微软Outlook邮件安全指南(三)
为微软Outlook使用一个外部CA
单独用户总是能够从一个外部CA那里请求自己的证书,并且将证书安装到Outlook中。假设你选择了一个知名的CA,这可能对设置你自己的PKI是一个有吸引力的选择,尤其是对那些账户数量较小的用户来说。证书的来源有许多种。举例来说,Thawte提供了一个免费的终端用户证书,它能够提供给很多单独用户,各种专业的,社会的和政府组织,不管它们是否即将为它们的用户使用证书。
如果你从一个外部CA上点击获取一个S/MIME证书的话,Outlook将会让你通过一个页面同外部CA进行关联。默认情况下,你获得的这个页面是一个寄主于微软Office帮助中心中你可以使用的第三方CA列表中。列在这个提供个人证书列表中的CA,每一个都有不同的注册和证书程序。然而,使用我接下来将会讨论的策略控制,你可以发送你的组织Outlook用户到你希望利用的任何一个CA上。
一旦你已经注册了远程CA,并且接受了你的证书。你将需要去导入它,使用接下来章节中有关“导入及浏览证书”部分的介绍。
为微软Outlook在全球地址列表(GAL)上发布证书
如果你使用的是一个企业CA,在GAL上新证书需要被发布。然而,那些自己单独获得证书的用户将会发现他们的证书不在GAL中。如果Alice和Bob想要交换加密消息,并且他们的证书都不在GAL中的话,Alice必须首先向Bob发送一个标记消息。当Bob打开消息时,他的Outlook客户端就会将Alice的证书保存到本地,并指出Bob能够使用这个证书去向Alice发送一封加密回复。这是一项受到质疑的要求,这样的话,Outlook为你提供了一种发布任意证书的方法,让你能够将这项属性应用于你的用户帐号。换句话说,这些证书就能在GAL中可见了。发布你的证书的步骤很简单:
1.当你需要关联证书到你的登陆用户时(当然,你必须去访问在一些表格中的希望得到的证书,不管是在本机证书存储还是在一个闪存还是其他便携存储设备上),启动Outlook。
2.使用工具|选项命令去打开选项对话框,然后点击安全标签。
3.点击发布到GAL。Outlook将会警告你这是关于发布你的默认证书到GAL中(安全邮件命令组有关默认设置部分,将会在接下来的部分讲述),如果你希望这样做的话,点击确定。
为微软Outlook进行证书的导入/导出
一旦你有了一个证书,就不必须局限于一台计算机上。CryptoAPI允许为特定的不管一个密钥是否能够被输出设置密钥。大多数证书通过Windows证书服务或者来自于私有密钥被标记为可导出的第三方CA来产生。私有密钥可以导出,你能够使用Outlook去导出密钥和相关联的证书到一个文件,接下来这也可以被导入到另一台计算机上。举例来说,我能够在我的台式机上收到一个证书,接下来进行导出,然后导入到我的笔记本电脑上,这样我从这两台机器上都能够访问加密邮件(和其他资源)。
你从Outlook中导入和导出证书使用Outlook选项对话框中的安全标签中的导入/导出按钮。点击按钮生成如图13-7所示的导入/导出数字ID对话框。使用两个功能去选择是否希望导入/导出,在每个组中相关的控制让你指定包含了证书在什么位置和相关联的是什么密码。从系统中删除数字ID检查框是值得特别注意的。当被选定时,在导出你的私有密钥到文件后,Outlook将会删除它。当你需要将证书从一台计算机转移到另一台计算机上时,使用这个功能。如果你希望复制密钥信息的话,不要勾选这个选项。
图13-7你可以使用Outlook的导入/导出特性在计算机之间去移动或复制你的证书,但是不要轻易的使用
注意:你也能够从你自己或者第三方CA上导入一个存在的证书。它被标记为不能用于邮件加密和签名,可以同Outlook一起进行使用。
为微软Outlook设置S/MIME选项
图13-8显示了Outlook的选项对话框的安全标签。在这个标签上的加密邮件控制组允许你去设置默认的你希望Outlook使用的S/MIME通信。你能够选择标记、加密或者通过合适的检查框去加密和标记发出消息。另外,你能够选择不管已标记的消息是否被清除标记或者无标记,以及你是否需要你的消息包含返回收件人标记请求。
图13-8使用选项对话框中安全标签上的加密邮件控制组去控制Outlook的S/MIME 操作
在这组中最有意思的控制是默认设置drop-down列表,以及相关设置按钮。这是因为当发送安全邮件时,这些设置控制你所使用的运算法则和消息格式。当你点击设置,修改安全设置对话框如图13-9所示。每一个安全设置对象包括你为证书所作的你希望为标记和加密邮件以及运算法则所作的参数设置。对话框中的控制是自说明的,这代替了反复要求如何设置,这就是为什么我把它放在首要位置去做解释的原因。
图13-9为使用不同的证书或收件人创建安全组设置
请注意,证书只与信任相关。我们所使用的多种信任:我的驱动器许可对于视频存储是无效的,以及当我希望登机时,我的银行卡此时也是无效的。每一项信任相关产品都有它自己的用途和相关特性。同样的为组织配置的PKI去为不同的应用生成不同的证书:每一个用户标记每一封邮件,但是仅仅合法和合并部门需要一个加密,并且只有IT部门获取证书能被用于标记宏或者Office对象。这项分割意味着它对于为签名和加密指定不同的运算法则或者证书是有用的,甚至对维护不同的为用户事务和个人证书的“work”和“home”来说也是有用的。这是一个Outlook支持多个证书的原因,另一个是支持安全标签(包含在Outlook中DMS支持的一部分)。
标记或加密一个消息
事实上,对于Outlook来说标记或者加密消息是很容易的。你总是能够标记或加密单独的消息,不管是使用Outlook工具栏还是通过打开消息属性,你也可以默认调用Outlook去标记或加密所有消息。
加密或标记一个单独消息
在Outlook 2003中你可以根据你的设置去确认消息。点击工具栏中的选项按钮,你就会看到安全属性对话框,如图13-10所示。对加密消息内容和附件以及添加数字签名到这个消息检查框,进行你的设置,当你发送消息时,你能够选择其中一个或者全部两个为你的消息添加保护(这样的话,没有具有S/MIME的邮件软件能够显示消息内容),并且你能够请求一个已标记的返回接收消息----这证明了在一个确定的日期和时间上,收件人打开了这个消息,因为它标记了收件方的私钥。
注意:当你连接到你的Exchange服务器上时,你在Outlook中一将附件添加一个消息中时,它就开始将附件以后台执行的方式上载到服务器。这个会话没有加密(除非你打开了RPC加密,我们将在接下来的篇幅中讨论),这样一个竞争对手(敌人)就会看到你的一些附件,如果他(她)能够通过网络监听通信的话。
图13-10 标记或加密一个消息,只需选择符合安全特性要求的检查框
你也可以这个对话框为消息选择一套S/MIME参数。你的选择来自于你已经在选项对话框中安全标签中已定义的那些S/MIME参数,具体操作请参见前面的章节。你也可以从这个对话框中设置一个安全标签,除非你使用策略模块,否则你没进行操作。并且除了那些使用DMS之外,并不是所有的操作都可用。
Tip:如果你想要使用安全标签,能够执行你自己的策略模块。更多详细介绍,请参见http://msdn2.microsoft.com/en-us/library/aa140148(office.10).aspx。
更新Outlook工具栏的步骤
Outlook标准工具栏包括为当前消息进行加密和标记的工具栏按钮,但是默认设置中是不可见的。幸运的是,你能够自定义工具栏按钮来显示----只需要使用工具|自定义命令,下面的是自定义对话框中如何设置的步骤:
1.打开一封消息(已读/未读的均可)。如果你想要使用的按钮没有显示在工具栏上,使用查看|工具栏子菜单令它可见。
2.选择工具|自定义命令。当自定义对话框打开时,点击命令行标签。
3.选择目录列表中的标准。命令块中列出了可用的工具栏按钮。在命令列表的底部,你将会看到两个图标:加密消息内容和附件,以及对消息进行数字签名。
4.将图标托拽到工具栏的目标位置。
5.点击关闭。
为微软Outlook应用策略设置
当用户需要时,它是最好的提供给用户创建标记和加密消息的方法。但是在很多环境中,它必须去强制或者限制一个指定的安全设置。在Outlook 2003中有一个需要稍微注意的变化是它合并了许多策略设置,允许集中管理加密和安全操作控制。通过组策略模板,这些设置可以被利用。在表13-3中描述了这些设置应用在HKEY_CURRENT_USER\Software\ Policies\Microsoft\Office\10.0\Outlook\Security key下。
表13-3: 为Outlook加密特性所作的策略设置
Value名称 | 数据类型 | 被支持的Values | 注意事项 |
AlwaysEncrypt | DWORD | 1: 加密所有发出的消息0: 默认 只加密那些收到用户请求的消息。 | 如果Outlook 不能找到用于发送消息的证书,你将会看到一个错误对话框。如图13-11所示 |
AlwaysSign | DWORD | 1:标记所有发出的消息。 0: 默认; 只标记那些收到用户请求得消息。 | 无 |
ClearSign | DWORD | 1:在cleartext有单独签名部分得的所有发出的消息 0: 消息同一个合并得签名/消息阻塞被标记。消息当前不在Cleartext方法中。 | 空标记消息不允许收信人是用有S/MIME的客户端去阅读消息,尽管他们不能鉴别签名。 |
RequestSecureReceipt | DWORD | 1:包括一个标记收到请求的所有发出消息。当消息北大开时,可用的客户端将会自动地返回已标记的收条。 0: 收条必须被单独请求。 | 作为一个请求,S/MIME 收条被数字化标记。S/MIME 确定需要可用的客户端去如实记录收条请求,而不包括一个选项去禁止像Outlook普通消息的收条。 |
ForceSecurityLabel | DWORD | 1: 在发出之前,每一个发出消息必须指定一个安全标签。 | 这项功能仅用于你是用一个安全标签策略模块。 |
ForceSecurityLabelX | Binary | 所有的发出消息包含这个管理员定义的标签。 | 标签必须被作为ASN.1-encoded 字符串保存。如果你不知道这是什么意思,你可能无法利用这个特性。 |
SigStatusNoCRL | DWORD | 1:如果为一个标记证书所做得证书撤消列表(CRL)不能被找到,认为它是错的。 0:将丢失的CRL作为警告。 | 这个选项让你可以控制不管用户是否能够接收丢失的CRLs 是否有效的消息。 |
SigStatusNoTrustDecision | DWORD | 2: “No trust”结果被认为是错误的。 1: “No trust”结果被认为是警告的。 0: 允许出现“No trust”结果。 | 这个值控制当签名和证书同受信根失去联系时,Outlook如何处理。将值设置为0,如果你不小心的话,能够导致恶意攻击。 |
PromoteErrorsAsWarnings | DWORD | 1: 将级别2作为警告。 0: 将级别2作为错误。 | 当消息签名正确出现时,级别2 错误发生,但是是其他一些错误(例如,没有发现CRL,CRL或者证书信任列表过期,或着证书丢失。) |
PublishToGALDisabled | DWORD | 1: 不能使用GAL按钮。 0: GAL按钮正常使用。 | 无 |
FIPSMode | DWORD | 1:强制 Outlook到 FIPS 140-1 模式 0: 不强制 Outlook到 FIPS 140-1 模式 | 就像在第二章描述的那样, FIPS 140是美国政府为加密算法性能和安全所作的标准。 当Outlook是FIPS 140-1 模式时,标记和加密算法能够使用这些限制。 |
WarnAboutInvalid | DWORD | 2: 当可疑或错误的证书或签名被发现时,不给用户任何警示。 1:当问题发生时,总是显示安全邮件问题对话框。 0: 每一次都询问用户是否显示安全邮件问题对话框。 | 默认设置下,Outlook中会在遇到问题时,警示用户。这个值控制是否在遇到问题时,提醒用户。 |
DisableContinueEncryption | DWORD | 1:隐藏Encryption按钮 0:显示按钮 | 当你发送一个消息到多个接收方时,如果你不能发送到一个指定的接收方时,Outlook就会显示一个按钮让你继续保持将加密消息发给接收方。如果你想要防止用户发送未加密消息,关闭这项设置。 |
RespondToReceiptRequest | DWORD | 0: 当被请求时,总是发送标记收条。如果被需要,只需要提供密码。 1: 发送收条时总是要提供密码。 2: 不发送收条。 3:强制发送收条。 | 因为标记的收条必须被标记,那么你必须输入你的证书去标记收条。如果你取消代替,收条将不会被发送。不管收条是否被发送,你都要进行控制。 |
NeedEncryptionString | REG_SZ | 当用户试图去打开一个他没有正确证书的加密消息时,字符串会被显示 | 这个消息告诉用户它是否获得了证书。 |
Options | DWORD | 1: 当用户试图打开一个个别标记的 | 无 |
MinEncKey | DWORD | 当发送加密消息时,设置使用最小密文长度。 | 设置你希望的密文长度: 40, 64, 128, or 168 bits. (注意:40- 和 64-bit 密码对于大多数通信应用是不牢靠的。) |
requiredCA | REG_SZ | 给定请求的CA名称,当这个值被设定时,Outlook就不能使用其他CA用于邮件加密或标记的证书 | 无 |
EnrollPageURL | REG_SZ | 用户在他们点击获取一个数字ID时,URL页面应该被发送。 | 这个字符串包含三个扩展变量: %1 是替代用户的显示名称。%2 是替代用户的SMTP地址。以及 %3是用户首选语言的编码页ID。 |
图13-11 Outlook complains如果Outlook不能找到一个收信端证书,出现的抱怨提示。
在微软Outlook中,使用消息权限管理
通过允许他们去指定一个消息不能被复制,转寄,打印或者设定有效时间,Outlook的IRM特性给发信人以更多的邮件的控制。很重要的一点需要被指出,这个保护也不是绝对安全的。一个聪明的收信人能够使用一个数码相机拍下屏幕上的消息照片。如果这样失败的话,传统的纸笔能够记下精确的消息内容。 尽管IRM的重点是去让内容的非正常使用减少一些,并且提供了几个保护级别来规避有目的的恶意使用,并且在这点上它是很有用的。
使用IRM,你的用户将需要一台运行了Windows Server 2003和Windows RMS的服务器,并且服务器在你的企业防火墙里面。微软进行了很大的调整让任何拥有微软通行证账号去使用一台RMS服务器。这个服务允许带有些许警告的RMS继续使用,最大的问题是它是免费的,没有技术支持的服务。企业使用RMS特性的一个好办法是,需要使用RMS的用户在他的本地搭建。在这个章节中,我将会讨论公司和基于通行证信任两者使用RMS,更多的有关在企业中设置RMS服务的信息,请参见第12章。然而,我仅限于讨论摄制过程以及在Outlook中使用RMS。设置的步骤同它在微软Excel, Word,以及Microsoft PowerPoint中的相类似。
在微软Outlook中设置信息权限管理(IRM)
当你安装Office时,你将会获得一个IRM客户端。第一次使用Office的IRM特性,你可能被提示去下载一个更新版本的Window RMS客户端。事实上,使用Windows RMS用于IRM配置分为两个应用:Office系统,以及IE浏览器权限管理外部程序让用户能够不使用Office系统去查看受RMS保护的内容。每一个方面,客户端安装是非常简单的,这里不再详述。Office提示你去下载一个单独的Windows安装文件(.msi),并且除非你接受终端用户许可,它不会要求你做任何操作。
一旦客户端安装完成,首先你试着去使用一个IRM特性,你将会被提示去创建一套信任机制。这个过程也非常简单,服务Sign-Up向导会指引你进行每一步。过程开始页面揭示了这个测试服务需要一个微软通行证账号,除非法院强制执行,否则微软是不会访问你的数据的,并且这个服务也可以被终止除非你第一时间收到了警告。接下来,你将会被提示你是否有一个通行证(我们需要去注册登陆,如果没有你必须去创建一个)。
注册完成后,下一个你将会被问到的问题是你是否想要一个标准的或是暂时的证书。权限管理帐号证书(RAC)是基于一个经由微软CA生成的基于PKI的证书,这只能够被用于RMS功能。如果你只需要去测试IRM,临时的证书就足够了。当这些证书到期时,只需要通过再一次执行向导去获取一个新的证书即可。如果你希望证书的使用时间更长一些,选择标准选项。
在执行完向导后,你的RAC将会被下载并安装到本地,尽管你不能在证书snap-in中查看它。在这一点上,你准备使用IRM机制的Outlook启动。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |