Функции за сигурност на Outlook Web Access (част 4)

Ако сте прочели предишните три части от тази поредица от статии, ще знаете, че досега сме обхванали много различни функции за сигурност, свързани с OWA, включително мрежово местоположение на сървъра за клиентски достъп, методи за удостоверяване и OWA сегментиране. В тази част ще обсъдим друга важна област на сигурността на OWA, а именно контролиране на начина, по който потребителите имат достъп до прикачени файлове, когато използват OWA.

Достъп до данни и файлове в OWA

По своята същност системата за електронна поща значително опростява процеса на изпращане и получаване на файлове от различни видове, а през последните години и управлението на потенциално опасни файлове като .exe, .com и др. осъществява чрез различни методи. Исторически погледнато, за нищо неподозиращия потребител е било твърде лесно да щракне два пъти върху прикачен изпълним файл, съдържащ злонамерен код, и в резултат на това стана необходимо това да се промени.

сигурност

Фигура 13: Конфигурация за контрол на достъпа до файлове на споделен компютър

Първо, нека да разгледаме опциите за директен достъп до файлове. Ако щракнете върху бутонаПерсонализиране', ще ви бъде представен прозорецът, показан на фигура 14. Тук можете да видите, че можете да контролирате как вашите потребители работят с познати и непознати типове файлове. За известни типове файлове има три списъка със следните имена: Разрешаване, Блокиране и Принудително запазване.

сигурност

Фигура 14: Настройки за директен достъп до файлове

Списъкът с разрешени файлове е списък с файлови разширения, които потребителят ще може да отваря в OWA. Списъкът „Блокиране“, за разлика от това, е списък с файлови разширения, които потребителят няма да може да отвори в OWA. Инакрая, списъкът за принудително запазване е списък с файлови разширения, които ще бъдат принудително записани на локалния твърд диск на компютъра, преди да могат да бъдат стартирани. Има определен ред на приоритет за тези списъци, т.е. първо е списъкът за разрешаване, след това блокиране и след това принудително запазване. Това означава, че разрешеният списък има предимство пред списъците за блокиране и принудително запазване, а списъкът за блокиране има предимство пред списъка за принудително запазване. Например, ако файлово разширение е добавено към списъка с разрешени, но е включено и в списъка за блокиране, потребителят ще има достъп до този тип файл. Долната част на Фигура 14 показва опции за работа с неизвестни типове файлове, които не са в нито един от горните списъци. По подразбиране тази опция принуждава потребителите да запазят приложението, което е може би най-сигурната опция по подразбиране според разработчиците, но в организации, където сигурността е проблем, опцията „блокиране“ ще бъде по-предпочитана за блокиране на неизвестни типове файлове.

Когато потребител се опита да получи достъп до файл, чийто тип е в списъка за блокиране, той/тя ще види съобщението, показано на Фигура 15, и ако този тип файл е в списъка за принудително запазване, потребителят ще види съобщението, показано на Фигура 16.

сигурност

Фигура 15: Съобщение за блокиран прикачен файл

Фигура 16: Съобщение за принудително запазване на прикачения файл

Например, за да получите списък с разрешените файлови типове във виртуалната директория \owa на вашия стандартен уеб сайт, можете да изпълните командата:

Get-OwaVirtualDirectory'owa (уебсайт по подразбиране)' fl *allowedfile*

Тази команда филтрира резултатите и показва опции, чиито имена съдържат низа разрешен файл. Резултатът от изпълнението на командата е показан на фигура 17.

Фигура 17: Резултат от командата AllowedFileTypes

Нека да разгледаме какво предлага настройката Force WebReady Document Viewing на потребителите. Фигура 18 показва, че прикаченият файл може да бъде отворен директно, тъй като името на самия прикачен файл е връзка. Можете също да отворите прикачен файл като уеб страница, като щракнете върху връзката Отваряне като уеб страница. Обратно, Фигура 19 показва същия прикачен файл, но след активиране на опцията Force WebReady Document Viewing. На фигура 19 можете да видите, че самото име на прикачения файл вече не е връзка и следователно принуждава потребителя да щракне върху връзката [Отваряне като уеб страница].

Заключение

Това завършва част 4 от серията функции за сигурност на OWA. Контролът на достъпа до прикачените файлове е неразделна част от всяка топология на Exchange, защото винаги трябва да ограничавате потенциално опасни типове файлове, които могат да съдържат вируси и друг злонамерен код. Препоръчвам да отделите малко време, за да се запознаете със стандартните списъци с разрешени, отказани или принудителни типове файлове. Ще продължим да разглеждаме функцията WebReady за преглед на документи, както и уеб маяците в следващата последна част от тази поредица от статии.