微软Outlook邮件安全指南(二)

    微软Outlook标题设置标签

　　标题设置标签，如图13-3所示，显示的是一组重要的选项。幸运的是，这些有一个简单直观的分类;你使用这个窗体去指定哪些编码各种类别能使用，根据请求的操作和应用在请求的接口类型两种同时作为依据。应用，宏，外部程序以及其他的可知性文件能够使用三种不同的接口去请求Outlook提供服务，如下：

　　图13-3标题设置标签

　　Outlook对象模式。 Outlook对象模式允许你去使用存储在Outlook区域中的数据使用一组built-in接口，能够使用任何一门语言，支持COM。大多数情况下，人们平衡这个对象模式，将编码写入VB或者VBA中去完成。

　　简单MAPI(信报传递应用接口)。MAPI分为两种类型：简单MAPI和扩充MAPI。简单MAPI能够让开发者去添加基本的消息功能，比如为他们的基于Windows的应用发送、接收消息。扩充MAPI允许应用进行更多的控制，它也是一个外部应用能够在没有触发Outlook对象模式向导下使用Outlook的数据的唯一方法。

　　CDO(协作数据对象)。 CDO提供消息和协作功能。CDO让你能够以一个日程安排指定工作，寻找联系以及执行其他的技巧。CDO 1.21事实上是一个为MAPI知识库所做得客户端COM磕调用包程序，任何一种能够使用COM的语言就能使用CDO。CDO能够实现绝大部分，而不是全部的MAPI功能(但是比简单MAPI要多)。不要将这里的CDO同Exchange管理CDO(CDOEXM)或者作为Exchange和Windows一部分装载了同名的但是功能不同的 CDOSYS知识库，相混淆。

　　每一个可能进行的操作(使用CDO发送项目，使用简单MAPI查询地址簿项目，等等操作)是被独立控制的。当安装在客户端的第三方软件想要进行一些操作，你的指定操作是很有效率的：客户端不但自动相应请求(这应用于没有安全更新的Outlook 2000)，进行请求拒绝，同时还提醒用户(已经进行了安全更新的Outlook的默认操作)。

　　微软 Outlook受信编码标签

　　受信编码标签没什么好看的，所以在这里我就不显示它了。它包含了一个列表箱和两个按钮：添加和删除。你使用这些按钮去添加或者删除列表中的COM外部程序，Outlook客户端信任(换句话说，允许运行)任何一个列表中的COM外部程序。然而，记住，在这个标签上指定一个外部程序并不是让它运行，也不是指它被安装到客户端上。 在这里制定一个外部程序只是意味着外部程序具有不需要触发对象模式向导而直接去调用Outlook对象模式。外部程序调用CDO依然依赖于向导。这里有一些使用这个标签的细微差别。首先，你只能够使用指定的Outlook外部程序，举例来说，一个微软Word的外部程序去调用Outlook对象模式功能是不可用的。第二，如果你在一个更新的版本中替换一个受信外部程序的话，你将需要将旧的版本从列表中删除，并添加一个新的，尽管两个版本有同样的文件名。

　　配置微软Outlook安全设置

　　在你配置了这些你想通过在Exchange服务器上创建项目进行的设置，你依然需要强制Outlook去使用这些设置。要想使用这个功能，你需要为客户端计算机配置一个新的注册键值。这就是为什么这是在你最开始使用Office或者Outlook时就进行好设置。

　　这项操作的最简单的方法是使用自定义安装向导，包括当你配置Office系统时在转换中的注册键值。如果你已经配置了Office，你能够使用自定义维护向导去添加注册键值信息到客户端上。然而，这些方法都不是强制的，所以客户端能够手动的去修改他们的本地设置。如果你想要强制使用新的注册键值，你需要去在一个系统或者组策略中配置它。

　　如果你使用策略管理你的Office安装，添加这个操作是很简单的。只需要添加正确的策略模板(.adm file)，以使得你的策略对象包含必要的键值。接下来设置策略去应用到目标用户。如果你使用包含了Office资源包工具栏的系统策略编辑器(System Policy Editor)，那么这表示正确的模板已经被装载。如果你使用活动目录组策略对象，你需要手动添加模板。当用户每次登陆到系统时，策略文件就会自动的审查通过你为客户端计算机进行的自定义安全设置。

　　这样的话，哪一个“不可思议的”键值是你必须去修改的?注册值是一个名为“CheckAdminSettings”的DWORD以及它下面的键值。

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Security\。这个键值定义了Outlook搜索哪里可以进行安全设置。表13-2显示了这个值如何去设置。

　　注意：因为通过安全更新，.reg文件被阻止，所以你不能将注册键值保存到一个文件，并通过邮件发送，并且在服务器没有安全设置时，通过默认Outlook设置它们也被阻止。另外，最好的确认办法是用户不改变这些设置去强制他们的应用使用组策略对象(GPO)。这是微软的推荐(尽管你)。

　　表13-2:  CheckAdminSettings值

　　为终端用户自定义微软Outlook邮件安全设置

　　你可以选择不去配置公用文件夹，在你的Outlook客户端应用设置(尽管不做什么可以暂时清空一个有用的安全特性)。如果不这样做，接下来Outlook 2003将会继续使用前面讨论过的级别1和级别2的限制，但是有一些区别：每个用户能够个性化定制他或她自己的Outlook副本去控制级别1和级别2列表。诀窍是去在HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Security key中添加名为Level1Remove的值。你添加到这里的扩展(如果超过一个，通过分号分割)是从被阻止的级别1列表中移除的，这样创建可知性文件的值，pl将会允许被执行，并且Perl脚本被保存到磁盘中替代完全阻止他们。事实上，你指定的扩展被从级别1降到级别2，他们完全被阻止了。终端用户不能将文件类型从级别2降到不受保护，只有系统管理员能够进行这样的操作。

　　如果你希望将一个新的文件类型添加到级别1列表中，你需要通过创建一个新的名为Level1Add的字符串，在如下位置：HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security key。

　　Tip: Sue Mosher认为一个记录应该包含链接到你的用户能够用于自定义他们的本地附件设置而不需要直接通过编辑注册表的，这样的工具。作为选择，你能够为Level1Remove设定一个值，作为GPO或者系统策略的一部分。这样，你就不需要必须花时间进行用户的本地设置了。

　　注意：检查一个用户是否进行了自定义Outlook安全设置，使用帮助|微软Outlook相关命令行。在许可信息上面，Outlook显示安全模式(我指的是安全模式：默认)，一台用户定制的机器将会指出安全模式为：用户控制。

　　当然，它更多的是你将需要去让用户不必进行自定义他们自己的安全设置。最简单的方法是去添加一个名为DisallowAttachmentCustomization的新REG_DWORD值到Outlook键值，位置在：HKCU\Software\Policies\Microsoft\Office\11.0\Outlook。当这个值设定好以后，Outlook将不再使用原先设立的Level1Add和Level1Remove键值。

　　为微软Outlook RPC over HTTP设置RPC

　　就像你在第11章了解到的，大多数RPC over HTTP设置，事实上在服务器端进行。在客户端，你将需要确认你的服务器有微软Windows XP。如果你使用SP1，你将需要使用Q331320修补程序，这个程序包含在SP2及更新的版本。同时你也需要为你的用户之间的前端和后端服务器通信，在Windows Server 2003上运行Exchange Server 2003，以及为所有的全局目录和域控制器都运行Windows Server 2003，让你的服务器和客户端能够正常使用。

　　注意：Office 资料工具包包括了使用自定义安装向导大量进行RPC over HTTP设置的资料，这将使你在为一些或者所有用户，进行配置时使无缝操作变为可能。

　　为RPC over HTTP所作的设置同单独profiles相关联，并且只能够被应用在每一个profile的单独的Exchange server账号。你可以通过使用你能够利用的类似的同样的接口来修改这些设置，但是这些设置本身是不同的(记住，你必须已经像在11章中描述的那样，安装了你的Exchange 服务器和全球目录)。

　　为Outlook设置使用RPC over HTTP的关键是建立一个单独的简单检查框，使用HTTP连接到我的Exchange邮箱，如图13-4所示。(通过使用工具|邮件账户命令编辑一个账号，你可以获得这个检查框。)当你在系统中运行Outlook 2003遇到先决判断条件以及同一个Exchange服务器建立联系遇到先决条件需求时，这个检查框就会出现。如果其中任何一个组成部分丢失或者没有配置，这个检查框都不会显示。

　　图13-4 The 为应用RPC over HTTP所作的链接标签

　　在选择了检查框后，当然是正确使用的时候了。点击Exchange代理设置按钮，就会出现Exchange代理设置对话框(如图13-5所示)。不管你是否需要使用SSL，你都能够为你的Exchange服务器指定URL(这用于一个标准的Exchange Server 2003安装，将会同前后端服务器同名)。为了获得最大程度的安全，你应该确认链接仅使用SSL，并且当使用SSL链接的检查框都被选中的时候，能够相互鉴别Session。这项联合能够为防止欺骗和监听提供最大保护。其他的设置其实同安全方面控制没有太大关系。当为Exchange控制连接到我的代理服务器上时，是使用这项鉴定的特殊情况。

　　图13-5 Exchange代理设置对话框.

　　使用Outlook 2003 RPC over HTTPS支持的其他技巧

　　这里有两项有关Outlook 2003 RPC over HTTPS支持的其他有用的事情需要来说明。首先是你能够不使用用户接口控制来实现让用户改变RPC over HTTPS的操作。如果在你的用户客户端没有安装而你又想进行确认，或者如果你已经进行了配置而想防止用户对配置进行修改的时候，这是很有用的一项功能。具体操作是，将EnableRPCTunnelingUI值添加到HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Outlook\RPC中。当这个值被设为0后，用户接口(UI)是被隐藏的。当值被设为1时，或者不改变当前设置时，用户接口(UI)在计算机中Outlook开始运行，并遇到操作系统操作需求的时候，就会可见。

　　另一项有用的是在进行了最初Outlook 2003配置后，你能够在过期日期上打开使用RPC over HTTPS。要想实现功能，你需要使用Office资源安装工具包中的自定义维护向导，这个向导能够让你去进行一些配置类型的修改和将他们配置为项文件那样能够自动更新安装Office设置。需要获得更多的有关自定义维护向导的知识，你可以查看微软站点中的：使用自定义维护去更新Outlook 2003。

　　在微软Outlook中使用S/MIME

　　S/MIME(安全多媒体传送格式)会让终端用户有一些为难的感觉。因为它主要依赖于运算法则和那些描述得很复杂的协议。微软在Outlook中将它做的尽可能的简单明了，但是这样S/MIME依然为用户带来了很大好处。

　　为微软Outlook所作的管理证书

　　在你能够使用S/MIME进行很多设置之前，你将会需要一个X.509v3证书，它是用来标记邮件的(不管是作为一个标记证书，一个加密证书，或者是两者兼有的证书)。因此，证书管理是应该被合理的利用

　　为微软Outlook获得一个新的证明

　　为你的私钥，Outlook能够正确的使用任何一个被创建的合适的X.509v3证书。以供你能够在你正确使用的计算机上为你的本地用户profile获得证书。不管你是否安装了一个完整的公共密钥基础设施(PKI)或者单个用户是否需要证书，你都能够通过Exchange 2000服务器密钥管理服务(KMS)，通过一个Windows Server 2003 CA手动或者自动登记，或者通过从第三方CA手动请求单独的证书，来登记用户。

　　如果你不使用Windows Server 2003 CA来手动或自动地登记一个证书，你要通过启动Outlook，去让Outlook去请求你的新证书，做法为：选择工具|选项命令，点击安全标签，并点击获取一个数字ID。当下一步既不依赖于你通过Exchange KMS申请一个证书，也不依赖于从一个外部CA。要想获得更多的有关Windows Server 2003安装和使用证书自动登记的知识，请参考技术百皮书。

　　从一个内部认证服务器上获取一个证书

　　对于企业用户来说，通过Windows Server 2003证书服务组件获取一个证书是最普遍的方法。这(就像你在第12章，“安全邮件”中看到的那样)将使用Exchange 2000 Server KMS。在Windows XP和Windows Server 2003环境中，目前的首选配置模式是使用用户证书自动登记，但是支持Exchange KMS高级安全使用Exchange工具，包括：活动目录用户和计算机管理单元(snap-in)依然可以被使用。尽管新模式是非常简单只有很少的或者没有来自于Outlook遗留和KMS端的用户交换，手动过程依然是很简单的。当客户端使用Outlook去收集一个模板密钥时开始运行，然后往往保护最开始的客户端到CA(client-to-CA)的交换。你能够防止标记一个邮件消息或者使用另一个(大概更安全)离线通道。另一种方法是用户在开始之前必须去标记。

　　在你点击获取一个数字ID之后，你将会看到如图13-6所示的对话框。这个对话框仅显示已经被登记到高级安全中的账户，如果你不能看到的话，在开始之间将需要被登记的账号进行登记。因诶你需要通过本地Exchange组织的证书服务器来解决一个证书问题，在Exchange Server选项上选择为我安装安全，然后点击确认。

　　图13-6为你的请求查找证书来源

　　Outlook要求你去为这个数字ID进行命名，并键入你选取的。然后你就会要求设置密码。注意这个密码需要同你的Windows账号密码完全分离----并且是不同的，这样是为了不相互干扰。在这一点上，你的请求被发送到证书服务器上，请求将会被批准或者拒绝(通常会被迅速地处理)。首先，尽管你将不得不去关闭Outlook选项对话框，你将最终会收到一封来自于CA的指令状态消息显示你的注册被拒绝或接受。若请求被接受，你将会被要求输入密码，已使得Outlook能够为你在全球地址列表(GAL)中发布你的证书(就像接下来描述的那样，你也可以手动进行设置)。