logo UserLock教程 我也要发布文档

如何使用UserLock保护对Exchange邮箱的远程访问


UserLock是您的Windows网络守门人,它可以轻松实现有效的Windows和Active Directory网络用户访问控制策略,并严格执行。

最新版UserLock免费下载


为了满足远程和移动劳动力的需求,如今,大多数公司为员工提供从办公室外部访问其公司邮箱的权限。这很可能是通过在Web浏览器中使用Outlook Web Access(OWA)或在ActiveSync邮件客户端中使用其电话来实现的。

由于这两种访问Exchange邮箱的常用方法都基于Microsoft Web服务器IIS(Internet信息服务),因此企业可以使用随UserLock 6.0一起引入的IIS代理来保护这些IIS会话并帮助控制对办公室外部公司电子邮件的访问。

本文是在对UserLock有基本的了解的基础上。

确保在办公室外访问公司电子邮件

本示例将在小型Active Directory环境中进行演示。服务器VES1是域控制器,并且还安装了UserLock服务器。服务器VES2已安装了具有客户端访问服务器(CAS)角色的Exchange 2016。

  • 要将IIS代理部署在所选服务器上,请转到Agent distribution(代理分发)视图,然后找到服务器VES2。 单击安装。
代理分发
  • 代理已成功部署,但是将会有一条消息通知应通过安装ISAPI筛选器在IIS中完成安装。
分发消息
  • 在UserLock控制台中刷新视图后,IIS代理仍将在服务器VES2上标记为installing(正在安装)。
分发消息服务器
  • 切换到Exchange服务器VES2。
打开IIS管理控制台,然后进入Default web site(默认网站)并打开ISAPI filters(ISAPI过滤器)。 在这里,添加位于以下路径的UserLock IIS代理:c:\ Windows \ System32 \ IisSessions.dll
isapi过滤器以保护外观网络访问
  • 一旦注册了ISAPI筛选器,我们将使用已排序列表视图确保UserLock代理位于底部。
(如果代理不在最底层,则保护仍将起作用,但是如果用户错误输入了无效的凭据,则即使将Active Directory配置为仅在几次尝试失败后才锁定帐户,该帐户也可能会立即被锁定。)
isapi过滤器以保护外观网络访问2
  • 进入工作站并访问具有Outlook Web访问权限的邮箱,以强制由IIS加载ISAPI筛选器。
电子邮件框外观网络访问力isapi过滤器
  • 如果返回UserLock控制台并刷新Agent distribution(代理分发)视图,现在将会看到代理状态已切换为Installed(已安装)
已安装代理
  • 如果查看user sessions(用户会话)视图,则会看到几个IIS会话,并非都与OWA有关。这是因为Exchange通过IIS提供了其他服务:例如,用于移动访问的ActiveSync,http上的RPC等。
用户会话
  • 其他会话中许多会话是由Outlook的桌面版本生成的,并且工作站已经由UserLock的桌面代理控制。保留所有这些会话将生成太多数据。我们将在接下来的步骤中介绍如何解决该问题。

指定要监视的IIS应用程序池

如果检查这些Exchange Web应用程序在IIS中的配置方式,会发现它们在不同的IIS应用程序池中运行。

应用程序池到监视器

UserLock IIS代理可以利用这些不同的应用程序池来过滤掉不感兴趣且不想管理的会话。为此,应该创建以下注册表值(REG_MULTI_SZ类型)并添加感兴趣的所有相关应用程序池。

  • 如果对Outlook Web Access感兴趣,则添加MSExchangeOWAAppPool。
  • 如果对Active Sync感兴趣,则添加MSExchangeSyncAppPool。

本示例中,应用程序池将会都添加。

完成此操作后,需要在所有应用程序池中重新加载ISAPI筛选器。立即重新启动IIS或等待直到所有应用程序池被回收。通过使用Outlook Web Access访问邮箱生成一些活动之后,现在可以看到仅显示Outlook Web Access和ActiveSync会话。

Outlook Web Access ActiveSync会话
IIS会话的访问控制管理

接下来,我们将设置并执行一些会话访问规则。

  • Protected accounts(受保护的帐户视图中,创建一个新规则。例如,将受保护的帐户所有人限制为仅允许一个打开的IIS会话。

保护电子邮件访问外部办公室

  • 当我们尝试从其他位置访问已通过Outlook Web Access打开的邮箱时,会看到以下内容。

网络安全并发登录拒绝消息

显示拒绝消息,说明已超过并发登录的最大数量,并提及用户已登录的位置。

此访问会话控制有助于防止未经授权访问办公室外的公司电子邮件。而且,部署代理后,所选应用程序池的所有IIS会话都将记录在UserLock数据库中,并在UserLock控制台的用户会话视图中实时显示。

通过帮助确保所有会话类型(包括IIS,如此处所示)的访问安全,UserLock提供了独特而全面的访问控制矩阵,使安全性远远超出了本机Microsoft Windows功能。

=========================================

想要了解或购买UserLock正版版权,请咨询慧都官方客服

更多精彩内容,欢迎关注下方的微信公众号,获取更多产品咨询

慧聚IT