Статья
04/21/2016

Выбор параметров безопасности и защиты для Outlook 2010

Применимо к: Office 2010

Последнее изменение раздела: 2015-03-09

В Microsoft Outlook 2010 можно настроить множество из возможностей, связанных с безопасностью. В том числе способ применения параметров безопасности, разрешенные для выполнения типы элементов управления ActiveX, параметры настраиваемых форм и программные параметры безопасности. Также можно настроить параметры безопасности Outlook 2010 для вложений, управления правами на доступ к данным, нежелательной электронной почты и шифрования, которые описываются в статьях, указанных в разделе Дополнительные параметры далее в этой статье.

Предупреждение

По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень безопасности может привести к ограничениям функциональности Outlook, например к ограничениям на типы файлов вложений в сообщениях электронной почты. Учтите, что снижение любых параметров безопасности по умолчанию может увеличить риск получения и распространения вирусов. При изменении этих параметров необходимо соблюдать осторожность и заранее ознакомиться с документацией.

Содержание:

Обзор
Выбор способа применения параметров безопасности в Outlook
Взаимодействие параметров администратора и пользователя в Outlook 2010
Работа с COM-надстройками Outlook
Настройка безопасности ActiveX и настраиваемых форм в Outlook 2010
Настройка программных параметров в Outlook 2010
Дополнительные параметры

Обзор

По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень безопасности может привести к ограничениям функциональности Outlook, например к ограничениям на типы файлов вложений в сообщениях электронной почты. Для организации может потребоваться снизить уровень безопасности. Учтите, что снижение любых параметров безопасности по умолчанию может увеличить риск получения и распространения вирусов.

Перед настройкой параметров безопасности для Outlook 2010 с помощью групповой политики или шаблона безопасности Outlook следует настроить режим безопасности Outlook в групповой политике. Если не установить режим безопасности Outlook, Outlook 2010 использует параметры безопасности по умолчанию и игнорирует любые заданные пользователем параметры безопасности Outlook 2010.

Сведения о загрузке административного шаблона Outlook 2010 и других административных шаблонов Office 2010 см. в статье Файлы административных шаблонов (ADM, ADMX, ADML) Office 2010 и центр развертывания Office. Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010.

Выбор способа применения параметров безопасности в Outlook

Как и в Microsoft Office Outlook 2007, параметры безопасности Outlook 2010 можно настроить с помощью групповой политики (рекомендуется), или можно изменить параметры с помощью шаблона безопасности Outlook и опубликовать их в форме папки верхнего уровня в общих папках Exchange Server. Если в среде не используется Office Outlook 2003 или более ранние версии, рекомендуется применять групповую политику для настройки параметров безопасности. Для использования обоих вариантов следует включить режим безопасности Outlook в групповой политике и задать значение политики безопасности Outlook. Если не включить этот параметр, то будут применяются параметры безопасности продукта по умолчанию. Параметр режима безопасности Outlook размещен в шаблоне групповой политики Outlook 2010 (Outlk14.adm) в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности. Если включить параметр Режим безопасности Outlook, будут доступны четыре параметра политики безопасности Outlook, которые описаны в следующей таблице.

Параметр режима безопасности Outlook	Описание
Безопасность Outlook по умолчанию	Outlook игнорирует все параметры, связанные с безопасностью, настроенные с помощью групповой политики или шаблона безопасности Outlook. Это значение используется по умолчанию.
Использовать групповую политику безопасности Outlook	Outlook использует параметры безопасности из групповой политики (рекомендуется).
Использовать форму "Безопасность" в общей папке "Параметры безопасности Outlook"	В Outlook используются параметры из формы безопасности, опубликованной в соответствующей общей папке.
Использовать форму "Безопасность" в общей папке "Параметры безопасности Outlook 10"	В Outlook используются параметры из формы безопасности, опубликованной в соответствующей общей папке.

Выбор параметров безопасности с использованием групповой политики

При использовании групповой политики для настройки параметров безопасности Outlook 2010 необходимо учесть следующие фактор.

Параметры в шаблоне безопасности Outlook следует вручную перенести в групповую политику. Если шаблон безопасности Outlook использовался ранее для управления параметрами безопасности, а теперь для применения параметров в Outlook 2010 используется групповая политика, следует вручную перенести параметры, заданные ранее, в соответствующие параметры групповой политики Outlook 2010.
Параметры, настроенные с помощью групповой политики, могут активироваться не мгновенно. Можно настроить автоматическое обновление групповой политики (в фоновом режиме) на пользовательских компьютерах во время работы пользователей в системе, при этом указывается необходимая частота. Чтобы новые параметры групповой политики активировались сразу, пользователям необходимо выйти, а затем снова войти в систему на своих компьютерах.
В программе Outlook проверка параметров безопасности выполняется только при запуске. Если параметры безопасности обновляются во время работы Outlook, то новые настройки будут применены, когда пользователь закроет и перезапустит Outlook.
В режиме только диспетчера персональных данных (PIM) не применяются пользовательские параметры. При использовании режима PIM в программе Outlook используются параметры безопасности по умолчанию. В этом режиме параметры администратора не требуются и не используются.

Специальные среды

При использовании групповой политики для настройки параметров безопасности Outlook 2010 следует учитывать, реализуется ли в среде один из сценариев, указанных в следующей таблице.

Сценарий	Проблема
Пользователи, которые используют внешний сервер Exchange для доступа к почтовым ящикам	Если пользователи используют внешний сервер Exchange Server для доступа к почтовым ящикам, то можно применить шаблон безопасности Outlook для настройки параметров безопасности или использовать параметры безопасности Outlook по умолчанию. Во внешних средах пользователи используют удаленный доступ к почтовым ящикам, например при помощи подключения к виртуальной частной сети (VPN) или используя Outlook Anywhere (RPC через HTTP). Поскольку групповая политика развернута с помощью Active Directory, а в этом сценарии локальный компьютер пользователя не является частью домена, то параметры безопасности групповой политики применить нельзя. Кроме того, если для настройки параметров безопасности используется шаблон безопасности Outlook, то пользователи автоматически получают обновления параметров безопасности. Пользователь не может получать обновления параметров безопасности групповой политики, если его компьютер не принадлежит к домену Active Directory.
Пользователи с правами администратора на своих компьютерах	Если пользователь входит в систему с правами администратора, то ограничения параметров групповой политики не выполняются. Пользователи с правами администратора могут изменять параметры безопасности Outlook на своем компьютере, а также удалять и изменять настроенные ограничения. Это касается не только параметров безопасности Outlook, но и всех параметров групповой политики. Поскольку это может вызвать проблемы, если в организации предполагаются стандартизированные параметры для всех пользователей, то существуют факторы, снижающие отрицательные последствия. При следующем входе в систему локальные изменения переписываются с применением настроек групповой политики. При входе пользователя измененные параметры безопасности Outlook возвращаются к параметрам групповой политики. Переопределение параметра групповой политики влияет только на локальный компьютер. Пользователи с правами администратора могут влиять только на параметры безопасности своего компьютера, но не на параметры безопасности компьютеров других пользователей. Пользователи без прав администратора не могут изменять политики. В этом сценарии параметры безопасности групповой политики обеспечивают уровень защищенности, соответствующий параметрам, которые указаны с помощью шаблона безопасности Outlook.
Пользователи, которые используют Outlook Web App для доступа к почтовым ящикам Exchange	В приложениях Outlook и Outlook Web App используются разные модели безопасности. Для OWA существуют отдельные параметры безопасности, которые хранятся на сервере Exchange Server.

Пользователи, которые используют внешний сервер Exchange для доступа к почтовым ящикам

Если пользователи используют внешний сервер Exchange Server для доступа к почтовым ящикам, то можно применить шаблон безопасности Outlook для настройки параметров безопасности или использовать параметры безопасности Outlook по умолчанию. Во внешних средах пользователи используют удаленный доступ к почтовым ящикам, например при помощи подключения к виртуальной частной сети (VPN) или используя Outlook Anywhere (RPC через HTTP). Поскольку групповая политика развернута с помощью Active Directory, а в этом сценарии локальный компьютер пользователя не является частью домена, то параметры безопасности групповой политики применить нельзя.

Кроме того, если для настройки параметров безопасности используется шаблон безопасности Outlook, то пользователи автоматически получают обновления параметров безопасности. Пользователь не может получать обновления параметров безопасности групповой политики, если его компьютер не принадлежит к домену Active Directory.

Пользователи с правами администратора на своих компьютерах

Если пользователь входит в систему с правами администратора, то ограничения параметров групповой политики не выполняются. Пользователи с правами администратора могут изменять параметры безопасности Outlook на своем компьютере, а также удалять и изменять настроенные ограничения. Это касается не только параметров безопасности Outlook, но и всех параметров групповой политики.

Поскольку это может вызвать проблемы, если в организации предполагаются стандартизированные параметры для всех пользователей, то существуют факторы, снижающие отрицательные последствия.

При следующем входе в систему локальные изменения переписываются с применением настроек групповой политики. При входе пользователя измененные параметры безопасности Outlook возвращаются к параметрам групповой политики.
Переопределение параметра групповой политики влияет только на локальный компьютер. Пользователи с правами администратора могут влиять только на параметры безопасности своего компьютера, но не на параметры безопасности компьютеров других пользователей.
Пользователи без прав администратора не могут изменять политики. В этом сценарии параметры безопасности групповой политики обеспечивают уровень защищенности, соответствующий параметрам, которые указаны с помощью шаблона безопасности Outlook.

Пользователи, которые используют Outlook Web App для доступа к почтовым ящикам Exchange

В приложениях Outlook и Outlook Web App используются разные модели безопасности. Для OWA существуют отдельные параметры безопасности, которые хранятся на сервере Exchange Server.

Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010

Параметры безопасности, определенные пользователем с помощью пользовательского интерфейса приложения Outlook 2010, работают так же, как если бы они были включены в параметры групповой политики, задаваемые администратором. Если возникает конфликт между этими двумя наборами, приоритет отдается параметрам с более высоким уровнем безопасности.

Например, при использовании параметра безопасности вложений групповой политики Добавить расширения имен файлов для блокирования на уровне 1 для создания списка блокируемых расширений файлов уровня 1, список пользователя имеет приоритет по сравнению со списком по умолчанию, который применяется в Outlook 2010, и имеет приоритет по сравнению с параметрами пользователя для блокируемых расширений имен файлов уровня 1. Даже если пользователям будет разрешено удалять расширения имен файлов из группы уровня 1 по умолчанию, они не смогут удалить типы файлов, которые были добавлены к списку.

Например, если пользователь хочет удалить расширения имен файлов EXE, REG и COM из группы уровня 1, но для добавления EXE к списку типов файлов уровня 1 использовался параметр групповой политики Добавить расширения файлов уровня 1, пользователь сможет удалить из группы уровня 1 в Outlook только файлы REG и COM.

Работа с COM-надстройками Outlook

Надстройка COM должна быть написана таким образом, чтобы использовались преимущества доверенной модели Outlook и она выполнялась в Outlook 2010 без появления предупреждающих сообщений. Возможно, пользователи будут видеть эти сообщения при подключении к компонентам Outlook, использующим эту надстройку (например, при синхронизации ручных устройств с Outlook 2010 на настольном компьютере).

В Outlook 2010 это менее вероятно, чем в Office Outlook 2003 или предыдущих версиях. Защита объектной модели (OM), помогающая предотвратить распространение вирусов с использованием адресной книги Office Outlook 2007 и Outlook 2010, обновлена. Outlook 2010 проверяет наличие последних антивирусных программ, чтобы определить, когда необходимо отображать предупреждение о доступе к адресной книге и другие предупреждения системы безопасности Outlook.

Параметры защиты объектной модели нельзя изменить с помощью формы безопасности Outlook или групповой политики. Однако при использовании параметров безопасности Outlook 2010 по умолчанию все COM-надстройки по умолчанию устанавливаются в Outlook 2010 как надежные. При настройке с использованием групповой политики можно указать доверенные COM-надстройки, которые можно запускать, не сталкиваясь с блоками объектной модели Outlook.

Чтобы сделать надстройку COM надежной, нужно включить имя ее файла в настройку групповой политики с вычисленным значением хэш-функции. Перед тем как сделать ее надежной надстройкой Outlook, необходимо установить программу вычисления значения хэш-функции. Дополнительные сведения см. в разделе Управление надежными надстройками для Outlook 2010.

При применении пользовательских настроек безопасности Outlook с использованием форм безопасности Microsoft Exchange Server из общей папки Exchange Server можно узнать, как сделать надстройки COM надежными. См. раздел Надежный код в статье набора ресурсов Microsoft Office 2003, посвященной параметрам шаблона безопасности Outlook (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=75744\&clcid=0x419) (Возможно, на английском языке).

Если после включения надстройки в список доверенных пользователь по-прежнему видит предупреждающие сообщения, к решению проблемы нужно будет привлечь разработчика надстройки COM. Дополнительные сведения о кодировании надежных надстроек см. в статье, посвященной важным замечаниям о безопасности для разработчиков надстроек Microsoft Outlook COM (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=74697\&clcid=0x419) (Возможно, на английском языке).

Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010

Настройки безопасности ActiveX и пользовательских форм можно указать для пользователей Outlook 2010. В настройках безопасности пользовательских форм есть параметры для изменения того, как Outlook 2010 ограничивает скрипты, пользовательские элементы управления и действия.

Настройка поведения элементов управления ActiveX в одноразовых формах

Когда Outlook получает сообщение с определением формы, элементом является одноразовая форма. Чтобы помочь предотвратить запуск нежелательного скрипта или элемента управления в одноразовых формах, Outlook по умолчанию не загружает элементы управления ActiveX в такие формы.

Пользовательскую настройку элементов управления ActiveX можно заблокировать с помощью шаблона групповой политики Outlook 2010 (Outlk14.adm). Либо можно выбрать настройки по умолчанию с помощью центра развертывания Office (OCT). В этом случае пользователи смогут менять настройки. В групповой политике используйте параметр Разрешить одноразовые формы ActiveX в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность. В центре развертывания Office параметр Разрешить одноразовые формы ActiveX размещен на странице Изменение параметров пользователя. Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool in Office 2010.

Если включить параметр Разрешить одноразовые формы ActiveX, доступны три варианта, описанные в следующей таблице.

Параметр	Описание
Разрешает все элементы ActiveX	Разрешает запуск всех элементов управления ActiveX без ограничений.
Разрешает только надежные элементы управления	Разрешает запуск только безопасных элементов управления ActiveX. Безопасным элемент управления ActiveX является в том случае, если он подписан при помощи Authenticode, а автор подписи включен в список доверенных издателей.
Загрузить только элементы управления Outlook	Outlook загружает только следующие элементы управления. Только их можно использовать в одноразовых формах. Элементы управления из fm20.dll Элемент управления Microsoft Office Outlook Rich Format Элемент управления Microsoft Office Outlook Recipient Элемент управления Microsoft Office Outlook View

Разрешает все элементы ActiveX

Разрешает запуск всех элементов управления ActiveX без ограничений.

Разрешает только надежные элементы управления

Разрешает запуск только безопасных элементов управления ActiveX. Безопасным элемент управления ActiveX является в том случае, если он подписан при помощи Authenticode, а автор подписи включен в список доверенных издателей.

Загрузить только элементы управления Outlook

Outlook загружает только следующие элементы управления. Только их можно использовать в одноразовых формах.

Элементы управления из fm20.dll
Элемент управления Microsoft Office Outlook Rich Format
Элемент управления Microsoft Office Outlook Recipient
Элемент управления Microsoft Office Outlook View

Если ни один из этих параметров не выбран, по умолчанию загружаются только элементы управления Outlook.

Выбор параметров безопасности пользовательских форм

Можно заблокировать параметры для настройки безопасности пользовательских форм при помощи шаблона групповой политики Outlook 2010 (Outlk14.adm). Параметры по умолчанию также можно настроить с помощью центра развертывания Office, и в этом случае пользователи смогут изменять их. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность пользовательских форм. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office.

Настройки, которые можно выбрать для скриптов, пользовательских элементов управления и действий, перечислены в следующей таблице.

Параметр	Описание
Разрешить скрипты в одноразовых формах Outlook	Запускает скрипты в формах, где скрипт и макет содержатся в сообщении. Одновременно с одноразовой формой, содержащей скрипт, пользователи получают сообщение с вопросом, нужно ли запускать скрипт.
Задать текст запроса объектной модели Outlook при выполнении настраиваемых действий	Параметр определяет, что будет происходить, когда программа попытается запустить пользовательское действие с использованием объектной модели Outlook. Можно создать пользовательское действие для ответа на сообщение и обхода только что описанных мер по защите при отправке. Выберите один из следующих вариантов: Параметр Запросить у пользователя позволяет пользователю получить сообщение и разрешить или запретить программный доступ на отправку в запросе. Параметр Разрешать автоматически всегда разрешает программный доступ к отправке без отображения сообщения. Параметр Запрещать автоматически всегда запрещает программный доступ к отправке без отображения сообщения. Параметр Запрашивать в соответствии с настройками безопасности компьютера применяет конфигурацию по умолчанию в Outlook 2010.

Разрешить скрипты в одноразовых формах Outlook

Запускает скрипты в формах, где скрипт и макет содержатся в сообщении. Одновременно с одноразовой формой, содержащей скрипт, пользователи получают сообщение с вопросом, нужно ли запускать скрипт.

Задать текст запроса объектной модели Outlook при выполнении настраиваемых действий

Параметр определяет, что будет происходить, когда программа попытается запустить пользовательское действие с использованием объектной модели Outlook. Можно создать пользовательское действие для ответа на сообщение и обхода только что описанных мер по защите при отправке. Выберите один из следующих вариантов:

Параметр Запросить у пользователя позволяет пользователю получить сообщение и разрешить или запретить программный доступ на отправку в запросе.
Параметр Разрешать автоматически всегда разрешает программный доступ к отправке без отображения сообщения.
Параметр Запрещать автоматически всегда запрещает программный доступ к отправке без отображения сообщения.
Параметр Запрашивать в соответствии с настройками безопасности компьютера применяет конфигурацию по умолчанию в Outlook 2010.

Настройка программных параметров в Outlook 2010

Администратор Outlook 2010 может настроить программные параметры для управления ограничениями объектной модели Outlook. Объектная модель Outlook позволяет программно обрабатывать данные, которые хранятся в папках Outlook.

Примечание

В шаблоне безопасности Exchange Server есть параметры для объектов данных совместной работы (CDO). Однако их использование с Outlook 2010 не поддерживается.

Для настройки программных параметров безопасности объектной модели Outlook можно использовать групповую политику. Загрузите в групповой политике шаблон Outlook 2010 (Outlk14.adm). Параметры групповой политики расположены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры форм безопасности\Программная безопасность. Эти параметры не могут быть настроены с помощью центра развертывания Office.

Далее перечислены возможности групповой политики для программных параметров. Для каждого элемента можно выбрать один из следующих параметров.

Запросить у пользователя Пользователи получают сообщение, позволяющее разрешить или запретить операцию. В некоторых запросах пользователи могут выбрать разрешение или запрет операций без запросов на срок до 10 минут.
Разрешать автоматически Outlook автоматически предоставляет программный доступ для запросов из любой программы. Этот параметр может создать значительную уязвимость, это не рекомендуется.
Запрещать автоматически Outlook автоматически отказывает в доступе любой программе, а пользователь не получает запроса.
Запрашивать в соответствии с настройками безопасности компьютера Outlook использует параметр в разделе "Программный доступ" центра управления безопасностью. Это значение установлено по умолчанию.

Параметры программной безопасности, которые можно настроить для объектной модели Outlook, показаны в следующей таблице.

Параметр	Описание
Настройка запроса объектной модели Outlook при доступе к адресной книге	Указывает, что происходит при попытке программы получить доступ к адресной книге с помощью объектной модели Outlook.
Настройка запроса объектной модели Outlook при доступе к свойству Formula (Формула) объекта UserProperty	Указывает, что происходит при добавлении пользовательского поля "Комбинация" или "Формула" и привязки его к полю "Информация адреса". После выполнения этого программа может быть использована для непрямого получения значения поля "Информация адреса" через его свойство "Значение".
Настройка запроса объектной модели Outlook при выполнении команды "Сохранить как"	Указывает, что происходит при попытке программы использовать программно команду "Сохранить как" для сохранения элемента. Когда элемент сохранен, вредоносная программа может выполнить в файле поиск адреса электронной почты.
Настройка запроса объектной модели Outlook при чтении адресных сведений	Указывает, что происходит при попытке программы получить доступ к полю получателя (например, к полю Кому) с помощью объектной модели Outlook.
Настройка запроса объектной модели Outlook при ответе на приглашения на собрания и поручения	Указывает, что происходит при попытке программы отправить почту программно, используя метод ответа на приглашение на собрание и поручение. Этот метод аналогичен методу отправки почтовых сообщений.
Настройка запроса объектной модели Outlook при отправке почты	Указывает, что происходит при попытке программы отправить почту программно с помощью объектной модели Outlook.

Дополнительные параметры

В следующей таблице указаны статьи, в которых описываются дополнительные параметры безопасности, не представленные в этой статье.

Функция	Связанные ресурсы
Элементы управления ActiveX	Планирование параметров безопасности для элементов управления ActiveX для Office 2010
Вложения	Планирование параметров вложений в Outlook 2010
Криптография	Планирование шифрования сообщений электронной почты в Outlook 2010
Цифровые подписи	Планирование параметров цифровых подписей в Office 2010
Нежелательная почта	Планирование ограничения нежелательной почты в Outlook 2010
Управление правами на доступ к данным	Планирование управления правами на доступ к данным в Office 2010
Защищенный просмотр	Планирование параметров режима защищенного просмотра в Office 2010