Exchange Server 2007에서 Outlook Web Access의 옵션 패널을 사용 하지 않도록 설정 하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 2299129 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

옵션 창에서 웹 액세스 OWA (Outlook) Exchange Server 2007에서을 사용 하지 않도록 설정 하는 방법을 설명 합니다. 함을 교환 건과 공개 된 취약점에 대 한 해결을 제공 하는 것입니다.

사용자를 속이는 대상 Exchange 조직에 맞게 조작 된 악성 웹 페이지를 방문 하는 사이트 간 요청 위조 공격 취약점이입니다. 이 공격자는 사용자 대신 작업을 수행, andto 새 받은 편지함 규칙을 추가 하는 등 다른 OWA 사용자 옵션을 변경 합니다.

이 공격의 위험을 줄이기 위해 옵션 패널 UrlScan을 사용 하 여 비활성화할 수 있습니다. 알려진된 부분 OWA의 옵션 페이지에 액세스 하는 데 사용 되는 Url 차단 하도록 UrlScan을 사용할 수 있습니다.

참고옵션 페이지는 대부분의 사용자 수준 설정 및 규칙 OWA에서 상주 하는 곳입니다.

추가 정보

UrlScan


UrlScan은 ISAPI 필터를 사용 하 여 OWA 웹 사이트에 전송 하는 http 요청을 처리 하는 anIIS 기능입니다. 첫 번째 Exchange Server.There에 의해 요청이 처리 되기 전에이 필터를 통과 쿼리 문자열 부분 및 옵션 패널 전송 된 모든 요청 본문에서 예측 가능한 패턴은 모든 요청 합니다. 선택적으로 요청을 거부 하려면 예측 가능한 패턴을 사용할 수 있습니다.

참고UrlScan 액세스 또는 옵션 항목이 나 OWA에서 규칙을 업데이트 하도록 모든 요청을 거부 됩니다. 이 includerequests는 조직 내의 합법적인 사용자의.

UrlScan 32 비트 다운로드, 다음 Microsoft 웹 사이트를 방문 하십시오.
UrlScan 32 비트 다운로드
UrlScan 64 비트 다운로드, 다음 Microsoft 웹 사이트를 방문 하십시오.
UrlScan 64 비트 다운로드
UrlScan에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
UrlScan에 대 한 일반 정보

Exchange Server 2007의 옵션 패널을 사용 하지 않도록 설정 하는 방법


설치


UrlScanas OWA 웹 사이트에 대해 필터를 설정 해야 합니다. UrlScan을 설정 하는 방법에 대 한 자세한 내용은 다음 웹 사이트를 방문 합니다.
UrlScan을 설정 하는 방법

UrlScan을 설치 하면 컴퓨터에 ISAPI 필터는 다음과 같습니다.
그림 축소그림 확대
ISAPI 필터는 스크린 샷을 합니다.


TheUrlScan.ini 파일


UrlScan.ini 파일 아래에 표시 된 설정을 사용 하 여 설정 합니다. URL 및 쿼리 문자열 "DenyOWAOptions"에 지정 된 문자열을 모두 검색 됩니다. 발생 하는 경우 IIS에서 요청이 거부 됩니다.
[Options]

UseAllowVerbs=0

AllowDotInPath=1?

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

최종 사용자 환경


UrlScan을 설치 하 고 설정을 구성한 후 사용자가 로그온 할 수 OWA에 다음 그림 에서처럼.
그림 축소그림 확대
Owa는 스크린 샷을 합니다.




그러나 사용자가 오른쪽 위 모서리에서 옵션단추를 클릭 하면 사용자 다음 403 오류 메시지를 받습니다.
그림 축소그림 확대
403 오류 화면 샷.




관리 작업


UrlScan 설치 디렉터리 차단 된 요청을 차단 하는 이유의 세부 사항을 포함 하는 로그 파일을 있습니다. 예를 들어, 일부 정보가 유사한 로그 파일에 다음 정보가 나타날 수 있습니다.
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

관리자는 LogParser, 같은 도구를 구문 표준 IIS 로그를 사용 로그에 대 한 통계와 정보를 얻을 수 있습니다. 이러한 로그를 쿼리 하는 방법에 대 한 자세한 내용은 다음 웹 사이트를 방문 합니다.
로그를 쿼리 하는 방법

Exchange Server 2003의 옵션 패널을 사용 하지 않도록 설정 하는 방법

UrlScan 규칙 패널 또는 옵션 패널을 사용 하지 않도록 설정 하려면 Exchange Server 2003에서 사용할 수 없습니다.

속성

기술 자료: 2299129 - 마지막 검토: 2013년 10월 29일 화요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
키워드:?
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:2299129

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com