增强OWA 2003附件安全性

导读：OWA是远程用户访问邮件的得力助手，但它对附件的处理却为恶意代码和入侵者留下了可乘之机。本文为您介绍一些降低风险的技巧。

Microsoft Outlook Web Access（OWA）是一款供远程或移动用户访问他们的Outlook邮箱的有用工具。尽管OWA的功能并不如Outlook那么全，但它的用户体验和Outlook非常相似，在某种程度上可以作为Outlook的替代解决方案。然而，OWA的某些有用的功能在方便用户的同时，也不可避免地带来了一些安全性问题，附件安全就是其中之一。它又包含两个方面，一方面，敏感信息可能会落入非法用户之手，另一方面，附件中的恶意内容可能会危害用户的PC或网络。完全禁止用户通过OWA来远程访问他们的邮箱显然不是解决之道，你可以采取一些措施来加强OWA附件的安全性，从而降低风险。此外，微软在Exchange Server 2007里也集成了一些新的附件控制特性，有条件的话不妨提前体验一下。

OWA对附件的处理当OWA用户收到一封包含附件的电子邮件后，他有三种选择：

• 用户可以在浏览器中直接右键点击附件并选择保存。这完全是浏览器提供的功能，与OWA没有任何关系。
  
• 用户也可以在浏览器中点击附件链接，浏览器随即显示一个对话框，询问用户是保存还是打开文件。如果用户选择保存，那么浏览器就会保存该文件，同样，OWA不参与操作。
  
• 如果用户选择打开文档，那么OWA会发送一个HTTP头给浏览器，告诉它该文档已于前一天过期。这么做是为了让浏览器不缓存文档，尽管它还是可以将文档写入到硬盘上的某个临时文件里。
  

注意，在前两种情况下，OWA对附件不施加任何控制。如果用户选择保存文件，那么浏览器会直接忽略HTTP头中的“不缓存”标识。即使你把“Cache-control：no-cache”头手动添加到Exchange虚拟目录中，也无法禁止用户保存附件。为了加强安全性，你可以利用OWA 2003的附件控制特性来阻止用户打开附件。具体做法如下：

* 对禁止打开以及只允许保存到磁盘后再打开的文件类型进行限制。该功能与你在Outlook里安装Outlook安全特性管理包之后的功能类似。

* 控制是否允许用户直接访问存储在公用文件夹里的文档。

* 限制用户可以访问附件的服务器。
这些控制措施有助于阻止用户打开恶意附件，同时也让你在一定程度上控制用户可以在哪里打开那些有可能包含敏感数据或内部数据的附件。

阻止特定文件类型的附件附件控制的第一关是限制用户可以直接打开的文件类型。之所以需要这么做是因为许多恶意软件都会把自己伪装成合法附件，而广大缺乏安全意识的Outlook用户会毫不犹豫地打开这些附件。通过禁止打开或要求先保存到磁盘再允许打开某些类型的文件，Outlook开发团队可以成功地堵住多条潜在的攻击途径。OWA也能够实现类似的控制。
完全被禁止打开的附件类型被称作“Level 1”文件类型；可以保存到磁盘但是不允许直接打开的附件类型被称作“Level 2”文件类型。你可以在注册表里设置这些文件类型。通过在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA子键下添加Level1FileTypes和Level2FileTypes这两个值（均是REG_SZ类型），并且把它们的值分别设置为逗号分隔格式的文件类型列表，你就可以强制OWA禁止某些类型的文件，或强制用户先把文件保存到磁盘再打开。举个例子，如果你想把Perl（.pl）脚本设为Level 2文件类型，你可以这么操作：

* 用某个具有Windows管理权限的帐号登录到你的OWA服务器。 

* 打开注册表编辑器（regedit.exe）。 

* 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\MSExchangeWeb\OWA。

* 双击Level2FileTypes项。 

* 当“编辑字符串”对话框出现时，拖动滚动条到字符串的末端并添加“pl”（不带双引号）。点击“确定”。 
你也可以自定制Level1MIMETypes和Level2MIMETypes，这两个值告诉OWA服务器根据MIME类型来拦截附件。如果你的用户需要频繁接触包含指向无扩展名的内容（例如：Windows文件服务器上的Macintosh格式的文件）的邮件时，该功能尤其管用，因为不管实际的文件扩展名是什么，你都可以根据文件内容来拦截MIME类型。它还可以保护你免受虚假扩展名的欺骗；通过邮件传播的恶意软件通常都会包含一个假的扩展名，以此来欺骗用户和反病毒软件。定制MIME类型的步骤和上文列出的设置Level2FileTypes值的过程基本相同，唯一的区别就在于你要设的是Level1MIMETypes和Level2MIMETypes的值。

控制对FreeDoc的访问公用文件夹里可以包含许多不同类型的数据。在Exchange 2000 Server发布后，公用文件夹支持通过基于Web的分布式创作和版本管理（WebDAV）来直接访问，许多组织因而把文档直接存储在公用文件夹里——不是作为附件，而是作为原始文档。微软把这类文档称做“FreeDoc”，它们会引发一些安全性问题。FreeDoc可能会包含一些嵌入式的宏代码，当有人打开文档时，这些代码便会在浏览器的本地安全上下文里执行。Exchange Server 2003能够轻松阻止从OWA访问FreeDoc。方法是在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA项下添加一个新的REG_DWORD值，取名为“EnableFreeDocs”，然后对它进行设置。你可以把这个值设为：

* 0，阻止所有从OWA对FreeDoc的访问（OWA的默认行为）。然而，该设置无法阻止Microsoft Office用户（或其它具备WebDAV功能的应用程序）创建和打开FreeDoc。

* 1，阻止从前端服务器访问FreeDoc，但是允许通过WebDAV和后端服务器来访问。

* 2，允许通过在“AcceptedAttachmentFront Ends”值里列出的前端和后端服务器来访问FreeDoc。指定这些允许访问的前端服务器的方法是把它们的完全限定域名（FQDN）创建成或添加到一个逗号分隔格式的列表。该列表应该存在于名为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\MSExchangeWeb\OWA\AcceptedAttachmentFrontEnds的REG_SZ值里。

设置OWA对FreeDoc的处理方式，请遵循以下步骤：

1、用某个具有Windows管理权限的帐号登录到你的OWA服务器。

2、打开注册表编辑器（regedit.exe）。

3、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA。 

4、右键点击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA并选择“新建”*“DWORD值”。把新值命名为“EnableFreeDocs”。

5、双击新值，在“编辑DWORD值”对话框中键入相应的值。

6、点击“确定”。

控制从前端服务器对附件的访问阻止特定文件类型的附件或文档固然管用，但有时候你也需要根据访问者的位置来限制他对附件的访问，而不仅仅是基于文件类型。这种顾虑源于OWA的工作原理。Outlook通常被安装在一个相对安全的环境里，在这个环境中，所有的用户在理想情况下都应该是公司的忠实成员，因此，他们的个人电脑也应该是处于控制之中的，在这样一个环境下，用户打开含有敏感内容的附件可以认为是比较安全的。而OWA就不同了，你可以通过几乎任何一种主流的浏览器来使用它——即使是那些安装在不安全主机上的浏览器。为了增强安全性，OWA 2003在诸多方面做出了改进，比如：管理员可以设定一个时间间隔，过了这个间隔，系统就会自动终止用户会话（你可以为公用计算机和受信计算机分别设定时间间隔）。通过OWA 2003，你还可以限制用户可以通过哪台服务器来访问附件，从而降低用户在不安全的机器上打开敏感附件的风险。举例来说，你或许会向所有用户开放Microsoft Word文档，但是需要阻止用户从公司内网之外的地方访问Word文档。OWA 2003提供了两种连锁控制，让你轻松实现该功能。
首先，你可以通过

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA\DisableAttachments子键来控制附件是开放、关闭、还是只对与后端服务器直接相连的用户开放。当你创建了这条记录后，你可以为它指派以下三个值中的任意一个：

• * “0”表示让OWA对附件访问不作任何限制。这也是OWA的默认行为。 
  
• * “1”表示让OWA强行禁止所有附件访问。不过，这种控制太过严厉了，大多数环境都不适用。 
  
• * “2”表示让OWA允许与后台邮件服务器直接相连的用户访问附件，这就确保了只有位于你公司防火墙内部的用户才能访问

附件（或者是那些能够与邮件服务器直接建立连接的用户）。
具体步骤如下：

1、用某个具有Windows管理权限的帐号登录到你的OWA服务器。 

2、打开注册表编辑器（regedit.exe）。 

3、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\MSExchangeWeb\OWA。 

4、右键点击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\MSExchangeWeb\OWA并选择“新建”*“DWORD值”。把新值命名为“DisableAttachments”。

双击新值，在“编辑DWORD值”对话框中键入相应的值（比如：键入“2”以阻止外部用户对附件的访问）。 
点击“确定”。 

停止并重新启动“World Wide Web Publishing”服务。（使用“net stop w3svc”和“net start w3svc”命令，你可以在命令行界面下快速完成该工作。） 

此外，通过HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA子键下的“Accepted AttachmentFrontEnds”值（REG_SZ类型），你还可以允许与特定前端服务器相连的用户访问附件。只要服务器的主机头与“AcceptedAttachmentFrontEnds”列表中的名字相匹配，那么来自该服务器的任何请求都会被接受。（使用逗号来分隔可接受服务器列表中的条目。）只有在“DisableAttachments”值被设为“2”时，该项设置才起作用。

请注意：Level 1和Level 2阻止列表的优先级高于“DisableAttachments”。如果你此前已经指定某种特定类型的文件将被阻止，那么系统会对所有用户阻止该文件类型，而不管“DisableAttachments”的设置如何。
 
OWA 2007的附件控制特性
微软在Exchange 2007版的OWA里新增了两项重要的附件控制特性。首先是“OWA文档访问”，它可以让OWA服务器把链接转换成内部的Windows SharePoint Services Web站点链接，供Internet客户端使用。这就让OWA用户获得了管理员指定SharePoint站点的只读访问权限——当然，用户必须具有最基本的Windows帐号；“文档访问”使用用户的身份凭证来请求访问。该SharePoint功能降低了通过邮件来发送附件的需求。

第二个特性是“WebReady文档查看”，它是一个HTML代码转换器，可以以HTML页的方式来显示某些Office文档类型（比如：Word、PowerPoint、Excel）和PDF文件。该特性可以有效防止用户修改附件的内容，也就意味着用户将无法随意把一个完成的文档保存到某台非信任的计算机上。你可以留意关注一下这两大特性相关的信息。
 
从技术手段到行为规范
控制对附件的访问是增强安全性的重要组成部分，你的用户也许会无意中把含有敏感内容的附件遗留在某台非信任的计算机上，或者是含有恶意内容的附件让你的网络陷于瘫痪，OWA所提供的一些安全特性能够很好地帮助你降低风险。然而，这些安全措施都不是无懈可击的。比方说，用户只需简单地将文件重命名便可以突破文件类型限制。

如果你的电子邮件用户频繁地交换或发送敏感文档，那么仅凭本文所述的技术手段是不够的，你还应该加强对用户的教育，让他们明白各种安全措施的意义以及实施的必要性。然后，你需要为附件处理流程专门制订一套安全策略。接着，再通过OWA的附件管理特性将安全策略落到实处。
 
其它OWA资源
Windows IT Pro 资源 “Exchange Server 2003 OWA Overview”InstantDoc ID 39790 
“OWA Attachment Security”InstantDoc ID 41265 
“Setting Up Load-Balanced OWA Servers with Front-End SSL Accelerators” InstantDoc ID 47789 
“WebDAV for Remote Access”InstantDoc ID 49847 
微软资源“Outlook Web Access Features in Exchange Server 2003”http://www.microsoft.com/exchange/evaluation/features/owa_features.mspx 
“Outlook Web Access-Configure Attachment Blocking” http://support.microsoft.com/?kbid=555001