Freigeben über


Festlegen einheitlicher Outlook 2007-Kryptografieoptionen für eine Organisation

Letzte Aktualisierung: April 2012

Betrifft: Office Resource Kit

 

Letztes Änderungsdatum des Themas: 2015-05-21

Sie können viele Aspekte der Microsoft Office Outlook 2007-Kryptografiefeatures steuern, um die Konfiguration der Messaging- und Nachrichtenverschlüsselung in Ihrer Organisation sicherer zu gestalten. Beispielsweise können Sie eine Gruppenrichtlinieneinstellung konfigurieren, die ein Sicherheitskennzeichen für alle ausgehenden Nachrichten vorschreibt oder die Veröffentlichung in der globalen Adressliste deaktiviert.

Sie können die Einstellungen zum Anpassen der Kryptografie mithilfe der Gruppenrichtlinienvorlage (Outlk12.adm) sperren. Oder Sie können mithilfe des Office-Anpassungstools (OAT) Standardeinstellungen konfigurieren. In diesem Fall können Benutzer die Einstellungen ändern. Die OAT-Einstellungen befinden sich auf der Seite Benutzereinstellungen ändern des OAT.

Die Outlook-Vorlage und andere ADM-Dateien können im Microsoft Download Center unter Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Office-Anpassungstool Version 2.0 heruntergeladen werden.

So passen Sie Kryptografieoptionen mithilfe von Gruppenrichtlinien an

  1. Laden Sie die Office Outlook 2007-Vorlage (Outlk12.adm) in die Gruppenrichtlinien.

  2. Zum Anpassen der Kryptografieeinstellungen doppelklicken Sie unter Benutzerkonfiguration\Administrative Vorlagen\Microsoft Office Outlook 2007\Sicherheit\Kryptografie auf die Richtlinieneinstellung, die Sie festlegen möchten. Doppelklicken Sie beispielsweise auf Schaltfläche 'In GAL veröffentlichen' nicht anzeigen. (Einige Optionen befinden sich auch im Ordner Dialogfeld 'Signaturstatus'.)

  3. Klicken Sie auf Aktiviert. Wählen Sie ggf. eine Option auf der Registerkarte Einstellung aus.

  4. Klicken Sie auf OK.

Die konfigurierbaren Kryptografieeinstellungen sind unten aufgeführt:

Kryptografieoption Beschreibung

Mindestverschlüsselungseinstellungen

Legt die minimale Schlüssellänge für eine verschlüsselte E-Mail-Nachricht fest.

S/MIME-Interoperabilität mit externen Clients

Gibt das Verhalten bei der Behandlung von S/MIME-Nachrichten an.

Immer Rich-Text-Formatierung in S/MIME-Nachrichten verwenden

Verwendet anstelle des vom Benutzer angegebenen Formats immer Rich-Text für S/MIME-Nachrichten.

S/MIME-Kennworteinstellungen

Gibt den Standardwert und die maximale Zeitspanne für die Gültigkeit eines S/MIME-Kennworts an.

Nachrichtenformate

Wählt die zu unterstützenden Nachrichtenformate aus: S/MIME (Standard), Exchange, Fortezza oder eine Kombination dieser Formate.

Benachrichtigung, wenn Outlook die digitale ID zum Decodieren einer Nachricht nicht findet

Dient zur Eingabe einer Nachricht, die Benutzern angezeigt wird.

Option 'Weiter' in Dialogfeldern mit Verschlüsselungswarnungen nicht bereitstellen

Deaktiviert die Schaltfläche "Weiter" in Dialogfeldern mit Warnungen zu Verschlüsselungseinstellungen.

Im FIPS-kompatiblen Modus ausführen

Versetzt Outlook in den FIPS 140-1-Modus.

E-Mail-Adresse nicht mit der Adresse von verwendeten Zertifikaten vergleichen

Vergleicht die E-Mail-Adresse des Benutzers nicht mit der Adresse der für die Verschlüsselung oder Signierung verwendeten Zertifikate.

Alle E-Mail-Nachrichten verschlüsseln

Verschlüsselt alle ausgehenden E-Mail-Nachrichten.

Alle E-Mail-Nachrichten signieren

Signiert ausgehende E-Mail-Nachrichten.

Alle signierten Nachrichten als Klartext senden

Verwendet Klartext für signierte ausgehende E-Mail-Nachrichten.

S/MIME-Bestätigung anfordern, wenn mit S/MIME signiert

Fordert für ausgehende E-Mail-Nachrichten eine Empfangsbestätigung mit erhöhter Sicherheit an.

URL für S/MIME-Zertifikate

Stellt eine URL bereit, von der Benutzer eine S/MIME-Empfangsbestätigung erhalten können. Die URL kann drei Variablen (%1, %2 und %3) enthalten, die durch den Namen, die E-Mail-Adresse und die Sprache des Benutzers ersetzt werden.

Beschriftung aller mit S/MIME signierter Nachrichten sicherstellen

Legt fest, dass alle mit S/MIME signierten Nachrichten ein Sicherheitskennzeichen aufweisen müssen.

Schaltfläche 'In GAL veröffentlichen' nicht anzeigen

Deaktiviert die Schaltfläche In GAL veröffentlichen auf der Seite E-Mail-Sicherheit im Vertrauensstellungscenter.

Signaturwarnung

Dient zum Festlegen einer Option zum Anzeigen von Signaturwarnungen für Benutzer.

S/MIME-Bestätigungsanforderungen

Dient zum Festlegen einer Option für die Behandlung von S/MIME-Bestätigungsanforderungen.

Fortezza-Zertifikatrichtlinien

Dient zur Eingabe einer Liste von Richtlinien, die in den Richtlinienerweiterungen eines Zertifikats zulässig sind und anzeigen, dass es sich um ein Fortezza-Zertifikat handelt. Die Richtlinien werden durch Semikolons getrennt aufgelistet.

SuiteB-Algorithmen sind für S/MIME-Vorgänge erforderlich

Verwendet für S/MIME-Vorgänge nur SuiteB-Algorithmen.

Kryptografiesymbole aktivieren

Zeigt Outlook-Kryptografiesymbole auf der Outlook-Benutzeroberfläche an.

Abrufen von Zertifikatsperrlisten

Gibt das Verhalten von Outlook beim Abrufen von Zertifikatsperrlisten an.

Fehlende Zertifikatsperrlisten

Gibt an, wie Outlook auf fehlende Zertifikatsperrlisten reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard).

Fehlende Stammzertifikate

Gibt an, wie Outlook auf fehlende Stammzertifikate reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard).

Fehler der Ebene 2 als Fehler, nicht als Warnungen, höher stufen

Gibt an, wie Outlook auf Fehler der Ebene 2 reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard).

Anlage sicherer temporärer Ordner

Gibt einen Ordnerpfad für den sicheren Ordner für temporäre Dateien an. Setzt den Standardpfad außer Kraft und wird nicht empfohlen.

Weitere Informationen zum Festlegen von Outlook-Kryptografieoptionen

Die folgenden Abschnitte enthalten weitere Informationen zu Konfigurationsoptionen für Outlook-Kryptografie.

Outlook-Sicherheitsrichtlinieneinstellungen

In der folgenden Tabelle sind die Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Installation konfigurieren können. Die Windows-Registrierungseinstellungen entsprechen den oben aufgeführten Gruppenrichtlinieneinstellungen. Fügen Sie diese Werteinträge im folgenden Unterschlüssel hinzu:

HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security

Wertname Wertdaten (Datentyp) Beschreibung Entsprechende Option auf der Benutzeroberfläche

AlwaysEncrypt

0, 1 (DWORD)

Auf 1 festlegen, um ausgehende Nachrichten zu verschlüsseln. Standard: 0.

Kontrollkästchen Inhalt verschlüsseln (Seite E-Mail-Sicherheit)

AlwaysSign

0, 1 (DWORD)

Auf 1 festlegen, um ausgehende Nachrichten zu signieren. Standard: 0.

Kontrollkästchen Dig. Signatur ausgehenden Nachrichten hinzufügen (Seite E-Mail-Sicherheit)

ClearSign

0, 1 (DWORD)

Auf 1 festlegen, um Klartext für ausgehende Nachrichten zu verwenden. Standard: 0.

Kontrollkästchen Signierte Nachrichten als Klartext senden (Seite E-Mail-Sicherheit)

RequestSecureReceipt

0, 1 (DWORD)

Auf 1 festlegen, um für ausgehende Nachrichten Empfangsbestätigungen mit erhöhter Sicherheit anzufordern. Standard: 0.

Kontrollkästchen S/MIME-Bestätigung anfordern (Seite E-Mail-Sicherheit)

ForceSecurityLabel

0, 1 (DWORD)

Auf 1 festlegen, um eine Beschriftung für ausgehende Nachrichten vorzuschreiben. (Mit der Registrierungseinstellung wird die Beschriftung selbst nicht festgelegt.) Standard: 0.

Keine

ForceSecurityLabelX

ASN-codiertes BLOB (Binär)

Dieser Werteintrag gibt an, ob ein benutzerdefiniertes Sicherheitskennzeichen auf ausgehenden signierten Nachrichten vorhanden sein muss. Die Zeichenfolge kann optional die Beschriftung, die Klassifizierung und die Kategorie enthalten. Standardmäßig ist kein Sicherheitskennzeichen erforderlich.

Keine

SigStatusNoCRL

0, 1 (DWORD)

0 festlegen, um anzugeben, dass während der Gültigkeitsprüfung der Signatur bei einer fehlenden Zertifikatsperrliste eine Warnung ausgegeben wird. Auf 1 festlegen, um anzugeben, dass bei einer fehlenden Zertifikatsperrliste ein Fehler ausgegeben wird. Standard: 0.

Keine

SigStatusNoTrustDecision

0, 1, 2 (DWORD)

Auf 0 festlegen, um anzugeben, dass die Entscheidung "Nicht vertrauenswürdig" zulässig ist. Auf 1 festlegen, dass bei der Entscheidung "Nicht vertrauenswürdig" eine Warnung ausgegeben wird. Auf 2 festlegen, um anzugeben, dass bei der Entscheidung "Nicht vertrauenswürdig" ein Fehler ausgegeben wird. Standard: 0.

Keine

PromoteErrorsAsWarnings

0, 1 (DWORD)

Auf 0 festlegen, um Fehler der Ebene 2 als Fehler höher zu stufen. Auf 1 festlegen, um Fehler der Ebene 2 als Warnungen höher zu stufen. Standard: 1.

Keine

PublishtoGalDisabled

0, 1 (DWORD)

Auf 1 festlegen, um die Schaltfläche In GAL veröffentlichen zu deaktivieren. Standard: 0.

Schaltfläche In GAL veröffentlichen (Seite E-Mail-Sicherheit)

FIPSMode

0, 1 (DWORD)

Auf 1 festlegen, um Outlook in den FIPS 140-1-Modus zu versetzen. Standard: 0.

Keine

WarnAboutInvalid

0, 1, 2 (DWORD)

Auf 0 festlegen, um das Kontrollkästchen Anzeigen und fragen (deaktivierbares Dialogfeld Problem mit sicherer E-Mail) anzuzeigen. Auf 1 festlegen, um das Dialogfeld immer anzuzeigen. Auf 2 festlegen, um das Dialogfeld niemals anzuzeigen. Standard: 2.

Deaktivierbares Dialogfeld Problem mit sicherer E-Mail

DisableContinueEncryption

0, 1 (DWORD)

Auf 0 festlegen, um die Schaltfläche zum Fortsetzen der Verschlüsselung im letzten Dialogfeld zu Verschlüsselungsfehlern anzuzeigen. Auf 1 festlegen, um die Schaltfläche auszublenden. Standard: 0.

Schaltfläche zum Fortsetzen der Verschlüsselung im letzten Dialogfeld zu Verschlüsselungsfehlern. Dieses Dialogfeld wird angezeigt, wenn ein Benutzer versucht, eine Nachricht an eine Person zu senden, die keine verschlüsselten Nachrichten empfangen kann. Diese Einstellung deaktiviert die Schaltfläche, über die Benutzer unabhängig davon dennoch Nachrichten senden können. (Der Empfänger kann verschlüsselte E-Mail-Nachrichten, die durch Außerkraftsetzen des Fehlers gesendet wurden, nicht öffnen.)

RespondtoReceiptRequest

0, 1, 2, 3 (DWORD)

Auf 0 festlegen, um immer eine Bestätigungsantwort zu senden und ggf. zur Eingabe eines Kennworts aufzufordern. Auf 1 festlegen, um beim Senden einer Bestätigungsantwort zur Eingabe eines Kennworts aufzufordern. Auf 2 festlegen, um niemals eine Bestätigungsantwort zu senden. Auf 3 festlegen, um das Senden einer Bestätigungsantwort zu erzwingen. Standard: 0.

Keine

NeedEncryptionString

Zeichenfolge

Zeigt die angegebene Zeichenfolge an, wenn der Benutzer erfolglos versucht, eine verschlüsselte Nachricht zu öffnen. Kann Informationen darüber bereitstellen, wo die Sicherheitsregistrierung erfolgen soll. Sofern keine andere Zeichenfolge festgelegt wird, wird die Standardzeichenfolge verwendet.

Standardzeichenfolge

Optionen

0, 1 (DWORD)

Auf 0 festlegen, um ein Warnungsdialogfeld anzuzeigen, wenn ein Benutzer versucht, eine signierte Nachricht mit einer ungültigen Signatur zu lesen. Auf 1 festlegen, um die Warnung niemals anzuzeigen. Standard: 0.

Keine

MinEncKey

40, 64, 128, 168 (DWORD)

Legt die minimale Schlüssellänge für eine verschlüsselte E-Mail-Nachricht fest.

Keine

RequiredCA

Zeichenfolge

Legt den Namen der erforderlichen Zertifizierungsstelle fest. Wenn ein Wert festgelegt wird, wird in Outlook das Signieren von E-Mail-Nachrichten mithilfe eines Zertifikats von einer anderen Zertifizierungsstelle unterbunden.

Keine

EnrollPageURL

Zeichenfolge

URL für die Standardzertifizierungsstelle (intern oder extern), von der Benutzer neue digitale IDs beziehen sollen. Hinweis: Legen Sie diesen Wert im Unterschlüssel HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security fest, wenn Sie keine Administratorrechte auf dem Benutzercomputer besitzen.

Schaltfläche Digitale ID anfordern (Seite E-Mail-Sicherheit)

Wenn Sie einen Wert für PromoteErrorsAsWarnings angeben, gelten u. a. die folgenden Bedingungen für Fehler der Ebene 2:

  • Unbekannter Signaturalgorithmus

  • Keine Signaturzertifizierung gefunden

  • Unzulässige Attributsätze

  • Kein Ausstellerzertifikat gefunden

  • Keine Zertifikatsperrliste gefunden

  • Veraltete Zertifikatsperrliste

  • Problem mit der Stammvertrauensstellung

  • Veraltete Zertifikatvertrauensliste (Certificate Trust List, CTL)

Wenn Sie einen Wert für EnrollPageURL angeben, können Sie mithilfe der folgenden Parameter Informationen über den Benutzer an die Registrierungswebseite senden.

Parameter Platzhalter in URL-Zeichenfolge

Anzeigename des Benutzers

%1

SMTP-E-Mail-Name

%2

ID der Benutzeroberflächensprache

%3

Zum Senden von Benutzerinformationen an die Registrierungswebseite von Microsoft legen Sie beispielsweise den EnrollPageURL-Eintrag auf den folgenden Wert und die folgenden Parameter fest:

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

Wenn beispielsweise der Name des Benutzers Jeff Smith, die E-Mail-Adresse someone@example.com und die ID der Benutzeroberflächensprache 1033 lautet, werden die Platzhalter wie folgt aufgelöst:

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

Sicherheitsrichtlinieneinstellungen für allgemeine Kryptografie

In der folgenden Tabelle sind zusätzliche Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Konfiguration verwenden können. Diese Einstellungen sind im folgenden Unterschlüssel enthalten:

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default

Wertname Wertdaten (Datentyp) Beschreibung Entsprechende Option auf der Benutzeroberfläche

ShowWithMultiLabels

0, 1, (DWORD)

Auf 0 festlegen, um zu versuchen, eine Meldung anzuzeigen, wenn auf der Signaturschicht unterschiedliche Beschriftungen für verschiedene Signaturen festgelegt wurden. Auf 1 festlegen, um die Anzeige der Meldung zu verhindern. Standard: 0.

Keine

CertErrorWithLabel

0, 1, 2 (DWORD)

Auf 0 festlegen, um eine Nachricht mit einem Zertifikatfehler zu verarbeiten, wenn die Nachricht eine Beschriftung aufweist. Auf 1 festlegen, um den Zugriff auf eine Nachricht mit einem Zertifikatfehler zu verweigern. Auf 2 festlegen, um unabhängig von der Nachrichtenbeschriftung Zugriff auf die Nachricht zu gewähren. (Der Zertifikatfehler wird dennoch angezeigt.) Standard: 0.

Keine

Sicherheitsrichtlinieneinstellungen für vom Schlüsselverwaltungsdienst ausgestellte Zertifikate

Die Werte in der folgenden Tabelle gelten nur für Zertifikate, die vom Microsoft Exchange-Schlüsselverwaltungsserver (Key Management Server, KMS) ausgestellt wurden. In der Tabelle sind zusätzliche Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Konfiguration verwenden können. Diese Einstellungen sind im folgenden Unterschlüssel enthalten:

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider

Wertname Wertdaten (Datentyp) Beschreibung Entsprechende Option auf der Benutzeroberfläche

MaxPWDTime

0, Zahl (DWORD)

Auf 0 festlegen, um die Möglichkeit zum Speichern eines Kennworts zu unterbinden (der Benutzer muss jedes Mal ein Kennwort eingeben, wenn ein Schlüsselsatz erforderlich ist). Eine positive Zahl gibt das maximale Kennwortalter in Minuten an. Standard: 999.

Keine

DefPWDTime

Zahl (DWORD)

Legt den Standardwert für den Zeitraum fest, für den ein Kennwort gespeichert wird.

Keine

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in die folgenden Bücher zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Inhalte zum Herunterladen für das 2007 Office Resource Kit.