Planejar a criptografia de mensagens de email no Outlook 2010
Aplica-se a: Office 2010
Tópico modificado em: 2015-03-09
O Microsoft Outlook 2010 dá suporte a recursos relacionados à segurança para ajudar os usuários no envio e no recebimento de mensagens de email criptográficas. Esses recursos incluem um sistema de mensagens de email criptográficas, rótulos de segurança e recibos assinados.
Observação
Para obter a funcionalidade de segurança completa no Microsoft Outlook, instale o Outlook 2010 com direitos administrativos locais.
Neste artigo:
Sobre recursos de mensagens criptográficas no Outlook 2010
Gerenciando identificações digitais criptográficas
Rótulos de segurança e recibos assinados
Definindo configurações criptográficas do Outlook 2010
Definindo configurações criptográficas adicionais
Sobre recursos de mensagens criptográficas no Outlook 2010
O Outlook 2010 dá suporte a recursos de mensagens criptográficas com os quais os usuários podem executar as seguintes ações:
Assinar digitalmente uma mensagem de email. A assinatura digital fornece não repúdio e verificação de conteúdo (a mensagem contém o que a pessoa enviou, sem alterações).
Criptografar uma mensagem de email. A criptografia ajuda a assegurar a privacidade ao tornar a mensagem ilegível para todos, com exceção do destinatário.
É possível configurar recursos adicionais para mensagens com segurança avançada. Se a sua organização oferecer suporte para esses recursos, as mensagens com segurança avançada permitirão que os usuários executem as seguintes ações:
Enviar uma mensagem de email que use uma solicitação de recebimento. Isso ajuda a verificar se o destinatário está validando a assinatura digital do usuário (o certificado que o usuário aplicou a uma mensagem).
Adicionar um rótulo de segurança a uma mensagem de email. Sua organização pode criar uma diretiva de segurança S/MIME V3 personalizada que adicione rótulos a mensagens. Uma diretiva de segurança S/MIME V3 é um código que você adiciona ao Outlook. Ela adiciona informações ao cabeçalho da mensagem sobre a confidencialidade dela. Para obter mais informações, consulte Rótulos de segurança e recibos assinados mais adiante neste artigo.
Como o Outlook 2010 implementa mensagens criptográficas
O modelo criptográfico do Outlook 2010 usa a criptografia de chave pública para enviar e receber mensagens de email assinadas e criptografadas. O Outlook 2010 dá suporte para segurança S/MIME V3, que permite aos usuários trocar mensagens de email com segurança avançada com outros clientes de email S/MIME na Internet ou intranet. As mensagens de email criptografadas pela chave pública do usuário podem ser descriptografadas somente com o uso da chave privada associada. Isso significa que, quando um usuário envia uma mensagem de email criptografada, o certificado do destinatário (chave pública) o criptografa. Quando um usuário lê uma mensagem de email criptografada, a chave privada do usuário a descriptografa.
No Outlook 2010, os usuários precisam ter um perfil de segurança para usar recursos criptográficos. Um perfil de segurança é um grupo de configurações que descreve os certificados e os algoritmos usados quando um usuário envia mensagens que utilizam recursos criptográficos. Os perfis de segurança serão configurados automaticamente caso ainda não haja um perfil presente quando:
O usuário tiver certificados para criptografia em seu computador.
O usuário começar a usar um recurso criptográfico.
Você pode personalizar essas configurações de segurança para os usuários com antecedência. Use as configurações do Registro ou da Diretiva de Grupo para personalizar o Outlook de acordo com as diretivas criptográficas da organização e para definir (e impor usando a Diretiva de Grupo) as configurações desejadas nos perfis de segurança. Essas configurações são descritas em Definindo configurações criptográficas no Outlook 2010 mais adiante neste artigo.
identificações digitais: uma combinação de chaves públicas/privadas e certificados
Os recursos S/MIME dependem de identificações digitais, que também são conhecidas como certificados digitais. As identificações digitais associam a identidade de um usuário a um par de chaves pública e privada. A combinação de um par de chave pública/chave privada é chamada identificação digital. A chave privada pode ser salva em um repositório com segurança avançada, como o repositório de certificados do Windows, no computador do usuário ou em um Cartão Inteligente. O Outlook 2010 dá suporte total ao padrão X.509v3, que requer a criação de chaves públicas e privadas por uma autoridade de certificação em uma organização, como um computador Windows Server 2008 que execute os Serviços de Certificados do Active Directory, ou por uma autoridade de certificação pública, como a VeriSign. Para obter mais informações sobre qual opção poderá ser a mais adequada para a sua organização, consulte Certificado digital: autoassinado ou emitido por autoridades de certificação em Planejar configurações de assinatura digital para o Office 2010.
Os usuários podem obter identificações digitais utilizando autoridades de certificação públicas baseadas na Web, como os Serviços de Certificação da VeriSign e da Microsoft. Para obter mais informações sobre como os usuários podem obter uma identificação digital, consulte o tópico da Ajuda do Outlook sobre como obter uma identificação digital (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x416). Como administrador, você pode fornecer identificações digitais para um grupo de usuários.
Quando os certificados para identificações digitais expiram, geralmente os usuários precisam obter certificados atualizados da autoridade de certificação emissora. Se a sua organização confiar na Autoridade de Certificação do Windows Server 2003 ou no AD CS (Serviços de Certificados do Active Directory ) do Windows Server 2008 para obter certificados, o Outlook 2010 gerenciará automaticamente a atualização de certificados para os usuários.
Gerenciando identificações digitais criptográficas
O Outlook 2010 oferece maneiras de os usuários gerenciarem suas identificações digitais — a combinação de um certificado de usuário com o conjunto de chave de criptografia pública e privada. As identificações digitais ajudam a manter as mensagens de email dos usuários protegidas, ao permitir que eles troquem mensagens criptográficas. O gerenciamento de identificações digitais inclui:
A obtenção de uma identificação digital. Para obter mais informações sobre como os usuários podem obter uma identificação digital, consulte o tópico da Ajuda do Outlook sobre como obter uma identificação digital (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x416).
O armazenamento de uma identificação digital, para que você possa movê-la para outro computador ou torná-la disponível para outros usuários.
O fornecimento de uma identificação digital para outros usuários.
A exportação de uma identificação digital para um arquivo. Isso será útil quando o usuário estiver criando um backup ou mudando para um novo computador.
A importação de uma identificação digital de um arquivo para o Outlook. Um arquivo de identificação digital pode ser uma cópia de backup de um usuário ou pode conter uma identificação digital de outro usuário.
A renovação de uma identificação digital que expirou.
Um usuário que utiliza mensagens criptográficas em mais de um computador deve copiar sua identificação digital para todos eles.
Locais para o armazenamento de identificações digitais
As identificações digitais podem ser armazenadas em três locais:
Catálogo de Endereços Global do Microsoft Exchange Os certificados gerados pela Autoridade de Certificação ou pelo AD CS são publicados automaticamente no GAL (catálogo de endereços global). Os certificados gerados externamente podem ser publicados de modo manual nesse catálogo. Para fazer isso no Outlook 2010, no menu Arquivo, clique em Opções e, em seguida, clique em Central de Confiabilidade. Em Central de Confiabilidade do Microsoft Outlook, clique em Configurações da Central de Confiabilidade. Na guia Segurança de Email, em Identificações Digitais (Certificados), clique no botão Publicar na GAL.
Serviço de diretório LDAP Os serviços de diretório externos, as autoridades de certificação ou outros provedores de certificados podem publicar seus certificados de usuários por meio de um serviço de diretório LDAP. O Outlook permite o acesso a esses certificados por meio de diretórios LDAP.
Arquivo do Microsoft Windows As Identificações Digitais podem ser armazenadas nos computadores dos usuários. Os usuários exportam suas identificações digitais para um arquivo do Outlook 2010. Para fazer isso, na guia Arquivo, clique em Opções e clique em Central de Confiabilidade. Em Central de Confiabilidade do Microsoft Outlook, clique em Configurações da Central de Confiabilidade. Na guia Segurança de Email, em Identificações Digitais (Certificados), clique no botão Importar/Exportar. Os usuários podem criptografar o arquivo quando o criam fornecendo uma senha.
Fornecendo identificações digitais para outros usuários
Se um usuário quiser trocar mensagens de email criptográficas com outro usuário, eles deverão ter a chave pública um do outro. Os usuários fornecem acesso à sua chave pública por meio de um certificado. Há várias maneiras de fornecer uma identificação digital para outros usuários, incluindo as seguintes:
Usar um certificado para assinar digitalmente uma mensagem de email. Um usuário fornece a chave pública dele para outro usuário escrevendo uma mensagem de email e assinando digitalmente a mensagem com o uso de um certificado. Quando os usuários do Outlook recebem a mensagem assinada, eles clicam com o botão direito do mouse no nome do usuário na linha De e clicam em Adicionar a Contatos. As informações de endereço e o certificado são salvos na lista de contatos do usuário do Outlook.
Fornecer um certificado usando um serviço de diretório, como o Catálogo de Endereços Global do Microsoft Exchange. Outra alternativa é o usuário recuperar automaticamente o certificado de outro usuário de um diretório LDAP em um servidor LDAP padrão quando envia uma mensagem de email criptografada. Para ter acesso a um certificado dessa forma, os usuários precisam estar inscritos na segurança S/MIME com identificações digitais de suas contas de email.
Um usuário também pode obter certificados do catálogo de endereços global.
Importando identificações digitais
Os usuários podem importar uma identificação digital de um arquivo. Isso será útil, por exemplo, se um usuário quiser enviar mensagens de email criptográficas de um novo computador. Cada computador do qual o usuário envia mensagens de email criptográficas deve ter os certificados desse usuário instalados. Os usuários exportam suas identificações digitais do Outlook 2010 para um arquivo. Para fazer isso, na guia Arquivo, clique em Opções e clique em Central de Confiabilidade. Em Central de Confiabilidade do Microsoft Outlook, clique em Configurações da Central de Confiabilidade. Na guia Segurança de Email, em Identificações Digitais (Certificados), clique no botão Importar/Exportar.
Renovando chaves e certificados
Um limite de tempo é associado a cada certificado e chave privada. Quando as chaves fornecidas pela Autoridade de Certificação ou pelo AD CS se aproximam do fim do período designado, o Outlook exibe uma mensagem de aviso e oferece a opção de renovação das chaves. O Outlook mostra um aviso ao usuário e se oferece para enviar a mensagem de renovação para o servidor em nome de cada usuário.
Se os usuários não optarem por renovar um certificado antes da expiração ou se utilizarem outra autoridade de certificação, em vez da Autoridade de Certificação ou do AD CS, eles deverão contatar essa autoridade de certificação para renovar o certificado.
Rótulos de segurança e recibos assinados
O Outlook 2010 inclui suporte para extensões de ESS (Enhanced Security Services) S/MIME V3 sobre rótulos de segurança e recibos assinados. Essas extensões ajudam a fornecer comunicações por email com segurança avançada na organização e a personalizar a segurança de acordo com seus requisitos.
Se a organização desenvolver e fornecer diretivas de segurança S/MIME V3 para adicionar rótulos de segurança personalizados, o código nas diretivas de segurança poderá impor a anexação de um rótulo de segurança a uma mensagem de email. A seguir, são descritos dois exemplos de rótulos de segurança:
Um rótulo Somente para Uso Interno pode ser implementado como um rótulo de segurança a ser aplicado a emails que não devem ser enviados ou encaminhados para fora da empresa.
Um rótulo pode especificar que certos destinatários não podem encaminhar ou imprimir a mensagem, caso também tenham a diretiva de segurança instalada.
Os usuários também podem enviar com as mensagens solicitações de recebimento com segurança avançada para verificar se os destinatários reconhecem a assinatura digital do usuário. Quando a mensagem é recebida e salva (mesmo que ainda não tenha sido lida) e a assinatura é verificada, um recibo informando que a mensagem foi lida é retornado à Caixa de Entrada do usuário. Se a assinatura do usuário não for verificada, nenhum recibo será enviado. Quando o recibo for retornado, como ele também está assinado, você terá uma comprovação de que o usuário recebeu e verificou a mensagem.
Definindo configurações criptográficas do Outlook 2010
Você pode controlar muitos aspectos dos recursos de criptografia do Outlook 2010 para ajudar a configurar mensagens mais seguras e a criptografia de mensagens para a sua organização usando o modelo da Diretiva de Grupo do Outlook 2010 (Outlook14.adm). Por exemplo, você pode definir uma configuração de Diretiva de Grupo que exija um rótulo de segurança em todos os emails de saída ou uma configuração que desabilite a publicação na lista de endereços global. Também é possível usar a OCT (Ferramenta de Personalização do Office) para definir configurações padrão, o que permite aos usuários alterarem essas configurações. Além disso, há opções de configuração de criptografia que só podem ser definidas com o uso de configurações de chave de Registro.
Para obter mais informações sobre como baixar o modelo administrativo do Outlook 2010 e sobre outros Modelos Administrativos do Office 2010, consulte Arquivos de modelo administrativo do Office 2010 (ADM, ADMX, ADML) e Ferramenta de Personalização do Office. Para obter informações sobre Política de Grupo, consulte Visão geral da Diretiva de Grupo do Office System 2010 e Impor configurações usando a Política de Grupo no Office 2010.
Para obter mais informações sobre a OCT, consulte Office Customization Tool in Office 2010.
Você pode bloquear as configurações na tabela a seguir para personalizar a criptografia. Na OCT, na página Modificar configurações de usuário, essas configurações se encontram em Microsoft Outlook 2010\Segurança\Criptografia. Na Diretiva de Grupo, essas configurações estão em Configuração do Usuário\Modelos Administrativos\Microsoft Outlook 2010\Segurança\Criptografia.
| Opção de criptografia | Descrição | ||||||||
|---|---|---|---|---|---|---|---|---|---|
Sempre usar formatação TNEF em mensagens S/MIME |
Sempre use o TNEF (Transport Neutral Encapsulation Format) para mensagens S/MIME, em vez do formato especificado pelo usuário. |
||||||||
Não verificar o endereço de email com base no endereço de certificados que estão sendo usados |
Não verifique o endereço de email do usuário utilizando o endereço de certificados empregados para criptografia ou assinatura. |
||||||||
Não exibir o botão 'Publicar na GAL' |
Desabilite o botão Publicar na GAL na página Segurança de Email da Central de Confiabilidade. |
||||||||
Não fornecer a opção Continuar em caixas de diálogo de aviso de Criptografia |
Desabilite o botão Continuar nas caixas de diálogo de aviso de configurações de criptografia. Os usuários não poderão pressionar Continuar para enviar a mensagem. |
||||||||
Habilitar Ícones de Criptografia |
Exiba ícones de criptografia do Outlook na interface do usuário do Outlook. |
||||||||
Criptografar todas as mensagens de email |
Criptografe as mensagens de email enviadas. |
||||||||
Garantir que todas as mensagens assinadas S/MIME tenham um rótulo |
Exija que todas as mensagens assinadas S/MIME tenham um rótulo de segurança. Os usuários podem anexar rótulos a mensagens de email no Outlook 2010. Para fazer isso, na guia Opções, no grupo Mais Opções, em Segurança, clique no botão Configurações de Segurança. Na caixa de diálogo Propriedades de Segurança, selecione Adicionar assinatura digital a esta mensagem. Em Rótulo de Segurança para Diretiva, selecione um rótulo. |
||||||||
Políticas de certificado Fortezza |
Insira uma lista de diretivas permitidas na extensão de diretivas de um certificado que indique se ele é do tipo Fortezza. Liste as diretivas separadas por ponto-e-vírgulas. |
||||||||
Formatos de mensagem |
Escolha formatos de mensagem para dar suporte a: S/MIME (padrão), Exchange, Fortezza ou uma combinação desses formatos. |
||||||||
Mensagem quando o Outlook não conseguir localizar a identificação digital para decodificar uma mensagem |
Insira uma mensagem a ser exibida para os usuários (máximo de 255 caracteres). |
||||||||
Configurações mínimas de criptografia |
Definidas com o comprimento de chave mínimo para uma mensagem de email criptografada. O Outlook exibirá uma mensagem de aviso se o usuário tentar enviar uma mensagem usando uma chave de criptografia menor que o valor mínimo de chave de criptografia definido. O usuário ainda poderá optar por ignorar o aviso e enviá-la usando a chave de criptografia escolhida originalmente. |
||||||||
Respostas ou encaminhamentos de mensagens assinadas/criptografadas são assinados/criptografados |
Habilite para ativar a assinatura/criptografia ao responder/encaminhar uma mensagem assinada ou criptografada, mesmo que o usuário não esteja configurado para S/MIME. |
||||||||
Solicitar confirmação S/MIME para todas as mensagens assinadas S/MIME |
Solicite um recibo com segurança avançada para mensagens de email assinadas de saída. |
||||||||
Exigir algoritmos SuiteB para operações S/MIME |
Use somente algoritmos Suite-B para operações S/MIME. |
||||||||
Autoridade de Certificação Necessária |
Defina o nome da autoridade de certificação necessária. Quando o valor estiver definido, o Outlook não permitirá que os usuários assinem emails utilizando um certificado de uma autoridade de certificação diferente. |
||||||||
Executar no modo compatível com o FIPS |
Requer que o Outlook seja executado no modo FIPS 140-1. |
||||||||
Interoperabilidade S/MIME com clientes externos: |
Especifique o comportamento para o tratamento de mensagens S/MIME: Tratar internamente, Tratar externamente ou Tratar se possível. |
||||||||
Comportamento de solicitações de confirmação S/MIME |
Especifique uma opção para o modo como as solicitações de recibo S/MIME são tratadas:
|
||||||||
Enviar todas as mensagens assinadas como mensagens assinadas não criptografadas |
Envie mensagens de email assinadas em texto sem formatação. |
||||||||
Assinar todas as mensagens de email |
Requer assinaturas digitais em todas as mensagens de email de saída. |
||||||||
Aviso de Assinatura |
Especifique uma opção para quando exibir avisos de assinatura para os usuários:
|
||||||||
URL para certificados S/MIME |
Forneça uma URL na qual os usuários podem obter um recibo S/MIME. A URL pode conter três variáveis (%1, %2 e %3), que serão substituídas pelo nome do usuário, o endereço de email e o idioma, respectivamente. Quando você especificar um valor para URL para certificados S/MIME, use os parâmetros a seguir para enviar informações sobre o usuário para a página de inscrição na Web.
Por exemplo, para enviar informações do usuário para a página da Web de inscrição da Microsoft, defina a entrada URL para certificados S/MIME com o seguinte valor, incluindo os parâmetros:
Por exemplo, se o nome do usuário for Jeff Smith, o endereço de email for nome@example.com e a ID de idioma da interface do usuário for 1033, os espaços reservados serão resolvidos da seguinte forma:
|
As configurações na tabela a seguir estão na Diretiva de Grupo em Configuração do Usuário\Modelos Administrativos\Microsoft Outlook 2010\Segurança\Criptografia\Caixa de diálogo Status de Assinatura. As configurações da OCT encontram-se em locais correspondentes na página Modificar configurações do usuário da OCT.
| Opção de criptografia | Descrição |
|---|---|
Pasta Temporária de Segurança de Anexos |
Especifique um caminho de pasta para a Pasta de Arquivos Temporários Seguros. Isso substitui o caminho padrão e não é recomendável. Se for necessário usar uma pasta específica para anexos do Outlook, recomendamos o seguinte:
|
CRLs Ausentes |
Especifique a resposta do Outlook quando uma CRL (lista de certificados revogados) estiver ausente: aviso (padrão) ou exibição de erro. Os certificados digitais contêm um atributo que mostra onde a CRL correspondente está localizada. As CRLs contêm listas de certificados digitais que foram revogados pelas autoridades de certificação de controle, geralmente porque os certificados foram emitidos incorretamente ou as chaves privadas associadas a eles foram comprometidas. Se uma CRL estiver ausente ou não disponível, o Outlook não poderá determinar se um certificado foi revogado. Assim, um certificado emitido incorretamente ou que tenha sido comprometido poderá ser usado para acessar os dados. |
Certificados raiz ausentes |
Especifique a resposta do Outlook quando um certificado raiz estiver ausente: nenhum erro ou aviso (padrão), aviso ou exibição de erro. |
Promover erros de Nível 2 como erros e não como avisos |
Especifique a resposta do Outlook para erros de Nível 2: exibição de erro ou aviso (padrão). Entre as possíveis condições para o Nível de Erro 2 estão:
|
Recuperando CRLs (Listas de Certificados Revogados) |
Especifique como o Outlook se comporta quando as listas CRL são recuperadas:
|
Definindo configurações de criptografia adicionais
A próxima seção fornece mais informações sobre as opções de configuração de criptografia.
Configurações de diretiva de segurança para criptografia geral
A tabela a seguir mostra configurações adicionais do Registro do Windows que você pode usar para a configuração personalizada. Essas configurações do Registro estão localizadas em HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Não há Diretiva de Grupo correspondente.
| Entrada de Registro | Tipo | Valor | Descrição |
|---|---|---|---|
ShowWithMultiLabels |
DWORD |
0, 1 |
Definida como 0 para tentar exibir uma mensagem quando a camada de assinatura tem rótulos diferentes definidos em assinaturas diferentes. Definida como 1 para evitar a exibição da mensagem. O padrão é 0. |
CertErrorWithLabel |
DWORD |
0, 1, 2 |
Definida como 0 para processar uma mensagem que tem um erro de certificado quando a mensagem tem um rótulo. Definida como 1 para negar o acesso a uma mensagem que tem um erro de certificado. Definida como 2 para ignorar o rótulo da mensagem e conceder acesso a ela. (O usuário ainda vê um erro de certificado.) O padrão é 0. |