Drei Möglichkeiten, die Sicherheit von OWA 2010 zu erhöhen

Während Exchange Server 2010 sofort eine solide Sicherheit bietet, ist eine weitere Stärkung der Outlook-Webanwendung niemals eine schlechte Idee. Schließlich ist OWA als Webanwendung dem Internet ausgesetzt und wie jede andere mit dem Internet verbundene Webanwendung anfällig für Angriffe. Hier sind einige Verbesserungen, die Sie vornehmen können, um die Sicherheit von OWA 2010 zu verbessern.

Beseitigen Sie die Option für OWA-Privatcomputer

Wenn Benutzer sich bei OWA 2010 anmelden, können sie auswählen, ob sie von einem öffentlichen oder einem privaten Computer aus auf OWA 2010 zugreifen. Viele Benutzer überspringen diesen Schritt. Wenn Benutzer nicht explizit öffentlich oder privat wählen, geht OWA davon aus, dass sie sich von einem öffentlichen Computer aus anmelden, und verwendet daher ein sichereres Profil.
Eine Möglichkeit zur Verbesserung der OWA 2010-Sicherheit besteht darin, die Option für den Zugriff auf private Computer vollständig zu entfernen. Dies zwingt Benutzer in das sicherere Profil. Der einfachste Weg, dies zu tun, besteht darin, die Datei logon.aspx zu ändern.
Hinweis: Stellen Sie sicher, dass Sie eine Sicherungskopie dieser Datei erstellen, bevor Sie sie ändern.
Die Datei logon.aspx befindet sich in der c: Programme Microsoft Exchange Server V14 ClientAccess Owa Auth Mappe. Öffnen Sie zum Ändern die Datei im Editor und suchen Sie die folgende Codezeile:
<td><input id="rdoPrvt" type="radio" name="trusted" value="4" class="rdo" onclick="clkSec()"></td>

Verstecken Sie das Optionsfeld für den privaten Computer.

Abbildung 1. Ändern Sie den Typ von “Radio” in “versteckt”.

Ändern Sie in dieser Codezeile den Typ von Radio zu versteckt (Abbildung 1). Speichern Sie anschließend Ihre Änderungen.

Benutzer können die Option für einen privaten Computer nicht auswählen.

Abbildung 2. Durch die Änderung wird die Option für den privaten Computer entfernt.

Öffnen Sie als Nächstes ein Eingabeaufforderungsfenster und geben Sie das ein IISRESET Befehl. Dadurch werden sowohl Internetinformationsdienste (IIS) als auch OWA zurückgesetzt. Die Datei logon.aspx verwendet nach dem Zurücksetzen Ihren geänderten Code. Wie Sie in Abbildung 2 sehen können, können Benutzer das nicht mehr auswählen Das ist ein privater Computer Möglichkeit.

Eine weitere öffentliche / private Computeroption

In einigen Fällen ist es möglicherweise besser, die Sicherheitseinstellungen für Privatcomputer zu verschärfen, als sie ganz aufzugeben. Eine Möglichkeit besteht darin, die Einstellung für die automatische Abmeldung zu ändern. Inaktive OWA-Sitzungen werden standardmäßig nach 12 Stunden Inaktivität getrennt. Sie können diese Einstellung ändern, um die Zeitüberschreitung erheblich zu verkürzen.
Sie können das Zeitlimit nur anpassen, wenn Sie OWA für die formularbasierte Authentifizierung eingerichtet haben. Zum Ändern des Timeout-Zeitraums muss auch die Registrierung des Servers bearbeitet werden. Denken Sie daran, dass das Vornehmen von Registrierungsänderungen gefährlich ist, da Sie Windows und / oder Exchange zerstören können, wenn Sie einen Fehler machen. Stellen Sie sicher, dass Sie eine vollständige Systemsicherung durchführen, bevor Sie versuchen, das OWA-Zeitlimit anzupassen.
Öffnen Sie zum Konfigurieren des Zeitlimits den Registrierungseditor und navigieren Sie zu HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MSExchange OWA. Erstellen Sie einen neuen DWORD-Wert und benennen Sie ihn PrivateTimeout.
Hinweis: Sie können auch einen Wert mit dem Namen PublicTimeout erstellen, wenn Sie die Zeitüberschreitung für das Profil des öffentlichen Computers anpassen möchten.
Stellen Sie einen Dezimalwert zwischen eins und 43.200 ein. Dieser Wert gibt die Zeit in Minuten an, die erforderlich ist, bis inactiOWA-Benutzer / a> abgemeldet werden.

URL-Umleitung

Eine andere Möglichkeit zur Verbesserung der OWA 2010-Sicherheit besteht darin, Benutzer zu zwingen, HTTPS anstelle einer unverschlüsselten HTTP-Sitzung zu verwenden. Dazu müssen Sie IIS so konfigurieren, dass Anforderungen an die SSL-verschlüsselte OWA-URL umgeleitet werden. Stellen Sie erneut sicher, dass Sie ein Backup erstellen. Es ist sehr einfach, während dieses Vorgangs einen Fehler zu machen.
Stellen Sie zunächst sicher, dass das HTTP-Umleitungsmodul über den Server-Manager installiert ist. Öffnen Sie anschließend den IIS-Manager und navigieren Sie zu Sites -> Standardwebsite -> OWA. Wählen Sie das virtuelle OWA-Verzeichnis aus und doppelklicken Sie auf HTTP-Umleitung Symbol.

HTTP-Anforderungen umleiten

Abbildung 3. Sie können HTTP-Anforderungen an die HTTPS-OWA-Site umleiten.

Wählen Sie nun die Anfragen an dieses Ziel umleiten Aktivieren Sie das Kontrollkästchen und geben Sie Ihre sichere OWA-URL ein. Wähle aus Nur Weiterleitungsanforderungen an Inhalte in diesem Verzeichnis (keine Unterverzeichnisse) Kontrollkästchen (Abbildung 3).
Viele Exchange-Administratoren wenden die HTTP-Umleitung gerne auf der Ebene der Standardwebsite an. Dadurch wird sichergestellt, dass alle HTTP-Anforderungen an OWA umgeleitet werden. Während dieser Technik tut Arbeit gibt es eine Reihe von virtuellen Verzeichnissen, die Sie ausschließen müssen, um den Clientzugriffsserver funktionsfähig zu halten.
Stellen Sie sicher, dass die HTTP-Umleitung für die folgenden virtuellen Verzeichnisse deaktiviert ist:

  • Aspnet_client
  • Autodiscover
  • Ecp
  • EWS
  • Microsoft-Server-ActiveSync
  • OAB
  • Power Shell
  • Rpc

Abschließende Gedanken

Wie Sie sehen, können Sie verschiedene Techniken implementieren, um die Sicherheit von OWA 2010 zu verbessern. Denken Sie jedoch daran, dass keine dieser Techniken grundlegende Sicherheitspraktiken wie sichere Benutzerkennwörter und die Aktualisierung der neuesten Patches ersetzt.
Über den Autor
Brien Posey
ist ein achtmaliger Microsoft MVP mit zwei Jahrzehnten IT-Erfahrung. Bevor er freiberuflicher technischer Redakteur wurde, arbeitete Brien als Chief Information Officer in einer nationalen Kette von Krankenhäusern und Gesundheitseinrichtungen. Er war auch als Netzwerkadministrator für einige der größten Versicherungsunternehmen des Landes und für das Verteidigungsministerium in Fort Knox tätig.

Similar Posts

Leave a Reply