保护 Outlook Web Access
上一次修改主题: 2005-05-11
如果在组织中使用 Outlook Web Access,应检查附件阻止功能和 Internet Explorer 安全区域配置。
Outlook Web Access 中的附件阻止功能
在 Exchange 2000 Service Pack 2 (SP2) 中,Outlook Web Access 引入了按文件类型和多用途 Internet 邮件扩展 (MIME) 类型阻止附件的功能。默认方式下,在 Outlook Web Access 2003 和 Outlook Web Access for Exchange 2000 中启用附件阻止功能。使用此默认配置,用户可以发送任何类型的附件,但不会收到危险的文件类型,如 .exe, .bat 和 .vbs 文件。Outlook Web Access 中的默认阻止文件类型列表包含 Outlook 2003 使用的默认列表,外加 XML 文件和特定的 MIME 类型。
Outlook Web Access 中的附件阻止功能是通过注册表在 Exchange 服务器上配置的。该配置可以作为组策略对象 (GPO) 部署,以确保一致性。
如果允许用户从 Internet 通过 Outlook Web Access 访问邮箱,则可能没有访问邮件的计算机的管理控制权。在某些情况下,例如,当用户通过 Internet 访问 Outlook Web Access 时,您可能希望限制用户从此类计算机上下载任何附件的能力。在这种情况下,可以在 Exchange 前端服务器上设置注册表项,以便当计算机通过特定的前端服务器访问 Exchange 时,在 Outlook Web Access 中阻止所有附件。
Internet Explorer 安全区域配置
由于 Outlook Web Access 是在 Internet Explorer 中运行的应用程序,因此,考虑 Internet Explorer 在抵御病毒的环境中的配置很重要。建议您根据客户端需求所允许的功能来配置 Internet Explorer 安全区域。至少,应按照默认配置来部署 Internet Explorer 6.0 SP1,也就是对 Internet 区域设置中等安全级别,对 Intranet 区域设置中低安全级别。
在设计和开发 Outlook Web Access 以及带 S/MIME 控件的 Outlook Web Access 时,对基于 Web 的漏洞,如跨站点脚本运行、IFRAME 操作以及其他已知的、基于 HTML 的恶意活动,已严加注意。具体地说,Outlook Web Access 只运行和显示已知的、安全的 HTML 元素、属性和样式信息,从而阻止以事前未知的方式恶意地使用 HTML。
运行带 S/MIME 控件的 Outlook Web Access 还为邮件附件增加了额外的一层安全保护。与使用不带 S/MIME 控件的 Outlook Web Access 下载的邮件附件相比,使用 S/MIME 控件下载的邮件附件可以更彻底地删除(删除后,内存地址空间为零或空)。Exchange 2003 SP1 版的 Outlook Web Access S/MIME 控件安装程序是 Microsoft Windows Installer 文件。因此,它可以通过 Microsoft Systems Management Server (SMS) 或其他企业管理程序来部署。
.gif "note") 注意: |
|---|
| 由于 S/MIME 控件是可安装的组件,因此可能不是在所有的部署方案中都能够运行,例如,在公用网亭或者其他不能集中管理客户端计算机的方案中就不能运行 S/MIME 控件。 |
建议您运行带 S/MIME 控件的 Outlook Web Access。S/MIME 控件只能运行在 Internet Explorer 6(或更高版本)和 Windows 2000(或更高版本)上。S/MIME 控件不能运行在其他 Web 浏览器或早期的操作系统上。前面已提到,组织中运行的所有软件的更新管理是抵御病毒和蠕虫的一个极其重要的部分。Internet Explorer 更新是通过 Windows Update 管理的。使 Windows 保持最新,还可以获得 Internet Explorer 的最新更新。
建议
- 部署 Exchange 2003 版的 Outlook Web Access 以及最新版本的 Internet Explorer。
- 默认文件和 MIME 类型阻止列表可能对于您的组织已足够。但是,您可能希望检查、更新和部署 Outlook Web Access 的阻止文件和 MIME 类型。应保持 Outlook Web Access 中的被阻止文件类型与 Outlook 中的被阻止文件类型的一致性。
- 在某些情况下,如果您无法控制通过 Internet 访问 Outlook Web Access 的计算机,应考虑阻止所有附件。
- 为组织中的 Internet Explorer 定义正确的安全级别,并在台式机上部署标准化配置。
- 在通过 Outlook Web Access 访问邮件的所有客户端上部署 Outlook Web Access S/MIME 控件,即便您的组织不使用 S/MIME 也是如此。
资源
- 有关部署和升级到 Exchange 2003 和 Outlook Web Access 的详细信息,请参阅 Exchange Server 2003 Deployment Guide。
- 有关部署 Internet Explorer 的详细信息,请参阅“Microsoft Internet Explorer 6.0 Administrative Kit Service Pack 1”网站,再单击“Redistributing Internet Explorer”。
- 有关复查和更新在 Outlook Web Access 中被阻止的文件和 MIME 类型的详细信息,请参阅 Exchange 2003 Security Hardening Guide。
- 有关在 Outlook Web Access 中阻止来自前端服务器连接的所有附件的详细信息,请参阅 Microsoft 知识库文章 830827“How to manage Outlook Web Access features in Exchange Server 2003”。
- 有关了解、配置和部署 Internet Explorer 中的安全区域的详细信息,请参阅“Microsoft Internet Explorer 6.0 Administration Kit Service Pack 1”网站,再单击“Security”。