Функції безпеки outlook web access (частина 4)

Якщо ви Новомосковсклі попередні три частини цього циклу статей, ви знаєте, що до теперішнього часу ми розглянули масу різних функцій безпеки, пов'язаних з OWA, серед яких було мережеве розташування сервера Client Access Server, способи аутентифікації і сегментація OWA. У цій частині ми обговоримо іншу важливу область безпеки OWA, а саме, управління тим, як користувачі отримують доступ до вкладень при використанні OWA.

Доступ до даних і файлів в OWA

За самою своєю природою система електронної пошти значно спрощує процес відправки та отримання файлів різних типів і за останні роки управління такими потенційно небезпечними файлами, як .exe. com і т.п. здійснювалося за допомогою різних способів. Історично склалося так, що нічого не підозрює користувачеві було занадто просто двічі клікнути на виконуваному файлі вкладення, що містить шкідливий код, і в результаті з'явилася необхідність це змінити.

Функції безпеки outlook web access (частина 4)

Малюнок 13: Конфігурація управління доступом до файлів на загальному комп'ютері

Спочатку давайте розглянемо опції прямого доступу до файлів. Якщо ви натиснете на кнопку Змінити (Customize) '. у вас відкриється вікно, показане на малюнку 14. Тут видно, що ви можете контролювати те, як ваші користувачі будуть працювати з відомими і невідомими типами файлів. Для відомих типів файлів тут є три списки з наступними назвами: Дозволити (Allow). Блокувати (Block) і Зберегти примусово (Force Save).

Функції безпеки outlook web access (частина 4)

Малюнок 14: Налаштування прямого доступу до файлів

Список «Дозволити» є списком розширень файлів, які користувач зможе відкривати в OWA. Список «Блокувати», навпаки, є списком розширень файлів, які користувач не зможе відкрити в OWA. І нарешті, список примусового збереження є списком розширень файлів, які будуть збережені в примусовому порядку на локальний жорсткий диск комп'ютера, перш ніж їх можна буде запустити. Існує певний порядок пріоритетності цих списків, тобто спочатку йде список Дозволити, потім - Блокувати, а потім - Примусове збереження. Це означає, що список дозволу є більш пріоритетним у порівнянні зі списками блокування і примусового збереження, а список блокування більш пріоритетний по відношенню до списку примусового збереження. Наприклад, якщо розширення файлу додано в дозволяючий список, але при цьому воно також включено до списку блокування, користувач зможе отримати доступ до цього типу файлів. Внизу малюнка 14 показані опції для роботи з невідомими типами файлів, яких немає ні в одній із вищевказаних списків. За замовчуванням ця опція змушує користувачів зберігати додаток, що, можливо, на думку, розробників, є найбезпечнішою опцією за замовчуванням, однак в організаціях, де безпеки приділяється особлива увага, більш кращою буде опція 'block (блокувати)' для блокування невідомих типів файлів .

Коли користувач намагається отримати доступ до файлу, тип якого міститься в списку блокування, він / а побачить повідомлення, показане на малюнку 15, а якщо цей тип файлу міститься в списку примусового збереження, користувач побачить повідомлення, показане на малюнку 16.

Функції безпеки outlook web access (частина 4)

Малюнок 15: Повідомлення про блокування вкладення

Малюнок 16: Повідомлення про примусове збереженні вкладення

Наприклад, для отримання списку дозволених типів файлів віртуального каталогу # 92; owa вашого стандартного веб сайту можна виконати команду:

Get-OwaVirtualDirectory 'owa (default web site)' | fl * allowedfile *

Ця команда фільтрує результати і показує параметри, назви яких містять рядок allowedfile. Результат виконання команди показаний на малюнку 17.

Малюнок 17: Результат команди AllowedFileTypes

Давайте розглянемо, що пропонує настройка опції Force WebReady Document Viewing 'користувачам. На малюнку 18 видно, що вкладення може бути відкрито безпосередньо, так як ім'я самого вкладення є посиланням. Також вкладення можна відкрити як веб сторінки, натиснувши на посилання Відкрити як веб сторінку [Open as Web Page]. І навпаки, на малюнку 19 показано те ж саме вкладення, але вже після включення опції Force WebReady Document Viewing. На малюнку 19 видно, що саме ім'я вкладення вже не є посиланням, а, отже, це змушує користувача натиснути на посилання [Open as Web Page].

висновок

На цьому закінчимо четверту частину циклу статей про функції безпеки OWA. Управління доступом до вкладень є невід'ємною частиною будь-якої топології Exchange, оскільки завжди потрібно обмежувати потенційно небезпечні типи файлів, які можуть містити віруси і інший шкідливий код. Я рекомендую витратити трохи часу на ознайомлення зі стандартними списками дозволених, заборонених або примусово зберігаються типів файлів. Ми продовжимо розгляд функції WebReady Document Viewing, а також розглянемо веб-маяки в наступній заключній частині цього циклу статей.