Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Como proteger a confidencialidade de email nos setores regulamentados

Publicado em: 18 de agosto de 2006

Nesta página

Introdução
Cenário Ajudando a proteger a confidencialidade de email
Resumo

Introdução

Todas as organizações estão enfrentando desafios significativos em termos jurídicos e regulamentares, em áreas como segurança da informação, privacidade e confiabilidade. Esses desafios podem exigir grandes alterações nos sistemas e processos de uma organização. As empresas precisam demonstrar reação e planejamento em relação à estrutura e à regulamentação cada vez maior em termos de responsabilidade e controle para atingirem os diversos objetivos jurídicos e éticos. Conformidade significa cumprir todos os requisitos jurídicos e comerciais que uma empresa enfrenta e deve demonstrar durante o curso das operações e o transcorrer dos negócios. Significa também compreender a estrutura jurídica em que se baseiam os requisitos judiciais e corporativos. A conformidade da empresa envolve cada departamento e cada funcionário. A conformidade não pode ser obtida pela implementação de uma única solução ou de um único processo; ela deve se basear em cada seção de negócios de uma organização.

O ambiente de regulamentação está cada vez mais complexo. Em geral, a conformidade não é um processo simples, e as regulamentações variam conforme a especificidade dos seus requisitos. Sendo assim, a organização deve realizar uma avaliação completa dos riscos e impactos.

O escopo deste documento é descrever alguns dos processos e das tecnologias que você pode usar para ajudar a padronizar e agilizar os esforços de conformidade com as regulamentações na área de confidencialidade de email. Este documento apresenta os recursos e opções com os quais diversas empresas de pequeno a médio porte se deparam ao tentarem estar em conformidade com as leis e regulamentações. Este documento não é um guia de conformidade com as regulamentações, nem fornece aconselhamento jurídico sobre nenhum desses assuntos. Os leitores devem pedir a opinião de seus próprios consultores e advogados antes de aprovarem qualquer programa ou processo de regulamentação.

Quem deve ler este guia

O público-alvo deste guia inclui os profissionais de TI que são responsáveis pela instalação, manutenção e administração de serviços de email baseados no Microsoft® Exchange Server 2003 em seus ambientes de rede.

As informações deste guia aplicam-se a empresas de pequeno a médio porte que precisam entregar mensagens de email confidenciais em suas redes.

Visão geral

Embora os recursos de segurança de mensagem tenham sido disponibilizados desde a primeira versão do Microsoft Exchange Server, de forma geral, apenas os clientes com equipe e requisitos de segurança especializados usavam esses recursos. Apenas os especialistas em segurança e os usuários com conhecimento de criptografia precisavam entender os conceitos de segurança de mensagem de email. Com o aumento do suporte para S/MIME (Secure/Multipurpose Internet Mail Extensions) no Exchange Server 2003 e a necessidade de conformidade com as regulamentações, os administradores começaram a precisar entender esses princípios e conceitos.

O Messaging and Security Feature Pack para Windows Mobile 5.0 oferece suporte para certificados S/MIME em Smart Phones. Além disso, o Microsoft Exchange Server 2003 Service Pack 2 (SP2) oferece suporte para S/MIME no Microsoft Outlook® Web Access (OWA).

Este documento apresenta uma introdução ao S/MIME e seus conceitos relacionados e fornece orientação prescritiva sobre como implementar o S/MIME. Não é preciso ter conhecimento de segurança. Este informe explica os conceitos gerais do S/MIME para que você possa aplicá-los especificamente ao Exchange Server.

Benefícios do S/MIME

Antes do S/MIME, os administradores usavam um protocolo de email amplamente aceito para transferir mensagens, o SMTP (Simple Mail Transfer Protocol), que era essencialmente menos seguro. Uma alternativa era os administradores usarem soluções mais seguras, mas proprietárias. Na verdade, eles eram obrigados a escolher uma solução com ênfase em segurança ou em conectividade. Com o S/MIME, agora os administradores têm uma opção de email que ajuda a fornecer mais segurança do que o SMTP, possibilitando uma conectividade de email ampla e segura.

O S/MIME fornece dois serviços de segurança:

  • Assinaturas digitais

  • Criptografia de mensagem

Esses dois serviços são o núcleo da segurança de mensagem baseada em S/MIME. Todos os outros conceitos relacionados à segurança de mensagem oferecem suporte a esses dois serviços. Embora o escopo total da segurança de mensagem possa parecer complexo, esses dois serviços são a base da segurança de mensagem.

As assinaturas digitais e a criptografia de mensagem não são serviços mutuamente exclusivos. Cada serviço lida com problemas de segurança específicos. As assinaturas digitais lidam com problemas de autenticação e recusa, já a criptografia de mensagem lida com os problemas de confidencialidade. Como cada serviço lida com problemas diferentes, uma estratégia de segurança de mensagem requer os dois, geralmente ao mesmo tempo. Esses dois serviços foram projetados para serem usados em combinação porque, separadamente, cada um lida com um lado do relacionamento remetente-destinatário. As assinaturas digitais lidam com os problemas de segurança relacionados aos remetentes, enquanto que a criptografia lida principalmente com os problemas de segurança relacionados aos destinatários.

Quando as assinaturas digitais e a criptografia de mensagem são usadas em conjunto, os usuários se beneficiam dos dois serviços. A utilização dos dois serviços nas mensagens não altera o controle ou o processamento de nenhum dos serviços.

Assinaturas digitais

As assinaturas digitais são o serviço de S/MIME mais utilizado. Como o próprio nome sugere, as assinaturas digitais são a cópia digital da assinatura legítima tradicional em um documento em papel. Assim como uma assinatura legítima, a assinatura digital oferece os seguintes recursos de segurança:

  • Autenticação. Uma assinatura serve para validar uma identidade. Ela atesta a sua informação sobre "quem é você" oferecendo uma maneira de diferenciar a entidade em questão das demais e comprovando a procedência de uma fonte mutuamente confiável. Como não há autenticação no email SMTP, não é possível saber quem realmente envia uma mensagem. A autenticação em uma assinatura digital ajuda a solucionar esse problema, permitindo que um destinatário saiba que uma mensagem foi enviada pela pessoa ou organização que alega ter enviado a mensagem.

  • Não-recusa. A exclusividade de uma assinatura ajuda a impedir que o proprietário da assinatura não a reconheça como sua. Esse recurso é denominado não-recusa. Sendo assim, a autenticação fornecida por uma assinatura possibilita os meios para impor a não-recusa. O conceito de não-recusa é mais familiar no contexto de contratos no papel: um contrato assinado é um documento com comprometimento legal, e é mais difícil negar uma assinatura autenticada. As assinaturas digitais oferecem a mesma função e, cada vez mais em algumas áreas, são reconhecidas como um comprometimento legal, semelhante a uma assinatura no papel. Como o email SMTP não oferece um meio de autenticação, ele não pode fornecer não-recusa. É fácil para um usuário negar a propriedade de uma mensagem de email SMTP.

  • Integridade dos dados. Um outro serviço de segurança que as assinaturas digitais fornecem é a integridade dos dados. A integridade dos dados é o resultado de operações específicas que tornam as assinaturas digitais possíveis. Com os serviços de integridade dos dados, quando o destinatário de uma mensagem de email assinada digitalmente valida a assinatura digital, ele ajuda a garantir que a mensagem de email que está sendo recebida é, realmente, a mesma mensagem que foi assinada e enviada e que não foi alterada enquanto estava em trânsito. Após a mensagem ter sido assinada, qualquer alteração enquanto ela estiver em trânsito faz com que seja invalidada. Sendo assim, as assinaturas digitais podem oferecer uma garantia que as assinaturas no papel não podem, porque é possível que um documento em papel seja alterado após ser assinado.

Criptografia de mensagem

A criptografia de mensagem fornece uma solução para a divulgação não autorizada de informação. O serviço de email da Internet baseado em SMTP não protege as mensagens. Uma mensagem de email da Internet baseada em SMTP pode ser lida por qualquer um enquanto ela está em trânsito ou em seu local de armazenamento. O S/MIME ajuda a lidar com esses problemas usando a criptografia.

A criptografia é uma maneira de alterar as informações para que não possam ser lidas ou compreendidas até que sejam novamente alteradas para um formato que possa ser lido e compreendido.

Embora a criptografia de mensagem não seja tão difundida como as assinaturas digitais, ela realmente soluciona o que muitos consideram a maior e mais séria vulnerabilidade dos serviços de email da Internet. A criptografia de mensagem fornece dois serviços de segurança específicos:

  • Confidencialidade. A criptografia de mensagem ajuda o servidor a proteger o conteúdo de uma mensagem de e-mail. Apenas o destinatário desejado pode exibir o conteúdo, que permanece confidencial e não pode ser visto por ninguém mais que possa receber ou exibir a mensagem. A criptografia ajuda a fornecer confidencialidade enquanto a mensagem está em trânsito e em armazenamento.

  • Integridade dos dados. Assim como com as assinaturas digitais, a criptografia de mensagem ajuda a fornecer serviços de integridade de dados como resultado de operações específicas que tornam a criptografia possível.

Requisitos de S/MIME

Para fornecer confidencialidade de email, o ambiente requer componentes de software específicos. Esta seção descreve esses componentes.

PKI (Infra-estrutura de chave pública)

As soluções S/MIME requerem uma PKI para fornecer certificados digitais com pares de chaves públicas/chaves privadas e ativar o mapeamento de certificados no serviço de diretório do Active Directory®. O padrão S/MIME especifica que os certificados digitais usados para S/MIME estejam em conformidade com o padrão ITU (International Telecommunications Union) X.509. O S/MIME versão 3 especificamente requer que os certificados digitais estejam em conformidade com a versão 3 do X.509. Como o S/MIME conta com um padrão estabelecido e reconhecido para a estrutura de certificados digitais, o padrão S/MIME baseia-se no crescimento desse padrão e, dessa forma, aumenta sua aceitação.

Você pode implementar uma PKI para oferecer suporte ao S/MIME de uma das duas maneiras a seguir: configurando a infra-estrutura de certificado interno para uma organização externa ou usando os Serviços de certificados do Microsoft Windows Server™ 2003.

Para obter mais informações sobre os Serviços de certificados do Windows Server 2003, consulte o tópico Infra-estrutura de chave pública para o Windows Server 2003 (a página pode estar em inglês) www.microsoft.com/windowsserver2003/technologies/pki/default.mspx.

A PKI deve ter um mecanismo que lide com a revogação de certificado. A revogação de certificado é necessária quando um certificado expira ou quando um invasor pode ter comprometido um certificado. Ao revogar um certificado, o administrador nega o acesso a qualquer pessoa que use o certificado. Cada certificado inclui o local da sua lista de certificados revogados (CRL).

Para obter mais informações sobre como gerenciar a revogação de certificados, consulte o tópico Gerenciar a revogação de certificados (a página pode estar em inglês) em http://technet2.microsoft.com/WindowsServer/en/Library/de0ae267-14e6-46f8-bcc7-8ac480889b951033.mspx

Modelos de certificados

O Windows Server 2003 fornece modelos de certificados específicos para emitir certificados digitais para uso com S/MIME. É possível usar três modelos de certificados de usuário de múltiplas funções para emitir certificados para email seguro:

  • Administrador. Permite que o administrador use um certificado para autenticação, criptografia EFS (Sistema de arquivos criptografados), email seguro e assinatura de lista de certificados confiáveis.

  • Usuário. Permite que o usuário utilize um certificado para autenticação, criptografia EFS e email seguro.

  • Usuário de cartão inteligente. Permite que um usuário faça logon com um cartão inteligente e assine email. Além disso, esse certificado fornece autenticação do cliente.

Observação   A Microsoft recomenda atualizar sua PKI do Windows Server 2003 para uma PKI do Windows Server 2003 com Service Pack 1 (SP1) para obter os benefícios de recursos de segurança aprimorados.

Para obter mais informações sobre modelos de certificados, consulte o tópico Modelos de certificados (a página pode estar em inglês) no Microsoft TechNet, em http://technet2.microsoft.com/windowsserver/en/library/7D82B420-10EF-4F20-A56F-17EE7EE352D21033.mspx.

Active Directory

O Active Directory é um componente-chave para a implementação dos certificados S/MIME. Para implantar certificados de usuários para uso com serviços de email, o administrador pode utilizar o recurso de registro automático da Diretiva de Grupo do Active Directory. Além disso, o Active Directory no Windows Server 2003 contém suporte interno como o diretório de PKI para diversos clientes de email da Microsoft, incluindo Outlook, Outlook Express e Outlook Web Access (OWA) com S/MIME, além do recurso de mapear contas de usuário para certificados.

Para obter mais informações sobre o mapeamento de certificados, consulte o tópico Mapear certificados a contas de usuários (a página pode estar em inglês) em http://technet2.microsoft.com/WindowsServer/en/library/0539dcf5-82c5-48e6-be8a-57bca16c7e171033.mspx?mfr=true.

Exchange Server 2003

Oferecendo suporte a diversos clientes de email, os administradores do Exchange Server 2003 podem personalizar a implantação de acordo com suas necessidades específicas. O suporte ao Exchange Server 2003 S/MIME para clientes é semelhante ao suporte geral em que os usuários podem utilizar qualquer um dos clientes suportados simultaneamente. Sendo assim, uma solução baseada no Exchange Server 2003 S/MIME pode oferecer suporte a clientes Outlook, clientes OWA e clientes Outlook Express, todos usando POP3 ao mesmo tempo. Porém, como o cliente de email deve oferecer suporte ao S/MIME versão 3 e deve ser um cliente de email suportado pelo Exchange Server, nem todos os clientes de email podem ser clientes S/MIME.

O S/MIME também é fornecido no Exchange Server 2000 e no Exchange Server 2007.

Clientes de email

O Exchange Server 2003 oferece suporte a clientes S/MIME por meio do seu suporte a protocolos de cliente. Se um cliente suportado também oferecer suporte ao S/MIME, esse cliente poderá ser usado com o Exchange Server 2003. Se o cliente não oferecer suporte ao S/MIME versão 3, esse cliente ainda poderá ser usado para ler mensagens assinadas sem criptografia.

Microsoft Outlook 2003

O Outlook oferece suporte à conectividade baseada em MAPI (Messaging Application Programming Interface) para o Exchange Server 2003. Além disso, o Outlook pode fazer conexão usando POP3 e IMAP4. O Exchange Server 2003 S/MIME pode ser usado com qualquer versão do Outlook que ofereça suporte a certificados digitais X.509 v3. O suporte total no Outlook para certificados digitais X.509 v3 foi inicialmente introduzido com o Outlook 2000 Service Release 1 (SR-1).

Clientes POP3 e IMAP4

O Exchange Server 2003 oferecerá suporte total para clientes S/MIME, por meio dos protocolos padrão de email da Internet POP3 e IMAP4, se o cliente de email oferecer suporte ao S/MIME versão 2 ou versão 3. Qualquer cliente de email que ofereça suporte ao S/MIME versão 2 ou versão 3, e POP3 ou IMAP4, pode ser usado como cliente de email em um sistema de segurança de mensagem do Exchange Server 2003. Como qualquer cliente de email que ofereça suporte ao padrão S/MIME oferece suporte total a todos os serviços de segurança de mensagem, esses clientes podem ser usados como clientes de email com recursos completos. A Microsoft oferece suporte ao S/MIME versão 3 em clientes POP3 e IMAP4 tanto no Outlook Express 5.5 ou posterior quanto no Outlook 2000 SR-1a ou posterior.

Observação   Os diferentes padrões da Internet e clientes de email têm seus próprios requisitos e métodos de lidar com os certificados X.509 v3. Leve em consideração esses requisitos e as questões de compatibilidade ao decidir quais clientes de email serão suportados.

Considerações operacionais

Após implementar e verificar os elementos dessa solução, você deve considerar diversas atividades de uso contínuo para garantir que a solução continuará desempenhando com êxito a proteção da confidencialidade de email.

As considerações operacionais incluem:

  • Aplicar service packs. Entre as melhorias incluídas no Exchange Server SP2 estão aprimoramentos de anti-spam. Para obter mais informações, consulte o tópico Aprimoramentos de anti-spam no Exchange Server 2003 Service Pack 2 no TechNet, em http://go.microsoft.com/fwlink/?linkid=55849.

  • Aplicar as atualizações de segurança mais recentes. Proteja todos os seus servidores com as atualizações do Centro de Download da Microsoft.

  • Prever desafios técnicos. Acesse regularmente o Microsoft Update em http://update.microsoft.com/ para baixar e instalar outras atualizações de segurança para o Exchange Server e o Windows Server.

  • Executar o Microsoft Baseline Security Analyzer (MBSA). Você pode procurar por atualizações de segurança ausentes no Exchange Server 2003 baixando o MBSA.

  • Usar o Microsoft Exchange Server Intelligent Message Filter. Ajuda a reduzir o fluxo de spam quando você combina o Exchange Server Intelligent Message Filter com o Outlook 2003 para filtragem avançada de mensagens baseada em heurística do servidor. Para obter detalhes sobre como manter o Intelligent Message Filter atualizado, consulte o artigo O "Guia de Operações do Microsoft Exchange Server Intelligent Message Filter v2" agora está disponível (a página pode estar em inglês) em http://support.microsoft.com/?kbid=907747.

  • Executar o Microsoft Exchange Server Best Practices Analyzer. Esta ferramenta, disponível para download gratuito, coleta dados de configuração remotamente de cada servidor na topologia e os analisa automaticamente. O relatório gerado oferece detalhes sobre questões críticas de configuração, problemas potenciais e configurações de produto fora do padrão. Seguindo essas recomendações, você pode obter um nível superior de desempenho, escalabilidade, confiabilidade e tempo de ativação.

  • Verificar regularmente as informações sobre atualizações de segurança. Para obter orientação técnica sobre segurança, acesse a página Biblioteca de documentação técnica do Exchange Server 2003: segurança e proteção (a página pode estar em inglês) em www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx.

Cenário Ajudando a proteger a confidencialidade de email

O seguinte procedimento para proteger a confidencialidade de email refere-se aos cenários de empresas de pequeno a médio porte semelhantes ao exemplo mostrado na figura a seguir.

Cc875813.PECRI01(pt-br,TechNet.10).gif

Figura 1. Serviços de email no ambiente de TI de médio porte

Especificamente, os usuários de email requerem confidencialidade para os emails enviados tanto para locais internos quanto externos. Para tanto, você implementa o Exchange Server 2003 e os clientes de email com suporte para S/MIME.

Ajudando a proteger a confidencialidade de email

As etapas a seguir identificam os procedimentos de configuração que são necessários para ajudar a proteger a confidencialidade de email.

Antes de começar

Antes de implementar o S/MIME em um ambiente Exchange Server 2003, você precisa entender o que acontecerá com as mensagens se uma das opções a seguir tiver sido implementada:

  • Coletores de eventos

  • Software antivírus

Coletores de eventos e mensagens assinadas digitalmente

Os coletores de eventos podem executar ações nas mensagens de email quando o Exchange Server lida com elas. Por exemplo, alguns coletores de eventos alteram o conteúdo e os cabeçalhos de uma mensagem de email com o propósito de filtrar a mensagem. Uma assinatura digital válida indica que a mensagem não foi alterada em trânsito. Um coletor de eventos que altera a mensagem de email invalida as assinaturas digitais. Quando o destinatário receber a mensagem e processar a assinatura digital, a assinatura digital será inválida porque o coletor de eventos alterou a mensagem após ela ter sido assinada pelo remetente.

Software antivírus e mensagens S/MIME

Ao utilizar uma solução antivírus baseada no servidor, a criptografia que ajuda a proteger a confidencialidade do corpo da mensagem e dos anexos contra usuários não autorizados também impede que o software antivírus baseado no servidor inspecione a mensagem e os anexos em busca de vírus. Como o software antivírus não pode inspecionar a mensagem, uma mensagem criptografada poderia incluir um vírus como anexo. Você deve determinar como lidar com o risco de acordo com as suas diretivas de segurança.

Além disso, se um programa antivírus detectar um vírus em uma mensagem de email assinada digitalmente e limpar a mensagem, essa ação poderá invalidar a assinatura digital, porque o programa antivírus alterou a mensagem enquanto ela estava em trânsito. Embora a alteração não seja mal-intencionada, da perspectiva da assinatura digital, a mensagem foi alterada e será identificada como alterada.

Como configurar o Exchange Server 2003 para ajudar a fornecer confidencialidade de email

Quando o Exchange Server armazena as mensagens de email S/MIME, o único requisito é que o armazenamento de mensagem seja configurado para lidar com assinaturas S/MIME. Como as mensagens S/MIME podem ser mantidas em caixas de correio do usuário e em pastas públicas, tanto os armazenamentos públicos quanto os armazenamentos de caixas de correio podem ser configurados para manter mensagens com assinaturas S/MIME.

  1. Faça logon usando uma conta associada às duas opções a seguir:

    • O grupo Administradores no computador local

    • Um grupo ao qual pelo menos a função de Administradores Somente Exibição do Exchange foi aplicada no nível de Grupo Administrativo

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Exchange e, em seguida, clique em Gerenciador do Sistema. O Gerenciador do Sistema do Exchange (mostrado na captura de tela a seguir) é exibido.

    Gerenciador do Sistema do Exchange.

  3. Clique em Servidores, em <NomedoServidor> , em Grupo de Armazenamento, clique com o botão direito do mouse em Armazenamento de Caixas de Correio e, em seguida, clique em Propriedades.

    Na página Propriedades, marque a caixa de seleção Clientes que suportam assinaturas S/MIME como mostra a captura de tela a seguir.

    Armazenamento de Caixas de Correio

Como implantar certificados digitais para S/MIME usando registro automático

O registro automático permite que os clientes enviem automaticamente as solicitações de certificado a uma Autoridade de Certificação (CA) e recuperem e armazenem os certificados emitidos. Os clientes Microsoft Windows® XP e Windows Server™ 2003 podem compartilhar o registro automático para certificados do usuário e do computador. O registro automático reduz o custo total de propriedade (TCO) diminuindo os custos associados ao processo de registro automático e renovação de certificados.

Para ativar as configurações de registro automático

  1. Faça logon com direitos de administrador.

  2. Em Ferramentas Administrativas, abra Usuários e Computadores do Active Directory.

  3. Na árvore do console, clique com o botão direito do mouse no domínio em que deseja implementar as configurações de registro automático e, em seguida, clique em Propriedades.

    Para o registro automático, o GPO (objeto de diretiva de grupo) deve ser vinculado ao domínio ou à unidade organizacional em que estão as contas de usuário ou computador.

    Objeto de diretiva de grupo

  4. Na caixa de diálogo Propriedades do NomedoDomínio, na guia Diretiva de Grupo, clique em Abrir para abrir o Console de Gerenciamento de Diretiva de Grupo.

  5. Crie um GPO vinculado ao domínio.

  6. No Editor de Objeto de Diretiva de Grupo, na árvore do console, expanda Configuração do Usuário.

  7. Na árvore do console, expanda Configurações do Windows, expanda Configurações de Segurança e, em seguida, clique em Diretivas de Chave Pública como mostra a captura de tela a seguir.

    Diretivas de Chave Pública

  8. No painel de detalhes, clique duas vezes em Configurações de Registro Automático. Na caixa de diálogo Configurações de Registro Automático, verifique se as seguintes configurações estão selecionadas como mostra a captura de tela a seguir:

    • Registrar certificados automaticamente. Esta configuração ativa o registro automático de certificados para a unidade organizacional à qual o GPO está vinculado.

    • A caixa de seleção Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados. Essa configuração permite o registro automático para renovação de certificados, emissão de certificados pendentes e remoção de certificados revogados do armazenamento de certificados da entidade.

    • A caixa de seleção Atualizar certificados que usam modelos de certificado. Essa configuração permite o registro automático para modelos de certificados substituídos.

    Configurações de registro automático

  9. Clique em OK.

O registro automático já está ativado para a unidade organizacional à qual o GPO está vinculado.

As configurações de registro automático serão aplicadas da próxima vez que o GPO for aplicado ao usuário. O registro automático do usuário é disparado quando o usuário faz um logon interativo e nos intervalos de atualização de diretiva de grupo.

Você pode atualizar manualmente as configurações de GPO em um cliente que esteja executando o Windows XP ou Windows Server 2003 forçando a atualização da Diretiva de Grupo. Você pode atualizar as configurações de GPO executando GPUpdate /force em um prompt de comando na estação de trabalho de destino.

Como configurar o Outlook 2003 para ajudar a fornecer confidencialidade de email

Para enviar com êxito uma mensagem de email criptografada, o destinatário já deve ter um certificado digital. Se você tentar enviar uma mensagem de email criptografada para um usuário que não tenha um certificado digital, você receberá uma mensagem de erro. Verifique se você seguiu as instruções do tópico "Como implantar certificados digitais para S/MIME usando registro automático" exibido anteriormente neste documento para todos os usuários de teste antes de enviar mensagens de email para eles.

Para configurar o Outlook para confidencialidade de email

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Office e, em seguida, clique em Microsoft Office Outlook 2003.

  3. Clique em Ferramentas e, em seguida, clique em Opções. A seguinte caixa de diálogo será exibida.

    Como configurar o Outlook 2003 para ajudar a fornecer confidencialidade de email

  4. Clique na guia Segurança e, em seguida, clique em Configurações.

  5. O Outlook preenche a caixa de diálogo Alterar Configurações de Segurança com as informações padrão. Clique em OK para aceitar os valores padrão como mostra a captura de tela a seguir.

    Alterar Configurações de Segurança

  6. Clique em OK para fechar a caixa de diálogo Opções.

O Outlook já está configurado para confidencialidade de email.

Para enviar uma mensagem assinada digitalmente usando o Outlook

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Office e, em seguida, clique em Microsoft Office Outlook 2003.

  3. Para compor uma nova mensagem, clique em Nova.

  4. Adicione um destinatário à mensagem de teste e preencha os campos da mensagem.

  5. Verifique se o botão Adicionar assinatura digital a esta mensagem está selecionado. Como você deseja testar apenas a assinatura digital, o botão Criptografar conteúdo e anexos da mensagem não deve estar selecionado.

    Adicionar assinatura digital

  6. Clique em Enviar.

Sua mensagem assinada digitalmente já foi enviada ao destinatário, que poderá verificar a assinatura digital.

Para enviar uma mensagem criptografada usando o Outlook

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Office e, em seguida, clique em Microsoft Office Outlook 2003.

  3. Para compor uma nova mensagem, clique em Nova.

  4. Adicione um destinatário à mensagem de teste e preencha os campos da mensagem.

  5. Na barra de ferramentas, verifique se o botão Criptografar conteúdo e anexos da mensagem está selecionado. Como você deseja testar apenas a criptografia, o botão Adicionar assinatura digital a esta mensagem não deve estar selecionado.

    Criptografar conteúdo e anexos da mensagem

Sua mensagem criptografada já foi enviada ao destinatário e poderá ser aberta e lida pelo usuário.

Como configurar o Outlook Express para ajudar a fornecer confidencialidade de email

Para enviar com êxito uma mensagem de email criptografada, o destinatário já deve ter um certificado digital. Se você tentar enviar uma mensagem de email criptografada para um usuário que não tenha um certificado digital, você receberá uma mensagem de erro. Verifique se você seguiu as instruções do tópico "Como implantar certificados digitais para S/MIME usando registro automático" exibido anteriormente neste informe para todos os usuários de teste antes de enviar mensagens de email para eles.

Para enviar uma mensagem assinada digitalmente usando o Outlook Express

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas e clique em Outlook Express.

  3. Se for solicitado, digite a senha do usuário.

  4. Para compor uma nova mensagem, clique em Criar Email.

  5. Para adicionar um destinatário do Active Directory, clique em Para.

  6. Em Digite o nome ou selecione-o na lista, clique em Localizar. A seguinte caixa de diálogo será exibida.

    Adicione um destinatário do Active Directory.

  7. Na lista Examinar, clique em Active Directory, na caixa Nome, digite o nome do destinatário e, em seguida, clique em Localizar Agora.

  8. Selecione o nome e clique em OK:

  9. Clique em OK para fechar a caixa de diálogo Selecionar Destinatários.

  10. Na barra de ferramentas, há dois novos ícones: um para criptografar as mensagens e outro para assinar as mensagens. Verifique se o botão Assinar está selecionado como mostra a captura de tela a seguir. Como você deseja testar apenas a assinatura digital, o botão Criptografar não deve estar selecionado.

    Selecionar Destinatários

  11. Clique em Enviar.

Sua mensagem assinada digitalmente já foi enviada ao destinatário, que poderá então verificar a assinatura digital.

Para enviar uma mensagem criptografada usando o Outlook Express

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas e clique em Outlook Express.

  3. Se for solicitado, digite a senha do usuário.

  4. Para compor uma nova mensagem, clique em Criar Email.

  5. Para adicionar um destinatário do Active Directory, clique em Para.

  6. Em Digite o nome ou selecione-o na lista, clique em Localizar.

  7. Na lista Examinar, clique em Active Directory, digite o nome do destinatário na caixa Nome e, em seguida, clique em Localizar Agora.

  8. Selecione o nome e clique em OK:

  9. Clique em OK para fechar a caixa de diálogo Selecionar Destinatários.

  10. Na barra de ferramentas, verifique se o botão Criptografar está selecionado como mostra a captura de tela a seguir. Como você deseja testar apenas a criptografia, o botão Assinar não deve estar selecionado.

    Criptografar

  11. Clique em Enviar.

Sua mensagem criptografada já foi enviada ao destinatário e poderá ser aberta e lida pelo usuário.

Como verificar se um usuário tem um certificado digital para S/MIME no Active Directory

Você pode usar a opção Usuários e Computadores do Active Directory para verificar se uma conta de usuário do Active Directory tem um certificado digital para S/MIME.

Para verificar se o certificado foi adicionado à conta de um usuário do Active Directory

  1. Faça logon no domínio como membro do grupo Administradores de Autoridade de Certificação.

  2. Clique em Iniciar, aponte para Todos os Programas, para Ferramentas Administrativas e, em seguida, clique em Usuários e Computadores do Active Directory.

  3. Clique em Exibir e, em seguida, em Recursos Avançados como mostra a captura de tela a seguir.

    Usuários e Computadores do Active Directory

  4. No painel esquerdo, clique na pasta Usuários.

  5. No painel direito, clique duas vezes em um dos usuários de teste.

  6. Clique na guia Certificados Publicados.

  7. Na Lista de certificados X509 publicados para a conta do usuário (mostrada na captura de tela a seguir), você verá o certificado digital do usuário da CA do Windows junto com qualquer outro certificado digital armazenado para esse usuário no Active Directory.

    Certificados Publicados

Você já verificou que o certificado foi adicionado à conta do usuário do Active Directory.

Como verificar se o Exchange Server está configurado para ajudar a fornecer confidencialidade de email

Você pode usar o Exchange Server System Manager para verificar se o seu Exchange Server foi configurado para oferecer suporte a clientes que usam S/MIME.

  1. Faça logon usando uma conta que seja associada às duas opções a seguir:

    • O grupo Administradores no computador local.

    • Um grupo ao qual pelo menos a função de Administradores Somente Exibição do Exchange foi aplicada no nível de Grupo Administrativo.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Exchange e, em seguida, clique em Gerenciador do Sistema.

  3. Clique em Servidores, em <NomedoServidor> , em Grupo de Armazenamento, clique com o botão direito do mouse em Armazenamento de Caixas de Correio ou Armazenamento de Pastas Públicas e, em seguida, clique em Propriedades.

  4. Na página Propriedades, verifique se a caixa de seleção Clientes que suportam assinaturas S/MIME na guia Geral está selecionada como mostra a captura de tela a seguir.

    Propriedades

Você já verificou que o Exchange Server está configurado para oferecer suporte à confidencialidade de email.

Como verificar se o Outlook 2003 pode receber email configurado para ajudar a fornecer confidencialidade

É possível usar o Outlook 2003 para verificar se você pode receber mensagens de email configuradas para assinaturas digitais e criptografia.

Para exibir uma mensagem assinada digitalmente usando o Outlook

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Office e, em seguida, clique em Microsoft Office Outlook 2003.

  3. Na caixa de entrada, localize a mensagem de teste assinada digitalmente e clique duas vezes nela.

  4. Quando a mensagem abrir, clique no botão Verificar Assinatura (mostrado na captura de tela a seguir) para verificar a assinatura.

    Verificar Assinatura

    Após você clicar no botão Verificar Assinatura, a caixa de diálogo Assinatura Digital será exibida (mostrada na captura de tela a seguir), indicando que a assinatura digital é válida.

    Assinatura Digital

A assinatura digital da mensagem já foi verificada.

Para exibir uma mensagem criptografada usando o Outlook

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas, para Microsoft Office e, em seguida, clique em Microsoft Office Outlook 2003.

  3. Na caixa de entrada, localize a mensagem de teste criptografada e clique duas vezes nela.

  4. Quando a mensagem abrir, clique no botão Verificar Criptografia (mostrado na captura de tela a seguir) para verificar a criptografia.

    Verificar Criptografia

  5. Após clicar no botão Verificar Criptografia, a seguinte caixa de diálogo Propriedades de Segurança da Mensagem será exibida, indicando que a mensagem criptografada é válida.

    Propriedades de Segurança da Mensagem

A criptografia da mensagem já foi verificada.

Ao concluir essas etapas, você terá testado todos os elementos de utilização do S/MIME no Outlook 2003. Essas informações permitem que você saiba como um sistema S/MIME que usa o Outlook funcionará para os seus usuários.

Como verificar se o Outlook Express pode receber email configurado para ajudar a fornecer confidencialidade

É possível usar o Outlook Express para verificar se você pode receber email configurado para assinaturas digitais e criptografia.

Para exibir uma mensagem assinada digitalmente usando o Outlook Express

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas e clique em Outlook Express.

  3. Se for solicitado, digite a senha do usuário.

  4. Na caixa de entrada, localize a mensagem de teste assinada digitalmente e clique duas vezes nela.

  5. Quando a mensagem abrir, o Outlook Express exibirá a seguinte mensagem explicando as assinaturas digitais. Marque a caixa de seleção Não mostrar esta tela de ajuda novamente e, em seguida, clique em Continuar.

    Ajuda

  6. Para verificar a assinatura, clique no botão Verificar Assinatura.

    Após clicar no botão Verificar Assinatura, a seguinte caixa de diálogo Testando a Assinatura Digital será exibida, indicando que a assinatura digital é válida.

    Testando a Assinatura Digital

A assinatura digital da mensagem já foi verificada.

Para exibir uma mensagem criptografada usando o Outlook Express

  1. Faça logon no domínio como membro do grupo Usuários do Domínio.

  2. Clique em Iniciar, aponte para Todos os Programas e clique em Outlook Express.

  3. Quando solicitado, digite a senha do usuário.

  4. Na caixa de entrada, localize a mensagem de teste criptografada e clique duas vezes nela.

  5. Quando a mensagem abrir, o Outlook Express exibirá a seguinte mensagem explicando a criptografia. Marque a caixa de seleção Não mostrar esta tela de ajuda novamente e, em seguida, clique em Continuar.

    Ajuda

  6. Para verificar a criptografia, clique em Verificar Criptografia.

    Após você clicar no botão Verificar Criptografia, a seguinte caixa de diálogo Testando a Criptografia será exibida, indicando que a mensagem criptografada é válida.

    Testando a Criptografia

A criptografia da mensagem já foi verificada.

Ao concluir essas etapas, você terá testado todos os elementos de utilização do S/MIME no Outlook Express. Essas informações permitem que você saiba como um sistema S/MIME que usa o Outlook Express funcionará para os seus usuários.

Como solucionar problemas de email para ajudar a fornecer confidencialidade

Esta seção aborda uma série de problemas comuns que ocorrem em um sistema S/MIME baseado no Exchange Server 2003. Embora esta lista não seja completa, ela realmente fornece informações sobre problemas que podem ocorrer durante a implantação, além de recomendações sobre como lidar com esses problemas.

Problema: Não é possível verificar a assinatura digital de um remetente

Este problema pode ocorrer quando o certificado digital da CA raiz ou o certificado digital da CA intermediária do remetente não estiver presente no armazenamento de certificados do Computador Local do Exchange Server do destinatário.

Solução

Para solucionar esse problema, importe o certificado digital da CA raiz do remetente ou da CA intermediária do remetente para a pasta Autoridades de Certificação Raiz Confiáveis no armazenamento de certificados do Computador Local do Exchange Server do destinatário. A importação do certificado digital para uma CA raiz inerentemente concede confiança a cada certificado digital emitido pela hierarquia das CAs raiz. As organizações para as quais essa concessão de confiança é proibida pelas diretivas de segurança tentarão explorar estratégias de certificação cruzada como alternativa. Para obter informações sobre como implementar a certificação cruzada ao usar a CA do Windows Server 2003, consulte Planejando e implementando certificação cruzada e subordinação qualificada usando o Windows Server 2003 em http://go.microsoft.com/fwlink/?LinkId=17806.

Para importar o certificado digital da CA raiz do remetente para as autoridades de certificação raiz confiáveis

  1. Faça logon no Exchange Server do destinatário usando uma conta que seja associada ao grupo de Administradores local.

  2. Clique em Iniciar, em Executar, digite mmc e, em seguida, clique em OK.

  3. Clique em Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.

  4. Na guia Autônomo, clique em Adicionar.

  5. Selecione Certificados e, em seguida, clique em Adicionar. Quando solicitado, selecione Conta de computador e, em seguida, clique em Avançar.

  6. Na página Selecionar Computador, selecione Computador Local (o computador em que este console está sendo executado) e, em seguida, clique em Concluir.

  7. No MMC, expanda Certificados – Computador Local e, em seguida, expanda Autoridades de Certificação Raiz Confiáveis.

  8. No painel de detalhes, clique com o botão direito do mouse e aponte para Todas as Tarefas e, em seguida, clique em Importar.

  9. Na primeira página do Assistente para importação de certificados, clique em Avançar.

  10. Na caixa de diálogo Nome do Arquivo, digite o nome e o local do arquivo que contém o certificado digital da CA raiz e, em seguida, clique em Avançar.

  11. Na página Armazenamento de Certificados, clique em Colocar todos os certificados no armazenamento a seguir, verifique se a caixa de diálogo Armazenamento de Certificados mostra Autoridades de Certificação Raiz Confiáveis e, em seguida, clique em Avançar.

  12. Na página final do assistente, clique em Concluir.

Após importar o certificado digital para a CA raiz do remetente, o Exchange Server poderá validar o certificado digital do remetente em nome do destinatário.

Para importar o certificado digital das CAs intermediárias do remetente para as Autoridades de Certificação Intermediárias

  1. Faça logon no Exchange Server do destinatário usando uma conta que seja associada ao grupo de Administradores local.

  2. Clique em Iniciar, em Executar, digite mmc e, em seguida, clique em OK.

  3. Clique em Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.

  4. Na guia Autônomo, clique em Adicionar.

  5. Selecione Certificados e, em seguida, clique em Adicionar. Quando solicitado, selecione Conta de computador e, em seguida, clique em Avançar.

  6. Na página Selecionar Computador, selecione Computador Local (o computador em que este console está sendo executado) e, em seguida, clique em Concluir.

  7. No MMC, expanda Certificados – Computador Local e, em seguida, expanda Autoridades de Certificação Intermediárias.

  8. No painel de detalhes, clique com o botão direito do mouse e aponte para Todas as Tarefas e, em seguida, clique em Importar.

  9. Na primeira página do Assistente para importação de certificados, clique em Avançar.

  10. Na caixa de diálogo Nome do Arquivo, digite o nome e o local do arquivo que contém o certificado digital da CA raiz e, em seguida, clique em Avançar.

  11. Na página Armazenamento de Certificados, clique em Colocar todos os certificados no armazenamento a seguir, verifique se a caixa de diálogo Armazenamento de Certificados mostra Autoridades Intermediárias e, em seguida, clique em Avançar.

  12. Na página final do assistente, clique em Concluir.

Após importar o certificado digital para as CAs intermediárias do remetente, o Exchange Server poderá validar com êxito o certificado digital do remetente em nome do destinatário.

Problema: Não é possível acessar a CRL

Esse problema pode ocorrer quando o ponto de distribuição da lista de certificados revogados (CRL) especificado nos certificados digitais é acessível apenas por meio de um firewall, ou quando o Exchange Server não tem direitos de acesso ao ponto de distribuição da CRL.

Solução

Para solucionar esse problema, execute uma das seguintes ações:

  • Baixe a CRL manualmente do ponto de distribuição e importe-a para o armazenamento de certificados do Computador Local do Exchange Server do usuário.

  • Instale e configure um cliente firewall para os protocolos apropriados no Exchange Server do destinatário.

  • Conceda permissão explicitamente para a conta LocalSystem do Exchange Server do usuário para acessar o ponto de distribuição da CRL, ou reconfigure o ponto de distribuição da CRL para que não exija autenticação.

Para importar manualmente uma CRL

  1. Faça logon no Exchange Server do destinatário usando uma conta que seja associada ao grupo de Administradores local.

  2. Baixe a CRL do ponto de distribuição da CRL especificado no certificado digital.

  3. Clique com o botão direito do mouse no arquivo .cer ou .crl, clique em Instalar Certificado ou Instalar CRL e, em seguida, clique em Avançar.

  4. Quando o Assistente para Importação de Certificados abrir, clique em Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado.

Problema: Diferentes certificados usados ao usar diferentes clientes de email

Esse problema pode ocorrer porque há dois atributos no Active Directory em que os certificados digitais S/MIME podem estar armazenados: o atributo userCertificate e o atributo userSMIMECertificate. Por padrão, o Outlook considera primeiro o atributo userSMIMECertificate e usa qualquer certificado S/MIME viável localizado nesse atributo. Outros clientes de email, incluindo OWA, podem considerar primeiro o atributo userCertificate e usar qualquer certificado S/MIME viável localizado nesse atributo.

Se diferentes certificados digitais estiverem armazenados nos atributos userCertificate e userSMIMECertificate, é possível que o Outlook e o OWA usem diferentes certificados digitais, porque cada um deles consulta um atributo diferente do Active Directory.

Solução

Para solucionar esse problema, verifique se os mesmos certificados estão armazenados tanto no atributo userCertificate quanto no atributo userSMIMECertificate. Para obter mais informações, consulte o artigo "O Outlook 2003 continua a usar certificados antigos após a migração do servidor de gerenciamento de chaves para uma infra-estrutura de chave pública" (a página pode estar em inglês) em http://support.microsoft.com/?kbid=822504.

Problema: O Outlook Express tenta assinar as mensagens de email automaticamente

Por padrão, quando um usuário responde a uma mensagem assinada ou a encaminha usando o Outlook Express, o programa ativa a assinatura digital para essa mensagem. Se o usuário tentar enviar a mensagem e não tiver um certificado de assinatura válido, o Outlook Express exibirá uma mensagem de erro "Você não possui uma identificação digital." e não enviará a mensagem.

Solução

Para solucionar esse problema, desative a assinatura digital para essa mensagem. Para obter mais informações, consulte o artigo "Você recebe uma mensagem de erro ao tentar encaminhar uma mensagem de email assinada digitalmente ou responder a ela" em http://go.microsoft.com/fwlink/?linkid=3052&kbid=816830.

Resumo

Com o crescimento da Internet nos últimos anos, o e-mail passou por alterações fundamentais. Ele deixou de ser apenas uma ferramenta organizacional interna. Agora, une pessoas de diferentes empresas e países/regiões e possibilita até mesmo que pessoas na terra e no espaço compartilhem informações, como se estivessem no mesmo prédio. Talvez o email seja o benefício mais importante da Internet até hoje. Como as pessoas e as empresas cada vez mais integram o email às suas vidas, sua importância aumenta diariamente.

O crescimento sem precedentes do email foi possibilitado pela adoção em âmbito mundial do protocolo ou linguagem base de email da Internet: o SMTP. O padrão SMTP possibilita que diferentes sistemas de email conectados à Internet troquem informações.

No entanto, apesar de todos os benefícios que o SMTP proporcionou à Internet, ele tem um problema inerente. O padrão SMTP foi originalmente desenvolvido para transportar mensagens curtas, relativamente comuns em uma rede fechada, e não para transportar informações críticas e confidenciais em redes interconectadas de alcance mundial. Os desenvolvedores do SMTP não imaginaram que ele pudesse desempenhar a sua função atual. Por isso, o SMTP não foi desenvolvido para proteger o tipo de informação que ele transporta pelas redes que percorre hoje em dia. Ele foi projetado para transportar informações mais simples, por redes mais simples, e por isso seu nome significa Protocolo de transferência de correio simples. Por exemplo, o SMTP envia as informações pela Internet de uma forma que permite que qualquer pessoa leia a mensagem.

Felizmente, o S/MIME surgiu como um padrão para ajudar a aperfeiçoar as mensagens de email SMTP com recursos de segurança. Usando o S/MIME, a criptografia ajuda a proteger o conteúdo das mensagens de email, e as assinaturas digitais ajudam a verificar a identidade de um suposto remetente de uma mensagem de email.

A implementação do S/MIME para email requer uma solução que abranja vários produtos e tecnologias.

Download

Obtenha o documento Como proteger a confidencialidade de email nos setores regulamentados



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft