現在オフラインです。再接続するためにインターネットの接続を待っています

Exchange Server 2007 の Outlook Web Access の [オプション] パネルを無効にする方法

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:2299129
はじめに
この資料で Outlook Web Access (OWA) Exchange Server 2007年でのパネルのオプションを無効にする方法を説明します。目的は、Exchange の公開された脆弱性の回避策を提供します。

この脆弱性は、クロスサイト リクエスト偽造攻撃のユーザーは専用の先の Exchange 組織に巧妙に作成されたが、悪意のある web ページを訪問して騙されています。これにより、攻撃者は、ユーザーに代わってアクションを実行する、新しい受信トレイ ルールを追加するなどとその他の OWA ユーザー オプションを変更します。

この攻撃のリスクを抑えるためには UrlScan を使用して、オプション パネルを無効にできます。UrlScan を使用するには、OWA のオプション ページへのアクセスに使用される Url の既知の部分をブロックします。

メモ オプション ページでは、ユーザー レベルの設定と OWA のルールのほとんどが存在する場所です。
詳細

UrlScan


UrlScan は、OWA web サイトに送信された http 要求を処理する ISAPI フィルターを使用する anIIS 機能です。すべての要求は要求が Exchange Server.There によって処理される前に、このフィルターによって、最初のパスにはクエリ文字列部分と、[オプション] パネルに送信されるすべての要求の本文内の予測可能なパターンです。予測可能なパターンを選択して、要求を拒否することができます。

メモ UrlScan にアクセスするため、またはオプション項目、または OWA 内のルールを更新するには、すべての要求を拒否します。これらの includerequests、組織内で正当なユーザーからです。

UrlScan 32 ビットをダウンロードする、次のマイクロソフト web サイトを参照してください。UrlScan 64 ビットをダウンロードする、次のマイクロソフト web サイトを参照してください。UrlScan の詳細については、次のマイクロソフト web サイトを参照してください。

Exchange Server 2007年では、オプション パネルを無効にする方法


インストール


UrlScanas、OWA web サイト用のフィルターの設定があります。UrlScan を設定する方法の詳細については、次の web サイトを参照してください。
UrlScan をインストールした後、コンピューターに ISAPI フィルターは、以下に示します。画面は、ISAPI フィルターのショットです。

TheUrlScan.ini ファイルの設定


下に表示の設定で、UrlScan.ini ファイルを設定します。"DenyOWAOptions"で指定されたすべての文字列は、URL とクエリ文字列で検索されます。発生した場合、要求は IIS によって拒否されます。
[Options]UseAllowVerbs=0AllowDotInPath=1  RuleList=BlockOptionsInOWA[BlockOptionsInOWA]ScanURL=1ScanQueryString=1DenyDataSection=DenyOWAOptions[DenyOWAOptions]ae=Optionsns=Optionsns=RulesOptionsns=JunkEmailns=DumpsterListView

エンド ユーザー エクスペリエンス


UrlScan をインストールし、設定を構成した後にユーザーが OWA にログオンとして次の図に示します。OWA のスクリーン ショットです。



ただし、ユーザーが右上隅にある [オプション] ボタンをクリックしたときに次の 403 エラー メッセージに届きます。403 エラーのスクリーン ショット。



管理タスク


UrlScan のインストール ディレクトリには、どの要求がブロックされていると、ブロックの原因の詳細が含まれるログ ファイルもあります。たとえば、いくつかの情報がログ ファイルには、次の情報に似ていますを参照して可能性があります。
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

管理者より多くの情報とログについての統計情報を取得するには、LogParser などのツールを解析する標準の IIS ログを使用できます。これらのログを照会する方法の詳細については、次の web サイトを参照してください。

Exchange Server 2003年の [オプション] パネルを無効にする方法

UrlScan は、オプション パネルまたはルール ・ パネルを無効にする Exchange Server 2003年では使用できません。

警告: この記事は自動翻訳されています

プロパティ

文書番号:2299129 - 最終更新日: 10/29/2013 00:54:00 - リビジョン: 3.0

Microsoft Exchange Server 2003 Standard Edition, Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2003 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2007 Service Pack 1, Microsoft Exchange Server 2007 Service Pack 2, Microsoft Exchange Server 2007 Service Pack 3, Microsoft Exchange Server 2007 Standard Edition

  • kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtja
フィードバック