Поделиться через


Обзор параметров безопасности и защиты для Outlook 2013

 

Применимо к: Office 365 ProPlus, Outlook 2013

Последнее изменение раздела: 2016-12-16

Сводка. Изучение параметров безопасности для Outlook 2013.

Аудитория: ИТ-специалисты

В Outlook 2013 администратор может настраивать множество компонентов, связанных с безопасностью. Сюда входят способы применения параметров безопасности, разрешенные для выполнения типы элементов управления ActiveX, настраиваемые параметры безопасности форм и параметры безопасного программного доступа. Также можно настроить параметры безопасности Outlook 2013 для вложений, управления правами на доступ к данным, нежелательной электронной почты и шифрования, которые описываются в статьях, указанных в разделе Дополнительные параметры далее в этой статье.

ВажноВажно!
В этой статье содержатся сведения для администраторов, которые настраивают параметры Outlook для своей организации.
Вам нужна помощь по настройке параметров безопасности в Outlook на рабочем столе? Возможно, вы ищете одну из следующих статей, которые помогут защитить Outlook на компьютере.

Содержание:

  • Обзор

  • Выбор способа применения параметров безопасности в Outlook

  • Взаимодействие параметров администратора и пользователя в Outlook 2013

  • Работа с COM-надстройками Outlook

  • Настройка безопасности ActiveX и настраиваемых форм в Outlook 2010

  • Настройка программных параметров в Outlook 2013

  • Настройка параметров Simple MAPI

  • Дополнительные параметры

Обзор

По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень безопасности может привести к ограничениям функциональности Outlook, например к ограничениям на типы файлов вложений в сообщениях электронной почты. Вам может потребоваться понизить уровень параметров безопасности по умолчанию для организации. Однако учитывайте, что снижение любых параметров безопасности по умолчанию может увеличить риск получения и распространения вирусов.

Перед настройкой параметров безопасности для Outlook 2013 с помощью групповой политики или шаблона безопасности Outlook следует настроить режим безопасности Outlook в групповой политике. Если не установить режим безопасности Outlook, то Outlook 2013 использует параметры безопасности по умолчанию и игнорирует любые заданные пользователем параметры безопасности Outlook 2013.

Сведения о загрузке административного шаблона Outlook 2013 и других административных шаблонов Office 2013 см. в статье Файлы административных шаблонов групповой политики (ADMX, ADML) и файлы центра развертывания Office для Office 2013. Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2013 и Принудительное применение параметров с помощью групповой политики в Office 2010.

Выбор способа применения параметров безопасности в Outlook

Как в Office Outlook 2007 и Outlook 2010, параметры безопасности Outlook 2013 можно настроить с помощью групповой политики (рекомендуется), или изменить с помощью шаблона безопасности Outlook и опубликовать их в форме папки верхнего уровня в общих папках Exchange Server. Если в среде не используется Office Outlook 2003 или более ранние версии, рекомендуется применять групповую политику для настройки параметров безопасности. Для использования обоих вариантов следует включить режим безопасности Outlook в групповой политике и задать значение политики безопасности Outlook. Если не включить этот параметр, то будут применяются параметры безопасности продукта по умолчанию. Параметр режима безопасности Outlook размещен в шаблоне групповой политики Outlook 2013 (Outlk15.admx) в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Безопасность\Параметры формы безопасности. Если включить параметр Режим безопасности Outlook, будут доступны четыре параметра политики безопасности Outlook, которые описаны в следующей таблице.

Параметры политики безопасности Outlook

Параметр режима безопасности Outlook Описание

Безопасность Outlook по умолчанию

Outlook игнорирует все параметры, связанные с безопасностью, настроенные с помощью групповой политики или шаблона безопасности Outlook. Этот параметр используется по умолчанию.

Групповая политика безопасности Outlook

Outlook использует параметры безопасности из групповой политики (рекомендуется).

Форма безопасности из общей папки "Параметры безопасности Outlook"

В Outlook используются параметры из формы безопасности, опубликованной в соответствующей общей папке.

Форма безопасности из общей папки "Параметры безопасности Outlook 10"

В Outlook используются параметры из формы безопасности, опубликованной в соответствующей общей папке.

Выбор параметров безопасности с использованием групповой политики

При использовании групповой политики для настройки параметров безопасности Outlook 2013 необходимо учесть следующие фактор.

  • Параметры в шаблоне безопасности Outlook следует вручную перенести в групповую политику.   Если шаблон безопасности Outlook использовался ранее для управления параметрами безопасности, а теперь для применения параметров в Outlook 2013 используется групповая политика, следует вручную перенести параметры, заданные ранее, в соответствующие параметры групповой политики Outlook 2013.

  • Параметры, настроенные с помощью групповой политики, могут активироваться не мгновенно. Можно настроить автоматическое обновление групповой политики (в фоновом режиме) на пользовательских компьютерах во время работы пользователей в системе, при этом указывается необходимая частота. Чтобы новые параметры групповой политики активировались сразу, пользователям необходимо выйти, а затем снова войти в систему на своих компьютерах.

  • В программе Outlook проверка параметров безопасности выполняется только при запуске.   Если параметры безопасности обновляются во время работы Outlook, то новые настройки будут применены, когда пользователь закроет и перезапустит Outlook.

  • В режиме только диспетчера персональных данных (PIM) не применяются пользовательские параметры.   При использовании режима PIM в программе Outlook используются параметры безопасности по умолчанию. В этом режиме параметры администратора не требуются и не используются.

Специальные среды

При использовании групповой политики для настройки параметров безопасности Outlook 2013 следует учитывать, реализуется ли в среде один из сценариев, указанных в следующей таблице.

Сценарии с особой средой

Сценарий Проблема

Пользователи, которые используют внешний сервер Exchange для доступа к почтовым ящикам

Если пользователи используют внешний сервер Exchange Server для доступа к почтовым ящикам, то можно применить шаблон безопасности Outlook для настройки параметров безопасности или использовать параметры безопасности Outlook по умолчанию. Во внешних средах пользователи используют удаленный доступ к почтовым ящикам, Например, пользователи могут получать доступ к своим почтовым ящикам удаленно при помощи подключения к виртуальной частной сети (VPN) или используя Outlook Anywhere (RPC через HTTP). Поскольку групповая политика развернута с помощью Active Directory, а в этом сценарии локальный компьютер пользователя не является частью домена, то параметры безопасности групповой политики применить нельзя.

Кроме того, если для настройки параметров безопасности используется шаблон безопасности Outlook, то пользователи автоматически получают обновления параметров безопасности. Пользователь не может получать обновления параметров безопасности групповой политики, если его компьютер не принадлежит к домену Active Directory.

Пользователи, имеющие права администратора на своих компьютерах

Если пользователь входит в систему с учетными данными администратора, то ограничения параметров групповой политики не выполняются. Пользователи с правами администратора могут изменять параметры безопасности Outlook на своем компьютере, а также удалять и изменять настроенные ограничения. Это касается не только параметров безопасности Outlook, но и всех параметров групповой политики.

Поскольку это может вызвать проблемы, если в организации предполагаются стандартизированные параметры для всех пользователей, то существуют факторы, снижающие отрицательные последствия.

  • При следующем входе в систему локальные изменения переписываются с применением настроек групповой политики. При входе пользователя измененные параметры безопасности Outlook возвращаются к параметрам групповой политики.

  • Переопределение параметра групповой политики влияет только на локальный компьютер. Пользователи с правами администратора могут влиять только на параметры безопасности своего компьютера, но не на параметры безопасности компьютеров других пользователей.

  • Пользователи без прав администратора не могут изменять политики. В этом сценарии параметры безопасности групповой политики обеспечивают уровень защищенности, соответствующий параметрам, которые указаны с помощью шаблона безопасности Outlook.

Пользователи, которые используют Outlook Web App для доступа к почтовым ящикам Exchange

Outlook и Outlook Web App используют разные модели безопасности. Outlook Web App имеет отдельные параметры безопасности, которые хранятся на компьютере Exchange Server. Дополнительные сведения см. в статье Общие сведения о безопасности в Outlook Web App.

Взаимодействие параметров безопасности администратора и пользователя в Outlook 2013

Параметры безопасности, определенные пользователем с помощью пользовательского интерфейса приложения Outlook 2013, работают так же, как если бы они были включены в параметры групповой политики, задаваемые администратором. Если возникает конфликт между этими двумя наборами, приоритет отдается параметрам с более высоким уровнем безопасности.

Например, при использовании параметра безопасности вложений групповой политики Добавить расширения имен файлов для блокировки на уровне 1, чтобы создать список расширений имен файлов уровня 1 для блокирования, этот список переопределяет список по умолчанию, предоставляемый Outlook 2013. Он также переопределяет пользовательские параметры для блокируемых расширений имен файлов уровня 1. Пользователи смогут удалять только расширения имен файлов из списка, предоставляемого Outlook 2013. Пользователи не могут удалять типы файлов, добавленные в список Добавить расширения имен файлов для блокировки на уровне 1. Например, если пользователь хочет удалить расширения имен файлов EXE и REG из группы уровня 1, но вы использовали параметр групповой политики Добавить расширения имен файлов для блокировки на уровне 1 для добавления расширения EXE в качестве типа файла уровня 1, пользователь сможет удалить только тип файла REG из группы уровня 1 в Outlook.

Работа с COM-надстройками Outlook

Надстройка COM должна быть написана таким образом, чтобы использовались преимущества доверенной модели Outlook, и она могла выполняться в Outlook 2013 без появления предупреждающих сообщений. Возможно, пользователи будут видеть эти сообщения при подключении к компонентам Outlook, использующим эту надстройку (например, при синхронизации ручных устройств с Outlook 2013 на настольных компьютерах).

В Outlook 2013 это менее вероятно, чем в Office Outlook 2003 или предыдущих версиях. Защита объектной модели (OM), помогающая предотвратить распространение вирусов с использованием адресной книги Outlook, обновлена в Office Outlook 2007, Outlook 2010 и Outlook 2013. Outlook 2013 проверяет наличие последних антивирусных программ, чтобы определить, когда необходимо отображать предупреждение о доступе к адресной книге и другие предупреждения системы безопасности Outlook.

Вы не можете изменять защиту объектной модели с помощью формы безопасности Outlook или групповой политики. Однако при использовании параметров безопасности Outlook 2013 по умолчанию все COM-надстройки по умолчанию устанавливаются в Outlook 2013 как надежные. При настройке с использованием групповой политики можно указать доверенные COM-надстройки, которые можно запускать, не сталкиваясь с блоками объектной модели Outlook.

Однако в Outlook 2013 два новых параметра, Список управляемых надстроек и Блокировать все неуправляемые надстройки, позволяют создавать список всегда включенных или всегда заблокированных надстроек. Эти параметры переопределяют параметры центра управления безопасностью. Если надстройка находится в списке Блокировать все неуправляемые надстройки и также была добавлена в параметр Настройка надежных надстроек, она будет заблокирована. Параметры Список управляемых надстроек и Блокировать все неуправляемые надстройки можно найти в шаблоне групповой политики Outlook в разделе "Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Разное".

Чтобы сделать надстройку COM надежной, включите имя ее файла в настройку групповой политики с вычисленным значением хэш-функции. Перед тем как сделать ее надежной надстройкой Outlook, необходимо установить программу вычисления значения хэш-функции. Дополнительные сведения см. в статье Управление надежными надстройками для Outlook 2010.

При применении пользовательских настроек безопасности Outlook с использованием формы безопасности Microsoft Exchange Server, опубликованной в общедоступной папке Exchange Server, можно узнать, как сделать надстройки COM доверенными. См. раздел Вкладка "Надежный код" в статье из набора ресурсов по Microsoft Office 2003, посвященной параметрам шаблона безопасности Outlook.

Если после включения надстройки в список доверенных пользователь по-прежнему видит предупреждающие сообщения, к решению проблемы необходимо будет привлечь разработчика надстройки COM. Дополнительные сведения о кодировании доверенных надстроек см. в статье, посвященной важным замечаниям о безопасности для разработчиков надстроек COM Microsoft Outlook.

Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2013

Настройки безопасности ActiveX и пользовательских форм можно указать для пользователей Outlook 2013. В настройках безопасности пользовательских форм есть параметры для изменения того, как Outlook 2013 ограничивает скрипты, пользовательские элементы управления и действия.

Настройка поведения элементов управления ActiveX в одноразовых формах

Когда Outlook получает сообщение с определением формы, элементом является одноразовая форма. Чтобы помочь предотвратить запуск нежелательного скрипта или элемента управления в одноразовых формах, Outlook по умолчанию не загружает элементы управления ActiveX в такие формы.

Пользовательскую настройку элементов управления ActiveX можно заблокировать с помощью шаблона групповой политики Outlook 2013 (Outlk15.admx). Либо можно выбрать настройки по умолчанию с помощью центра развертывания Office (OCT). В этом случае пользователи смогут менять настройки. В групповой политике используйте параметр Разрешить одноразовые формы ActiveX в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Безопасность. В центре развертывания Office параметр Разрешить одноразовые формы ActiveX размещен на странице Изменение параметров пользователя. Дополнительные сведения о центре развертывания Office см. в статье Справочные сведения для центра развертывания для Office 2013.

Если включить параметр Разрешить одноразовые формы ActiveX, доступны три варианта, описанные в следующей таблице.

Параметр "Разрешить одноразовые формы ActiveX"

Параметр Описание

Разрешает все элементы ActiveX

Разрешает запуск всех элементов управления ActiveX без ограничений.

Разрешает только надежные элементы управления

Разрешает запуск только безопасных элементов управления ActiveX. Безопасным элемент управления ActiveX является в том случае, если он подписан при помощи Authenticode, а автор подписи включен в список доверенных издателей.

Загрузить только элементы управления Outlook

Outlook загружает только следующие элементы управления, являющиеся единственными элементами управления, которые можно использовать в одноразовых формах.

  • Элементы управления из fm20.dll

  • Элемент управления Microsoft Office Outlook Rich Format

  • Элемент управления Microsoft Office Outlook Recipient

  • Элемент управления Microsoft Office Outlook View

Если ни один из этих параметров не выбран, по умолчанию загружаются только элементы управления Outlook.

Выбор параметров безопасности пользовательских форм

Можно заблокировать параметры для настройки безопасности пользовательских форм при помощи шаблона групповой политики Outlook 2013 (Outlk15.admx).В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Безопасность\Параметры формы безопасности\Безопасность пользовательских форм.

Настройки, которые можно выбрать для скриптов, пользовательских элементов управления и действий, перечислены в следующей таблице.

Параметры скриптов, пользовательских элементов управления и дополнительных действий

Имя параметра Путь и имя параметра в реестре Описание

Разрешить скрипты в одноразовых формах Outlook

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts

Запускает скрипты в формах, где скрипт и макет содержатся в сообщении. Одновременно с одноразовой формой, содержащей скрипт, пользователи получают сообщение с вопросом, нужно ли запускать скрипт.

Задать текст запроса объектной модели Outlook при выполнении настраиваемых действий

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction

Параметр определяет, что будет происходить, когда программа попытается запустить пользовательское действие с использованием объектной модели Outlook. Можно создать пользовательское действие для ответа на сообщение и обхода мер по защите при отправке. Выберите один из следующих вариантов.

  • Параметр Запросить у пользователя позволяет пользователю получить сообщение и разрешить или запретить программный доступ на отправку в запросе.

  • Параметр Разрешать автоматически всегда разрешает программный доступ к отправке без отображения сообщения.

  • Параметр Запрещать автоматически всегда запрещает программный доступ к отправке без отображения сообщения.

  • Параметр Запрашивать в соответствии с настройками безопасности компьютера применяет конфигурацию по умолчанию в Outlook 2013.

Настройка программных параметров в Outlook 2013

Администратор Outlook 2013 может настроить параметры безопасного программного доступа для управления ограничениями объектной модели Outlook. Объектная модель Outlook позволяет программно обрабатывать данные, которые хранятся в папках Outlook.

ПримечаниеПримечание
В шаблоне безопасности Exchange Server есть параметры для объектов данных совместной работы (CDO). Однако их использование с Outlook 2013 не поддерживается.

С помощью групповой политики можно настраивать параметры безопасности программного доступа для объектной модели Outlook. Загрузите в групповой политике шаблон Outlook 2013 (Outlk15.admx). Параметры групповой политики расположены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Безопасность\Параметры форм безопасности\Безопасность программного доступа. Эти параметры не могут быть настроены с помощью центра развертывания Office.

Далее перечислены возможности групповой политики для программных параметров. Для каждого элемента можно выбрать один из следующих параметров.

  • Запросить у пользователя   Пользователи получают сообщение, позволяющее разрешить или запретить операцию. В некоторых запросах пользователи могут выбрать разрешение или запрет операций без запросов на срок до 10 минут.

  • Разрешать автоматически   Outlook автоматически предоставляет программный доступ для запросов из любой программы. Этот параметр может создать значительную уязвимость, это не рекомендуется.

  • Запрещать автоматически   Outlook автоматически отказывает в доступе любой программе. Пользователь не получает запрос.

  • Запрашивать в соответствии с настройками безопасности компьютера   Outlook использует параметр в разделе "Программный доступ" центра управления безопасностью. Это значение установлено по умолчанию.

Параметры, которые можно настроить для параметров безопасного программного доступа объектной модели Outlook, показаны в следующей таблице.

Параметры безопасного программного доступа

Имя параметра Путь реестра и имя значения Описание

Настройка запроса объектной модели Outlook при доступе к адресной книге

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressbookaccess

Указывает, что происходит при попытке программы получить доступ к адресной книге с помощью объектной модели Outlook.

Настройка запроса объектной модели Outlook при доступе к свойству Formula (Формула) объекта UserProperty

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomformulaaccess

Указывает, что происходит при добавлении пользовательского поля "Комбинация" или "Формула" и привязки его к полю "Информация адреса". После выполнения этого программа может быть использована для непрямого получения значения поля "Информация адреса" через его свойство "Значение".

Настройка запроса объектной модели Outlook при выполнении команды "Сохранить как"

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsaveas

Указывает, что происходит при попытке программы использовать программно команду "Сохранить как" для сохранения элемента. Когда элемент сохраняется, вредоносная программа может выполнить в файле поиск адреса электронной почты.

Настройка запроса объектной модели Outlook при чтении адресных сведений

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressinformationaccess

Указывает, что происходит при попытке программы получить доступ к полю получателя, например к полю Кому, с помощью объектной модели Outlook.

Настройка запроса объектной модели Outlook при ответе на приглашения на собрания и поручения

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoommeetingtaskrequestresponse

Указывает, что происходит при попытке программы отправить почту программно, используя метод ответа на приглашение на собрание и поручение. Этот метод похож на метод отправки почтовых сообщений.

Настройка запроса объектной модели Outlook при отправке почты

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsend

Указывает, что происходит при попытке программы отправить почту программно с помощью объектной модели Outlook.

Настройка параметров Simple MAPI

Для настройки параметров Simple MAPI объектной модели Outlook можно использовать групповую политику. Загрузите в групповой политике шаблон Outlook 2013 (Outlk15.admx). Параметры групповой политики расположены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2013\Безопасность\Параметры форм безопасности\Безопасный программный доступ. Эти параметры не могут быть настроены с помощью центра развертывания Office.

Параметры Simple MAPI

Имя параметра Путь реестра и имя значения Описание

Настройка запроса на отправку в Simple MAPI

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapisend

Позволяет указать, что происходит, когда приложение пытается отправить почту программными средствами с использованием Simple MAPI.

Настройка запроса на разрешение имен Simple MAPI

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapinameresolve

Позволяет указать, что происходит, когда программа пытается получить доступ к адресной книге с помощью Simple MAPI.

Настройка запроса на открытие сообщения Simple MAPI

Путь в реестре для групповой политики: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapiopenmessage

Разрешает указать, что происходит при попытке программы получить доступ к полю получателя (например, к полю "Кому") с помощью Simple MAPI.

Дополнительные параметры

В следующей таблице указаны статьи, в которых описываются дополнительные параметры безопасности, не представленные в этой статье.

Дополнительные статьи по безопасности

Функция Связанные ресурсы

Элементы управления ActiveX

Планирование параметров безопасности для элементов ActiveX в Office 2013

Вложения

Планирование параметров вложений в Outlook 2013

Криптография

Планирование шифрования сообщений электронной почты в Outlook 2010

Цифровые подписи

Планирование параметров цифровой подписи для Office 2013

Нежелательная электронная почта

Планирование ограничения нежелательной почты в Outlook 2010

Управление правами на доступ к данным

Планирование управления правами на доступ к данным в Office 2013

Защищенный просмотр

Планирование параметров режима защищенного просмотра в Office 2013

См. также

Обзор безопасности в Office 2013