选择 Outlook 2010 的安全和保护设置

 

适用于: Office 2010

上一次修改主题: 2016-11-29

您可以在 Microsoft Outlook 2010 中自定义许多与安全相关的功能。这包括如何强制实施安全设置,哪种 ActiveX 控件可以运行,自定义窗体安全设置和编程式安全设置。您还可以针对附件、信息权限管理、垃圾邮件和加密自定义 Outlook 2010 安全设置,这些内容包含在本文后面的其他设置中列出的其他文章中。

警告

默认情况下,Outlook 被配置为使用高度安全相关设置。高安全级别可能会导致 Outlook 功能受限,例如,对电子邮件附件文件类型的限制。请注意,降低任何默认安全设置都可能会增加病毒执行或病毒传播的风险。在修改这些默认设置之前,请务必谨慎,并阅读相关文档。

本文内容:

  • 概述

  • 指定如何在 Outlook 中强制实施安全设置

  • 管理员与用户设置在 Outlook 2010 中的交互方式

  • 使用 Outlook COM 加载项

  • 在 Outlook 2010 中对 ActiveX 窗体和自定义窗体的安全性进行自定义

  • 在 Outlook 2010 中自定义编程式设置

  • 其他设置

概述

默认情况下,Outlook 被配置为使用高度安全相关设置。高安全级别可能会导致 Outlook 功能受限,例如,对电子邮件附件文件类型的限制。您可能需要降低您的组织的默认安全设置。但是,请注意,降低任何默认安全设置都有可能增加病毒执行或传播的风险。

使用组策略或 Outlook 安全模板开始配置 Outlook 2010 的安全设置之前,必须在组策略中配置“Outlook 安全模式”。如果不设置“Outlook 安全模式”,Outlook 2010 将使用默认安全设置并忽略您所做的任何 Outlook 2010 安全设置。

有关如何下载 Outlook 2010 管理模板及有关其他 Office 2010 管理模板的信息,请参阅 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具。有关组策略的详细信息,请参阅 Office 2010 组策略概述使用组策略在 Office 2010 中强制启用设置

指定如何在 Outlook 中强制实施安全设置

与在 Microsoft Office Outlook 2007 中一样,您可以通过使用组策略配置 Outlook 2010 的安全选项(推荐),或者通过使用 Outlook 安全模板来修改安全设置,还可以将设置发布到 Exchange Server 公共文件夹中的顶级文件夹的窗体中。除非您的环境中有 Office Outlook 2003 或更早的版本,否则,我们建议您使用组策略来配置安全设置。不论使用哪种方法,您都必须在组策略中启用“Outlook 安全模式”设置并设置“Outlook 安全策略”值。如果不启用此设置,则将在产品中强制实施默认安全设置。“Outlook 安全模式”设置位于“用户配置\管理模板\Microsoft Outlook 2010\安全性\安全窗体”下的 Outlook 2010 组策略模板 (Outlk14.adm) 中。当您启用“Outlook 安全模式”设置时,您将具有四个 Outlook 安全策略选项,下表中对这四个选项进行了描述。

Outlook 安全模式选项 说明

Outlook 默认安全性

Outlook 将忽略在组策略中或使用 Outlook 安全模板配置的任何安全相关设置。这是默设置。

使用 Outlook 安全组策略

Outlook 将使用组策略中的安全设置(推荐)。

使用“Outlook Security Settings”公用文件夹中的安全窗体

Outlook 将使用在指定的公用文件夹中发布的安全窗体中的设置。

使用“Outlook 10 Security Settings”公用文件夹中的安全窗体

Outlook 将使用在指定的公用文件夹中发布的安全窗体中的设置。

使用组策略自定义安全设置

当您使用组策略来配置 Outlook 2010 的安全设置时,请考虑以下因素:

  • Outlook 安全模板中的设置必须手动迁移到组策略。 如果您以前用 Outlook 安全模板来管理安全设置,而现在选择使用组策略在 Outlook 2010 中强制实施设置,则必须将以前配置的设置手动迁移到对应的 Outlook 2010 组策略设置中。

  • **使用组策略配置的自定义设置不会立即生效。**您可以将组策略配置为:当用户已登录时,按您设定的频率在用户的计算机上自动刷新(在后台)。若要确保新组策略设置立即生效,用户必须注销并重新登录到其计算机。

  • **Outlook 仅在启动时检查安全设置。**如果在运行 Outlook 期间刷新了安全设置,则在用户关闭并重新启动 Outlook 之前不会使用新的配置。

  • 在仅个人信息管理器 (PIM) 模式下,不会应用任何自定义设置。   在 PIM 模式下,Outlook 将使用默认安全设置。在此模式下,不需要也不使用任何管理员设置。

特殊环境

在使用组策略来为 Outlook 2010 配置安全设置时,请考虑您的环境中是否包含下表中显示的一个或多个应用场景。

应用场景 问题

用户使用托管 Exchange Server 访问其邮箱

如果用户通过托管 Exchange Server 访问邮箱,则您可以使用 Outlook 安全模板来配置安全设置或者使用默认的 Outlook 安全设置。在托管环境中,用户远程访问其邮箱;例如,通过使用虚拟专用网络 (VPN) 连接或使用 Outlook Anywhere (RPC over HTTP)。因为组策略是通过使用 Active Directory 部署的,在此应用场景中,用户的本地计算机不是域的成员,因此无法应用组策略安全设置。

此外,通过使用 Outlook 安全模板来配置安全设置,用户可以自动接收安全设置的更新。除非用户的计算机位于 Active Directory 域中,否则用户无法接收组策略安全设置的更新。

用户在其计算机上具有管理权限

在具有管理权限的用户登录时不会强制实施对组策略设置的限制。具有管理权限的用户还可以在其计算机上更改 Outlook 安全设置,并可以删除或更改您所配置的限制。不仅对于 Outlook 安全设置是这种情况,对于所有的组策略设置也是如此。

在组织打算为所有用户都实现标准的设置时,这虽然会成为一个问题,但还有以下缓解因素:

  • 在下次登录时组策略会覆盖本地更改。当用户登录时,对 Outlook 安全设置的更改将恢复为组策略设置。

  • 覆盖组策略设置将只影响本地计算机。具有管理权限的用户只能影响自己计算机上的安全设置,不会影响其他计算机上的用户的安全设置。

  • 没有管理权限的用户不能更改策略。在这种情况下,组策略安全设置如同使用 Outlook 安全模板配置的设置一样安全。

用户使用 Outlook Web App 访问 Exchange 邮箱

Outlook 和 Outlook Web App 使用不同的安全模型。OWA 在 Exchange Server 计算机上存储了单独的安全设置。

Outlook 2010 中的管理员设置与用户设置的交互方式

用户在 Outlook 2010 中定义的安全设置如同您作为管理员在组策略中配置的设置一样发挥作用。当两者之间存在冲突时,具有更高安全级别的设置将覆盖具有较低安全级别的设置。

例如,如果您使用组策略附件安全设置“添加要作为级别 1 阻止的文件扩展名”创建要阻止的级别 1 文件扩展名列表,您的列表将覆盖 Outlook 2010 随附的默认列表,并覆盖用户针对要阻止的级别 1 文件扩展名所做的设置。即使您允许用户从排除文件类型的默认级别 1 组中删除文件扩展名,用户也无法删除已添加到列表中的文件类型。

例如,如果用户想要从级别 1 组中删除文件扩展名 .exe, .reg 和 .com,但您使用了“添加级别 1 文件扩展名”组策略设置将 .exe 添加为级别 1 文件类型,则用户可以只从 Outlook 中的级别 1 组中删除 .reg 和 .com 文件。

使用 Outlook COM 加载项

应该对组件对象类型 (COM) 加载项进行编码,使其能够利用 Outlook 信任模型,在运行时不在 Outlook 2010 中显示警告消息。用户在访问使用加载项的 Outlook 功能时可能仍然会看到警告,例如,当他们将手持设备与其桌面计算机上的 Outlook 2010 进行同步时。

但是,用户在 Outlook 2010 中看到警告的可能性比在 Office Outlook 2003 或更早版本中要小。对象模型 (OM) 保护功能在 Office Outlook 2007 和 Outlook 2010 中已更新,该功能有助于阻止病毒使用 Outlook 通讯簿传播自身。Outlook 2010 将查找最新的防病毒软件,以帮助确定何时显示通讯簿访问警告和其他 Outlook 安全警告。

无法使用 Outlook 安全窗体或组策略来修改 OM 保护。但是,如果您使用默认的 Outlook 2010 安全设置,则 Outlook 2010 中安装的所有 COM 加载项都是默认受信任的。如果您使用组策略自定义安全设置,则可以指定受信任且在运行时不受 Outlook 对象模型阻止的 COM 加载项。

若要信任某个 COM 加载项,请在组策略设置中包含该加载项的文件名以及该文件的计算哈希值。您必须先安装一个程序来计算哈希值,然后才能指定 Outlook 信任的加载项。有关如何执行此操作的详细信息,请参阅管理 Outlook 2010 的受信任加载项

如果您通过 Exchange Server 公用文件夹中发布的 Microsoft Exchange Server 安全窗体强制实施了自定义的 Outlook 安全设置,则可以了解如何信任 COM 加载项。在 Microsoft Office 2003 资源工具包文章 Outlook 安全模板设置(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=75744\&clcid=0x804)(该链接可能指向英文页面)中向下滚动到“‘受信任的代码’选项卡”一节。

在将加载项包含到受信任的加载项列表中后,如果用户仍然看到安全提示,则必须协同 COM 加载项开发人员来解决此问题。有关对受信任的加载项进行编码的详细信息,请参阅针对 Microsoft Outlook COM 加载项开发人员的重要安全说明(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=74697\&clcid=0x804)(该链接可能指向英文页面)。

在 Outlook 2010 中对 ActiveX 窗体和自定义窗体的安全性进行自定义

您可以为 Outlook 2010 用户指定 ActiveX 窗体和自定义窗体安全设置。自定义窗体安全设置包括用于更改 Outlook 2010 如何限制脚本、自定义控件和自定义操作的选项。

自定义 ActiveX 控件在一次性窗体中的行为方式

当 Outlook 接收到包含窗体定义的邮件时,该项目为一次性窗体。为帮助阻止有害的脚本和控件在一次性窗体中运行,Outlook 在默认情况下不在一次性窗体中加载 ActiveX 控件。

可以使用组策略 Outlook 2010 模板 (Outlk14.adm) 来锁定用于自定义 ActiveX 控件的设置。或者,可以使用 Office 自定义工具 (OCT) 配置默认设置,在这种情况下,用户可以更改设置。在组策略中,请使用“用户配置”\“管理模板”\“Microsoft Outlook 2010”\“安全”下的“允许 ActiveX 一次性窗体”。在 OCT 中,“允许 ActiveX 一次性窗体”设置位于 OCT 的“修改用户设置”页上的相应位置。有关 OCT 的详细信息,请参阅 Office Customization Tool in Office 2010

启用“允许 ActiveX 一次性窗体”设置时,有三个选项可供选择,下表对这三个选项进行了介绍。

选项 说明

允许所有 ActiveX 控件

允许所有 ActiveX 控件不受限制地运行。

仅允许安全控件

只允许安全的 ActiveX 控件运行。如果 ActiveX 控件是用验证码签名的,并且签名者列于受信任的发布者列表中,则证明 ActiveX 控件是安全的。

仅加载 Outlook 控件

Outlook 将仅加载下面的控件。这些控件是唯一可在一次性窗体中使用的控件。

  • fm20.dll 中的控件

  • Microsoft Office Outlook 富格式控件

  • Microsoft Office Outlook 收件人控件

  • Microsoft Office Outlook 视图控件

如果您未配置这些选项中的任何一项,默认情况下将只加载 Outlook 控件。

对自定义窗体的安全设置进行自定义

您可以通过使用组策略 Outlook 2010 模板 (Outlk14.adm) 来锁定设置以配置自定义窗体的安全性。另外,还可以使用 Office 自定义工具 (OCT) 来配置默认设置,在这种情况下,用户可以更改设置。在组策略中,这些设置位于“用户配置\管理模板\Microsoft Outlook 2010\安全性\安全窗体设置\自定义窗体安全性”下。OCT 设置位于 OCT 的“修改用户设置”页上的相应位置。

下表中显示了您可以为脚本、自定义控件和自定义操作配置的设置:

选项 说明

允许一次性 Outlook 窗体中的脚本

在邮件中运行包含脚本和布局的窗体中的脚本。如果用户收到包含脚本的一次性窗体,则会询问用户是否要运行该脚本。

设置 Outlook 对象模型自定义操作执行提示

使用 Outlook 对象模型指定当程序试图运行自定义操作时所发生的情况。可以创建自定义操作,以答复消息并绕过前面所述的编程式发送保护。选择下列选项之一:

  • 提示用户 使用户能够收到一条消息,并决定是否允许编程式发送访问。

  • 自动批准 始终允许编程式发送访问,且不显示消息。

  • 自动拒绝 始终拒绝编程式发送访问,且不显示消息。

  • 根据计算机安全设置提示用户 强制实施 Outlook 2010 中的默认设置。

在 Outlook 2010 中自定义编程式设置

作为 Outlook 2010 管理员,您可以配置编程式安全设置来管理对 Outlook 对象模型的限制。通过 Outlook 对象模型,您可以以编程方式操作存储在 Outlook 文件夹中的数据。

备注

Exchange Server 安全模板包括用于协作数据对象 (CDO) 的设置。但是,不支持在 Outlook 2010 中使用 CDO。

您可以使用组策略来为 Outlook 对象模型配置编程式安全设置。在组策略中,加载 Outlook 2010 模板 (Outlk14.adm)。组策略设置位于“用户配置\管理模板\Microsoft Outlook 2010\安全性\安全窗体设置\程序安全性”下。无法通过使用 Office 自定义工具来配置这些设置。

以下是针对编程式设置的组策略选项的说明。您可以为每个项目选择下列设置之一:

  • 提示用户   用户收到一条消息,允许用户选择是允许还是拒绝该操作。对于某些提示,用户可以选择允许或拒绝该操作且 10 分钟内不再提示。

  • 自动批准   Outlook 自动批准来自任何程序的编程式访问请求。此选项可能会造成重大漏洞,我们建议您不要选择该选项。

  • 自动拒绝   Outlook 自动拒绝来自任何程序的编程式访问请求,并且用户不会收到提示。

  • 根据计算机安全设置提示用户   Outlook 依赖于信任中心的“编程访问”部分中的设置。这是默认行为。

下表显示了您可以为 Outlook 对象模型的编程式安全设置配置的设置。

选项 说明

配置访问通讯簿时的 Outlook 对象模型提示

通过使用 Outlook 对象模型指定当程序试图访问通讯簿时会发生什么情况。

配置访问 UserProperty 对象的 Formula 属性时的 Outlook 对象模型提示

指定当用户将“合并”或“公式”自定义字段添加到自定义窗体,并将其绑定到“地址信息”字段时,会发生什么情况。通过执行此操作,可以使用代码获取“地址信息”字段的“值”属性,从而间接检索该字段的值。

配置执行“另存为”操作时的 Outlook 对象模型提示

指定当程序试图以编程方式使用“另存为”命令保存项目时会发生什么情况。在项目已保存时,恶意程序可能会搜索文件以查找电子邮件地址。

配置读取地址信息时的 Outlook 对象模型提示

通过使用 Outlook 对象模型指定当程序试图访问收件人字段(如“收件人”)时会发生什么情况。

配置响应会议和任务要求时的 Outlook 对象模型提示

通过使用对任务请求和会议请求的“响应”方法指定当程序试图以编程方式发送邮件时,会发生什么情况。此方法非常类似于电子邮件上的“发送”方法。

配置发送邮件时的 Outlook 对象模型提示

通过使用 Outlook 对象模型指定当程序试图以编程方式发送邮件时,会发生什么情况。