Zwischenspeicherung in Outlook Web Access

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Letztes Änderungsdatum des Themas: 2007-11-13

Microsoft Outlook Web Access in Microsoft Exchange Server 2007 ermöglicht Benutzern den Zugriff auf ihre Exchange-Postfächer über beinahe jeden Webbrowser. Dabei kann es sich ggf. um einen ungesicherten oder öffentlichen Computer handeln, z. B. in einem Internetcafé oder auf einem Flughafen. Die Verwendung eines ungesicherten oder öffentlichen Computers kann ein Sicherheitsrisiko darstellen, wenn Informationen auf dem Computer verbleiben (zwischengespeichert werden), nachdem sich der Benutzer von Outlook Web Access abgemeldet hat.

Um dieses Risiko zu verringern, speichert Outlook Web Access Informationen nur unter bestimmten Umständen zwischen. Damit das Risiko weiter verringert wird, können Sie Outlook Web Access so konfigurieren, dass die Anwendung nicht so verwendet werden kann, dass Informationen zwischengespeichert werden.

Funktionsweise der Zwischenspeicherung in Outlook Web Access

Zwischenspeicherung findet an vier Punkten in Outlook Web Access statt: während der Benutzersitzung, bei Zugriff auf dynamische Inhalte, beim Zugriff auf statische Inhalte und in Anlagen.

Benutzersitzung

Die formularbasierte Authentifizierung verwendet Cookies zum Identifizieren der Benutzersitzung. Die von der formularbasierten Authentifizierung verwendeten Cookies laufen automatisch ab, wenn der Benutzer zu lange inaktiv ist. Der Standardzeitraum für den Timeout beträgt 15 Minuten, wenn ein Benutzer die Option Dies ist ein öffentlicher oder freigegebener Computer auf der Outlook Web Access-Anmeldeseite auswählt. Der Standardzeitraum für den Timeout beträgt 12 Stunden, wenn die Option Dies ist ein privater Computer auf der Outlook Web Access-Anmeldeseite auswählt. Diese Einstellungen können so konfiguriert werden, dass sie mit den Anforderungen Ihrer Organisation kompatibel sind.

Wenn sich der Benutzer von der Sitzung abmeldet, läuft das Cookie auf dem Server ab, damit es nicht nochmals verwendet werden kann. Da dieser Ablaufvorgang vom Servercomputer mit Exchange abhängig ist, funktioniert er unabhängig vom verwendeten Webbrowser.

Wenn Outlook Web Access für die Verwendung von Standardauthentifizierung konfiguriert wurde, speichert der Webbrowser die Benutzeranmeldeinformationen für die erneute Verwendung mit jeder Anforderung vom Clientcomputer zwischen. Wenn sich der Benutzer abmeldet, weist der Abmeldevorgang den Webbrowser an, den Anmeldeinformationencache auf dem Clientcomputer zu löschen. Dies funktioniert nur in Internet Explorer 6 oder höheren Versionen.

Standardmäßig ist Outlook Web Access für die Verwendung formularbasierter Authentifizierung konfiguriert. Die formularbasierte Authentifizierung ist sicherer als Standardauthentifizierung.

Dynamische Inhalte

Dynamische Inhalte sind z. B. die Inhalte von Nachrichten und andere Elemente, die sich ändern können, während der Benutzer bei Outlook Web Access angemeldet ist. Die Webbrowserfunktion, die dynamische Inhalte anzeigt, kann nicht durch Microsoft Exchange gesteuert werden. Das Risiko wird jedoch wie folgt verringert:

  • Outlook Web Access weist den Webbrowser an, dynamische Inhalte, die dem Benutzer angezeigt werden, niemals zwischenzuspeichern. Dies bedeutet, dass die Informationen nicht auf dem Datenträgercache zwischengespeichert werden. Die Informationen werden jedoch ggf. im Arbeitsspeicher gespeichert.

  • Wenn der Benutzer den Webbrowser gemäß der Anweisung auf der Outlook Web Access-Abmeldeseite schließt, werden alle ggf. im Arbeitsspeicher zwischengespeicherten Daten entfernt.

Standardmäßig ist Outlook Web Access für die Verwendung von SSL-Verschlüsselung (Secure Sockets Layer) konfiguriert. Auf diese Weise wird zusätzliche Sicherheit zur Verfügung gestellt. Wenn Sie die Serverfunktion ClientAccess auf einem Computer installieren, der Exchange 2007 ausführt, wird ein selbstsigniertes SSL-Zertifikat installiert. Die können dieses Zertifikat verwenden oder ein Zertifikat von einem Drittanbieter erwerben. Die HTTP-Standards verlangen, dass Webbrowser keine SSL-Inhalte auf einem Datenträger zwischenspeichern. Nicht alle Webbrowser halten sich jedoch an diesen Standard. Internet Explorer speichert keine SSL-Inhalte zwischen.

Statische Inhalte

Statische Inhalte sind z. B. Skripts und Bilder, die von Outlook Web Access verwendet werden, etwa Symbolleistensymbole. Statische Inhalte werden auf dem Datenträger des Clientcomputers zwischengespeichert. Outlook Web Access weist den Webbrowser nicht an, statische Inhalte zu löschen, wenn sich der Benutzer abmeldet. Auf diese Weise kann Outlook Web Access bei der nächsten Anmeldung des Benutzers mithilfe des gleichen Computers schneller geladen werden. Die statischen Inhalte identifizieren den Benutzer oder die Organisation des Benutzers unter keinen Umständen.

Anlagen

Anlagen können besonders vertraulich sein. In früheren Versionen von Microsoft Exchange konnten Anlagen nur angezeigt werden, indem sie auf dem Clientcomputer geöffnet wurden. Zu diesem Zweck wurde eine temporäre Kopie der Datei in einem temporären Ordner erstellt, dann wurde die Anwendung gestartet, die die Datei anzeigen kann. Dieser Prozess erstellte einen Vorgang auf dem Clientcomputer, der von der Outlook Web Access-Sitzung getrennt war.

Outlook Web Access in Exchange 2007 unterstützt WebReady Document Viewing, damit Benutzer die gängigsten Dateitypen anzeigen können. Benutzer von Outlook Web Access können WebReady Document Viewing zum Anzeigen von Anlagen als HTML-Dateien verwenden. Dieses Verfahren bietet den gleichen Schutz für Anlagen wie für alle anderen dynamischen Inhalte.

Exchange 2007 SP1

Exchange 2007 Service Pack 1 (SP1) unterstützt S/MIME-Verschlüsselung. S/MIME-Verschlüsselung schützt Anlagen und den Nachrichtentext. Außerdem werden alle auf dem Datenträger zwischengespeicherten Dateiinhalte mehrmals überschrieben. S/MIME-Verschlüsselung wird in Microsoft Exchange Server 2003 und in Exchange 2007 SP1 unterstützt. S/MIME-Verschlüsselung wird jedoch nicht in der RTM-Version von Exchange 2007 unterstützt.

Weitere Informationen

Weitere Informationen zur Sicherheit in Outlook Web Access finden Sie unter Verwalten der Sicherheit von Outlook Web Access.

Weitere Informationen zur Anlagen in Outlook Web Access finden Sie unter Verwalten von Datei- und Datenzugriff für Outlook Web Access.

Weitere Informationen zur formularbasierten Authentifizierung finden Sie unter Konfigurieren der formularbasierten Authentifizierung für Outlook Web Access.

Weitere Informationen zu SSL-Zertifikaten finden Sie unter Verwalten von SSL für einen Clientzugriffsserver.