Windows網絡守門人UserLock教程：如何使用UserLock保護對Exchange郵箱的遠程訪問

---

UserLock是您的Windows網絡守門人，它可以輕松實現有效的Windows和Active Directory網絡用戶訪問控制策略，并嚴格執行。

最新版UserLock免費下載

---

為了滿足遠程和移動勞動力的需求，如今，大多數公司為員工提供從辦公室外部訪問其公司郵箱的權限。這很可能是通過在Web瀏覽器中使用Outlook Web Access（OWA）或在ActiveSync郵件客戶端中使用其電話來實現的。

由于這兩種訪問Exchange郵箱的常用方法都基于Microsoft Web服務器IIS（Internet信息服務），因此企業可以使用隨UserLock 6.0一起引入的IIS代理來保護這些IIS會話并幫助控制對辦公室外部公司電子郵件的訪問。

本文是在對UserLock有基本的了解的基礎上。

確保在辦公室外訪問公司電子郵件

本示例將在小型Active Directory環境中進行演示。服務器VES1是域控制器，并且還安裝了UserLock服務器。服務器VES2已安裝了具有客戶端訪問服務器（CAS）角色的Exchange 2016。

• 要將IIS代理部署在所選服務器上，請轉到Agent distribution（代理分發）視圖，然后找到服務器VES2。 單擊安裝。

• 代理已成功部署，但是將會有一條消息通知應通過安裝ISAPI篩選器在IIS中完成安裝。

• 在UserLock控制臺中刷新視圖后，IIS代理仍將在服務器VES2上標記為installing（正在安裝）。

• 切換到Exchange服務器VES2。

打開IIS管理控制臺，然后進入Default web site（默認網站）并打開ISAPI filters（ISAPI過濾器）。 在這里，添加位于以下路徑的UserLock IIS代理：c：\ Windows \ System32 \ IisSessions.dll

• 一旦注冊了ISAPI篩選器，我們將使用已排序列表視圖確保UserLock代理位于底部。

（如果代理不在最底層，則保護仍將起作用，但是如果用戶錯誤輸入了無效的憑據，則即使將Active Directory配置為僅在幾次嘗試失敗后才鎖定帳戶，該帳戶也可能會立即被鎖定。）

• 進入工作站并訪問具有Outlook Web訪問權限的郵箱，以強制由IIS加載ISAPI篩選器。

• 如果返回UserLock控制臺并刷新Agent distribution（代理分發）視圖，現在將會看到代理狀態已切換為Installed（已安裝）。

• 如果查看user sessions（用戶會話）視圖，則會看到幾個IIS會話，并非都與OWA有關。這是因為Exchange通過IIS提供了其他服務：例如，用于移動訪問的ActiveSync，http上的RPC等。

• 其他會話中許多會話是由Outlook的桌面版本生成的，并且工作站已經由UserLock的桌面代理控制。保留所有這些會話將生成太多數據。我們將在接下來的步驟中介紹如何解決該問題。

指定要監視的IIS應用程序池

如果檢查這些Exchange Web應用程序在IIS中的配置方式，會發現它們在不同的IIS應用程序池中運行。

UserLock IIS代理可以利用這些不同的應用程序池來過濾掉不感興趣且不想管理的會話。為此，應該創建以下注冊表值（REG_MULTI_SZ類型）并添加感興趣的所有相關應用程序池。

• 如果對Outlook Web Access感興趣，則添加MSExchangeOWAAppPool。
• 如果對Active Sync感興趣，則添加MSExchangeSyncAppPool。

本示例中，應用程序池將會都添加。

完成此操作后，需要在所有應用程序池中重新加載ISAPI篩選器。立即重新啟動IIS或等待直到所有應用程序池被回收。通過使用Outlook Web Access訪問郵箱生成一些活動之后，現在可以看到僅顯示Outlook Web Access和ActiveSync會話。

IIS會話的訪問控制管理

接下來，我們將設置并執行一些會話訪問規則。

• 在Protected accounts（受保護的帳戶）視圖中，創建一個新規則。例如，將受保護的帳戶所有人限制為僅允許一個打開的IIS會話。

• 當我們嘗試從其他位置訪問已通過Outlook Web Access打開的郵箱時，會看到以下內容。

顯示拒絕消息，說明已超過并發登錄的最大數量，并提及用戶已登錄的位置。

此訪問會話控制有助于防止未經授權訪問辦公室外的公司電子郵件。而且，部署代理后，所選應用程序池的所有IIS會話都將記錄在UserLock數據庫中，并在UserLock控制臺的用戶會話視圖中實時顯示。

通過幫助確保所有會話類型（包括IIS，如此處所示）的訪問安全，UserLock提供了獨特而全面的訪問控制矩陣，使安全性遠遠超出了本機Microsoft Windows功能。

=========================================

想要了解或購買UserLock正版版權，請

更多精彩內容，歡迎關注下方的微信公眾號，獲取更多產品咨詢