Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Comment faire pour désactiver le panneau Options dans Outlook Web Access dans Exchange Server 2007

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

2299129
INTRODUCTION
Cet article explique comment désactiver le panneau d'Options dans Outlook Web Access (OWA) dans Exchange Server 2007. L'objectif est de fournir une solution de contournement pour la vulnérabilité révélée publiquement.

La vulnérabilité est une attaque de contrefaçon de requête intersites dans laquelle un utilisateur est par la ruse à visiter une page Web malveillante qui est conçue spécifiquement pour l'organisation Exchange cible. Ceci permettrait à l'attaquant d'exécuter des actions au nom de l'utilisateur, telles que l'ajout de nouvelles règles de boîte de réception commande modifier d'autres options d'utilisateur OWA.

Pour réduire le risque pour ce type d'attaque, vous pouvez désactiver le panneau d'Options à l'aide de UrlScan. Vous pouvez utiliser UrlScan pour bloquer des parties connues d'URL qui sont utilisées pour accéder aux pages Options dans OWA.

Remarque :Les pages d'Options est où se trouvent la plupart des paramètres de niveau utilisateur et les règles dans OWA.
Plus d'informations

UrlScan


UrlScan est la fonction anIIS qui utilise un filtre ISAPI pour traiter les demandes http envoyées sur le site Web OWA. Chaque demande passe en premier par l'intermédiaire de ce filtre avant que la demande est traitée par Exchange Server.There est des modèles prévisibles dans la partie de chaîne de requête et le corps de chaque demande transmise au panneau Options. Les modèles prévisibles peuvent servir à rejeter sélectivement les demandes.

Remarque :UrlScan ignore toutes les requêtes pour accéder à ou mettre à jour les éléments des Options ou des règles dans OWA. Ces includerequests par des utilisateurs légitimes au sein de l'organisation.

Pour télécharger UrlScan 32 bits, visitez le site Web Microsoft suivant :Pour télécharger UrlScan 64 bits, visitez le site Web Microsoft suivant :Pour plus d'informations sur UrlScan, reportez-vous au site Web de Microsoft suivant :

Comment faire pour désactiver le panneau Options dans Exchange Server 2007


Installation


Vous devez définir un filtre pour le site Web OWA UrlScanas. Pour plus d'informations sur la façon de configurer UrlScan, reportez-vous au site Web suivant :
Après l'installation de UrlScan, le filtre ISAPI sur votre ordinateur ressemble à ceci :La capture d'écran pour le filtre ISAPI.

Paramètre de fichier TheUrlScan.ini


Avec les paramètres de l'illustration ci-dessous montre la valeur du fichier UrlScan.ini. Toutes les chaînes spécifiées dans « DenyOWAOptions » sont recherchés dans la chaîne de requête et les URL. S'ils se produisent, la demande est refusée par IIS.
[Options]UseAllowVerbs=0AllowDotInPath=1  RuleList=BlockOptionsInOWA[BlockOptionsInOWA]ScanURL=1ScanQueryString=1DenyDataSection=DenyOWAOptions[DenyOWAOptions]ae=Optionsns=Optionsns=RulesOptionsns=JunkEmailns=DumpsterListView

Utilisateur final


Après l'installation d'UrlScan et configurer les paramètres, les utilisateurs peuvent connecter à OWA comme le montre l'image suivante :La capture d'écran pour OWA.



Toutefois, lorsqu'un utilisateur clique sur le bouton Optionsdans le coin supérieur droit, l'utilisateur reçoit le message de 403 erreur suivant :La capture d'écran de l'erreur 403.



Tâches d'administration


Le répertoire d'installation de UrlScan a également un fichier journal contenant les détails des demandes qui ont été bloqués et le motif du blocage. Par exemple, vous pouvez voir que des informations semblables aux suivantes dans le fichier journal :
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

L'administrateur peut utiliser les outils, tels que LogParser, d'analyse de journal IIS standard pour obtenir plus d'informations et statistiques sur les journaux. Pour plus d'informations sur la façon d'interroger ces journaux, visitez le site Web suivant :

Comment faire pour désactiver le panneau Options dans Exchange Server 2003

UrlScan ne peut pas être utilisé dans Exchange Server 2003 pour désactiver le panneau d'Options ou les règles.

Avertissement : Cet article a été traduit de manière automatique

Propriétés

ID d'article : 2299129 - Dernière mise à jour : 10/29/2013 00:23:00 - Révision : 3.0

  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Service Pack 1
  • Microsoft Exchange Server 2003 Service Pack 2
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2007 Service Pack 1
  • Microsoft Exchange Server 2007 Service Pack 2
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2007 Standard Edition
  • kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtfr
Commentaires