outlook web access安全性

boss44

　　一、缓存
　　缓存在 Outlook Web Access 中的四种情况下发生：用户会话期间，访问动态内容时，访问静态内容时，以及在附件中。
　　用户会话期间：
　　用户在 Outlook Web Access 登录页上选择“此计算机是公用计算机或共享计算机”选项时的默认超时期限是 15 分钟。用户在 Outlook Web Access 登录页上选择“此计算机是私人计算机”选项时的默认超时期限是 12 小时。
　　动态内容：
　　默认情况下，将 Outlook Web Access 配置为使用安全套接字层 (SSL) 加密。这样可以提高安全性。在运行 Exchange 2007 的计算机上安装客户端访问服务器角色时，将安装 SSL 自签名证书。可以使用该证书，也可以获取第三方颁发的证书。HTTP 标准要求 Web 浏览器不要将任何 SSL 内容缓存到磁盘中。但是，并非所有 Web 浏览器都能达到该标准。Internet Explorer 不会缓存 SSL 内容。
　　静态内容：
　　静态内容缓存在客户端计算机的磁盘上。Outlook Web Access 不会指示 Web 浏览器在用户注销时删除静态内容。这样，在用户下次使用同一台计算机登录时，有助于更快地加载 Outlook Web Access。静态内容不会通过任何方式标识用户或用户的组织。
　　附件：

　　附件可能会尤其敏感。在早期版本的 Microsoft Exchange 中，只能通过在客户端计算机上打开来查看附件。为此，会在临时文件夹中创建文件的临时副本，然后启动可以显示该文件的应用程序。该过程在客户端计算机上创建一个独立于 Outlook Web Access 会话的操作。
　　Exchange 2007 中的 Outlook Web Access 支持 WebReady 文档查看，以便用户查看大多数常用的文件类型。Outlook Web Access 用户可以使用 WebReady 文档查看来将附件作为 HTML 文件显示。这样，可以为附件提供与任何其他动态内容相同的保护。
　　Exchange 2007 SP1
　　Exchange 2007 Service Pack 1 (SP1) 支持 S/MIME 加密。S/MIME 加密有助于保护附件和邮件正文的安全。此外，将多次覆盖磁盘上缓存的任何文件内容。Microsoft Exchange Server 2003 和 Exchange 2007 SP1 支持 S/MIME 加密。但是，原始发布 (RTM) 版的 Exchange 2007 不支持 S/MIME 加密。
　　
　　二、配置表单验证的登录格式,公用/个人计算机登录Cookie超时设置
　　所做的配置更改只会更改登录提示文本，不会更改用户登录必须使用的格式。例如，可以配置基于表单的身份验证登录页，提示用户使用域名\用户名的格式提供登录信息。不过，用户也可以输入自己的主用户名 (UPN)，而且会成功登录。
　　登录 Cookie 超时值 在使用默认超时值时，身份验证密钥的再循环时间
　　公共 一分钟到 30 天。默认值为 15 分钟。7.5 分钟
　　私人 一分钟到 30 天。默认值为 8 小时。4 小时
　　参考文档：http://www.ipsure.com/blog/2010/standard-vs-form-based-authentication-for-exchange-2007-owa/
　　配置表单验证


　　更改登录格式后必须重启IIS,

　　此处重启IIS失败

　　直接去IIS管理器启动网站报错

　　只好重启DC1，设置成功。
　　
　　公用/个人计算机登录Cookie超时设置是通过修改注册表，添加PublicTimeout DWORD 值或者PrivateTimeout DWORD 值来实现，需要重启IIS
　　最小为1分钟，最大为30天。
　　详见：http://technet.microsoft.com/zh-CN/library/bb124787(v=exchg.80).aspx
　　
　　注意：该更改只是改了下提示文本，如图
　　更改前：

　　更改后

　　　　三、为 Outlook Web Access 配置标准身份验证方法

　　需要重启

　　重启成功

　　查看IIS，owa目录身份验证属性

　　验证效果：
　　1.从域内计算机登录。
　　用域管理员账户administrator登录node1,开启IE浏览器访问https://192.168.190.168/owa  （将IE浏览器安全设置为192.168.190.168为可信的本地intranet,否则脚本无法执行）
　　直接就可以进入邮箱，无需输入用户名和密码
　　2.从非域计算机登录，提示需要密码。输入administrator和密码即可登录。无需域名

　　
　　四、配置 Outlook Web Access 以使用智能卡或者RSA SecurID（一次性密码）
　　智能卡身份验证要求进行安全套接字层 (SSL) 加密。默认情况下，Outlook Web Access 使用 SSL。如果已将 Outlook Web Access 配置为不要求 SSL 并且希望用户可以使用智能卡，必须将 Outlook Web Access 重新配置为要求 SSL
　　此处不做实验。参见：http://technet.microsoft.com/zh-CN/library/bb691090(v=exchg.80).aspx
　　
　　
　　
　　五、配置其他虚拟目录使用SSL
　　略，启用SSL选项即可。
　　
　　六、OWA和S/MIME
　　若要在 Exchange 组织中支持 S/MIME，必须构建公钥基础结构 (PKI)
　　默认是启用S/MIME的，会下载S/MIME控件解读S/MIME邮件。

　　管理S/MIME控件行为是通过修改注册表。
　　具体参见：http://technet.microsoft.com/zh-CN/library/bb738151(v=exchg.80).aspx