Советы по защите от вложенных файлов в сообщениях пользователей

Microsoft Outlook Web Access (OWA) — полезный инструмент, служащий для обеспечения доступа удаленных и мобильных пользователей к почтовым ящикам Outlook. В OWA отсутствуют некоторые функции Outlook, но в целом возможности пользователя приблизительно такие же, как и там, и продукт представляет собой разумное альтернативное решение. Однако полезные и удобные функции OWA не спасают от некоторых проблем; в частности, беспокойство вызывают вложенные файлы (конфиденциальная информация может попасть в чужие руки или вредный код проникнет в компьютер или сеть). Вместо запрета на использование OWA для дистанционного доступа к почтовым ящикам можно принять ряд мер для защиты вложенных файлов OWA, уменьшив риск. Можно также заранее планировать применение новых функций управления вложенными файлами, которые должны появиться в Exchange Server 2007.

Обработка вложенных файлов OWA

Получив сообщение электронной почты с вложенным файлом, пользователь OWA может выполнить одно из трех действий.

  • Из браузера щелкнуть правой кнопкой мыши и сохранить вложенный файл. Этот способ — исключительно функция браузера и не имеет никакого отношения к OWA.
  • Из браузера щелкнуть на ссылке вложения — появится диалоговое окно с вопросом, сохранить или открыть файл. Если пользователь хочет сохранить файл, то браузер это делает, и опять же без участия OWA.
  • Открыть документ. В этом случае OWA посылает HTTP-заголовок в браузер, указывая, что срок действия документа истек накануне. В результате браузер не записывает документ в кэш, хотя документ может быть помещен во временную файловую область на жестком диске.

В первых двух случаях OWA не контролирует события, происходящие с файлами. Если пользователь хочет сохранить файл, то браузер просто игнорирует заголовок «не кэшировать». Даже если вручную добавить заголовок Cachecontrol:no-cache в виртуальный каталог Exchange, пользователи все же смогут сохранять вложенные файлы. Изменить ситуацию можно с помощью функций управления вложенными файлами OWA 2003, запретив пользователям открывать вложенные файлы. С помощью OWA можно:

  • настроить список типов файлов, которые полностью блокируются или могут быть открыты только после сохранения на диске. Данная возможность аналогична функциям Outlook после установки пакета Outlook Security Features Administrator Package;
  • управлять доступом пользователей к документам, сохраненным непосредственно в общих папках;
  • ограничить круг пользователей, которые могут обращаться к вложенным файлам.

Эти функции управления могут пригодиться, если нужно помешать пользователям открывать опасные вложенные файлы; они в определенной степени позволяют контролировать место, в котором пользователи могут открывать вложенные файлы, содержащие конфиденциальные данные.

Блокирование по типу файлов

Первый уровень управления вложенными файлами — ограничение типов файлов, которые пользователи могут открыть непосредственно из почтового сообщения. Эта мера принята из-за досадной привычки пользователей Outlook открывать вредные программы, замаскированные под полезные вложенные файлы. Сделав файлы некоторых типов недоступными в Outlook и разрешив открывать другие файлы только после того, как они будут сохранены на диске, группа разработчиков Outlook успешно блокировала несколько потенциальных направлений атак. В OWA реализованы те же функции управления.

Типы недоступных вложений известны как типы файлов уровня 1; типы вложений, которые пользователи могут сохранять на диске, но не открывать напрямую, называются типами файлов уровня 2. Определить типы файлов, относящиеся к каждой категории, можно с помощью параметров реестра. Добавив параметры Level1FileTypes и Level2FileTypes (типа REG_SZ) в раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesMSExchangeWebOWA и указав в каждом из них список разделенных запятыми типов вложений данной категории, можно настроить OWA на блокирование файлов определенных типов или заставить пользователей предварительно сохранять файлы на диске. Например, если нужно отнести сценарии Perl (.pl) к типам файлов уровня 2, требуется выполнить следующие шаги:

  1. Зарегистрироваться на сервере OWA с учетной записью с административными правами Windows.
  2. Открыть редактор реестра (regedit.exe).
  3. Перейти в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesMSExchangeWebOWA.
  4. Дважды щелкнуть на элементе Level2FileTypes.
  5. Когда появится диалоговое окно Edit String, прокрутить экран до конца строки и добавить pl. Нажать OK.

Можно также настроить Level1MIMETypes и Level2MIMETypes, которые обеспечивают блокировку сервером OWA вложенных файлов по типу MIME-файла, доставленного сервером. Эта функция полезна, если пользователи предприятия часто работают с сообщениями, содержащими ссылки на контент без расширений (например, файлы формата Macintosh на файл-сервере Windows), так как можно блокировать тип MIME, соответствующий содержимому файла, независимо от его расширения. Кроме того, упрощается защита в тех случаях, когда расширение вложенного файла не соответствует истинному типу MIME; вредные вложения, пересылаемые по электронной почте, часто содержат ложные расширения, чтобы обмануть пользователей и антивирусные программы. Чтобы настроить типы MIME, используемые для фильтрации, следует принять те же меры, что и для задания значения Level2FileTypes, но изменить соответствующие значения Level1MIMETypes и Level2MIMETypes.

Управление доступом FreeDoc

Общие папки могут содержать множество различных типов данных. После выпуска Exchange 2000 Server возможность прямого доступа к общим папкам через WWW Distributed Authoring and Versioning (WebDAV) побудила многие организации хранить документы непосредственно в общих папках (не как файлы, присоединенные к публикациям в этих папках, а как независимые документы). С этими документами, которые в Microsoft назвали FreeDocs, связан ряд проблем безопасности. FreeDocs могут содержать встроенный макрокод, выполняемый в локальном контексте браузера, если кто-то открывает документ. По умолчанию Exchange Server 2003 блокирует доступ к FreeDoc из OWA. Этот режим можно отменить, добавив новый параметр типа REG_DWORD с именем EnableFreeDocs в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices MSExchangeWebOWA, а затем задав его значение. Можно установить следующие значения:

  • 0, чтобы блокировать весь доступ к FreeDoc из OWA (режим OWA по умолчанию). Однако это значение не мешает пользователям Microsoft Office (или других WebDAV-совместимых приложений) создавать и открывать FreeDocs;
  • 1, чтобы блокировать доступ к FreeDoc с внешних (front-end) серверов, но разрешить доступ через WebDAV и внутренние (back-end) серверы;
  • 2, чтобы разрешить доступ к FreeDoc с внутренних и внешних серверов, имена которых присутствуют в параметре AcceptedAttachmentFrontEnds. Чтобы указать список допустимых внешних серверов, нужно подготовить или дополнить список с разделением запятыми, в который входит полное имя (Fully Qualified Domain Name — FQDN) каждого сервера. Список размещается в параметре типа REG_SZ с именем HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesMSExchangeWebOWAAcceptedAttachmentFrontEnds.

Чтобы назначить способ обработки FreeDocs в OWA, необходимо сделать следующее:

  1. Зарегистрироваться на сервере OWA с учетной записью с административными правами.
  2. Открыть редактор реестра (regedit.exe).
  3. Перейти в раздел HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServices MSExchangeWebOWA.
  4. Щелкнуть правой кнопкой мыши на HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices MSExchangeWebOWA и выбрать пункт New, DWORD Value. Новый параметр следует назвать EnableFreeDocs.
  5. Дважды щелкнуть на новом параметре и ввести нужное значение в диалоговом окне Edit DWORD Value.
  6. Нажать OK.

Управление доступом к вложенным файлам через внешние серверы

Блокирование вложенных файлов и документов определенных типов полезно само по себе, но иногда требуется запретить доступ к вложенным файлам в зависимости от личности пользователя, а не только от типа файла. Эта проблема определяется принципом работы OWA. Outlook обычно устанавливается на компьютер пользователя, который считается сотрудником компании, поэтому логично предположить, что компьютер находится под управлением доверенного лица в месте, где можно безопасно открывать конфиденциальные вложенные документы. Однако OWA предназначен для работы почти с любым современным браузером — даже браузерами на незащищенных компьютерах, за которыми не следит доверенный пользователь. В OWA 2003 существует два способа решения этой проблемы, в частности механизм автоматического завершения сеансов пользователей по истечении назначенного администратором периода времени. Можно установить различные временные отрезки для общедоступных и доверенных компьютеров. В OWA 2003 можно также ограничить доступ к вложенным файлам, чтобы сократить риск открытия пользователями конфиденциальных документов на посторонних системах. Например, вряд ли следует блокировать документы Microsoft Word для всех пользователей, но полезно запретить пользователям OWA обращаться к документам Word из-за пределов корпоративной сети. OWA 2003 предоставляет два взаимодополняющих способа, с помощью которых решить эту задачу довольно просто.

Во-первых, с помощью параметра реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices MSExchangeWebOWADisableAttachments можно определить, будут ли вложения открыты, блокированы или открыты только для пользователей, подключенных непосредственно к внутренним серверам. При создании этого параметра можно назначить одно из трех значений:

  • 0 — OWA разрешает неограниченный доступ к вложенным файлам. Это режим OWA по умолчанию.
  • 1 — OWA блокирует доступ ко всем вложенным файлам. Этот драконовский режим вряд ли подходит большинству предприятий.
  • 2 — доступ к вложенным файлам открыт для пользователей, которые подключаются непосредственно к внутреннему почтовому серверу. Если используется топология внешний/внутренний компонент, то доступ к вложениям фактически ограничен пользователями внутри брандмауэра (и теми, кто может установить сеанс напрямую с почтовыми серверами).

Чтобы применить этот параметр, нужно выполнить следующие операции:

  1. Зарегистрироваться на сервере OWA с учетной записью с административными правами Windows.
  2. Открыть редактор реестра (regedit.exe).
  3. Перейти к разделу реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices MSExchangeWebOWA.
  4. Щелкнуть правой кнопкой мыши на HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices MSExchangeWebOWA и выбрать пункт New, DWORD Value. Дать новому параметру название DisableAttachments.
  5. Дважды щелкнуть мышью на новом параметре и ввести в диалоговом окне Edit DWORD Value нужное значение (например, значение 2, чтобы блокировать доступ к вложенным файлам извне).
  6. Нажать OK.
  7. Остановить и перезапустить службу World Wide Web Publishing. Это можно быстро сделать из командной строки с помощью команд net stop w3svc и net start w3svc.

Во-вторых, можно задействовать параметр Accepted AttachmentFrontEnds (типа REG_SZ) в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesMSExchangeWebOWA, чтобы позволить пользователям подключаться к указанным внешним серверам для доступа к вложенным файлам. Будет принят любой запрос, который поступает с сервера, заголовок узла которого совпадает с именем сервера в списке AcceptedAttachmentFrontEnds. Отделять записи о разрешенных серверах в списке следует запятыми. Этот параметр вступает в силу, только если параметру DisableAttachments присвоено значение 2.

Следует отметить, что списки блокировки уровней 1 и 2 имеют приоритет перед DisableAttachments. Если указано, что определенный тип файла должен быть блокирован, то он будет блокирован для всех пользователей, независимо от значения DisableAttachments.

Функции управления вложенными файлами OWA 2007

Компания Microsoft дополнила версию OWA для Exchange 2007 двумя важными функциями управления вложенными файлами. Первая, OWA Document Access, обеспечивает преобразование сервером OWA ссылок на внутренние Web-узлы Windows SharePoint Services для использования клиентами через Internet. В результате пользователи OWA получают доступ только для чтения к указанным администратором узлам SharePoint (если пользователи имеют доступ к своим обычным учетным записям Windows); Document Access использует учетные данные, чтобы запросить доступ. Благодаря этой функции SharePoint сокращается потребность в пересылке вложенных файлов по электронной почте.

Вторая функция, WebReady Document Viewing, представляет собой HTML-транскодер, преобразующий некоторые типы документов Office (например, Word, PowerPoint, Excel) и PDF-файлы в HTML-страницы. Эта функция не позволяет изменять содержимое вложенного файла, поэтому для пользователей более не существует простого способа сохранить целый файл документа на постороннем компьютере. В одной из следующих статей я более подробно расскажу об этих двух функциях.

Управление доступом к вложенным файлам — часть строгого подхода к вопросам безопасности, и OWA располагает рядом функций, которые помогают снизить вероятность того, что пользователь по ошибке оставит копии конфиденциальных вложенных файлов на общедоступных компьютерах или вложение с вредным содержимым повредит сеть. Однако эти меры несовершенны. Например, достаточно целеустремленный пользователь может просто переименовать файл перед его отправкой, чтобы избежать блокировки по типу файла. Если сотрудники часто пересылают по электронной почте конфиденциальные сообщения, необходимо объединить технические меры, рассмотренные в статье, с обучением пользователей, чтобы они осознавали важность мер безопасности. После этого нужно продумать политику безопасности, оговорив в ней соответствующие процедуры обработки вложенных файлов. А функции управления вложенными файлами OWA помогут реализовать эту политику.

Поль Робишо - главный инженер компании 3sharp, имеет сертификаты MCSE и Exchange MVP. Автор нескольких книг, в том числе The Exchange Server Cookbook (издательство O?Reilly and Associates), и создатель Web-узла http://www.exchangefaq.org. (troubleshooter@robichaux.net)

Дополнительные ресурсы OWA

Ресурсы Microsoft

Outlook Web Access Features in Exchange Server 2003,

http://www.microsoft.com/exchange/evaluation/ features/owa_features.mspx

Outlook Web Access — Configure Attachment Blocking,

http://support.microsoft.com/?kbid=555001