如何停用在 Exchange Server 2007年中的 Outlook Web Access 中的 [選項] 面板

文章翻譯 文章翻譯
文章編號: 2299129 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文說明如何停用在 Outlook Web Access (OWA) 在 Exchange Server 2007年中的 [選項] 面板。目的是為公開揭發的 Exchange 弱點提供解決。

這項弱點是跨網站要求偽造攻擊,在其中誘騙使用者造訪惡意的網頁,製作專為目標的 Exchange 組織。這可能會允許攻擊者執行代表使用者的動作,例如新增新的收件匣規則 andto 變更為其他 OWA 使用者選項。

若要減少此類攻擊的風險,您都可以使用 UrlScan 來停用 [選項] 面板。您可以使用 UrlScan 來封鎖已知的組件的 Url,用來存取 OWA 中的 [選項] 頁。

附註[選項] 頁是大部分的使用者層級設定和在 OWA 中的規則所在的位置。

其他相關資訊

UrlScan


UrlScan 是使用 ISAPI 篩選常式來處理 http 要求傳送到 OWA 網站 anIIS 功能。第一個通過要求處理的 Exchange Server.There 之前,此篩選器是可預測模式的查詢字串部分和每個要求傳送到 [選項] 面板的主體內每個要求。可預測模式可以用來選擇性地拒絕要求。

附註UrlScan 會拒絕每個要求的存取,或更新選項] 項目或在 OWA 中的規則。從公司內部的合法使用者這些 includerequests。

若要下載 UrlScan 32 位元,請造訪下列 Microsoft 網站:
下載 UrlScan 32 位元
若要下載 UrlScan 64 位元,請造訪下列 Microsoft 網站:
下載 UrlScan 64 位元
如需有關 UrlScan 的詳細資訊,請造訪下列 Microsoft 網站:
UrlScan 的一般資訊

如何停用在 Exchange Server 2007年中的 [選項] 面板


安裝


您必須設定 UrlScanas 的 OWA 網站的篩選器。如需有關如何設定 UrlScan 的詳細資訊,請造訪下列網站:
如何設定 UrlScan

在安裝 UrlScan 之後,ISAPI 篩選器,在您的電腦上類似下列:
摺疊此圖像展開此圖像
螢幕擷取畫面的 ISAPI 篩選器。


TheUrlScan.ini 檔設定


設定 UrlScan.ini 檔以下方所顯示的設定。URL 和查詢字串中搜尋 「 DenyOWAOptions 」 中所指定的所有字串。如果發生時,是由 IIS 拒絕的要求。
[Options]

UseAllowVerbs=0

AllowDotInPath=1?

RuleList=BlockOptionsInOWA



[BlockOptionsInOWA]

ScanURL=1

ScanQueryString=1

DenyDataSection=DenyOWAOptions



[DenyOWAOptions]

ae=Options

ns=Options

ns=RulesOptions

ns=JunkEmail

ns=DumpsterListView

使用者經驗


安裝 UrlScan 後,當您設定的設定,使用者可以登入 owa 如下列圖片所示:
摺疊此圖像展開此圖像
螢幕擷取畫面的 OWA。




不過,當使用者按一下右上角的 [選項] 按鈕上時,使用者會收到下列的 403 錯誤訊息:
摺疊此圖像展開此圖像
螢幕擷取畫面的 403 錯誤。




系統管理工作


UrlScan 安裝目錄也會有一個記錄檔,包含哪些要求已封鎖和封鎖的原因的詳細資料。例如,您可能會看到某些資訊類似於記錄檔中的下列資訊:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

系統管理員可以使用標準的 IIS 記錄檔剖析工具,例如 LogParser,以取得更多的資訊和有關記錄檔的統計資料。如需有關如何查詢這些記錄檔的詳細資訊,請造訪下列網站:
如何查詢記錄檔

如何停用在 Exchange Server 2003年中的 [選項] 面板

UrlScan 不能用在 Exchange Server 2003年中,來停用 [選項] 面板或 [規則] 面板。

屬性

文章編號: 2299129 - 上次校閱: 2013年10月29日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
關鍵字:?
kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2299129
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com