Установка единых параметров шифрования Outlook 2007 для организации
Обновлено: Апрель 2012
Назначение: Office Resource Kit
Последнее изменение раздела: 2015-05-21
Чтобы обеспечить более безопасный обмен сообщениями и шифрование сообщений в организации, можно воспользоваться большим числом настраиваемых параметров функций шифрования приложения Microsoft Office Outlook 2007. Например, можно настроить параметр групповой политики, требующий, чтобы вся исходящая почта снабжалась меткой безопасности, или параметр, запрещающий публикацию глобального списка адресов.
Можно заблокировать параметры, чтобы настроить шифрование Outlook с помощью шаблона групповой политики Outlook (Outlk12.adm). Можно также настроить параметры по умолчанию с помощью центра развертывания Office. В этом случае пользователи смогут изменить эти параметры. Параметры центра развертывания Office находятся в соответствующих местах на странице Modify user settings (Изменение пользовательских параметров) центра.
Шаблон Outlook и другие файлы ADM можно загрузить на странице Административные шаблоны выпуска 2007 системы Office (ADM) (на английском языке) центра загрузки Майкрософт.
Чтобы настроить параметры шифрования с помощью групповой политики, выполните следующие действия.
В групповой политике загрузите шаблон Office Outlook 2007 (Outlk12.adm).
Чтобы настроить параметры шифрования, войдите в каталог User Configuration\Administrative Templates\Microsoft Office Outlook 2007\Security\Cryptography и дважды щелкните параметр политики, который требуется настроить. Например, дважды щелкните Do not display "Publish to GAL" button (Не показывать кнопку "Опубликовать в глобальном списке адресов"). (Некоторые параметры включены в папку Signature Status dialog box (Диалоговое окно "Состояние подписи").)
Щелкните Enabled. Если потребуется, выберите параметр, отображаемый на вкладке Setting.
Нажмите кнопку ОК.
Для шифрования можно настроить следующие параметры.
| Параметр шифрования | Описание |
|---|---|
Минимальные параметры шифрования |
Установите для зашифрованного сообщения электронной почты значение, равное минимальной длине ключа. |
Взаимодействие S/MIME с внешними клиентами: |
Укажите поведение при обработке сообщений S/MIME. |
Всегда использовать формат RTF в сообщениях S/MIME |
Всегда использовать формат RTF для сообщений S/MIME вместо формата, указанного пользователем. |
Параметры пароля S/MIME |
Укажите время действия пароля S/MIME по умолчанию и максимально допустимое. |
Форматы сообщений |
Выберите форматы сообщений для поддержки: S/MIME (по умолчанию), Exchange, Fortezza или их комбинации. |
Сообщение, появляющееся в том случае, когда Outlook не может найти цифровой идентификатор для декодирования сообщения |
Введите сообщение, которое должно отображаться для пользователей. |
Не предлагать вариант "Продолжить" в диалоговых окнах предупреждений шифрования |
Отключить кнопку "Продолжить" в диалоговых окнах предупреждений параметров шифрования. |
Запускать в режиме, отвечающем требованиям FIPS |
Работать с Outlook в режиме FIPS 140-1. |
Не проверять адрес электронной почты на совпадение с адресом используемых сертификатов |
Не сверять адрес электронной почты пользователя с адресом сертификатов, используемых для шифрования или подписи. |
Шифровать все сообщения электронной почты |
Шифровать исходящие сообщения электронной почты |
Подписывать все сообщения электронной почты |
Подписывать исходящие сообщения электронной почты |
Отсылать все подписанные сообщения как очищенные подписанные сообщения |
Использовать открытую подпись для подписывания исходящих сообщений электронной почты. |
Запрашивать уведомление S/MIME для всех подписанных сообщений S/MIME |
Запрашивать уведомление с повышенной безопасностью для исходящих сообщений электронной почты. |
URL-адрес для сертификатов S/MIME |
Предоставьте URL-адрес, по которому пользователи могут получать уведомление S/MIME. Этот URL-адрес может содержать три переменные (%1, %2 и %3), которые будут заменены соответственно именем пользователя, адресом электронной почты и языком. |
Обеспечить, чтобы все подписанные сообщения S/MIME имели метку |
Потребуйте, чтобы все сообщения с подписью S/MIME имели метку безопасности. |
Не отображать кнопку Опубликовать в глобальном списке адресов |
Отключение кнопки Опубликовать в глобальном списке адресов на странице "Защита электронной почты" в центре управления безопасностью. |
Предупреждение о подписи |
Укажите условие, при котором отображается для пользователей предупреждение о подписи. |
Запросы уведомлений S/MIME |
Укажите способ обработки запросов уведомлений S/MIME. |
Политики сертификации Fortezza |
Введите список политик, разрешенных в расширениях политик сертификата и показывающий, что данный сертификат является сертификатом Fortezza. Отделяйте политики в списке друг от друга точкой с запятой. |
Требовать алгоритмов SUITEB для операций S/MIME |
Используйте только алгоритмы Suite-B для операций S/MIME. |
Активировать значки криптографии |
Отображать значки криптографии Outlook в пользовательском интерфейсе Outlook. |
Получение списков отзыва сертификатов |
Укажите, как должно вести себя приложение Outlook при загрузке списков отзыва сертификатов. |
Отсутствуют списки отзыва сертификатов |
Укажите действие Outlook при отсутствии списков отзыва сертификатов: отображать сообщение об ошибке или предупреждение (по умолчанию). |
Отсутствуют корневые сертификаты |
Укажите действие Outlook при отсутствии корневых сертификатов: отображать сообщение об ошибке или предупреждение (по умолчанию). |
Сообщать об ошибках уровня 2 через сообщения об ошибках, а не предупреждения |
Укажите реакцию Outlook на ошибки уровня 2: отображать сообщение об ошибке или предупреждение (по умолчанию). |
Безопасная временная папка для вложений |
Укажите путь к безопасной временной папке для файлов. При этом путь по умолчанию переопределяется, что не рекомендуется. |
Дополнительная информация о настройке параметров шифрования Outlook
В следующих разделах представлены дополнительные сведения о параметрах настройки шифрования Outlook.
Параметры политики безопасности Outlook
Следующая таблица содержит список параметров реестра Windows, которые можно настраивать при пользовательской установке. Параметры реестра Windows соответствуют приведенным выше параметрам групповой политики. Эти значения добавляются к следующему подразделу:
HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security
| Имя параметра | Значение (тип данных) | Описание | Соответствующий параметр пользовательского интерфейса |
|---|---|---|---|
AlwaysEncrypt |
0, 1 (DWORD) |
Установите 1 для шифрования исходящих сообщений. Значение по умолчанию: 0. |
Флажок Шифрование содержимого (страница Защита электронной почты). |
AlwaysSign |
0, 1 (DWORD) |
Установите 1 для подписания исходящих сообщений. Значение по умолчанию: 0. |
Добавление флажка Цифровая подпись (страница Защита электронной почты). |
ClearSign |
0, 1 (DWORD) |
Установите 1 для использования открытой подписи в исходящих сообщениях. Значение по умолчанию: 0. |
Флажок Отправлять подписанные сообщения открытым текстом (страница Защита электронной почты). |
RequestSecureReceipt |
0, 1 (DWORD) |
Установите 1 для использования уведомлений с расширенной безопасностью в исходящих сообщениях. Значение по умолчанию: 0. |
Флажок Запрашивать уведомление S/MIME (страница Защита электронной почты). |
ForceSecurityLabel |
0, 1 (DWORD) |
Установите 1 для использования метки в исходящих сообщениях. (В настройке реестра не уточняется, какой именно метки). Значение по умолчанию: 0. |
Не используется |
ForceSecurityLabelX |
Объект BLOB (двоичный), определенный на языке ASN |
Это значение указывает, должна ли существовать определяемая пользователем метка безопасности в исходящих сообщениях. Эта строка может по желанию включать метку, классификацию и категорию. По умолчанию метка безопасности не требуется. |
Не используется |
SigStatusNoCRL |
0, 1 (DWORD) |
Установите 0, если требуется указать, что отсутствие списка отзыва сертификатов при проверке подписи отображается как предупреждение. Установите 1, если требуется указать, что отсутствие списка отзыва сертификатов отображается как ошибка. Значение по умолчанию: 0. |
Не используется |
SigStatusNoTrustDecision |
0, 1, 2 (DWORD) |
Установите 0, если требуется указать, что разрешено решение "Нет доверия". Установите 1, если требуется указать, что решение об отсутствии доверия является предупреждением. Установите 2, если требуется указать, что решение об отсутствии доверия является ошибкой. Значение по умолчанию: 0. |
Не используется |
PromoteErrorsAsWarnings |
0, 1 (DWORD) |
Установите 0, чтобы ошибки уровня 2 обрабатывались как ошибки. Установите 1, чтобы ошибки уровня 2 обрабатывались как предупреждения. Значение по умолчанию: 1. |
Не используется |
PublishtoGalDisabled |
0, 1 (DWORD) |
Установите 1, чтобы отключить кнопку Опубликовать в глобальном списке адресов. Значение по умолчанию: 0. |
Кнопка Опубликовать в глобальном списке адресов (СтраницаЗащита электронной почты) |
FIPSMode |
0, 1 (DWORD) |
Установите 1, чтобы работать с Outlook в режиме FIPS 140-1. Значение по умолчанию: 0. |
Не используется |
WarnAboutInvalid |
0, 1, 2 (DWORD) |
Установите 0, чтобы отобразить флажок Показать и спросить (диалоговое окно Проблема безопасности электронной почты). Установите 1, чтобы всегда показывать это диалоговое окно. Установите 2, чтобы никогда не показывать это диалоговое окно. Значение по умолчанию: 2. |
Диалоговое окно Проблема безопасности электронной почты. |
DisableContinueEncryption |
0, 1 (DWORD) |
Установите 0, чтобы показать кнопку Продолжить шифрование в заключительном диалоговом окне Ошибки шифрования. Установите 1, чтобы скрыть эту кнопку. Значение по умолчанию: 0. |
Кнопка Продолжить шифрование в заключительном диалоговом окне Ошибки шифрования. Это диалоговое окно появляется, когда пользователь пытается отправить сообщение адресату, который не может принимать зашифрованные сообщения. Эта настройка отключает кнопку, позволяющую пользователям отправлять сообщение, невзирая на это обстоятельство (получатель не может открыть зашифрованное сообщение электронной почты, отправленное несмотря на ошибку). |
RespondtoReceiptRequest |
0, 1, 2, 3 (DWORD) |
Установите 0, чтобы всегда отсылать ответы на уведомления и, в случае необходимости, запрашивать пароль. Установите 1 для запроса пароля при отправке ответа на уведомление. Установите 2, чтобы никогда не отсылать ответы на уведомления. Установите 3, чтобы принудительно отправлять ответы на уведомления. Значение по умолчанию: 0. |
Не используется |
NeedEncryptionString |
Строка |
Если пользователь безуспешно пытается открыть зашифрованное сообщение, отображается особая строка. В ней может содержаться информацию о месте безопасной регистрации. Если альтернативная строка не введена, используется строка по умолчанию. |
Строка по умолчанию |
Параметры |
0, 1 (DWORD) |
Установите 0, чтобы показывать диалоговое окно с предупреждением, если пользователь пытается прочесть подписанное сообщение с недействительной подписью. Установите 1, чтобы никогда не показывать предупреждение. Значение по умолчанию: 0. |
Не используется |
MinEncKey |
40, 64, 128, 168 (DWORD) |
Установите для зашифрованного сообщения электронной почты значение, равное минимальной длине ключа. |
Не используется |
RequiredCA |
Строка |
Установите название требуемого центра сертификации. Если для этого параметра значение введено, Outlook запрещает подписывать электронную почту пользователю, если его сертификат выдан другим центром сертификации. |
Не используется |
EnrollPageURL |
Строка |
URL-адрес центра сертификации по умолчанию (внутренний или внешний), выбранный для выдачи пользователям новых цифровых идентификаторов. Примечание. При отсутствии прав администратора на компьютере пользователя сделайте запись в подраздел HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security. |
Кнопка Получить цифровое удостоверение (страницаЗащита электронной почты). |
Если задается значение для параметра PromoteErrorsAsWarnings, потенциальные условия для ошибки уровня 2 включают следующее:
Неизвестный алгоритм подписи
Не найден сертификат подписи
Неверные наборы атрибутов
Не найден сертификат поставщика
Не найдены списки отзыва сертификатов
Списки отзыва сертификатов устарели
Проблема корневого доверия
Список отзыва сертификатов устарел
Если задается значение для EnrollPageURL, используйте следующие параметры для отправки информации о пользователе на веб-страницу регистрации.
| Параметр | Заполнитель в строке URL-адреса |
|---|---|
Отображаемое имя пользователя |
%1 |
Имя электронной почты (SMTP) |
%2 |
Идентификатор языка пользовательского интерфейса |
%3 |
Например, чтобы послать информацию о пользователе на веб-страницу регистрации Майкрософт, задайте для записи EnrollPageURL следующее значение, включая параметры:
www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3
Например, если имя пользователя Jeff Smith, его адрес электронной почты someone@example.com и идентификатор языка пользовательского интерфейса 1033, заполнители заменяются следующими значениями:
www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033
Параметры политики безопасности для общего шифрования
В следующей таблице показаны дополнительные параметры реестра Windows, которые можно использовать для пользовательской конфигурации. Эти параметры находятся в следующем подразделе:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default
| Имя параметра | Значение (тип данных) | Описание | Соответствующий параметр пользовательского интерфейса |
|---|---|---|---|
ShowWithMultiLabels |
0, 1, (DWORD) |
Установите 0, чтобы пытаться отобразить сообщение, когда слой подписи имеет другие метки, установленные в других подписях. Установите 1, чтобы не отображать сообщение. Значение по умолчанию: 0. |
Не используется |
CertErrorWithLabel |
0, 1, 2 (DWORD) |
Установите 0, чтобы обрабатывать сообщение с ошибкой сертификата, если сообщение снабжено меткой. Установите 1, чтобы запретить доступ к сообщению с ошибкой сертификата. Установите 2, чтобы пропустить метку сообщения и предоставить доступ к этому сообщению (несмотря на то что пользователь видит ошибку сертификата). Значение по умолчанию: 0. |
Не используется |
Параметры политики безопасности для сертификатов KMS
Значения в следующей таблице применимы только к сертификатам, выпущенным службой управления ключами Microsoft Exchange (KMS). В этой таблице показаны дополнительные параметры реестра Windows, которые можно использовать для пользовательской конфигурации. Эти параметры находятся в следующем подразделе:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider
| Имя параметра | Значение (тип данных) | Описание | Соответствующий параметр пользовательского интерфейса |
|---|---|---|---|
MaxPWDTime |
0, число (DWORD) |
Установите 0, чтобы исключить для пользователя возможность сохранения пароля (пользователь должен будет вводить пароль каждый раз, когда требуется набор ключей). Установите положительное число, чтобы указать максимальное время действия пароля в минутах. Значение по умолчанию: 999. |
Не используется |
DefPWDTime |
Число (DWORD) |
Установите значение по умолчанию для промежутка времени, в течение которого сохраняется пароль. |
Не используется |
Загрузить данную книгу
Для упрощения чтения и печати этот раздел включен в состав следующих доступных для загрузки книг, формат которых более удобен для чтения и печати:
Руководство по обмену сообщениями для выпуска 2007 системы Microsoft Office (на английском языке)
Обзор групповой политики для выпуска 2007 системы Microsoft Office
Безопасность для выпуска 2007 системы Microsoft Office (на английском языке)
Полный список доступных книг см. в разделе Сведения о наборе ресурсов Office.