·OWASP要素增强Web应用程序安全(2)
·“恶搞”盗用你无线网络的邻居
·如何入侵jsp网站
·黑客知识:如何隐藏 PHP文件后门的技
·jsp+javabean学习(二)
·Java入门视频教程-第61讲
·OWASP 10要素增强Web应用程序安全(1
·什么是asp木马
·如何在Windows Server 2003中安装Java
·Web 2.0网站安全堪忧 JavaScript恐引
目录
| %26#8226; | 简介 |
| %26#8226; | 更多信息 | %26#8226; | 只对内部客户端启用和禁用 Outlook Web Access | | %26#8226; | 使用浏览器语言 | | %26#8226; | 设置登录页 | | %26#8226; | 启用基于窗体的身份验证 | | %26#8226; | 设置 Cookie 身份验证超时 | | %26#8226; | 启用 Outlook Web Access (gzip) 压缩 | | %26#8226; | 阻止 Web 信标 | | %26#8226; | 阻止附件 |
|
简介
Microsoft Office Outlook Web Access for Exchange Server 2003 中引入了若干新功能,其中包括基于窗体的身份验证、gzip 压缩和附件阻止。文本包含配置 Outlook Web Access 2003 中的各个设置和功能的说明。
更多信息只对内部客户端启用和禁用 Outlook Web Access
您可以允许公司网络中的用户访问 Outlook Web Access。同时,您也可以拒绝对外部客户端的访问。该方法的关键是组合收件人策略和特殊的超文本传输协议 (HTTP) 虚拟服务器。要使用此方法,请按照下列步骤操作:
| 1. | 使用简单邮件传输协议 (SMTP) 域名创建一个收件人策略。连接到 HTTP 虚拟服务器的用户的电子邮件地址必须与该虚拟服务器具有相同的 SMTP 域。创建收件人策略是将相同的 SMTP 域应用于多个用户的有效方法。
注意:Outlook Web Access 用户不必知道 SMTP 域的名称。
|
| 2. | 将收件人策略应用于要对其启用访问的用户帐户。 |
| 3. | 在前端服务器上,创建一个指定在收件人策略中使用的域的新 HTTP 虚拟服务器。
|
完成这些步骤后,其电子邮件地址的 SMTP 域与 HTTP 虚拟服务器的 SMTP 域不相同的用户将无法登录和访问 Outlook Web Access。此外,只要您不将 SMTP 域用作默认域,外部用户便无法确定 SMTP 域,这是因为当用户在组织外部发送电子邮件时,该域将不会出现在“发件人”字段中。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
293386 在隐式或显式访问 OWA 时收到 HTTP 401 或 404 错误信息 除了对公司网络中的用户启用 Outlook Web Access 之外,您还可以阻止特定内部用户访问 Outlook Web Access。您可以通过对这些用户禁用 HTTP 和网络新闻传输协议 (NNTP) 协议做到这一点。
要阻止内部用户访问 Outlook Web Access,请按照下列步骤操作:
| 1. | 在“Active Directory 用户和计算机”中,打开该用户的“属性”对话框。 |
| 2. | 在“Exchange 功能”选项卡上,清除 HTTP 和 NNTP 的设置。 |
使用浏览器语言
使用 Microsoft Internet Explorer 5 或更高版本访问 Outlook Web Access 时,Exchange 2003 的新安装以及到 Exchange 2003 的升级将使用该浏览器的语言设置确定要用于对信息(如电子邮件和会议要求)进行编码的字符集。
如果升级被修改为使用浏览器的语言设置的 Microsoft Exchange 2000 Server 计算机,则 Exchange 2003 将继续以相同的方式运行。下表列出了语言组和各自的字符集。
| 语言组 | 字符集 |
| 阿拉伯语 | Windows 1256 |
| 波罗的语 | iso-8859-4 |
| 中文(简体) | Gb2131 |
| 繁体中文 | Big5 |
| 西里尔语 | koi8-r |
| 东欧语 | iso-8859-2 |
| 希腊语 | iso-8859-7 |
| 希伯来语 | windows-1255 |
| 日语 | iso-2022-jp |
| 朝鲜语 | ks_c_5601-1987 |
| 泰语 | windows-874 |
| 土耳其语 | iso-8859-9 |
| 越南语 | windows-1258 |
| 西欧语 | iso-8859-1 |
如果预计组织中的 Outlook Web Access 用户经常发送邮件,则可以修改注册表设置,以便运行 Internet Explorer 5 或更高版本的用户可以使用 UTF-8 编码的 UNICODE 字符发送邮件。
要修改 Outlook Web Access 的默认语言设置,请按照下列步骤操作。
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
| 1. | 在 Exchange 计算机上,使用 Exchange 管理员帐户登录,然后启动注册表编辑器。 |
| 2. | 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\UseRegionalCharset |
| 3. | 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。 |
| 4. | 键入 UseRegionalCharset 作为 DWORD 的名称,然后按 Enter 键。 |
| 5. | 右键单击“UseRegionalCharset”DWORD 值,然后单击“修改”。 |
| 6. | 在“数值数据”框中,键入 1,然后单击“确定”。 |
| 7. | 退出注册表编辑器以保存更改。 |
设置登录页
启用基于窗体的身份验证(Cookie 身份验证)使您能够启用一个新的 Outlook Web Access 登录页,以将用户名和密码存储在 Cookie 而不是浏览器中。当用户关闭浏览器时,此 Cookie 将被清除。此外,在不活动状态持续一段时间后,此 Cookie 将被自动清除。要访问电子邮件,新登录页要求用户输入域、用户名和密码,或完整的用户主要名称 (UPN) 电子邮件地址和密码。基于窗体的身份验证登录不支持通过 Outlook Web Access 进行 Microsoft .NET Passport 身份验证。这是 Exchange 2003 中的基于窗体的身份验证功能的一个限制。
要启用此登录页,必须先在服务器上启用基于窗体的身份验证,然后通过设置 Cookie 超时时间和调整客户端安全设置来确保登录页的安全。有关更多信息,请参阅“启用基于窗体的身份验证”和“设置 Cookie 身份验证超时”部分。
在 Exchange 2003 中,基于窗体的身份验证自动将基本身份验证(位于 Exchange 系统管理器中的 Exchange 虚拟目录上)的默认域设置为反斜杠字符 (\)。此限制旨在支持使用 UPN 格式的用户登录。如果将 Microsoft Internet 信息服务 (IIS) 中的默认域设置修改为默认域设置“\”以外的任何设置,则 Exchange 系统管理器将在服务器上把默认域设置重置为“\”。
此外,如果基于窗体的身份验证部署在前端/后端配置中,则后端服务器上的默认域设置必须匹配前端服务器上的默认域设置,否则您可能会遇到身份验证问题。由于前端服务器需要“\”作为默认域,因此如果在前端服务器上启用了基于窗体的身份验证,则在 Exchange 系统管理器中必须将后端服务器上的默认域也设置为“\”。
有关为何必须修改 Exchange 系统管理器中 Exchange 和 Public 虚拟目录设置的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
240105 有关 Exchange 2000 Server 中的目录服务/元数据库同步的一般信息
264941 对虚拟目录设置的更改未被保留
要解决此问题,请修改 Outlook Web Access 中的 Logon.asp 页,以指定域或包括域名列表。
注意:如果自定义 Outlook Web Access 中的 Logon.asp 页,则在以后升级或重新安装 Exchange 2003 时,您所做的更改可能会被覆盖。 有关如何自定义 Logon.asp 页的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
820378 使用基于窗体的身份验证时,Outlook Web Access 会话异常退出
重要说明:Microsoft 没有提供有关自定义 Outlook Web Access 对象的帮助;如果要联系 Microsoft,解决有关在其中自定义 Outlook Web Access 的服务器上出现的 Outlook Web Access 问题,则必须用原始版本的文件替换自定义文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
327178 Microsoft 对 Outlook Web Access 自定义的支持策略
启用基于窗体的身份验证
在启用基于窗体的身份验证之前,必须在服务器上启用安全套接字层 (SSL)。 有关如何在启用 SSL 之前在 Microsoft Windows Server 2003 中安装证书的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816794 如何在 Windows Server 2003 中的 Web 服务器上安装导入的证书 要在 Exchange 2003 中启用基于窗体的身份验证,请按照下列步骤操作。
注意:在前端/后端服务器环境中,必须在前端服务器上启用基于窗体的身份验证。在不使用前端服务器的环境中,请在邮箱服务器上启用基于窗体的身份验证。
| 1. | 启动 Exchange 系统管理器。 |
| 2. | 如果启用了管理组,则展开“管理组”。 |
| 3. | 展开“服务器”,然后展开您的前端服务器。 |
| 4. | 展开“协议”,展开“HTTP”,右键单击“Exchange 虚拟服务器”,然后单击“属性”。 |
| 5. | 单击“设置”选项卡,然后单击以选中“启用基于窗体的身份验证”复选框。 |
| 6. | 在“压缩”列表中,单击所需的压缩级别。
注意:由于单服务器环境中的压缩会为服务器带来额外的负载,因此建议您不要在单服务器环境中启用压缩。 |
| 7. | 单击“确定”。 |
| 8. | 如果收到一条指示必须重新启动 IIS 服务的消息,请单击“确定”。要重新启动 IIS,请在命令提示符处键入以下命令:iisreset |
如果在前端服务器上启用了基于窗体的身份验证,请在后端服务器上按照下列步骤操作:
| 1. | 启动 Exchange 系统管理器。 |
| 2. | 如果启用了管理组,则展开“管理组”。 |
| 3. | 展开“服务器”,然后展开后端服务器。 |
| 4. | 展开“协议”,展开“HTTP”,然后展开“Exchange 虚拟服务器”。 |
| 5. | 右键单击“Exchange 虚拟服务器”容器下显示的 Exchange 虚拟目录,然后单击“属性”。 |
| 6. | 单击“访问”选项卡,然后单击“身份验证”。 |
| 7. | 单击以选中“基本身份验证”复选框(如果尚未选中)。 |
| 8. | 在“默认域”框中输入反斜杠 (\)。 |
| 9. | 单击“确定”两次,以关闭属性窗口。 |
设置 Cookie 身份验证超时
对于 Outlook Web Access 登录页,可以为用户提供两种类型的身份验证安全选项。用户可以根据需要在 Outlook Web Access 登录页上选择以下任一安全选项:
| %26#8226; | “公共或共享计算机”– 在用户从不为组织使用安全设置的计算机中访问 Outlook Web Access 时,告诉他们选择此选项。例如,Internet kiosk 计算机不为组织使用安全选项。“公共或共享计算机”选项是默认选项,并提供了 15 分钟的短暂默认超时选项。 |
| %26#8226; | “私有计算机”– 当用户是计算机的唯一操作员,且计算机为您的组织使用安全设置时,告诉他们选择此选项。此选项允许在自动结束会话之前保持更长时间的不活动状态。它的内部默认值是 24 小时。“私有计算机”选项是为了在办公室或家庭中使用个人计算机的 Outlook Web Access 用户提供方便。 |
此外,当 Outlook Web Access 客户端使用基于窗体的身份验证登录时,它们还可以在以下两种类型的 Outlook Web Access 客户端版本之间进行选择:
| %26#8226; | Premium – 这是默认版本。它提供了所有 Outlook Web Access 功能。
注意:Outlook Web Access Premium 客户端具有特殊代码,因此键入邮件正文被视为活动。 |
| %26#8226; | Basic – 此版本提供更快的性能,但功能比 Premium 客户端少。如果使用低速连接,则使用此版本。 |
在 Exchange 2003 中,Outlook Web Access 用户凭据存储在 Cookie 中。当用户从 Outlook Web Access 注销时,此 Cookie 将被清除,并且对身份验证不再有效。此外,默认情况下,如果用户使用公共计算机,并在 Outlook Web Access 登录屏幕上选择“公共或共享计算机”选项,则此计算机上的 Cookie 将在用户处于不活动状态 15 分钟后自动过期。
自动超时很重要,因为它有助于防止对用户的帐户进行未授权的访问。然而,尽管自动超时显着降低了未授权访问的风险,但它并未彻底消除当会话在公共计算机上运行时,未经授权的用户访问 Outlook Web Access 帐户的风险。因此,请确保指示用户采取预防措施以避免风险。
要满足组织的安全需要,管理员可以在 Exchange 前端服务器上配置不活动超时值。Exchange 2003 使用以下信息确定用户活动:
| %26#8226; | 客户端与服务器之间的交互被视为活动。例如,用户打开、发送或保存某个条目,切换文件夹或模块,或刷新视图或 Web 浏览器窗口等,这些操作均被视为活动。 |
| %26#8226; | 如果用户在 Outlook Web Access 项目中输入文本,则它不被视为活动。例如,如果用户键入约会、会议要求、张贴、联系人、任务或其他项目,则不会被视为活动。
|
要配置超时值,必须先启用基于窗体的身份验证,然后修改服务器上的注册表设置。
要设置 Outlook Web Access 基于窗体的身份验证公共计算机 Cookie 超时值,请按照下列步骤操作:
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
| 1. | 在 Exchange 前端服务器上,使用 Exchange 管理员帐户登录,然后启动注册表编辑器。 |
| 2. | 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA |
| 3. | 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。 |
| 4. | 键入 PublicClientTimeout 作为 DWORD 的名称,然后按 Enter 键。 |
| 5. | 右键单击“PublicClientTimeout”DWORD 值,然后单击“修改”。 |
| 6. | 在“基数”下,单击“十进制”。 |
| 7. | 在“数值数据”框中,键入一个表示超时分钟数的值。此数字必须介于 1 和 43200 之间。(43200 分钟等于 30 天。)如果您没有设置值,则默认此值为 15。
注意:最大可能的值为 43200,即 30 天。 |
| 8. | 单击“确定”。
重要说明:必须重新启动 IIS,这些更改才会生效。此外,如果将 TrustedClientTimeout 值设置为小于 PublicClientTimeout 的值,则 TrustedClientTimeout 值默认等于 PublicClientTimeout 值。同样,如果将 PublicClientTimeout 值设置为大于 TrustedClientTimeout 值的值,则 TrustedClientTimeout 值默认为等于 PublicClientTimeout 值。 |
设置 Outlook Web Access 基于窗体的身份验证受信任的计算机 Cookie 超时值:
| 1. | 在 Exchange 前端服务器上,使用 Exchange 管理员帐户登录,然后启动注册表编辑器。 |
| 2. | 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA |
| 3. | 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。 |
| 4. | 键入 TrustedClientTimeout 作为 DWORD 的名称,然后按 Enter 键。 |
| 5. | 右键单击“TrustedClientTimeout”DWORD 值,然后单击“修改”。 |
| 6. | 在“基数”下,单击“十进制”。 |
| 7. | 在“数值数据”框中,键入一个表示超时分钟数的值。此数字必须介于 1 和 43200 之间。(43200 分钟等于 30 天。)如果您没有设置值,则默认此值为 1440。
注意:最大可能的值为 43200,即 30 天。 |
| 8. | 单击“确定”。 |
| 9. | 打开命令提示符,键入 net stop w3svc,然后按 Enter 键。 |
| 10. | 服务停止后,键入 net start w3svc,然后按 Enter 键。 |
启用 Outlook Web Access (gzip) 压缩
当您在 Exchange 2003 中启用基于窗体的身份验证时,您还可以对 Exchange 2003 虚拟目录和虚拟服务器中的静态和动态文件启用 gzip 压缩。通过使用压缩,用户在使用速度较低的网络连接(如传统的拨号访问)时可以使性能提高 50%。
根据您所使用的压缩设置,Outlook Web Access 压缩通过压缩静态或动态 Web 页进行工作。
| 压缩设置 | 说明 |
| 高 | 同时压缩静态和动态页。 |
| 设置 | 只压缩静态页。 |
| 无 | 不使用压缩。 |
要对 Exchange 2003 中的 Outlook Web Access 使用数据压缩,必须满足以下先决条件:
客户端
客户端系统必须运行 Microsoft Windows 2000 或更高版本,并且必须使用以下某个 Web 浏览器:
| %26#8226; | 具有 328970 累积更新的 Internet Explorer 6 或更高版本。 有关 328970 累积更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 328970 MS02-066:2002 年 11 月版 Internet Explorer 累积修补程序 |
| %26#8226; | Netscape Navigator 6.0 或更高版本。 |
服务器
必须启用基于窗体的身份验证。
在 Exchange 环境中启用 gzip 压缩时,必须考虑部署方案的类型。建议的方法是部署专用的前端服务器。在此类方案中,应满足以下要求:
| %26#8226; | 前端 Exchange 2003 计算机必须在 Windows Server 2003 下运行。 |
| %26#8226; | 后端 Exchange 2003 计算机可以在 Windows 2000 或 Windows Server 2003 下运行。 |
另一类部署方案不涉及部署专用的前端 Exchange 计算机(也称作只限后端部署)。在这种情况下,Exchange 2003 计算机必须在 Windows Server 2003 下运行。
注意:如果使用 Exchange 2003 前端服务器访问 Exchange 2000 后端服务器,则禁用前端服务器上的 Outlook Web Access 压缩支持,直到所有后端服务器全部升级到 Exchange 2003。
包括前面的先决条件在内,您可能还必须通过代理服务器对某些拨号连接启用 HTTP 1.1 支持。(HTTP 1.1 支持是压缩正常工作所必需的。)
要启用数据压缩,请按照下列步骤操作:
| 1. | 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。 |
| 2. | 依次展开“服务器”、“ServerName”、“协议”和“HTTP”。 |
| 3. | 右键单击“Exchange 虚拟服务器”,然后单击“属性”。 |
| 4. | 单击“设置”选项卡。 |
| 5. | 单击以选中“启用基于窗体的身份验证”复选框。 |
| 6. | 要配置压缩,请在“压缩”框中单击要使用的压缩级别,然后单击“确定”。 |
| 7. | 单击“确定”。 |
| 8. | 重新启动下列服务: | %26#8226; | Microsoft Exchange System Attendant 服务 | | %26#8226; | IIS 管理服务 |
注意:您必须在 IIS 中配置 SSL,才能在服务器上启用基于窗体的身份验证。 |
阻止 Web 信标
在 Exchange 2003 中,Outlook Web Access 使发送垃圾电子邮件的用户很难使用信标检索电子邮件地址。信标通常以图像的形式出现,当用户打开垃圾电子邮件项目时,这些图像将下载到用户的计算机中。下载图像后,将向垃圾电子邮件的发件人发送一个信标通知,指示发件人您用户的电子邮件地址有效。结果是,用户更频繁地接收垃圾电子邮件,这是因为垃圾电子邮件的发件人现在知道该电子邮件地址有效。
在 Outlook Web Access 中,具有可能被用作信标的任何内容的传入邮件(无论该邮件是否真的包含信标)会提示 Outlook Web Access 显示以下警告消息: 为了帮助保护您的隐私,指向图像、声音或此邮件中的其他外部内容的链接已被阻止。单击此处取消阻止内容。
如果用户知道邮件是合法的,则可以单击警告邮件中的“单击此处取消阻止内容”链接以取消阻止内容。如果用户无法识别发件人或邮件,则可以在不取消阻止内容的情况下打开该邮件,然后在不触发信标的情况下删除该邮件。如果您的组织不希望使用此功能,则可以禁用 Outlook Web Access 的阻止选项。
要禁用阻止选项,请按照下列步骤操作:
| 1. | 使用 Web 浏览器访问 Outlook Web Access。 |
| 2. | 单击“选项”。 |
| 3. | 在“隐私和垃圾电子邮件阻止”下,单击以清除“阻止 HTML 电子邮件中的外部内容”复选框。 |
阻止附件
使用 Outlook Web Access,您可以阻止用户打开、发送或接收指定的附件类型。尤其是,您可以执行以下操作:
| %26#8226; | 阻止用户访问特定文件类型的附件。默认情况下,所有新的 Exchange 2003 安装都阻止级别 1 和级别 2 文件类型以及级别 1 和级别 2 MIME 类型的附件。该功能对于阻止 Outlook Web Access 用户在公共 Internet 终端打开附件很有用。在公共 Internet 终端中打开附件可能会危及企业的安全。如果附件被阻止,则在电子邮件的信息栏中将显示一条指示用户无法打开此附件的警告消息。在办公室工作或从家庭连接到公司网络的 Outlook Web Access 用户可以打开和读取附件。您可以通过向后端服务器提供 URL 并在 Exchange 后端服务器上允许附件来启用对附件的完全 Intranet 访问。 |
| %26#8226; | 阻止用户发送或接收可能包含病毒、带有特定文件扩展名的附件。Outlook Web Access 中的此功能相当于 Outlook 中的附件阻止功能。对于接收的邮件,在电子邮件的信息栏中将显示一条指示附件已被阻止的警告消息。对于发送的邮件,用户无法上载任何带有阻止列表上显示的扩展名的文件。 |
要更改附件阻止设置,您必须修改服务器上的注册表设置。
注意:在前端/后端配置中,应在后端服务器上修改注册表。
为此,请按照下列步骤操作。
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
| 1. | 在 Exchange 计算机上,使用 Exchange 管理员帐户登录,然后启动注册表编辑器。 |
| 2. | 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA |
| 3. | 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。 |
| 4. | 键入 DisableAttachments 作为 DWORD 的名称,然后按 Enter 键。 |
| 5. | 右键单击“DisableAttachments”DWORD 值,然后单击“修改”。 |
| 6. | 在“基数”下,单击“十进制”。 |
| 7. | 在“数值数据”框中,键入下列数字之一: | %26#8226; | 要允许所有附件,键入 0。 | | %26#8226; | 要不允许任何附件,键入 1。 | | %26#8226; | 要只允许来自后端服务器的附件,键入 2。 |
|
| 8. | 单击“确定”。 |
| 9. | 打开命令提示符,键入 net stop w3svc,然后按 Enter 键。 |
| 10. | 服务停止后,键入 net start w3svc,然后按 Enter 键。 |
本文来源:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;830827
