Как отключить панель «параметры» в Outlook Web Access для Exchange Server 2007

Переводы статьи Переводы статьи
Код статьи: 2299129 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описывается отключение панели «параметры» в Outlook Web Access (OWA) в Exchange Server 2007. Целью является предоставление временного решения для сообщалось в открытых источниках Exchange.

Уязвимость является атаки межузловых запросов подделку, в котором пользователь является обманным посетите веб-страницу, сконструированное специально для целевой организации Exchange. Это может позволить злоумышленнику выполнять действия от имени пользователя, такие как добавление новых правил для папки «Входящие» andto изменить другие параметры пользователя OWA.

Чтобы снизить риск для этой атаки, можно отключить панель параметров с помощью средства UrlScan. Можно использовать средство UrlScan блокирует известные части URL-адреса, используемые для доступа к странице параметров в OWA.

ПримечаниеПараметры страницы, где находятся параметры уровня пользователя и правила в OWA.

Дополнительная информация

UrlScan


UrlScan — функция anIIS, которая использует фильтр ISAPI для обработки HTTP-запросов, отправляемых на веб-узел OWA. Все запросы, что первый проходит через фильтр перед обработкой запроса, Exchange Server.There прогнозируемый шаблонов в теле каждого запроса, передаваемые параметры панели и строка запроса, включенная. Прогнозируемый шаблонов можно выборочно запретить запросы.

ПримечаниеUrlScan будет отклонять все запросы для доступа к или обновить параметры элементов или правила в OWA. Эти includerequests из законных пользователей в организации.

Чтобы загрузить 32-разрядные средства UrlScan, посетите следующий веб-узел корпорации Майкрософт:
Загрузить средство UrlScan 32-разрядный
Чтобы загрузить 64-разрядные средства UrlScan, посетите следующий веб-узел корпорации Майкрософт:
Загрузить средство UrlScan 64-разрядная
Дополнительные сведения о средстве UrlScan посетите следующий веб-узел корпорации Майкрософт:
Общие сведения о средстве UrlScan

Как отключить панели «параметры» в Exchange Server 2007


Установка


Необходимо настроить UrlScanas фильтра для веб-узла OWA. Дополнительные сведения о том, как настроить средство UrlScan посетите следующий веб-узел:
Как настроить средство UrlScan

После установки средства UrlScan фильтра ISAPI на локальном компьютере примерно так:
Свернуть это изображениеРазвернуть это изображение
Снимок экрана для фильтра ISAPI.


Настройки файла TheUrlScan.ini


Установите файл UrlScan.ini с параметрами показан ниже. Все строки, указанной в «DenyOWAOptions» производится поиск в строке URL-адреса и запроса. Если они будут выполнены, запрос отклоняется службами IIS.
[Options]

UseAllowVerbs=0

AllowDotInPath=1 

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

Работы конечных пользователей


После установки средства UrlScan и настройки параметров, пользователи могут войти в OWA как показано на следующем рисунке:
Свернуть это изображениеРазвернуть это изображение
Снимок экрана для OWA.




Тем не менее когда пользователь нажимает на кнопку " Параметры" в правом верхнем углу, пользователь получает следующее сообщение об ошибке 403:
Свернуть это изображениеРазвернуть это изображение
Снимок экрана для ошибка 403.




Административные задачи


В каталог установки средства UrlScan также имеет файл журнала, содержащий сведения о заблокированных какие запросы и причину блокировки. Например вы можете увидеть некоторые сведения напоминает следующие сведения в файл журнала:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

Администратор может использовать стандартный журнал IIS при анализе средств, например LogParser, чтобы получить дополнительные сведения и статистические данные о журналах. Дополнительные сведения о том, как запросить эти журналы посетите следующий веб-узел:
Как запросить журналов

Как отключить панель «параметры» в Exchange Server 2003

UrlScan не может использоваться в Exchange Server 2003 для отключения панели параметров или панели «правила».

Свойства

Код статьи: 2299129 - Последний отзыв: 29 октября 2013 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
Ключевые слова: 
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2299129

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com