|
恶意软件通过邮件传递是一件很不幸的事情。附加于邮件信息的恶意代码能够包含蠕虫或者病毒等。一旦一台计算机被感染了恶意代码,使用频繁的邮件系统将会让恶意软件迅速的被传播。 针对这样的问题,我们该怎么办?用户提出了更高级的个性化定制功能,这样,微软将他们包含在微软OFFICE系统中,作为其中的一个部分。首先真正令人头疼的是邮件病毒被创建,并通过使用Office宏语言被传播。近期,大量的恶意软件转移了“阵地”,利用微软IE浏览器的漏洞进行攻击。 综合考虑微软Outlook和其他Office应用,与微软Windows操作系统都具备了大量的优点,但是一些怀有恶意的用户错误的使用了这些特点,而没有同其他技巧进行区别。 完全不接受所有脚本和可执行文件形式的操作也不是一个好的方法。理想的解决方案是去提醒用户不要去打开那些可疑的附件。假设用户会按照你前面给出的方法一直做下去的话,我们能够了解的更好。 即使还是还是不能排除问题,阻止攻击。幸运的是,微软Outlook邮件安全特征和管理员的领悟能力的结合至少能够被应用到其中, 对于微软Outlook邮件安全特性的综述 在易用性和安全性之间往往会有矛盾存在,尤其是在为微软Outlook 98和Outlook Outlook 2000进行邮件安全更新时,出现在更新介绍界面中的安全特性描述中其言更甚。(更新的特性已被创建到Outlook2002以及微软Office Outlook 2003中了) 更新的目的是去添加特性到Outlook,以达到限制邮件携带的恶意软件传播的作用。这就必须严格的限制用户访问一些像可执行文件和VB脚本文件等类型附件的权限。另外,当外部程序(包括来自于微软本身和第三方软件)试图去访问确定的属性和方法时,安全更新会提醒Outlook来警告用户,在一些公司的环境中,比起附件安全转变来说这一项更具有影响。幸运的是,系统管理员能够通过一个微软Exchange Server 2003公用文件夹来个性化定制需要进行更新的部分,并且终端用户能够在管理员没有进行控制的情况下,个性化定制处理存放到系统上的附件。 微软Outlook标题设置标签
图13-3标题设置标签 Outlook对象模式。 Outlook对象模式允许你去使用存储在Outlook区域中的数据使用一组built-in接口,能够使用任何一门语言,支持COM。大多数情况下,人们平衡这个对象模式,将编码写入VB或者VBA中去完成。 简单MAPI(信报传递应用接口)。MAPI分为两种类型:简单MAPI和扩充MAPI。简单MAPI能够让开发者去添加基本的消息功能,比如为他们的基于Windows的应用发送、接收消息。扩充MAPI允许应用进行更多的控制,它也是一个外部应用能够在没有触发Outlook对象模式向导下使用Outlook的数据的唯一方法。 CDO(协作数据对象)。 CDO提供消息和协作功能。CDO让你能够以一个日程安排指定工作,寻找联系以及执行其他的技巧。CDO 1.21事实上是一个为MAPI知识库所做得客户端COM磕调用包程序,任何一种能够使用COM的语言就能使用CDO。CDO能够实现绝大部分,而不是全部的MAPI功能(但是比简单MAPI要多)。不要将这里的CDO同Exchange管理CDO(CDOEXM)或者作为Exchange和Windows一部分装载了同名的但是功能不同的 CDOSYS知识库,相混淆。 每一个可能进行的操作(使用CDO发送项目,使用简单MAPI查询地址簿项目,等等操作)是被独立控制的。当安装在客户端的第三方软件想要进行一些操作,你的指定操作是很有效率的:客户端不但自动相应请求(这应用于没有安全更新的Outlook 2000),进行请求拒绝,同时还提醒用户(已经进行了安全更新的Outlook的默认操作)。 微软 Outlook受信编码标签 受信编码标签没什么好看的,所以在这里我就不显示它了。它包含了一个列表箱和两个按钮:添加和删除。你使用这些按钮去添加或者删除列表中的COM外部程序,Outlook客户端信任(换句话说,允许运行)任何一个列表中的COM外部程序。然而,记住,在这个标签上指定一个外部程序并不是让它运行,也不是指它被安装到客户端上。 在这里制定一个外部程序只是意味着外部程序具有不需要触发对象模式向导而直接去调用Outlook对象模式。外部程序调用CDO依然依赖于向导。这里有一些使用这个标签的细微差别。首先,你只能够使用指定的Outlook外部程序,举例来说,一个微软Word的外部程序去调用Outlook对象模式功能是不可用的。第二,如果你在一个更新的版本中替换一个受信外部程序的话,你将需要将旧的版本从列表中删除,并添加一个新的,尽管两个版本有同样的文件名。 配置微软Outlook安全设置 在你配置了这些你想通过在Exchange服务器上创建项目进行的设置,你依然需要强制Outlook去使用这些设置。要想使用这个功能,你需要为客户端计算机配置一个新的注册键值。这就是为什么这是在你最开始使用Office或者Outlook时就进行好设置。 这项操作的最简单的方法是使用自定义安装向导,包括当你配置Office系统时在转换中的注册键值。如果你已经配置了Office,你能够使用自定义维护向导去添加注册键值信息到客户端上。然而,这些方法都不是强制的,所以客户端能够手动的去修改他们的本地设置。如果你想要强制使用新的注册键值,你需要去在一个系统或者组策略中配置它。 如果你使用策略管理你的Office安装,添加这个操作是很简单的。只需要添加正确的策略模板(.adm file),以使得你的策略对象包含必要的键值。接下来设置策略去应用到目标用户。如果你使用包含了Office资源包工具栏的系统策略编辑器(System Policy Editor),那么这表示正确的模板已经被装载。如果你使用活动目录组策略对象,你需要手动添加模板。当用户每次登陆到系统时,策略文件就会自动的审查通过你为客户端计算机进行的自定义安全设置。 这样的话,哪一个“不可思议的”键值是你必须去修改的?注册值是一个名为“CheckAdminSettings”的DWORD以及它下面的键值。 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftSecurity。这个键值定义了Outlook搜索哪里可以进行安全设置。表13-2显示了这个值如何去设置。 注意:因为通过安全更新,.reg文件被阻止,所以你不能将注册键值保存到一个文件,并通过邮件发送,并且在服务器没有安全设置时,通过默认Outlook设置它们也被阻止。另外,最好的确认办法是用户不改变这些设置去强制他们的应用使用组策略对象(GPO)。这是微软的推荐(尽管你)。 值 Outlook 2003如何操作 Key not present 使用默认设置 0 使用默认设置 1 查看Outlook安全设置文件夹中的设置,根据默认情况和你指定的指定用户,应用设置。 2 查看Outlook10安全设置文件夹,不使用Outlook安全设置文件夹中的任何设置。当你需要Outlook 2002,Outlook 2003以及Outlook 2000使用不同的设置时,使用这个值。 其它 使用默认设置
你可以选择不去配置公用文件夹,在你的Outlook客户端应用设置(尽管不做什么可以暂时清空一个有用的安全特性)。如果不这样做,接下来Outlook 2003将会继续使用前面讨论过的级别1和级别2的限制,但是有一些区别:每个用户能够个性化定制他或她自己的Outlook副本去控制级别1和级别2列表。诀窍是去在HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0OutlookSecurity key中添加名为Level1Remove的值。你添加到这里的扩展(如果超过一个,通过分号分割)是从被阻止的级别1列表中移除的,这样创建可知性文件的值,pl将会允许被执行,并且Perl脚本被保存到磁盘中替代完全阻止他们。事实上,你指定的扩展被从级别1降到级别2,他们完全被阻止了。终端用户不能将文件类型从级别2降到不受保护,只有系统管理员能够进行这样的操作。 如果你希望将一个新的文件类型添加到级别1列表中,你需要通过创建一个新的名为Level1Add的字符串,在如下位置:HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookSecurity key。 Tip: Sue Mosher认为一个记录应该包含链接到你的用户能够用于自定义他们的本地附件设置而不需要直接通过编辑注册表的,这样的工具。作为选择,你能够为Level1Remove设定一个值,作为GPO或者系统策略的一部分。这样,你就不需要必须花时间进行用户的本地设置了。 注意:检查一个用户是否进行了自定义Outlook安全设置,使用帮助|微软Outlook相关命令行。在许可信息上面,Outlook显示安全模式(我指的是安全模式:默认),一台用户定制的机器将会指出安全模式为:用户控制。 当然,它更多的是你将需要去让用户不必进行自定义他们自己的安全设置。最简单的方法是去添加一个名为DisallowAttachmentCustomization的新REG_DWORD值到Outlook键值,位置在:HKCUSoftwarePoliciesMicrosoftOffice11.0Outlook。当这个值设定好以后,Outlook将不再使用原先设立的Level1Add和Level1Remove键值。 为微软Outlook RPC over HTTP设置RPC 就像你在第11章了解到的,大多数RPC over HTTP设置,事实上在服务器端进行。在客户端,你将需要确认你的服务器有微软Windows XP。如果你使用SP1,你将需要使用Q331320修补程序,这个程序包含在SP2及更新的版本。同时你也需要为你的用户之间的前端和后端服务器通信,在Windows Server 2003上运行Exchange Server 2003,以及为所有的全局目录和域控制器都运行Windows Server 2003,让你的服务器和客户端能够正常使用。 |