Windows網(wǎng)絡(luò)守門人UserLock教程：如何使用UserLock保護對Exchange郵箱的遠程訪問

---

UserLock是您的Windows網(wǎng)絡(luò)守門人，它可以輕松實現(xiàn)有效的Windows和Active Directory網(wǎng)絡(luò)用戶訪問控制策略，并嚴格執(zhí)行。

最新版UserLock免費下載

---

為了滿足遠程和移動勞動力的需求，如今，大多數(shù)公司為員工提供從辦公室外部訪問其公司郵箱的權(quán)限。這很可能是通過在Web瀏覽器中使用Outlook Web Access（OWA）或在ActiveSync郵件客戶端中使用其電話來實現(xiàn)的。

由于這兩種訪問Exchange郵箱的常用方法都基于Microsoft Web服務(wù)器IIS（Internet信息服務(wù)），因此企業(yè)可以使用隨UserLock 6.0一起引入的IIS代理來保護這些IIS會話并幫助控制對辦公室外部公司電子郵件的訪問。

本文是在對UserLock有基本的了解的基礎(chǔ)上。

確保在辦公室外訪問公司電子郵件

本示例將在小型Active Directory環(huán)境中進行演示。服務(wù)器VES1是域控制器，并且還安裝了UserLock服務(wù)器。服務(wù)器VES2已安裝了具有客戶端訪問服務(wù)器（CAS）角色的Exchange 2016。

• 要將IIS代理部署在所選服務(wù)器上，請轉(zhuǎn)到Agent distribution（代理分發(fā)）視圖，然后找到服務(wù)器VES2。 單擊安裝。

• 代理已成功部署，但是將會有一條消息通知應(yīng)通過安裝ISAPI篩選器在IIS中完成安裝。

• 在UserLock控制臺中刷新視圖后，IIS代理仍將在服務(wù)器VES2上標記為installing（正在安裝）。

• 切換到Exchange服務(wù)器VES2。

打開IIS管理控制臺，然后進入Default web site（默認網(wǎng)站）并打開ISAPI filters（ISAPI過濾器）。 在這里，添加位于以下路徑的UserLock IIS代理：c：\ Windows \ System32 \ IisSessions.dll

• 一旦注冊了ISAPI篩選器，我們將使用已排序列表視圖確保UserLock代理位于底部。

（如果代理不在最底層，則保護仍將起作用，但是如果用戶錯誤輸入了無效的憑據(jù)，則即使將Active Directory配置為僅在幾次嘗試失敗后才鎖定帳戶，該帳戶也可能會立即被鎖定。）

• 進入工作站并訪問具有Outlook Web訪問權(quán)限的郵箱，以強制由IIS加載ISAPI篩選器。

• 如果返回UserLock控制臺并刷新Agent distribution（代理分發(fā)）視圖，現(xiàn)在將會看到代理狀態(tài)已切換為Installed（已安裝）。

• 如果查看user sessions（用戶會話）視圖，則會看到幾個IIS會話，并非都與OWA有關(guān)。這是因為Exchange通過IIS提供了其他服務(wù)：例如，用于移動訪問的ActiveSync，http上的RPC等。

• 其他會話中許多會話是由Outlook的桌面版本生成的，并且工作站已經(jīng)由UserLock的桌面代理控制。保留所有這些會話將生成太多數(shù)據(jù)。我們將在接下來的步驟中介紹如何解決該問題。

指定要監(jiān)視的IIS應(yīng)用程序池

如果檢查這些Exchange Web應(yīng)用程序在IIS中的配置方式，會發(fā)現(xiàn)它們在不同的IIS應(yīng)用程序池中運行。

UserLock IIS代理可以利用這些不同的應(yīng)用程序池來過濾掉不感興趣且不想管理的會話。為此，應(yīng)該創(chuàng)建以下注冊表值（REG_MULTI_SZ類型）并添加感興趣的所有相關(guān)應(yīng)用程序池。

• 如果對Outlook Web Access感興趣，則添加MSExchangeOWAAppPool。
• 如果對Active Sync感興趣，則添加MSExchangeSyncAppPool。

本示例中，應(yīng)用程序池將會都添加。

完成此操作后，需要在所有應(yīng)用程序池中重新加載ISAPI篩選器。立即重新啟動IIS或等待直到所有應(yīng)用程序池被回收。通過使用Outlook Web Access訪問郵箱生成一些活動之后，現(xiàn)在可以看到僅顯示Outlook Web Access和ActiveSync會話。

IIS會話的訪問控制管理

接下來，我們將設(shè)置并執(zhí)行一些會話訪問規(guī)則。

• 在Protected accounts（受保護的帳戶）視圖中，創(chuàng)建一個新規(guī)則。例如，將受保護的帳戶所有人限制為僅允許一個打開的IIS會話。

• 當我們嘗試從其他位置訪問已通過Outlook Web Access打開的郵箱時，會看到以下內(nèi)容。

顯示拒絕消息，說明已超過并發(fā)登錄的最大數(shù)量，并提及用戶已登錄的位置。

此訪問會話控制有助于防止未經(jīng)授權(quán)訪問辦公室外的公司電子郵件。而且，部署代理后，所選應(yīng)用程序池的所有IIS會話都將記錄在UserLock數(shù)據(jù)庫中，并在UserLock控制臺的用戶會話視圖中實時顯示。

通過幫助確保所有會話類型（包括IIS，如此處所示）的訪問安全，UserLock提供了獨特而全面的訪問控制矩陣，使安全性遠遠超出了本機Microsoft Windows功能。

=========================================

想要了解或購買UserLock正版版權(quán)，請咨詢慧都官方客服

更多精彩內(nèi)容，歡迎關(guān)注下方的微信公眾號，獲取更多產(chǎn)品咨詢