Como desativar o painel de opções do Outlook Web Access no Exchange Server 2007

Traduções deste artigo Traduções deste artigo
ID do artigo: 2299129 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve como desativar o painel de opções no Outlook Web Access (OWA) no Exchange Server 2007. A intenção é fornecer uma solução para a vulnerabilidade divulgada publicamente no Exchange.

A vulnerabilidade é com um ataque de falsificação de solicitação intersite em que um usuário é levado a visitar uma página maliciosa que é criada especificamente para o organização do Exchange de destino. Isso pode permitir ao invasor executar ações em nome do usuário, como a adição de novas regras de caixa de entrada andto alterar outras opções de usuário do OWA.

Para reduzir o risco para que esse ataque, você pode desativar o painel de opções usando o UrlScan. Você pode usar o UrlScan para bloquear partes conhecidas de URLs usados para acessar as páginas de opções do OWA.

ObservaçãoAs páginas de opções é onde a maioria das configurações de nível de usuário e regras no OWA reside.

Mais Informações

UrlScan


O UrlScan é um recurso de anIIS que usa um filtro ISAPI para processar solicitações http enviadas para o site do OWA. Todas as solicitações passam primeiro por este filtro antes que a solicitação é processada pelo Server.There do Exchange é padrões previsíveis dentro a parte da cadeia de caracteres de consulta e o corpo de cada solicitação transmitido para o painel de opções. Os padrões previsíveis podem ser usados para negar seletivamente as solicitações.

ObservaçãoO UrlScan negará todas as solicitações de acesso ou para atualizar itens de opções ou as regras no OWA. Essas includerequests de usuários legítimos dentro da organização.

Para fazer o download de 32 bits do UrlScan, visite o seguinte site da Microsoft:
Fazer o download de 32 bits do UrlScan
Para fazer o download de 64 bits do UrlScan, visite o seguinte site da Microsoft:
Fazer o download de 64 bits do UrlScan
Para obter mais informações sobre o UrlScan, visite o seguinte site da Microsoft:
Informações gerais sobre o UrlScan

Como desativar o painel de opções no Exchange Server 2007


Instalação


Você precisa configurar um filtro para o site do OWA UrlScanas. Para obter mais informações sobre como configurar o UrlScan, visite o seguinte site:
Como configurar o UrlScan

Depois que você instalar o UrlScan, o filtro ISAPI no computador é semelhante ao seguinte:
Recolher esta imagemExpandir esta imagem
Captura de tela para o filtro ISAPI.


Configuração do arquivo TheUrlScan.ini


Defina o arquivo URLScan ini com as configurações mostradas abaixo. Todas as cadeias de caracteres especificadas em "DenyOWAOptions" são pesquisadas na seqüência de consulta e URL. Se ocorrerem, a solicitação é negada pelo IIS.
[Options]

UseAllowVerbs=0

AllowDotInPath=1 

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Experiência do usuário final


Depois de instalar o UrlScan e definir as configurações, os usuários podem fazer logon no OWA como mostra a figura a seguir:
Recolher esta imagemExpandir esta imagem
Captura de tela para o OWA.




No entanto, quando um usuário clica no botão Opçõesno canto superior direito, o usuário recebe a seguinte mensagem de 403 erro:
Recolher esta imagemExpandir esta imagem
Captura de tela de erro 403.




Tarefas administrativas


O diretório de instalação do UrlScan também tem um arquivo de log que contém os detalhes sobre as solicitações que foram bloqueadas e o motivo do bloqueio. Por exemplo, você verá que informações semelhantes às seguintes informações no arquivo de log:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

O administrador pode usar o log padrão do IIS análise ferramentas, como o LogParser, para obter mais informações e estatísticas sobre os logs. Para obter mais informações sobre como consultar esses logs, visite o seguinte site:
Como consultar logs

Como desativar o painel de opções no Exchange Server 2003

O UrlScan não pode ser usado no Exchange Server 2003 para desabilitar o painel de opções ou no painel regras.

Propriedades

ID do artigo: 2299129 - Última revisão: terça-feira, 29 de outubro de 2013 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Palavras-chave: 
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2299129

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com