outlook web access安全性

一、缓存

缓存在 Outlook Web Access 中的四种情况下发生：用户会话期间，访问动态内容时，访问静态内容时，以及在附件中。

用户会话期间：

用户在 Outlook Web Access 登录页上选择“此计算机是公用计算机或共享计算机”选项时的默认超时期限是 15 分钟。用户在 Outlook Web Access 登录页上选择“此计算机是私人计算机”选项时的默认超时期限是 12 小时。

动态内容：

默认情况下，将 Outlook Web Access 配置为使用安全套接字层 (SSL) 加密。这样可以提高安全性。在运行 Exchange 2007 的计算机上安装客户端访问服务器角色时，将安装 SSL 自签名证书。可以使用该证书，也可以获取第三方颁发的证书。HTTP 标准要求 Web 浏览器不要将任何 SSL 内容缓存到磁盘中。但是，并非所有 Web 浏览器都能达到该标准。Internet Explorer 不会缓存 SSL 内容。

静态内容：

静态内容缓存在客户端计算机的磁盘上。Outlook Web Access 不会指示 Web 浏览器在用户注销时删除静态内容。这样，在用户下次使用同一台计算机登录时，有助于更快地加载 Outlook Web Access。静态内容不会通过任何方式标识用户或用户的组织。

附件：

附件可能会尤其敏感。在早期版本的 Microsoft Exchange 中，只能通过在客户端计算机上打开来查看附件。为此，会在临时文件夹中创建文件的临时副本，然后启动可以显示该文件的应用程序。该过程在客户端计算机上创建一个独立于 Outlook Web Access 会话的操作。

Exchange 2007 中的 Outlook Web Access 支持 WebReady 文档查看，以便用户查看大多数常用的文件类型。Outlook Web Access 用户可以使用 WebReady 文档查看来将附件作为 HTML 文件显示。这样，可以为附件提供与任何其他动态内容相同的保护。

Exchange 2007 SP1

Exchange 2007 Service Pack 1 (SP1) 支持 S/MIME 加密。S/MIME 加密有助于保护附件和邮件正文的安全。此外，将多次覆盖磁盘上缓存的任何文件内容。Microsoft Exchange Server 2003 和 Exchange 2007 SP1 支持 S/MIME 加密。但是，原始发布 (RTM) 版的 Exchange 2007 不支持 S/MIME 加密。

二、配置表单验证的登录格式,公用/个人计算机登录Cookie超时设置

所做的配置更改只会更改登录提示文本，不会更改用户登录必须使用的格式。例如，可以配置基于表单的身份验证登录页，提示用户使用域名\用户名的格式提供登录信息。不过，用户也可以输入自己的主用户名 (UPN)，而且会成功登录。

公共一分钟到 30 天。默认值为 15 分钟。7.5 分钟

私人一分钟到 30 天。默认值为 8 小时。4 小时

参考文档：http://www.ipsure.com/blog/2010/standard-vs-form-based-authentication-for-exchange-2007-owa/

配置表单验证