为组织设置一致的 Outlook 2007 加密选项
更新时间: 2012年4月
应用到: Office Resource Kit
上一次修改主题: 2015-05-21
您可以控制 Microsoft Office Outlook 2007 加密功能的许多环节,以帮助为组织配置更安全的邮件加密和消息加密。例如,您可以配置一个要求在所有待发邮件上附带安全标签的组策略设置或一个禁用向全局地址列表进行发布的设置。
您可以通过使用 Outlook 组策略模板 (Outlk12.adm) 来锁定自定义加密的设置。或者,您可以使用 Office 自定义工具 (OCT) 来配置默认设置,在这种情况下,用户可以更改设置。OCT 设置位于 OCT 的“修改用户设置”页上的相应位置。
Outlook 模板和其他 ADM 文件可从 Microsoft 下载中心的 2007 Office system 管理模板 (ADM) 下载。
使用组策略自定义加密选项
在组策略中,加载 Office Outlook 2007 模板 (Outlk12.adm)。
要自定义加密设置,在“用户配置”\“管理模板”\“Microsoft Office Outlook 2007”\“安全性”\“加密”之下,双击您要设置的策略设置。例如,双击“不显示‘发布到全球通讯簿’按钮”。(某些选项包含在“签名状态对话框”文件夹中。)
单击“启用”。如果适当,则选择“设置”选项卡上显示的一个选项。
单击“确定”。
您可以为加密配置的设置如下所示。
| 加密选项 | 说明 |
|---|---|
最小加密设置 |
对于已加密的电子邮件,设置为最小密钥长度。 |
S/MIME 与外部客户端的互操作性: |
指定用于处理 S/MIME 邮件的行为。 |
在 S/MIME 邮件中始终使用 RTF 格式 |
始终对 S/MIME 邮件使用格式文本,而不使用由用户指定的格式。 |
S/MIME 密码设置 |
指定 S/MIME 密码有效的默认时间长度和最大时间长度。 |
邮件格式 |
选择支持的邮件格式:S/MIME(默认)、Exchange、Fortezza 或格式组合。 |
Outlook 找不到用于为邮件解码的数字标识时显示的消息 |
输入要显示给用户的消息。 |
在“加密”警告对话框中不提供“继续”按钮 |
禁用加密设置警告对话框上的“继续”按钮。 |
以 FIPS 兼容模式运行 |
使 Outlook 进入 FIPS 140-1 模式。 |
不根据正在使用的证书地址检查电子邮件地址(sic) |
不使用用于加密或签署的证书的地址验证用户的电子邮件地址。 |
加密所有电子邮件 |
对待发电子邮件进行加密。 |
签署所有电子邮件 |
签署待发电子邮件。 |
以明文签署邮件方式发送所有邮件 |
对签署的待发电子邮件使用明文签署。 |
要求对所有 S/MIME 签名邮件提供 S/MIME 回执 |
对于待发电子邮件请求安全增强型回执。 |
S/MIME 证书的 URL |
提供用户可从中获得 S/MIME 回执的 URL。此 URL 可以包含三个变量(%1、%2 和 %3),它们将分别替换为用户名、电子邮件地址和语言。 |
确保所有 S/MIME 签名邮件都具有标签 |
要求所有 S/MIME 签名邮件都具有安全标签。 |
不显示“发布到全球通讯簿”按钮 |
在信任中心的“电子邮件安全性”页上禁用“发布到全球通讯簿”按钮。 |
签名警告 |
指定何时向用户显示签名警告的选项。 |
S/MIME 回执要求 |
指定如何处理 S/MIME 回执要求的选项。 |
Fortezza 证书策略 |
在证书的策略扩展中输入允许的策略列表,以显示此证书是 Fortezza 证书。应以分号分隔列出各个策略。 |
要求 S/MIME 操作使用 SUITEB 算法 |
仅将 Suite-B 算法用于 S/MIME 操作。 |
启用加密图标 |
在 Outlook 用户界面中显示 Outlook 加密图标。 |
检索 CRL (证书撤消列表) |
指定检索 CRL 列表时 Outlook 的工作方式。 |
缺少 CRL |
指定缺少 CRL 时的 Outlook 响应:显示错误或警告(默认)。 |
缺少根证书 |
指定缺少根证书时的 Outlook 响应:显示错误或警告(默认)。 |
将级别 2 错误升级为错误而不是警告 |
指定 Outlook 针对级别 2 错误的响应:显示错误或警告(默认)。 |
附件安全临时文件夹 |
为 Secure Temporary Files 文件夹指定一个文件夹路径。这将覆盖默认路径,建议不要执行此操作。 |
有关设置 Outlook 加密选项的详细信息
以下各部分提供有关 Outlook 加密的配置选项的其他信息。
Outlook 安全策略设置
下表列出您可以为自定义安装配置的 Windows 注册表设置。Windows 注册表设置对应于前面列出的组策略设置。您在下面的子项中添加这些值项:
HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security
| 值名称 | 值数据(数据类型) | 说明 | 相应的用户界面选项 |
|---|---|---|---|
AlwaysEncrypt |
0、1 (DWORD) |
设置为“1”以加密待发邮件。默认值为“0”。 |
“加密内容”复选框(“电子邮件安全性”页)。 |
AlwaysSign |
0、1 (DWORD) |
设置为“1”以签署待发邮件。默认值为“0”。 |
“添加数字签名”复选框(“电子邮件安全性”页)。 |
ClearSign |
0、1 (DWORD) |
设置为“1”以对待发邮件使用明文签署。默认值为“0”。 |
“以明文签名发送邮件”复选框(“电子邮件安全性”页)。 |
RequestSecureReceipt |
0、1 (DWORD) |
设置为“1”以对待发邮件请求安全增强型回执。默认值为“0”。 |
“要求 S/MIME 回执”复选框(“电子邮件安全性”页)。 |
ForceSecurityLabel |
0、1 (DWORD) |
设置为“1”以要求在待发邮件上加标签。(此注册表设置不指定要使用的标签。)默认值为“0”。 |
无 |
ForceSecurityLabelX |
ASN 编码的 BLOB(二进制) |
此值项指定用户定义的安全标签是否必须存在于待发的已签署邮件上。此字符串可以包括标签、分类和类别(均为可选项)。默认值为不要求任何安全标签。 |
无 |
SigStatusNoCRL |
0、1 (DWORD) |
设置为“0”以指定在签名验证过程中缺失的 CRL 是警告。设置为“1”以指定缺失的 CRL 是错误。默认值为“0”。 |
无 |
SigStatusNoTrustDecision |
0、1、2 (DWORD) |
设置为“0”以指定允许“不信任”决策。设置为“1”以指定“不信任”决策是警告。设置为“2”以指定“不信任”决策是错误。默认值为“0”。 |
无 |
PromoteErrorsAsWarnings |
0、1 (DWORD) |
设置为“0”以将级别 2 错误升级为错误。设置为“1”以将错误级别 2 错误升级为警告。默认值为“1”。 |
无 |
PublishtoGalDisabled |
0、1 (DWORD) |
设置为“1”以禁用“发布到全球通讯簿”按钮。默认值为“0”。 |
“发布到全球通讯簿”按钮(“电子邮件安全性”页) |
FIPSMode |
0、1 (DWORD) |
设置“1”以使 Outlook 进入 FIPS 140-1 模式。默认值为“0”。 |
无 |
WarnAboutInvalid |
0、1、2 (DWORD) |
设置为“0”以显示“显示和询问”复选框(“安全电子邮件问题”对话框)。设置为“1”以始终显示此对话框。设置为“2”将从不显示此对话框。默认值为“2”。 |
“安全电子邮件问题”对话框。 |
DisableContinueEncryption |
0、1 (DWORD) |
设置为“0”以在最终“加密错误”对话框中显示“继续加密”按钮。设置为“1”以隐藏此按钮。默认值为“0”。 |
最终“加密错误”对话框上的“继续加密”按钮。当用户尝试向某个无法接收加密邮件的人发送邮件时,将显示此对话框。这一设置将禁用允许用户忽略此信息而发送邮件的按钮。(收件人不能通过覆盖此错误来打开加密的邮件。) |
RespondtoReceiptRequest |
0、1、2、3 (DWORD) |
设置为“0”以始终发送回执响应并提示输入密码(如果需要)。设置为“1”以提示在发送回执响应时输入密码。设置为“2”将从不发送回执响应。设置为“3”将强制发送回执响应。默认值为“0”。 |
无 |
NeedEncryptionString |
字符串 |
当用户尝试打开加密的邮件失败时,显示指定的字符串。可以提供有关在何处注册安全性的信息。将使用默认字符串,除非将该值设置为其他字符串。 |
默认字符串 |
Options |
0、1 (DWORD) |
设置为“0”时,当用户尝试使用无效的签名读取签署的邮件时,将显示警告对话框。设置为“1”将从不显示警告。默认值为“0”。 |
无 |
MinEncKey |
40、64、128、168 (DWORD) |
对于已加密的电子邮件,设置为最小密钥长度。 |
无 |
RequiredCA |
字符串 |
设置为所需的证书颁发机构 (CA) 的名称。当设置一个值时,Outlook 不允许用户使用来自不同 CA 的证书签署电子邮件。 |
无 |
EnrollPageURL |
字符串 |
您希望用户从中获得新的数字标识的默认证书颁发机构(内部或外部)的 URL。注意:如果您对用户的计算机不具备管理员权限,则在 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security 子项中设置。 |
“获取数字标识”按钮(“电子邮件安全性”页)。 |
当您为“PromoteErrorsAsWarnings”指定值时,潜在的错误级别 2 条件包含以下内容:
未知的签名算法
找不到签署证书
错误的属性集
找不到颁发者证书
找不到 CRL
过期的 CRL
根信任问题
过期的 CTL
当您为“EnrollPageURL”指定值时,请使用以下参数将有关用户的信息发送到注册网页。
| 参数 | URL 字符串中的占位符 |
|---|---|
用户显示名称 |
%1 |
SMTP 电子邮件名称 |
%2 |
用户界面语言 ID |
%3 |
例如,要向 Microsoft 注册网页发送用户信息,请将“EnrollPageURL”项设置为以下值,包括参数:
www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3
例如,如果用户的名称为 Jeff Smith,电子邮件地址为 someone@example.com,并且用户界面语言 ID 为 1033,则占位符解析如下:
www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033
常规加密的安全策略设置
下表显示您可以用于自定义配置的其他 Windows 注册表设置。这些设置包含在下面的子项中:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default
| 值名称 | 值数据(数据类型) | 说明 | 相应的用户界面选项 |
|---|---|---|---|
ShowWithMultiLabels |
0、1 (DWORD) |
如果设置为“0”,则当签名层在不同的签名中设置了不同标签时,将显示一条消息。设置为“1”将防止显示消息。默认值为“0”。 |
无 |
CertErrorWithLabel |
0、1、2 (DWORD) |
如果设置为“0”,则当有证书错误的邮件具有标签时,将处理此邮件。设置为“1”将拒绝访问具有证书错误的邮件。设置为“2”将忽略邮件标签并授予对邮件的权限。(用户仍然可以看到证书错误。)默认值为“0”。 |
无 |
KMS 颁发的证书的安全策略设置
下表中的值仅适用于通过 Microsoft Exchange 密钥管理服务 (KMS) 颁发的证书。此表显示您可以用于自定义配置的其他 Windows 注册表设置。这些设置包含在下面的子项中:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider
| 值名称 | 值数据(数据类型) | 说明 | 相应的用户界面选项 |
|---|---|---|---|
MaxPWDTime |
0、数字 (DWORD) |
设置为“0”以删除用户保存密码的能力(在每次要求密钥集时,都要求用户输入密码)。设置为正数以指定最大密码时间(分钟)。默认值为“999”。 |
无 |
DefPWDTime |
数字 (DWORD) |
将保存密码的时间量设置为默认值。 |
无 |