Schützen von Outlook 2010 mit Sicherheitseinstellungen für Gruppenrichtlinien

Obwohl die meisten Exchange Server-Administratoren große Anstrengungen unternehmen, um Exchange zu sichern, übersehen viele Outlook …

Sicherheit. Im Folgenden finden Sie einige Sicherheitsaspekte, mit denen Sie sich vertraut machen können, sowie verschiedene Einstellungen, die Sie zum Schutz von Outlook 2010 verwenden können.
Zentralisierte Sicherheit
Standardmäßig behält Outlook seine Sicherheitskonfiguration lokal bei. Lokale Konfigurationen sind jedoch in Unternehmensumgebungen unwirksam, da Konfigurationsänderungen manuell angewendet werden müssen. Daher ist es besser, die Sicherheit von Outlook zentral zu verwalten. Sie haben zwei Möglichkeiten: Sie können Gruppenrichtlinieneinstellungen verwenden oder die Sicherheitseinstellungen in festgelegten öffentlichen Ordnern speichern. Microsoft empfiehlt die Verwendung von Gruppenrichtlinieneinstellungen, solange Sie keine Benutzer in Outlook 2003 oder früher haben.
Gruppenrichtlinienbasierte Sicherheit
Active Directory enthält standardmäßig keine Outlook-bezogenen Einstellungen. Um Gruppenrichtlinieneinstellungen für die Outlook 2010-Sicherheit zu implementieren, müssen Sie die herunterladen Office 2010-Verwaltungsvorlagendateien Fügen Sie dann die Vorlagen zum zentralen Speicher eines Domänencontrollers hinzu.
Es gibt zwei wichtige Dinge, die Sie über die Office 2010-Verwaltungsvorlagen wissen sollten. Erstens sind die Vorlagen versionierungsspezifisch. Dies bedeutet, dass Gruppenrichtlinieneinstellungen, die mithilfe der administrativen Office 2010-Vorlagen implementiert wurden, nicht auf diese Benutzer angewendet werden, wenn Sie noch Benutzer in Outlook 2007 haben.
Ebenso gibt es eine Reihe von Verwaltungsvorlagen für Office 2007. Wenn Sie zuvor die Office 2007-Verwaltungsvorlagen zum Sichern von Outlook 2007 verwendet haben, werden die Sicherheitseinstellungen nicht auf Outlook 2010-Benutzer angewendet.
Outlook 2010 ignoriert standardmäßig auch Outlook-bezogene Gruppenrichtlinieneinstellungen. Stellen Sie zunächst sicher, dass die Office 2010-Verwaltungsvorlagen installiert sind, um dieses Verhalten zu ändern. Konfigurieren Sie als Nächstes die Outlook-Sicherheitsmodusoption Gruppenrichtlinieneinstellung zur Verwendung der Verwenden Sie die Outlook-Gruppenrichtlinie Rahmen. Diese Einstellung finden Sie im Gruppenrichtlinien-Editor unter Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Microsoft Outlook 2010 -> Sicherheit -> Sicherheitsformulareinstellungen (Abbildung 1).
Aktivieren Sie die Einstellung für den Outlook 2010-Sicherheitsmodus.
Abbildung 1. Aktivieren Sie nach dem Herunterladen der Office 2010-Verwaltungsvorlage die Einstellung für den Outlook-Sicherheitsmodus.
Eine Beschreibung der Einstellungsoption finden Sie in Abbildung 2.
Aktivieren Sie die Einstellung Outlook-Sicherheitsgruppenrichtlinien verwenden.
Abbildung 2. Der Outlook-Sicherheitsmodus sollte auf “Outlook-Sicherheitsgruppenrichtlinie verwenden” eingestellt sein.
Digitale Signaturen
Nach der Installation der Verwaltungsvorlagen gibt es eine Reihe von Sicherheitseinstellungen, von denen Sie profitieren können. Beispielsweise können Sie Outlook 2010 so konfigurieren, dass alle ausgehenden E-Mail-Nachrichten digital signiert werden. Digitale Signaturen verhindern Identitätsspoofing. Navigieren Sie zum Aktivieren dieser Einstellung durch die Gruppenrichtlinienstruktur zu Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Microsoft Outlook 2010 -> Sicherheit -> Kryptografie und aktivieren Sie die Alle E-Mail-Nachrichten signieren Einstellung (Abbildung 3).
Konfigurieren Sie Outlook 2010-E-Mails so, dass alle ausgehenden E-Mails digital signiert werden.
Abbildung 3. Sie können Outlook 2010 so konfigurieren, dass ausgehende E-Mail-Signaturen erforderlich sind.
In Abbildung 3 sehen Sie auch eine Verschlüsseln Sie alle E-Mail-Nachrichten Rahmen. Da E-Mail-Nachrichten normalerweise im Klartext gesendet werden, ist die Verschlüsselung eine hervorragende Möglichkeit, um sicherzustellen, dass Nachrichten während der Übertragung nicht abgefangen und offengelegt werden.
Obwohl diese beiden Gruppenrichtlinieneinstellungen recht einfach sind, hängen sie von einem Basiswert ab PKI-Infrastruktur. Dies erfordert ein öffentliches / privates Schlüsselpaar, das auf X.509v3-Zertifikaten basiert. Diese Zertifikate können mithilfe einer Unternehmenszertifizierungsstelle (Enterprise Certificate Authority, CA) erstellt oder von einer kommerziellen Zertifizierungsstelle erworben werden. Office 2010 verwendet diese Zertifikate, um für jeden Benutzer eine digitale Identität zu erstellen.
Obwohl Benutzer eine digitale ID lokal auf ihrem Desktop erstellen und speichern können, ist es besser, digitale IDs zentral in Unternehmensumgebungen zu speichern. Sie haben drei Möglichkeiten, digitale IDs zu speichern.
Die empfohlene Methode besteht darin, digitale IDs in der globalen Adressliste (GAL) zu speichern. Alle von einer Zertifizierungsstelle oder Active Directory-Zertifikatdienste generierten Zertifikate werden automatisch in der GAL veröffentlicht. Sie können extern generierte Zertifikate auch manuell in der GAL veröffentlichen.
Klicken Sie auf, um digitale IDs über Outlook 2010 in der GAL zu veröffentlichen Datei dann Registerkarte Trustcenter. Klicken Sie anschließend auf Trust Center-Einstellungen Knopf dann E-Mail-Sicherheit. Dort finden Sie eine Schaltfläche, mit der Sie digitale IDs in Ihrer GAL veröffentlichen können (Abbildung 4).
Veröffentlichen Sie digitale IDs über Outlook 2010 an Ihrer globalen Adresse.
Abbildung 4. Sie können eine digitale ID direkt über Outlook 2010 in der GAL veröffentlichen.
Schließlich haben Sie auch die Möglichkeit, Zertifikate entweder in einem LDAP-basierten Verzeichnisdienst zu speichern oder die digitalen IDs zu exportieren und direkt auf den Desktops Ihrer Benutzer zu speichern. Ich empfehle, wenn immer möglich, digitale IDs in der GAL zu veröffentlichen.
ÜBER DEN AUTOR:
Brien Posey
ist ein achtmaliger Microsoft MVP mit zwei Jahrzehnten IT-Erfahrung. Bevor er freiberuflicher technischer Redakteur wurde, arbeitete Brien als CIO für eine nationale Kette von Krankenhäusern und Gesundheitseinrichtungen. Er war auch als Netzwerkadministrator für einige der größten Versicherungsunternehmen des Landes und für das Verteidigungsministerium in Fort Knox tätig.

Similar Posts

Leave a Reply