キーワード:?
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2299129
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com