如何停用在 Exchange Server 2007年中的 Outlook Web Access 中的 [選項] 面板

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:2299129
簡介
本文說明如何停用在 Outlook Web Access (OWA) 在 Exchange Server 2007年中的 [選項] 面板。目的是為公開揭發的 Exchange 弱點提供解決。

這項弱點是跨網站要求偽造攻擊,在其中誘騙使用者造訪惡意的網頁,製作專為目標的 Exchange 組織。這可能會允許攻擊者執行代表使用者的動作,例如新增新的收件匣規則 andto 變更為其他 OWA 使用者選項。

若要減少此類攻擊的風險,您都可以使用 UrlScan 來停用 [選項] 面板。您可以使用 UrlScan 來封鎖已知的組件的 Url,用來存取 OWA 中的 [選項] 頁。

附註[選項] 頁是大部分的使用者層級設定和在 OWA 中的規則所在的位置。
其他相關資訊

UrlScan


UrlScan 是使用 ISAPI 篩選常式來處理 http 要求傳送到 OWA 網站 anIIS 功能。第一個通過要求處理的 Exchange Server.There 之前,此篩選器是可預測模式的查詢字串部分和每個要求傳送到 [選項] 面板的主體內每個要求。可預測模式可以用來選擇性地拒絕要求。

附註UrlScan 會拒絕每個要求的存取,或更新選項] 項目或在 OWA 中的規則。從公司內部的合法使用者這些 includerequests。

若要下載 UrlScan 32 位元,請造訪下列 Microsoft 網站:若要下載 UrlScan 64 位元,請造訪下列 Microsoft 網站:如需有關 UrlScan 的詳細資訊,請造訪下列 Microsoft 網站:

如何停用在 Exchange Server 2007年中的 [選項] 面板


安裝


您必須設定 UrlScanas 的 OWA 網站的篩選器。如需有關如何設定 UrlScan 的詳細資訊,請造訪下列網站:
在安裝 UrlScan 之後,ISAPI 篩選器,在您的電腦上類似下列:螢幕擷取畫面的 ISAPI 篩選器。

TheUrlScan.ini 檔設定


設定 UrlScan.ini 檔以下方所顯示的設定。URL 和查詢字串中搜尋 「 DenyOWAOptions 」 中所指定的所有字串。如果發生時,是由 IIS 拒絕的要求。
[Options]UseAllowVerbs=0AllowDotInPath=1  RuleList=BlockOptionsInOWA[BlockOptionsInOWA]ScanURL=1ScanQueryString=1DenyDataSection=DenyOWAOptions[DenyOWAOptions]ae=Optionsns=Optionsns=RulesOptionsns=JunkEmailns=DumpsterListView

使用者經驗


安裝 UrlScan 後,當您設定的設定,使用者可以登入 owa 如下列圖片所示:螢幕擷取畫面的 OWA。



不過,當使用者按一下右上角的 [選項] 按鈕上時,使用者會收到下列的 403 錯誤訊息:螢幕擷取畫面的 403 錯誤。



系統管理工作


UrlScan 安裝目錄也會有一個記錄檔,包含哪些要求已封鎖和封鎖的原因的詳細資料。例如,您可能會看到某些資訊類似於記錄檔中的下列資訊:
2010-07-16 23:50:23 157.56.147.48 1 GET /owa/?ae=Options&opturl=Messaging Rejected rule+'BlockOptionsInOWA'+triggered query+string - ae=options

系統管理員可以使用標準的 IIS 記錄檔剖析工具,例如 LogParser,以取得更多的資訊和有關記錄檔的統計資料。如需有關如何查詢這些記錄檔的詳細資訊,請造訪下列網站:

如何停用在 Exchange Server 2003年中的 [選項] 面板

UrlScan 不能用在 Exchange Server 2003年中,來停用 [選項] 面板或 [規則] 面板。

警告:本文為自動翻譯

內容

文章識別碼:2299129 - 最後檢閱時間:10/29/2013 02:44:00 - 修訂: 3.0

Microsoft Exchange Server 2003 Standard Edition, Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2003 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2007 Service Pack 1, Microsoft Exchange Server 2007 Service Pack 2, Microsoft Exchange Server 2007 Service Pack 3, Microsoft Exchange Server 2007 Standard Edition

  • kbsurveynew kbfix kbexpertiseinter kbmt KB2299129 KbMtzh
意見反應