Поделиться через


Планирование шифрования сообщений электронной почты в Outlook 2010

 

Применимо к: Office 2010

Последнее изменение раздела: 2015-03-09

В Microsoft Outlook 2010 присутствует поддержка функций безопасности, позволяющих пользователям отправлять и получать зашифрованные сообщения электронной почты. К этим функциям относятся обмен зашифрованными сообщениями электронной почты, метки безопасности и подписанные уведомления.

Примечание

Для обеспечения полной функциональности системы безопасности Microsoft Outlook необходимо установить Outlook 2010 с правами локального администратора.

Содержание:

  • Функции обмена зашифрованными сообщениями в Outlook 2010

  • Управление цифровыми удостоверениями для шифрования

  • Метки безопасности и подписанные уведомления

  • Настройка параметров шифрования в Outlook 2010

  • Настройка дополнительных параметров шифрования

Функции обмена зашифрованными сообщениями в Outlook 2010

В Outlook 2010 поддерживаются функции обмена зашифрованными сообщениями, предоставляющие пользователю следующие возможности:

  • Цифровая подпись сообщения электронной почты.   Цифровая подпись обеспечивает невозможность подделки и проверку контента (сообщение содержит то, что было отправлено, без изменений).

  • Шифрование сообщений электронной почты.   Шифрование помогает обеспечить конфиденциальность, поскольку его не может прочесть никто, кроме получателя.

Можно настроить дополнительные функции для обмена зашифрованными сообщениями. Если в организации поддерживаются эти функции, обмен защищенными сообщениями предоставляет пользователям следующие возможности:

  • Отправление сообщения электронной почты с запросом уведомления.   Это позволяет удостовериться, что получатель проверил цифровую подпись пользователя (сертификат, который пользователь применил к сообщению).

  • Добавление метки безопасности к сообщению электронной почты.   В организации может быть создана настроенная политика обеспечении безопасности S/MIME версии 3, что позволяет добавлять метки к сообщениям. Политика безопасности S/MIME версии 3 — это программа, которая добавляется к Outlook. Она добавляет к заголовку сообщения сведения о конфиденциальности сообщения. См. раздел Метки безопасности и подписанные уведомления далее в этой статье.

Реализация обмена зашифрованными сообщениями в Outlook 2010

В модели шифрования Outlook 2010 для отправки и получения подписанных и зашифрованных сообщений электронной почты используется шифрование с открытым ключом. В Outlook 2010 предусмотрена поддержка системы безопасности S/MIME версии 3, что позволяет пользователям обмениваться зашифрованными сообщениями электронной почты с другими клиентами S/MIME через Интернет или интрасеть. Сообщения электронной почты, зашифрованные с помощью открытого ключа пользователя, могут быть расшифрованы только при использовании соответствующего закрытого ключа. Это означает, что когда пользователь отправляет зашифрованное сообщение электронной почты, оно шифруется с помощью сертификата пользователя (открытый ключ). При прочтении зашифрованного сообщения оно расшифровывается закрытым ключом пользователя.

Для использования возможности шифрования в Outlook 2010 пользователям необходимо иметь профиль безопасности. Профиль безопасности — это набор параметров, в котором описаны сертификаты и алгоритмы, используемые во время отправки сообщений с помощью функций шифрования. Если профиль еще не настроен, то профили безопасности настраиваются автоматически в следующих случаях:

  • На компьютере пользователя присутствуют сертификаты для шифрования.

  • Пользователь начинает использование функции шифрования.

Можно заранее настроить эти параметры безопасности для пользователей. Можно использовать параметры реестра или групповой политики, чтобы настроить Outlook в соответствии с политиками шифрования в организации и настроить (и применить принудительно с помощью групповой политики) параметры, которые следует включить в профили безопасности. Эти параметры описаны в таблице в разделе Настройка параметров шифрования в Outlook 2010 далее в этой статье.

Цифровые удостоверения: комбинация открытых и закрытых ключей и сертификатов

Функции S/MIME основываются на цифровых удостоверениях (также называются цифровыми сертификатами), которые связывают удостоверение пользователя с парой открытого и закрытого ключей. Комбинация пары открытого и закрытого ключей и сертификата называется цифровым удостоверением. Закрытый ключ может храниться в безопасном хранилище, например в зоне сертификатов Windows, на компьютере пользователя или смарт-карте. В Outlook 2010 предусмотрена полная поддержка стандарта X.509v3, согласно которому все закрытые и открытые ключи должны создаваться в центре сертификации организации, например на компьютере под управлением Windows Server 2008, на котором работают службы сертификации Active Directory, или в общедоступном центре сертификации, например VeriSign. Дополнительные сведения о выборе оптимального варианта для вашей организации см. в разделе Самозаверяющие или выпущенные центрами сертификации цифровые сертификаты статьи Планирование параметров цифровых подписей в Office 2010.

Пользователи могут получить цифровые удостоверения, используя открытые центры сертификации в Интернете (например, VeriSign и Microsoft Certificate Services). Дополнительные сведения о получении цифрового удостоверения см. в разделе справки Outlook Получение цифрового удостоверения (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x419). Администраторы могут предоставлять цифровые удостоверения группам пользователе

Когда у сертификатов цифровых удостоверений заканчивается срок действия, пользователям обычно необходимо обновить сертификаты в выдавшем их центре сертификации. Если в организации для работы с сертификатами используется центр сертификации в Windows Server 2003 или службы сертификации Active Directory (AD CS) в Windows Server 2008, Outlook 2010 автоматически совершает для пользователей обновление сертификата.

Управление цифровыми удостоверениями для шифрования

Outlook 2010 позволяет пользователям управлять своими цифровыми удостоверениями, которые являются комбинацией сертификата пользователя и набора открытых и закрытых ключей шифрования. Цифровые удостоверения помогают обеспечивать безопасность сообщений электронной почты пользователей, позволяя им обмениваться зашифрованными сообщениями. Процесс управления цифровыми удостоверениями включает в себя:

  • Получение цифрового удостоверения. Дополнительные сведения о получении цифрового удостоверения см. в разделе справки Outlook Получение цифрового удостоверения (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x419).

  • Сохранение цифрового удостоверения, чтобы иметь возможность перенести удостоверение на другой компьютер или сделать его доступным для других пользователей.

  • Предоставление цифрового удостоверения другим пользователям.

  • Экспорт цифрового удостоверения в файл. Это необходимо, когда пользователь создает резервную копию удостоверения или перемещает его на другой компьютер.

  • Импорт цифрового удостоверения из файла в Outlook. Файл цифрового удостоверения может быть резервной копией, созданной пользователем, или содержать цифровое удостоверение другого пользователя.

  • Продление цифрового удостоверения, срок действия которого истек.

Пользователь, обменивающийся зашифрованными сообщениями на нескольких компьютерах, должен скопировать свое цифровое удостоверение на каждый компьютер.

Место сохранения цифрового удостоверения

Цифровые удостоверения можно хранить в трех местах:

  • Глобальная адресная книга Microsoft Exchange   Сертификаты, созданные центром сертификации или службами сертификации Active Directory, автоматически публикуются в глобальной адресной книге. Созданные во внешних системах сертификаты можно опубликовать в глобальной адресной книге вручную. Для этого в Outlook 2010 на вкладке Файл выберите элемент Параметр и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Опубликовать в глобальном списке адресов.

  • Служба каталогов LDAP   Внешние службы каталогов, центры сертификации или другие поставщики сертификатов могут опубликовать сертификаты пользователей с использованием службы каталогов LDAP. Outlook разрешает доступ к этим сертификатам с использованием каталогов LDAP.

  • Файл Microsoft Windows   Цифровые удостоверения можно хранить на компьютерах пользователей. Пользователи экспортируют свои цифровые удостоверения в файл из Outlook 2010. Для этого на вкладке Файл следует выбрать элемент Параметры и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Импорт-экспорт. Пользователи могут зашифровать файл с помощью пароля при его создании.

Предоставление цифровых удостоверений другим пользователям

Чтобы пользователь мог обмениваться зашифрованными сообщениями электронной почты с другими пользователями, они должны иметь открытые ключи друг друга. Пользователи предоставляют доступ к своим открытым ключам с использованием сертификата. Существует несколько способов передачи цифрового удостоверения другим пользователям. Например, пользователи могут:

  • Использовать сертификат, чтобы подписать сообщение электронной почты цифровой подписью.   Пользователь передает свой открытый ключ другому пользователю, создав сообщение электронной почты и подписав его электронной подписью, используя сертификат. Когда пользователи Outlookполучают подписанное сообщение, они могут щелкнуть правой кнопкой мыши имя пользователя в строке От и выбрать команду Добавить в контакты. Сведения об адресе и сертификат сохраняются в списке контактов пользователя Outlook.

  • Предоставить сертификат с помощью службы каталогов, такой как глобальный список адресов Microsoft Exchange.   Другой возможностью для пользователя является автоматическое получение сертификата другого пользователя из каталога LDAP на стандартном сервере LDAP, когда он или она посылает зашифрованное сообщение электронной почты. Чтобы получить таким образом доступ к сертификату, пользователи должны подать заявку на службы безопасности S/MIME с использованием цифровых удостоверений для их учетных записей электронной почты.

    Пользователь может также получить сертификаты из глобальной адресной книги.

Импорт цифровых удостоверений

Пользователи могут импортировать цифровое удостоверение из файла. Это необходимо, когда пользователь хочет передать зашифрованное электронное сообщение с другого компьютера. На каждом компьютере, с которого пользователь передает зашифрованные сообщения, должны быть установлены сертификаты пользователя. Пользователи экспортируют свои цифровые удостоверения в файл из Outlook 2010. Для этого на вкладке Файл следует выбрать элемент Параметры и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Импорт-экспорт.

Продление ключей и сертификатов

Для каждого сертификата и открытого ключа установлен срок действия. Когда срок действия ключей, предоставленных центром сертификации или службами сертификации Active Directory, истекает, в Outlook отображается предупреждение и предлагается обновить ключи. Outlook предлагает пользователю отправить сообщение об обновлении на сервер от лица каждого пользователя.

Если пользователи решают не обновлять ключи до истечения срока действия или при использовании другого центра выдачи сертификатов, отличного от центра сертификации или служб сертификации Active Directory, пользователи должны обратиться в центр сертификации для обновления сертификата.

Метки безопасности и подписанные уведомления

В Outlook 2010 предусмотрена поддержка расширений S/MIME V3 Enhanced Security Services (ESS) для меток безопасности и подписанных уведомлений. Эти расширения полезны в организации при обеспечении обмена безопасными сообщениями электронной почты, а также при настройке безопасности для соответствия требованиям.

Если в организации разрабатываются и внедряются политики безопасности S/MIME V3 для добавления настраиваемых меток безопасности, то код в политике безопасности может принудительно прикреплять метки безопасности к сообщениям электронной почты. Рассмотрим два примера использования меток безопасности:

  • Метка "Только для внутреннего использования" может быть реализована как метка безопасности: ее можно применить к почте, которая не должна быть отправлена за пределы организации.

  • Метка может указывать, что определенные получатели не могут перенаправить или распечатать сообщение, если у получателя также установлена политика безопасности.

Чтобы удостовериться, что получатель распознает цифровую подпись пользователя, пользователи также могут отправлять вместе с сообщениями зашифрованные подписанные уведомления. Когда сообщение получено и сохранено (даже если оно еще не прочитано), а подпись сверена, то в папку "Входящие" возвращается уведомление, подразумевающее, что сообщение прочитано. Если же подпись не сверена, то уведомление не отправляется. Когда возвращается уведомление, поскольку оно также подписано, то оно подтверждает, что пользователь получил и проверил сообщение.

Настройка параметров шифрования в Outlook 2010

Чтобы обеспечить более безопасный обмен сообщениями и шифрование сообщений в организации, можно воспользоваться большим числом параметров функций шифрования приложения Outlook 2010, настраиваемых с помощью шаблона групповой политики Outlook 2010 (Outlook14.adm). Например, можно настроить параметр групповой политики, требующий, чтобы вся исходящая почта снабжалась меткой безопасности, или параметр, запрещающий публикацию глобального списка адресов. Также можно использовать центр развертывания Office для настройки стандартных параметров, при этом пользователь может менять параметры. Кроме того, некоторые параметры конфигурации шифрования можно задать только с помощью разделов реестра.

Дополнительные сведения о загрузке административного шаблона Outlook 2010 и о других административных шаблонах Office 2010 см. в статье Файлы административных шаблонов (ADM, ADMX, ADML) Office 2010 и центр развертывания Office. Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010.

Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool in Office 2010.

Для настройки шифрования можно заблокировать параметры, приведенные в следующей таблице. На странице Изменение параметров пользователя центра развертывания Office эти параметры располагаются в разделе Microsoft Outlook 2010\Безопасность\Криптография. В групповой политике эти параметры размещаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Криптография.

Параметр шифрования Описание

Всегда использовать форматирование TNEF в сообщениях S/MIME

Использование во всех случаях формата TNEF в сообщениях S/MIME вместо заданного пользователем формата.

Не сверять адрес электронной почты с используемым адресом сертификатов

Отключение сверки адреса электронной почты пользователя с адресом сертификатов, используемых для шифрования или подписи.

Не отображать кнопку Опубликовать в глобальном списке адресов

Отключение кнопки Опубликовать в глобальном списке адресов на странице Защита электронной почты в центре управления безопасностью.

Не предлагать возможность продолжения в диалоговых окнах предупреждения шифрования

Отключение кнопки Продолжить. Пользователи смогут нажимать кнопку Продолжить для отправки сообщений.

Включить значки шифрования

Отображение значков шифрования Outlook в пользовательском интерфейсе Outlook.

Шифровать все сообщения электронной почты

Шифрование исходящих сообщений электронной почты.

Обеспечить добавление меток ко всем подписанным сообщениям S/MIME

Обязательное требование на наличие метки безопасности во всех сообщениях с подписью S/MIME. Пользователи Outlook 2010 могут присоединять метки к сообщениям электронной почты. Для этого на вкладке Параметры в группе Дополнительно в разделе Безопасность нажмите кнопку Параметры безопасности. В диалоговом окне Свойства безопасности установите флажок Добавить в сообщение цифровую подпись. В поле Метка безопасности выберите метку для элемента Политика.

Политики сертификата Fortezza

Введите список политик, разрешенных в расширениях политик сертификата и показывающий, что данный сертификат является сертификатом Fortezza. Отделяйте политики в списке друг от друга точкой с запятой.

Форматы сообщений

Выберите форматы сообщений для поддержки: S/MIME (по умолчанию), Exchange, Fortezza или их комбинации.

Сообщать, когда программе Outlook не удается найти цифровое удостоверение для расшифровки сообщения

Введите сообщение, которое должно отображаться для пользователей (не более 255 знаков).

Минимальные параметры шифрования

Установите для зашифрованного сообщения электронной почты значение, равное минимальной длине ключа. При попытке отправить сообщение с использованием ключа шифрования, длина которого меньше минимально заданной, в приложении Outlook отображается предупреждение. Пользователь может игнорировать это предупреждение и отправить сообщение с использованием изначально выбранного ключа шифрования.

Подписывать и шифровать ответы и пересылки для подписанных или зашифрованных сообщений

Включение подписи или шифрования ответов и пересылки для подписанных или зашифрованных сообщений, даже если для пользователя не настроена политика S/MIME.

Запрашивать уведомление S/MIME для всех подписанных сообщений S/MIME

Запрос уведомления с повышенной безопасностью для исходящих подписанных сообщений электронной почты.

Принудительное использование алгоритмов пакета B NSA при операциях S/MIME

Использование только алгоритмов пакета B NSA для операций S/MIME.

Обязательный центр сертификации

Ввод названия обязательного центра сертификации. Если для этого параметра введено значение, Outlook запрещает подписывать электронную почту пользователю, если его сертификат выдан другим центром сертификации.

Запуск в режиме совместимости со стандартом FIPS

Принудительный запуск Outlook в режиме FIPS 140-1.

Обработка S/MIME внешними клиентами:

Укажите поведение при обработке сообщений S/MIME: Внутренняя обработка, Внешняя обработка или Обработка по возможности.

Поведение при запросах уведомления S/MIME

Выбор способа обработки запросов уведомлений S/MIME.

Открыть сообщение, если отправка уведомления невозможна

Не открывать сообщение, если не удается отправить уведомление

Всегда запрашивать перед отправкой уведомления

Никогда не отправлять уведомления S/MIME

Отправлять все подписанные сообщения открытым текстом

Отправка подписанных сообщений по электронной почте открытым текстом.

Подписывать все сообщения электронной почты

Принудительная цифровая подпись всех исходящих сообщений электронной почты.

Предупреждение о подписи

Укажите условие, при котором отображается для пользователей предупреждение о подписи:

  • Пользователь решает, следует ли отображать предупреждения. При выборе этого параметра применяется конфигурация по умолчанию.

  • Всегда предупреждать о недействительных подписях.

  • Никогда не предупреждать о недействительных подписях.

URL-адрес сертификатов S/MIME

Предоставьте URL-адрес, по которому пользователи могут получать уведомление S/MIME. Этот URL-адрес может содержать три переменные (%1, %2 и %3), которые будут заменены соответственно именем пользователя, адресом электронной почты и языком.

Если задается значение для параметра URL-адрес сертификатов S/MIME, используйте следующие параметры для отправки информации о пользователе на веб-страницу регистрации.

 

Параметр Заполнитель в строке URL-адреса

Отображаемое имя пользователя

%1

Имя электронной почты (SMTP)

%2

Идентификатор языка пользовательского интерфейса

%3

Например, чтобы послать информацию о пользователе на веб-страницу регистрации Майкрософт, задайте для записи URL-адрес сертификатов S/MIME следующее значение, включая параметры:

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

Например, если пользователя зовут Jeff Smith, его адрес электронной почты — someone@example.com, а идентификатор языка пользовательского интерфейса равен 1033, то заполнители заменяются следующими значениями:

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

В групповой политике параметры, приведенные в следующей таблице, располагаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Криптография\Диалоговое окно состояния подписи. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office.

Параметр шифрования Описание

Безопасная временная папка для вложений

Укажите путь к безопасной временной папке для файлов. При этом путь по умолчанию переопределяется, что не рекомендуется. Чтобы использовать отдельную папку для вложений Outlook, следуйте приведенным ниже рекомендациям:

  • Используйте локальный каталог для максимальной производительности.

  • Помещайте папку в папку временных файлов Интернета, чтобы использовать ее расширенные возможности безопасности.

  • Используйте уникальное и трудное для подбора имя.

Отсутствуют списки отзыва сертификатов

Укажите действие Outlook при отсутствии списка отзыва сертификатов: предупреждение (по умолчанию) или отображение ошибки.

Цифровые сертификаты могут содержать атрибут, определяющий расположение соответствующего списка отзыва сертификатов. В них содержится список цифровых сертификатов, отозванных соответствующими контролирующими центрами сертификации (обычно из-за ошибок при выпуске сертификатов или раскрытия связанных закрытых ключей). Если список отзыва сертификатов отсутствует или недоступен, приложению Outlook не удается определить, был ли сертификат отозван. В результате этого становится возможным использование ошибочно выпущенного или раскрытого сертификата для доступа к данным.

Отсутствуют корневые сертификаты

Укажите действие Outlook при отсутствии корневых сертификатов: не отображать сообщения об ошибке и предупреждения (по умолчанию), отображать предупреждение или сообщение об ошибке.

Обрабатывать ошибки уровня 2 как ошибки, а не как предупреждения

Укажите действия Outlook при обработке ошибок второго уровня: отображать сообщение об ошибке или предупреждение (по умолчанию). К потенциальным условиям ошибки уровня 2 относятся следующие:

  • Неизвестный алгоритм подписи

  • Не найден сертификат для подписи

  • Неверные наборы атрибутов

  • Не найден сертификат издателя

  • Не найден список отзыва сертификатов

  • Устаревший список отзыва сертификатов

  • Проблема корневого доверия

  • Устаревший список доверия сертификатов

Получение списков отзыва сертификатов

Укажите действия Outlook при извлечении списков отзыва сертификатов:

  • Использовать системные параметры по умолчанию. В Outlook используется расписание загрузки списков отзыва сертификатов, которое настроено в операционной системе.

  • При работе в сети всегда загружать списки отзыва сертификатов. Это значение параметра используется в Outlook по умолчанию.

  • Никогда не загружать списки отзыва сертификатов.

Настройка дополнительных параметров шифрования

В следующем разделе представлены дополнительные сведения о параметрах конфигурации шифрования.

Параметры политики безопасности для общего шифрования

В следующей таблице показаны дополнительные параметры реестра Windows, которые можно использовать для пользовательской конфигурации. Эти параметры реестра расположены в разделе HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Соответствующий параметр групповой политики не предусмотрен.

Запись реестра Тип Значение Описание

ShowWithMultiLabels

DWORD

0, 1

Установите 0, чтобы пытаться отобразить сообщение, когда слой подписи имеет другие метки, установленные в других подписях. Установите 1, чтобы не отображать сообщение. Значение по умолчанию: 0.

CertErrorWithLabel

DWORD

0, 1, 2

Установите 0, чтобы обрабатывать сообщение с ошибкой сертификата, если сообщение снабжено меткой. Установите 1, чтобы запретить доступ к сообщению с ошибкой сертификата. Установите 2, чтобы пропустить метку сообщения и предоставить доступ к этому сообщению (несмотря на то что пользователь видит ошибку сертификата). Значение по умолчанию: 0.