• 發行項

選擇 Outlook 2010 的安全性與保護設定

 

適用版本: Office 2010

上次修改主題的時間: 2016-11-29

您可以自訂 Microsoft Outlook 2010 中的多個安全性相關功能。這包含如何強制執行安全性設定、可以執行的 ActiveX 控制項類型、自訂表單安全性及程式設計安全性設定。您也可以自訂附件、資訊版權管理、垃圾郵件及加密的 Outlook 2010 安全性設定 (其涵蓋於本文稍後之<其他設定>所列的其他文章中)。

警告

Outlook 預設是設定成使用高安全性相關設定。高安全性層級可能會限制 Outlook 的功能 (如電子郵件訊息附件檔案類型的限制)。請注意,降低任何預設安全性設定,可能會增加病毒執行或病毒傳播的風險。請小心使用,並先閱讀文件,再修改這些設定。

本文內容:

  • 概觀

  • 指定如何在 Outlook 中強制執行安全性設定

  • 系統管理員與使用者設定在 Outlook 2010 中的互動方式

  • 使用 Outlook COM 增益集

  • 在 Outlook 2010 中自訂 ActiveX 及自訂表單安全性

  • 在 Outlook 2010 中自訂程式設計設定

  • 其他設定

概觀

Outlook 預設是設定成使用高安全性相關設定。高安全性層級可能會限制 Outlook 的功能 (如電子郵件訊息附件檔案類型的限制)。您可能需要降低組織的預設安全性設定。不過,請注意,降低任何預設安全性設定,可能會增加病毒執行或傳播的風險。

在您使用「群組原則」或 Outlook 安全性範本開始設定 Outlook 2010 的安全性設定之前,必須在「群組原則」中設定 [Outlook 安全性模式]。如果您未設定 [Outlook 安全性模式],則 Outlook 2010 會使用預設安全性設定,並忽略任何已進行的 Outlook 2010 安全性設定。

如需如何下載 Outlook 2010 系統管理範本及其他 Office 2010 系統管理範本的相關資訊,請參閱<Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 與 Office 自訂工具>。如需群組原則的詳細資訊,請參閱<Office 2010 的群組原則概觀>及<在 Office 2010 中使用群組原則進行設定>。

指定如何在 Outlook 中強制執行安全性設定

與使用 Microsoft Office Outlook 2007 相同,您可以使用「群組原則」設定 Outlook 2010 的安全性選項 (建議),或使用 Outlook 安全性範本修改安全性設定,並將設定發行至 Exchange Server 公用資料夾之最上層資料夾中的表單。除非您的環境具有 Office Outlook 2003 或較早版本,否則建議使用「群組原則」設定安全性設定。若要使用任一選項,則必須在「群組原則」中啟用 [Outlook 安全性模式] 設定,並設定 [Outlook 安全性原則] 值。如果您未啟用此設定,則會強制執行產品中的預設安全性設定。[Outlook 安全性模式] 設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性\安全性表單設定] 下的 Outlook 2010「群組原則」範本 (Outlk14.adm)。當您啟用 [Outlook 安全性模式] 設定時,會有四個 [Outlook 安全性原則] 選項 (如下表所述)。

[Outlook 安全性模式] 選項 描述

Outlook 預設安全性

Outlook 會忽略「群組原則」中所設定的任何安全性相關設定,或在使用 Outlook 安全性範本時進行同樣的處理。這是預設設定。

使用 Outlook 安全性群組原則

Outlook 使用「群組原則」中的安全性設定 (建議)。

使用「Outlook 安全性設定」公用資料夾的安全性表單

Outlook 會使用指定的公用資料夾中所發佈之安全性表單的設定。

使用「Outlook 10 安全性設定」公用資料夾的安全性表單

Outlook 會使用指定的公用資料夾中所發佈之安全性表單的設定。

使用群組原則自訂安全性設定

當您使用「群組原則」設定 Outlook 2010 的安全性設定時,請考慮下列因素:

  • Outlook 安全性範本中的設定必須手動移至「群組原則」。   如果您先前使用 Outlook 安全性範本管理安全性設定,而現在選擇使用「群組原則」強制執行 Outlook 2010 中的設定,則必須將先前設定的設定手動移轉成 Outlook 2010 的對應「群組原則」設定。

  • 使用「群組原則」所設定的自訂設定可能不會立即作用。   您可以設定在使用者登入時,依您決定的頻率 (在背景中) 自動重新整理使用者電腦上的「群組原則」。若要確保新的「群組原則」設定能立即作用,使用者必須登出後再重新登入其電腦。

  • Outlook 只會在啟動時檢查安全性設定。   如果在執行 Outlook 時重新整理安全性設定,則在使用者關閉並重新整理 Outlook 之前不會使用新的設定。

  • 僅個人資訊管理員 (PIM) 模式中不會套用自訂設定。   在 PIM 模式中,Outlook 會使用預設安全性設定。在此模式中,不需要或不會使用系統管理員設定。

特殊環境

當您使用「群組原則」設定 Outlook 2010 的安全性設定時,請考慮環境是否包含下表所顯示的一或多個案例。

案例 問題

使用託管 Exchange Server 存取其信箱的使用者

如果使用者使用託管 Exchange Server 存取信箱,則您可以使用 Outlook 安全性範本設定安全性設定,或使用預設 Outlook 安全性設定。在託管的環境中,使用者會遠端存取其信箱;例如,使用虛擬私人網路 (VPN) 連線,或使用 Outlook 無所不在 (RPC over HTTP)。因為「群組原則」是使用 Active Directory 進行部署,而在此案例中,使用者的本機電腦不是網域的成員,所以無法套用「群組原則」安全性設定。

此外,透過使用 Outlook 安全性範本設定安全性設定,使用者即可自動收到安全性設定的更新。除非使用者的電腦位於 Active Directory 網域中,否則使用者無法接收「群組原則」安全性設定的更新。

具有其電腦之系統管理權限的使用者

當使用者以系統管理權限登入時,即不會強制執行針對「群組原則」設定的限制。具有系統管理權限的使用者也可以變更其電腦上的 Outlook 安全性設定,而且可以移除或改變所設定的限制。這不僅適用於 Outlook 安全性設定,也適用於所有「群組原則」設定。

雖然這在組織想要所有使用者都具有標準化設定時會造成問題,但是具有減輕問題的因素:

  • 「群組原則」會在下次登入時覆寫本機變更。而 Outlook 安全性設定的變更會在使用者登入時回復為「群組原則」設定。

  • 只有本機電腦會受到覆寫「群組原則」設定影響。而具有系統管理權限的使用者,只會影響其電腦上的安全性設定,並不會影響其他電腦上使用者的安全性設定。

  • 沒有系統管理權限的使用者,無法變更原則。在此案例中,「群組原則」安全性設定與使用 Outlook 安全性範本所設定的設定同樣安全。

使用 Outlook Web App 存取 Exchange 信箱的使用者

Outlook 及 Outlook Web App 不會使用相同的安全性模型。OWA 另外在 Exchange Server 電腦上儲存了不同的安全性設定。

系統管理員與使用者設定在 Outlook 2010 中的互動方式

Outlook 2010 中使用者所定義的安全性設定,其運作方式就像它們包含在您以系統管理員身分定義的「群組原則」設定中一樣。兩者衝突時,較高安全性層級的設定會覆寫較低安全性層級的設定。

例如,如果您使用「群組原則」附件安全性設定 [新增要封鎖為層級 1 的副檔名] 建立要封鎖的層級 1 副檔名清單,則您的清單會覆寫 Outlook 2010 所提供的預設清單,並覆寫要封鎖之層級 1 副檔名的使用者設定。即使您允許使用者移除已排除檔案類型之預設層級 1 群組的副檔名,使用者還是無法移除已新增至清單的檔案類型。

例如,如果使用者想要移除層級 1 群組中的副檔名 .exe, .reg 及 .com,但您使用 [新增層級 1 副檔名]「群組原則」設定將 .exe 新增為層級 1 檔案類型,則使用者只能在 Outlook 中移除層級 1 群組中的 .reg 及 .com 檔案。

使用 Outlook COM 增益集

元件物件模型 (COM) 增益集也應該進行編碼,如此一來其便可利用 Outlook 信任模型執行,且不會在 Outlook 2010 中發出警告訊息。使用者在存取使用增益集的 Outlook 功能時可能還是會看到警告 (如同步處理掌上型裝置與其桌上型電腦上的 Outlook 2010 時)。

不過,與 Office Outlook 2003 或較早版本相較,使用者較不太會在 Outlook 2010 中看到警告。協助防止利用 Outlook 通訊錄傳播病毒的「物件模型 (OM) 保護」在 Office Outlook 2007 及 Outlook 2010 中已更新。Outlook 2010 會檢查最新的防毒軟體,協助決定何時顯示通訊錄存取警告和其他的 Outlook 安全性警告。

使用 Outlook 安全性表單或「群組原則」無法修改「OM 保護」。但若您使用預設的 Outlook 2010 安全性設定,則預設會信任安裝於 Outlook 2010 中的所有 COM 增益集。若您使用「群組原則」自訂安全性設定,即可指定受信任且可執行而不會發生 Outlook 物件模型封鎖的 COM 增益集。

若要信任 COM 增益集,您可以將增益集的檔案名稱併入具有檔案之計算雜湊值的「群組原則」設定中。在您可以指定 Outlook 所信任的增益集之前,必須安裝用來計算雜湊值的程式。如需如何執行此作業的相關資訊,請參閱<管理 Outlook 2010 之信任的增益集>。

若您藉由 Exchange Server 公用資料夾中所發行的 Microsoft Exchange Server 安全性表單以強制執行自訂的 Outlook 安全性設定,即可了解如何信任 COM 增益集。請向下捲動至 Microsoft Office 2003 Resource Kit 文章 Outlook 安全性範本設定(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=75744\&clcid=0x404)(可能為英文網頁) 中的<信任的程式碼索引標籤>一節。

如果使用者在將增益集併入信任的增益集清單後仍然看到安全性提示,則您必須與 COM 增益集開發人員合作解決問題。如需編碼信任之增益集的詳細資訊,請參閱 Microsoft Outlook COM 增益集開發人員的重要安全性提示(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=74697\&clcid=0x404)(可能為英文網頁)。

在 Outlook 2010 中自訂 ActiveX 及自訂表單安全性

您可以指定 Outlook 2010 使用者的 ActiveX 及自訂表單安全性設定。自訂表單安全性設定包含用來變更 Outlook 2010 如何限制指令碼、自訂控制項及自訂動作的選項。

自訂 ActiveX 控制項在 One-off 表單中的行為方式

Outlook 接收到含有表單定義的訊息時,此項目是 One-off 表單。為了協助防止在 One-off 表單中執行不想要的指令碼及控制項,Outlook 預設不會在 One-off 表單中載入 ActiveX 控制項。

您可以使用群組原則 Outlook 2010 範本 (Outlk14.adm),鎖定設定以自訂 ActiveX 控制項。或者,可以使用 Office 自訂工具 (OCT) 來設定預設設定,在此情況下,使用者可以變更設定。在群組原則中,使用 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性] 下的 [允許 ActiveX One Off 表單] 設定。在 OCT 中,[允許 ActiveX One Off 表單] 設定位於 OCT 之 [修改使用者設定] 頁面上對應的位置。如需 OCT 的詳細資訊,請參閱<Office Customization Tool in Office 2010>。

當您啟用 [允許 ActiveX One Off 表單] 設定時,會有下表所述的三個選項。

選項 描述

允許所有 ActiveX 控制項

允許所有 ActiveX 控制項在沒有限制的情況下執行。

只允許安全的控制項

只允許安全的 ActiveX 控制項執行。如果 ActiveX 控制項是使用 Authenticode 進行簽署,而且簽署者列在信任的發行者清單中,則 ActiveX 控制項是安全的。

只載入 Outlook 控制項

Outlook 只會載入下列的控制項,並且這些是唯一可在 One-off 表單中所使用的控制項。

  • fm20.dll 中的控制項

  • Microsoft Office Outlook 豐富格式控制項

  • Microsoft Office Outlook 收件者控制項

  • Microsoft Office Outlook 檢視控制項

如果您未設定其中任何選項,預設只會載入 Outlook 控制項。

對自訂表單自訂安全性設定

您可以使用「群組原則」Outlook 2010 範本 (Outlk14.adm) 鎖定設定以自訂表單安全性的設定。或者,您可以使用 OCT 設定預設設定,在此情況下,使用者可以變更設定。在「群組原則」中,這些設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性\安全性表單設定\自訂表單安全性] 下。 OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。

下表顯示您可以針對指令碼、自訂控制項及自訂動作所設定的設定:

選項 描述

允許 One-off Outlook 表單中的指令碼

在郵件中含有指令碼及版面配置的表單中執行指令碼。如果使用者接收到含有指令碼的 One-off 表單,則系統會提示使用者,詢問他們是否要執行指令碼。

設定 Outlook 物件模型自訂動作執行提示

指定程式嘗試使用 Outlook 物件模型執行自訂動作時會有什麼影響。您可以建立自訂動作回覆郵件,以及規避先前描述的程式設計傳送保護。請選取下列任一動作:

  • [提示使用者] 可讓使用者接收訊息,並決定是否允許進行程式設計傳送存取。

  • [自動核准] 一律會允許進行程式設計傳送存取,而不顯示訊息。

  • [自動拒絕] 一律會拒絕進行程式設計傳送存取,而不顯示訊息。

  • [根據電腦安全性提示使用者] 會強制執行 Outlook 2010 中的預設設定。

在 Outlook 2010 中自訂程式設計設定

Outlook 2010 系統管理員可以設定程式設計安全性設定,以管理 Outlook 物件模型的限制。Outlook 物件模型可讓您透過程式設計方式操作 Outlook 資料夾中所儲存的資料。

注意

Exchange Server 安全性範本包含 Collaboration Data Objects (CDO) 的設定。不過,不支援搭配使用 CDO 與 Outlook 2010。

您可以使用「群組原則」設定 Outlook 物件模型的程式設計安全性設定。在群組原則中,載入 Outlook 2010 範本 (Outlk14.adm)。「群組原則」設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性\安全性表單設定\程式設計安全性] 下。使用 Office 自訂工具無法設定這些設定。

下列是程式設計設定之「群組原則」選項的描述。您可以針對每個項目選擇下列其中一個設定:

  • 提示使用者   使用者會收到訊息,以選擇要允許或拒絕作業。針對部分提示,使用者可以選擇允許還是拒絕作業,且長達 10 分鐘不出現提示。

  • 自動核准   Outlook 會自動授與來自任何程式的程式設計存取要求。此選項可能會產生重大的弱點,因此不建議使用它。

  • 自動拒絕   Outlook 會自動拒絕來自任何程式的程式設計存取要求,而且使用者不會接收到提示。

  • 根據電腦安全性提示使用者   Outlook 會依賴信任中心之 [以程式設計方式存取] 區段中的設定。這是預設行為。

下表顯示您可以針對 Outlook 物件模型之程式設計安全性設定所設定的設定。

選項 描述

設定 Outlook 物件模型在存取通訊錄時提示

指定程式嘗試使用 Outlook 物件模型存取通訊錄時會有什麼影響。

設定 Outlook 物件模型在存取 UserProperty 物件的 Formula 屬性時提示

指定當使用者將 [組合] 或 [公式] 自訂欄位新增至自訂表單,並將它繫結至 [地址資訊] 欄位時會有什麼影響。這樣做之後,就可以透過取得欄位的 [值] 屬性,以使用程式碼間接擷取 [地址資訊] 欄位的值。

設定 Outlook 物件模型在執行 [另存新檔] 時提示

指定程式嘗試使用 [另存新檔] 命令以程式設計方式儲存項目時會有什麼影響。儲存項目時,惡意程式可以搜尋檔案中的電子郵件地址。

設定 Outlook 物件模型在讀取地址資訊時提示

指定程式嘗試使用 Outlook 物件模型以存取收件者欄位 (如 [收件者] 欄位) 時會有什麼影響。

設定 Outlook 物件模型在回應會議與工作要求時提示

指定程式嘗試對工作要求或會議邀請使用 [回覆] 方法,以程式設計方式傳送郵件時會有什麼影響。此方法與郵件訊息上的 [傳送] 方法類似。

設定 Outlook 物件模型在傳送郵件時提示

指定程式嘗試使用 Outlook 物件模型以程式設計方式傳送電子郵件時會有什麼影響。