UserLock是您的Windows網絡守門人，它可以輕松實現(xiàn)有效的Windows和Active Directory網絡用戶訪問控制策略，并嚴格執(zhí)行。

最新版UserLock免費下載

由于這兩種訪問Exchange郵箱的常用方法都基于Microsoft Web服務器IIS（Internet信息服務），因此企業(yè)可以使用隨UserLock 6.0一起引入的IIS代理來保護這些IIS會話并幫助控制對辦公室外部公司電子郵件的訪問。

本文是在對UserLock有基本的了解的基礎上。

確保在辦公室外訪問公司電子郵件

本示例將在小型Active Directory環(huán)境中進行演示。服務器VES1是域控制器，并且還安裝了UserLock服務器。服務器VES2已安裝了具有客戶端訪問服務器（CAS）角色的Exchange 2016。

• 要將IIS代理部署在所選服務器上，請轉到Agent distribution（代理分發(fā)）視圖，然后找到服務器VES2。 單擊安裝。

• 代理已成功部署，但是將會有一條消息通知應通過安裝ISAPI篩選器在IIS中完成安裝。

• 在UserLock控制臺中刷新視圖后，IIS代理仍將在服務器VES2上標記為installing（正在安裝）。

• 切換到Exchange服務器VES2。

• 一旦注冊了ISAPI篩選器，我們將使用已排序列表視圖確保UserLock代理位于底部。

• 進入工作站并訪問具有Outlook Web訪問權限的郵箱，以強制由IIS加載ISAPI篩選器。

• 如果返回UserLock控制臺并刷新Agent distribution（代理分發(fā)）視圖，現(xiàn)在將會看到代理狀態(tài)已切換為Installed（已安裝）。

• 如果查看user sessions（用戶會話）視圖，則會看到幾個IIS會話，并非都與OWA有關。這是因為Exchange通過IIS提供了其他服務：例如，用于移動訪問的ActiveSync，http上的RPC等。

• 其他會話中許多會話是由Outlook的桌面版本生成的，并且工作站已經由UserLock的桌面代理控制。保留所有這些會話將生成太多數據。我們將在接下來的步驟中介紹如何解決該問題。

指定要監(jiān)視的IIS應用程序池

如果檢查這些Exchange Web應用程序在IIS中的配置方式，會發(fā)現(xiàn)它們在不同的IIS應用程序池中運行。

UserLock IIS代理可以利用這些不同的應用程序池來過濾掉不感興趣且不想管理的會話。為此，應該創(chuàng)建以下注冊表值（REG_MULTI_SZ類型）并添加感興趣的所有相關應用程序池。

• 如果對Outlook Web Access感興趣，則添加MSExchangeOWAAppPool。
• 如果對Active Sync感興趣，則添加MSExchangeSyncAppPool。

本示例中，應用程序池將會都添加。

完成此操作后，需要在所有應用程序池中重新加載ISAPI篩選器。立即重新啟動IIS或等待直到所有應用程序池被回收。通過使用Outlook Web Access訪問郵箱生成一些活動之后，現(xiàn)在可以看到僅顯示Outlook Web Access和ActiveSync會話。

接下來，我們將設置并執(zhí)行一些會話訪問規(guī)則。

• 在Protected accounts（受保護的帳戶）視圖中，創(chuàng)建一個新規(guī)則。例如，將受保護的帳戶所有人限制為僅允許一個打開的IIS會話。

• 當我們嘗試從其他位置訪問已通過Outlook Web Access打開的郵箱時，會看到以下內容。

顯示拒絕消息，說明已超過并發(fā)登錄的最大數量，并提及用戶已登錄的位置。

此訪問會話控制有助于防止未經授權訪問辦公室外的公司電子郵件。而且，部署代理后，所選應用程序池的所有IIS會話都將記錄在UserLock數據庫中，并在UserLock控制臺的用戶會話視圖中實時顯示。

通過幫助確保所有會話類型（包括IIS，如此處所示）的訪問安全，UserLock提供了獨特而全面的訪問控制矩陣，使安全性遠遠超出了本機Microsoft Windows功能。

=========================================

想要了解或購買UserLock正版版權，請

更多精彩內容，歡迎關注下方的微信公眾號，獲取更多產品咨詢