為組織設定一致的 Outlook 2007 密碼編譯選項
更新日期: 2012年4月
適用於: Office Resource Kit
上次修改主題的時間: 2015-05-21
您可以控制 Microsoft Office Outlook 2007 密碼編譯功能的許多層面,以協助貴組織設定更加安全的郵件傳遞和郵件加密。例如,您可以設定一個群組原則,要求在所有外寄郵件上加上安全性標籤,或是要求停用發佈至「全域通訊清單」的設定。
您可以使用 Outlook 群組原則範本 (Outlk12.adm) 來鎖定自訂密碼編譯的設定。或是使用「Office 自訂工具」(OCT) 來設定預設設定,在此情況下,使用者可以變更設定。OCT 設定是在 OCT 之 [修改使用者設定] 頁面上的對應位置。
您可以從 Microsoft 下載中心的 2007 Office System 系統管理範本 (ADM) ,下載 Outlook 範本和其他的 ADM 檔案。
若要使用群組原則來自訂密碼編譯選項
在群組原則中,載入 Office Outlook 2007 範本 (Outlk12.adm)。
若要自訂密碼編譯設定,在「使用者設定\系統管理範本\Microsoft Office Outlook 2007\安全性\密碼編譯」 之下,按兩下想要設定的原則設定。例如,按兩下 [不要顯示 [發佈到 GAL 按鈕] (有些選項包括在 [簽名狀態對話方塊] 資料夾中)。
請按一下 [已啟用]。若適當,請選擇在 [設定] 索引標籤上顯示的選項。
按一下 [確定]。
您可以為密碼編譯進行的設定如下所示。
| 密碼編譯選項 | 描述 |
|---|---|
基本加密設定 |
為加密的電子郵件訊息設定基本金鑰長度。 |
與外部用戶端的 S/MIME 互通性: |
指定處理 S/MIME 郵件的行為。 |
在 S/MIME 郵件中永遠使用 RTF 文字格式 |
永遠為 S/MIME 郵件使用 RTF,而非使用者指定的格式。 |
S/MIME 密碼設定 |
指定 S/MIME 密碼有效的預設和最長時間。 |
郵件格式 |
選擇要支援的郵件格式:S/MIME (預設值)、Exchange、Fortezza 或數種格式的組合。 |
Outlook 找不到解碼郵件的數位 ID 時顯示訊息 |
輸入要對使用者顯示的訊息。 |
不要在加密警告對話方塊提供 [繼續] 選項 |
停用加密設定警告對話方塊上的 [繼續] 按鈕。 |
以 FIPS 相容模式執行 |
使 Outlook 處於 FIPS 140-1 模式下。 |
不要對正在使用的憑證地址檢查電子郵件地址 (sic) |
不要透過用於加密或簽署的憑證地址來驗證使用者的電子郵件地址。 |
加密所有電子郵件訊息 |
加密外寄電子郵件訊息。 |
簽署所有電子郵件訊息 |
簽署外寄電子郵件訊息。 |
將所有簽署郵件傳送為純文字簽署的郵件 |
為簽署的外寄電子郵件訊息使用純文字簽署。 |
為所有 S/MIME 簽署郵件索取 S/MIME 回條 |
要求外寄電子郵件郵件索取安全性強化的回條。 |
S/MIME 憑證的 URL |
提供使用者可以取得 S/MIME 回條的 URL。URL 可以包含三個變數 (%1、%2 和 %3),將以使用者的名稱、電子郵件地址和語言分別取代。 |
確定所有 S/MIME 簽署的郵件都有標籤 |
要求所有 S/MIME 簽署的訊息都要有安全性標籤。 |
不要顯示 [發佈到 GAL] 按鈕 |
停用信任中心的 [電子郵件安全性] 頁面上之 [發佈到 GAL] 按鈕。 |
簽名警告 |
指定何時對使用者顯示簽名警告的選項。 |
索取 S/MIME 回條 |
指定如何處理 S/MIME 回條要求的選項。 |
Fortezza 憑證原則 |
輸入在憑證 (顯示憑證是 Fortezza 憑證) 的原則延伸中所允許的原則清單。列出以分號分隔的原則。 |
對 S/MIME 作業要求 SuiteB 演算法 |
僅使用 S/MIME 作業的 Suite-B 演算法。 |
啟用密碼編譯圖示 |
在 Outlook UI 中顯示 Outlook 密碼編譯圖示。 |
擷取 CRL (憑證撤銷清單) |
指定當擷取 CRL 清單時 Outlook 如何反應。 |
遺失 CRL |
指定 CRL 遺失時 Outlook 的回應:顯示錯誤或警告 (預設值)。 |
遺失根憑證 |
指定根憑證遺失時 Outlook 的回應:顯示錯誤或警告 (預設值)。 |
將層級 2 的錯誤升級為錯誤,而非警告 |
指定層級 2 錯誤的 Outlook 回應:顯示錯誤或警告 (預設值)。 |
附件安全暫存資料夾 |
指定安全的暫存檔案資料夾路徑。這會覆寫預設的路徑,不建議這樣做。 |
設定 Outlook 密碼編譯選項的詳細資訊
下列各節提供有關 Outlook 密碼編譯之設定選項的其他資訊。
Outlook 安全性原則設定
下表列出您可以為自訂安裝設定的 Windows 登錄設定。在 Windows 登錄設定會對應至稍早所列出的群組原則設定。請在下列子機碼中新增這些值項目:
HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security
| 數值名稱 | 數值資料 (資料類型) | 描述 | 對應的 UI 選項 |
|---|---|---|---|
AlwaysEncrypt |
0、1 (DWORD) |
設定為 1 來加密外寄郵件。預設值為 0 。 |
[加密內容] 核取方塊 ([電子郵件安全性] 頁面)。 |
AlwaysSign |
0、1 (DWORD) |
設定為 1 來簽署外寄郵件。預設值為 0 。 |
新增 [數位簽章] 核取方塊 ([電子郵件安全性] 頁面)。 |
ClearSign |
0、1 (DWORD) |
設定為 1 來為外寄郵件使用純文字簽署。預設值為 0。 |
[送純文字簽章郵件] 核取方塊 ([電子郵件安全性] 頁面)。 |
RequestSecureReceipt |
0、1 (DWORD) |
設定為 1 來為外寄郵件要求安全性強化回條。預設值為 0。 |
[索取 S/MIME 回條] 核取方塊 ([電子郵件安全性] 頁面)。 |
ForceSecurityLabel |
0、1 (DWORD) |
設定為 1 需要在外寄郵件上加上標籤 (登錄設定未指定哪個標籤)。預設值為 0 。 |
無 |
ForceSecurityLabelX |
ASN 編碼 BLOB (二進位) |
此值項目會指定在外寄簽署的郵件上是否必須有使用者定義的安全性標籤。字串可以選擇性地包含標籤、分類和類別。預設值不需要安全性標籤。 |
無 |
SigStatusNoCRL |
0、1 (DWORD) |
設定為 0 以指定在簽章驗證期間遺失 CRL 是一個警告。設定為 1 以指定遺失 CRL 是一個錯誤。預設值為 0 。 |
無 |
SigStatusNoTrustDecision |
0、1、2 (DWORD) |
設定為 0 以指定不允許不信任決定。設定為 1 以指定不信任決定是一個警告。設定為 2 指定不信任決定是一個錯誤。預設值是 0 。 |
無 |
PromoteErrorsAsWarnings |
0、1 (DWORD) |
設定為 0 將錯誤層級 2 錯誤升級為錯誤。設定為 1 將錯誤層級 2 錯誤升級為警告。預設值為 1。 |
無 |
PublishtoGalDisabled |
0、1 (DWORD) |
設定為 1 以停用 [發佈到 GAL] 按鈕。預設值為 0 。 |
[發佈到 GAL] 按鈕 ([電子郵件安全性] 頁面)。 |
FIPSMode |
0、1 (DWORD) |
設定為 1 使 Outlook 處於 FIPS 140-1 模式。預設值為 0 。 |
無 |
WarnAboutInvalid |
0、1、2 (DWORD) |
設定為 0 以顯示 [顯示並詢問] 核取方塊 ([安全電子郵件問題] 對話方塊)。設定為 1 永遠都顯示對話方塊。設定為 2 永遠都不顯示對話方塊。預設值為 2。 |
[安全電子郵件問題] 對話方塊。 |
DisableContinueEncryption |
0、1 (DWORD) |
設定為 0 以顯示最後 [加密錯誤] 對話方塊中的 [繼續加密] 按鈕。設定為 1 以隱藏按鈕。預設值為 0 。 |
在最後 [加密錯誤] 對話方塊上的 [繼續加密]按鈕。當使用者嘗試傳送郵件給無法接收加密郵件的某個人時,會出現這個對話方塊。這個設定無論如何都會停用允許使用者傳送郵件的按鈕 (收件者無法開啟由覆寫錯誤所傳送的加密郵件訊息。) |
RespondtoReceiptRequest |
0、1、2、3 (DWORD) |
設定為 0 永遠都會傳送回條回覆及提示輸入密碼 (若有需要)。設定為 1 在傳送回條回覆時提示輸入密碼。設定為 2 永遠都不會傳送回條回覆。設定為 3 以強制傳送回條回覆。預設值為 0 。 |
無 |
NeedEncryptionString |
字串 |
當使用者無法順利開啟加密的郵件時,顯示指定的字串。可以提供在哪裡可安全註冊的相關資訊。除非將值設定成另一個字串,否則會使用預設字串。 |
預設的字串 |
選項 |
0、1 (DWORD) |
設定為 0 以便在使用嘗試讀取含有無效簽章的簽署郵件時,顯示警告對話方塊。設定為 1 永遠不顯示警告。預設值為 0 。 |
無 |
MinEncKey |
40、64、128、168 (DWORD) |
為加密的電子郵件訊息設定基本金鑰長度。 |
無 |
RequiredCA |
字串 |
設定為必要的憑證授權單位 (CA) 的名稱。在設定時,Outlook 不允許使用者使用不同 CA 所發出的憑證來簽署電子郵件。 |
無 |
EnrollPageURL |
字串 |
您希望使用者取得新數位 ID 的預設憑證授權單位 (內部或外部) 之 URL。注意:如果您沒有使用者電腦上的系統管理員權限,請在 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security 子機碼中設定。 |
[取得數位 ID] 按鈕 ([電子郵件安全性] 頁面)。 |
當您指定 PromoteErrorsAsWarnings 的值時,可能的錯誤層級 2 條件包括下列項目:
不明的簽名演算法
找不到簽署憑證
不正確的屬性集
找不到發行者憑證
找不到 CRL
過期的 CRL
根信任問題
過期的 CTL
當您指定 EnrollPageURL 的值時,請使用下列參數將有關使用者的資訊傳送至註冊網頁。
| 參數 | 在 URL 字串中的預留位置 |
|---|---|
使用者顯示名稱 |
%1 |
SMTP 電子郵件名稱 |
%2 |
使用者介面語言 ID |
%3 |
例如,若要將使用資訊傳送至 Microsoft 註冊網頁,請將 EnrollPageURL 項目設定為下列值並包括參數::
www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3
例如,如果使用者的名稱是 Jeff Smith,電子郵件地址是 someone@example.com,而使用者介面語言 ID 是 1033,會將預留位置解析成如下:
www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033
一般密碼編譯的安全性原則設定
下表顯示可用於自訂設定的額外 Windows 登錄設定。這些設定包含在下列子機碼中:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default
| 數值名稱 | 數值資料 (資料類型) | 描述 | 對應的 UI 選項 |
|---|---|---|---|
ShowWithMultiLabels |
0、1 (DWORD) |
設定為 0 以便在簽章層級於不同簽章中有不同的標籤時嘗示顯示訊息。設定為 1 以防止顯示訊息。預設值為 0 。 |
無 |
CertErrorWithLabel |
0、1、2 (DWORD) |
設定為 0 以便在訊息有標籤時處理有憑證錯誤的訊息。設定為 1 拒絕存取有憑證錯誤的訊息。設定為 2 以忽略訊息標籤並授與訊息存取權 (使用者仍然會看到憑證錯誤)。預設值為 0 。 |
無 |
KMS 發行的憑證之安全性原則設定
下表中的值只會套用至 Microsoft Exchange Key Management Service (KMS) 發行的憑證。下表顯示您可用於自訂設定的其他 Windows 登錄設定。這些設定包含在下列子機碼中:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider
| 數值名稱 | 數值資料 (資料類型) | 描述 | 對應的 UI 選項 |
|---|---|---|---|
MaxPWDTime |
0、數字 (DWORD) |
設定為 0 以移除使用者儲存密碼的能力 (每次需要金鑰組時,使用者必須輸入密碼)。設定正數以指定以分鐘為單位的最大密碼時間。預設值是 999 。 |
無 |
DefPWDTime |
數字 (DWORD) |
設定儲存密碼的預設時間值。 |
無 |