Festlegen einheitlicher Outlook 2007-Kryptografieoptionen für eine Organisation
Letzte Aktualisierung: April 2012
Betrifft: Office Resource Kit
Letztes Änderungsdatum des Themas: 2015-05-21
Sie können viele Aspekte der Microsoft Office Outlook 2007-Kryptografiefeatures steuern, um die Konfiguration der Messaging- und Nachrichtenverschlüsselung in Ihrer Organisation sicherer zu gestalten. Beispielsweise können Sie eine Gruppenrichtlinieneinstellung konfigurieren, die ein Sicherheitskennzeichen für alle ausgehenden Nachrichten vorschreibt oder die Veröffentlichung in der globalen Adressliste deaktiviert.
Sie können die Einstellungen zum Anpassen der Kryptografie mithilfe der Gruppenrichtlinienvorlage (Outlk12.adm) sperren. Oder Sie können mithilfe des Office-Anpassungstools (OAT) Standardeinstellungen konfigurieren. In diesem Fall können Benutzer die Einstellungen ändern. Die OAT-Einstellungen befinden sich auf der Seite Benutzereinstellungen ändern des OAT.
Die Outlook-Vorlage und andere ADM-Dateien können im Microsoft Download Center unter Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Office-Anpassungstool Version 2.0 heruntergeladen werden.
So passen Sie Kryptografieoptionen mithilfe von Gruppenrichtlinien an
Laden Sie die Office Outlook 2007-Vorlage (Outlk12.adm) in die Gruppenrichtlinien.
Zum Anpassen der Kryptografieeinstellungen doppelklicken Sie unter Benutzerkonfiguration\Administrative Vorlagen\Microsoft Office Outlook 2007\Sicherheit\Kryptografie auf die Richtlinieneinstellung, die Sie festlegen möchten. Doppelklicken Sie beispielsweise auf Schaltfläche 'In GAL veröffentlichen' nicht anzeigen. (Einige Optionen befinden sich auch im Ordner Dialogfeld 'Signaturstatus'.)
Klicken Sie auf Aktiviert. Wählen Sie ggf. eine Option auf der Registerkarte Einstellung aus.
Klicken Sie auf OK.
Die konfigurierbaren Kryptografieeinstellungen sind unten aufgeführt:
| Kryptografieoption | Beschreibung |
|---|---|
Mindestverschlüsselungseinstellungen |
Legt die minimale Schlüssellänge für eine verschlüsselte E-Mail-Nachricht fest. |
S/MIME-Interoperabilität mit externen Clients |
Gibt das Verhalten bei der Behandlung von S/MIME-Nachrichten an. |
Immer Rich-Text-Formatierung in S/MIME-Nachrichten verwenden |
Verwendet anstelle des vom Benutzer angegebenen Formats immer Rich-Text für S/MIME-Nachrichten. |
S/MIME-Kennworteinstellungen |
Gibt den Standardwert und die maximale Zeitspanne für die Gültigkeit eines S/MIME-Kennworts an. |
Nachrichtenformate |
Wählt die zu unterstützenden Nachrichtenformate aus: S/MIME (Standard), Exchange, Fortezza oder eine Kombination dieser Formate. |
Benachrichtigung, wenn Outlook die digitale ID zum Decodieren einer Nachricht nicht findet |
Dient zur Eingabe einer Nachricht, die Benutzern angezeigt wird. |
Option 'Weiter' in Dialogfeldern mit Verschlüsselungswarnungen nicht bereitstellen |
Deaktiviert die Schaltfläche "Weiter" in Dialogfeldern mit Warnungen zu Verschlüsselungseinstellungen. |
Im FIPS-kompatiblen Modus ausführen |
Versetzt Outlook in den FIPS 140-1-Modus. |
E-Mail-Adresse nicht mit der Adresse von verwendeten Zertifikaten vergleichen |
Vergleicht die E-Mail-Adresse des Benutzers nicht mit der Adresse der für die Verschlüsselung oder Signierung verwendeten Zertifikate. |
Alle E-Mail-Nachrichten verschlüsseln |
Verschlüsselt alle ausgehenden E-Mail-Nachrichten. |
Alle E-Mail-Nachrichten signieren |
Signiert ausgehende E-Mail-Nachrichten. |
Alle signierten Nachrichten als Klartext senden |
Verwendet Klartext für signierte ausgehende E-Mail-Nachrichten. |
S/MIME-Bestätigung anfordern, wenn mit S/MIME signiert |
Fordert für ausgehende E-Mail-Nachrichten eine Empfangsbestätigung mit erhöhter Sicherheit an. |
URL für S/MIME-Zertifikate |
Stellt eine URL bereit, von der Benutzer eine S/MIME-Empfangsbestätigung erhalten können. Die URL kann drei Variablen (%1, %2 und %3) enthalten, die durch den Namen, die E-Mail-Adresse und die Sprache des Benutzers ersetzt werden. |
Beschriftung aller mit S/MIME signierter Nachrichten sicherstellen |
Legt fest, dass alle mit S/MIME signierten Nachrichten ein Sicherheitskennzeichen aufweisen müssen. |
Schaltfläche 'In GAL veröffentlichen' nicht anzeigen |
Deaktiviert die Schaltfläche In GAL veröffentlichen auf der Seite E-Mail-Sicherheit im Vertrauensstellungscenter. |
Signaturwarnung |
Dient zum Festlegen einer Option zum Anzeigen von Signaturwarnungen für Benutzer. |
S/MIME-Bestätigungsanforderungen |
Dient zum Festlegen einer Option für die Behandlung von S/MIME-Bestätigungsanforderungen. |
Fortezza-Zertifikatrichtlinien |
Dient zur Eingabe einer Liste von Richtlinien, die in den Richtlinienerweiterungen eines Zertifikats zulässig sind und anzeigen, dass es sich um ein Fortezza-Zertifikat handelt. Die Richtlinien werden durch Semikolons getrennt aufgelistet. |
SuiteB-Algorithmen sind für S/MIME-Vorgänge erforderlich |
Verwendet für S/MIME-Vorgänge nur SuiteB-Algorithmen. |
Kryptografiesymbole aktivieren |
Zeigt Outlook-Kryptografiesymbole auf der Outlook-Benutzeroberfläche an. |
Abrufen von Zertifikatsperrlisten |
Gibt das Verhalten von Outlook beim Abrufen von Zertifikatsperrlisten an. |
Fehlende Zertifikatsperrlisten |
Gibt an, wie Outlook auf fehlende Zertifikatsperrlisten reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard). |
Fehlende Stammzertifikate |
Gibt an, wie Outlook auf fehlende Stammzertifikate reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard). |
Fehler der Ebene 2 als Fehler, nicht als Warnungen, höher stufen |
Gibt an, wie Outlook auf Fehler der Ebene 2 reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard). |
Anlage sicherer temporärer Ordner |
Gibt einen Ordnerpfad für den sicheren Ordner für temporäre Dateien an. Setzt den Standardpfad außer Kraft und wird nicht empfohlen. |
Weitere Informationen zum Festlegen von Outlook-Kryptografieoptionen
Die folgenden Abschnitte enthalten weitere Informationen zu Konfigurationsoptionen für Outlook-Kryptografie.
Outlook-Sicherheitsrichtlinieneinstellungen
In der folgenden Tabelle sind die Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Installation konfigurieren können. Die Windows-Registrierungseinstellungen entsprechen den oben aufgeführten Gruppenrichtlinieneinstellungen. Fügen Sie diese Werteinträge im folgenden Unterschlüssel hinzu:
HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security
| Wertname | Wertdaten (Datentyp) | Beschreibung | Entsprechende Option auf der Benutzeroberfläche |
|---|---|---|---|
AlwaysEncrypt |
0, 1 (DWORD) |
Auf 1 festlegen, um ausgehende Nachrichten zu verschlüsseln. Standard: 0. |
Kontrollkästchen Inhalt verschlüsseln (Seite E-Mail-Sicherheit) |
AlwaysSign |
0, 1 (DWORD) |
Auf 1 festlegen, um ausgehende Nachrichten zu signieren. Standard: 0. |
Kontrollkästchen Dig. Signatur ausgehenden Nachrichten hinzufügen (Seite E-Mail-Sicherheit) |
ClearSign |
0, 1 (DWORD) |
Auf 1 festlegen, um Klartext für ausgehende Nachrichten zu verwenden. Standard: 0. |
Kontrollkästchen Signierte Nachrichten als Klartext senden (Seite E-Mail-Sicherheit) |
RequestSecureReceipt |
0, 1 (DWORD) |
Auf 1 festlegen, um für ausgehende Nachrichten Empfangsbestätigungen mit erhöhter Sicherheit anzufordern. Standard: 0. |
Kontrollkästchen S/MIME-Bestätigung anfordern (Seite E-Mail-Sicherheit) |
ForceSecurityLabel |
0, 1 (DWORD) |
Auf 1 festlegen, um eine Beschriftung für ausgehende Nachrichten vorzuschreiben. (Mit der Registrierungseinstellung wird die Beschriftung selbst nicht festgelegt.) Standard: 0. |
Keine |
ForceSecurityLabelX |
ASN-codiertes BLOB (Binär) |
Dieser Werteintrag gibt an, ob ein benutzerdefiniertes Sicherheitskennzeichen auf ausgehenden signierten Nachrichten vorhanden sein muss. Die Zeichenfolge kann optional die Beschriftung, die Klassifizierung und die Kategorie enthalten. Standardmäßig ist kein Sicherheitskennzeichen erforderlich. |
Keine |
SigStatusNoCRL |
0, 1 (DWORD) |
0 festlegen, um anzugeben, dass während der Gültigkeitsprüfung der Signatur bei einer fehlenden Zertifikatsperrliste eine Warnung ausgegeben wird. Auf 1 festlegen, um anzugeben, dass bei einer fehlenden Zertifikatsperrliste ein Fehler ausgegeben wird. Standard: 0. |
Keine |
SigStatusNoTrustDecision |
0, 1, 2 (DWORD) |
Auf 0 festlegen, um anzugeben, dass die Entscheidung "Nicht vertrauenswürdig" zulässig ist. Auf 1 festlegen, dass bei der Entscheidung "Nicht vertrauenswürdig" eine Warnung ausgegeben wird. Auf 2 festlegen, um anzugeben, dass bei der Entscheidung "Nicht vertrauenswürdig" ein Fehler ausgegeben wird. Standard: 0. |
Keine |
PromoteErrorsAsWarnings |
0, 1 (DWORD) |
Auf 0 festlegen, um Fehler der Ebene 2 als Fehler höher zu stufen. Auf 1 festlegen, um Fehler der Ebene 2 als Warnungen höher zu stufen. Standard: 1. |
Keine |
PublishtoGalDisabled |
0, 1 (DWORD) |
Auf 1 festlegen, um die Schaltfläche In GAL veröffentlichen zu deaktivieren. Standard: 0. |
Schaltfläche In GAL veröffentlichen (Seite E-Mail-Sicherheit) |
FIPSMode |
0, 1 (DWORD) |
Auf 1 festlegen, um Outlook in den FIPS 140-1-Modus zu versetzen. Standard: 0. |
Keine |
WarnAboutInvalid |
0, 1, 2 (DWORD) |
Auf 0 festlegen, um das Kontrollkästchen Anzeigen und fragen (deaktivierbares Dialogfeld Problem mit sicherer E-Mail) anzuzeigen. Auf 1 festlegen, um das Dialogfeld immer anzuzeigen. Auf 2 festlegen, um das Dialogfeld niemals anzuzeigen. Standard: 2. |
Deaktivierbares Dialogfeld Problem mit sicherer E-Mail |
DisableContinueEncryption |
0, 1 (DWORD) |
Auf 0 festlegen, um die Schaltfläche zum Fortsetzen der Verschlüsselung im letzten Dialogfeld zu Verschlüsselungsfehlern anzuzeigen. Auf 1 festlegen, um die Schaltfläche auszublenden. Standard: 0. |
Schaltfläche zum Fortsetzen der Verschlüsselung im letzten Dialogfeld zu Verschlüsselungsfehlern. Dieses Dialogfeld wird angezeigt, wenn ein Benutzer versucht, eine Nachricht an eine Person zu senden, die keine verschlüsselten Nachrichten empfangen kann. Diese Einstellung deaktiviert die Schaltfläche, über die Benutzer unabhängig davon dennoch Nachrichten senden können. (Der Empfänger kann verschlüsselte E-Mail-Nachrichten, die durch Außerkraftsetzen des Fehlers gesendet wurden, nicht öffnen.) |
RespondtoReceiptRequest |
0, 1, 2, 3 (DWORD) |
Auf 0 festlegen, um immer eine Bestätigungsantwort zu senden und ggf. zur Eingabe eines Kennworts aufzufordern. Auf 1 festlegen, um beim Senden einer Bestätigungsantwort zur Eingabe eines Kennworts aufzufordern. Auf 2 festlegen, um niemals eine Bestätigungsantwort zu senden. Auf 3 festlegen, um das Senden einer Bestätigungsantwort zu erzwingen. Standard: 0. |
Keine |
NeedEncryptionString |
Zeichenfolge |
Zeigt die angegebene Zeichenfolge an, wenn der Benutzer erfolglos versucht, eine verschlüsselte Nachricht zu öffnen. Kann Informationen darüber bereitstellen, wo die Sicherheitsregistrierung erfolgen soll. Sofern keine andere Zeichenfolge festgelegt wird, wird die Standardzeichenfolge verwendet. |
Standardzeichenfolge |
Optionen |
0, 1 (DWORD) |
Auf 0 festlegen, um ein Warnungsdialogfeld anzuzeigen, wenn ein Benutzer versucht, eine signierte Nachricht mit einer ungültigen Signatur zu lesen. Auf 1 festlegen, um die Warnung niemals anzuzeigen. Standard: 0. |
Keine |
MinEncKey |
40, 64, 128, 168 (DWORD) |
Legt die minimale Schlüssellänge für eine verschlüsselte E-Mail-Nachricht fest. |
Keine |
RequiredCA |
Zeichenfolge |
Legt den Namen der erforderlichen Zertifizierungsstelle fest. Wenn ein Wert festgelegt wird, wird in Outlook das Signieren von E-Mail-Nachrichten mithilfe eines Zertifikats von einer anderen Zertifizierungsstelle unterbunden. |
Keine |
EnrollPageURL |
Zeichenfolge |
URL für die Standardzertifizierungsstelle (intern oder extern), von der Benutzer neue digitale IDs beziehen sollen. Hinweis: Legen Sie diesen Wert im Unterschlüssel HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security fest, wenn Sie keine Administratorrechte auf dem Benutzercomputer besitzen. |
Schaltfläche Digitale ID anfordern (Seite E-Mail-Sicherheit) |
Wenn Sie einen Wert für PromoteErrorsAsWarnings angeben, gelten u. a. die folgenden Bedingungen für Fehler der Ebene 2:
Unbekannter Signaturalgorithmus
Keine Signaturzertifizierung gefunden
Unzulässige Attributsätze
Kein Ausstellerzertifikat gefunden
Keine Zertifikatsperrliste gefunden
Veraltete Zertifikatsperrliste
Problem mit der Stammvertrauensstellung
Veraltete Zertifikatvertrauensliste (Certificate Trust List, CTL)
Wenn Sie einen Wert für EnrollPageURL angeben, können Sie mithilfe der folgenden Parameter Informationen über den Benutzer an die Registrierungswebseite senden.
| Parameter | Platzhalter in URL-Zeichenfolge |
|---|---|
Anzeigename des Benutzers |
%1 |
SMTP-E-Mail-Name |
%2 |
ID der Benutzeroberflächensprache |
%3 |
Zum Senden von Benutzerinformationen an die Registrierungswebseite von Microsoft legen Sie beispielsweise den EnrollPageURL-Eintrag auf den folgenden Wert und die folgenden Parameter fest:
www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3
Wenn beispielsweise der Name des Benutzers Jeff Smith, die E-Mail-Adresse someone@example.com und die ID der Benutzeroberflächensprache 1033 lautet, werden die Platzhalter wie folgt aufgelöst:
www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033
Sicherheitsrichtlinieneinstellungen für allgemeine Kryptografie
In der folgenden Tabelle sind zusätzliche Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Konfiguration verwenden können. Diese Einstellungen sind im folgenden Unterschlüssel enthalten:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default
| Wertname | Wertdaten (Datentyp) | Beschreibung | Entsprechende Option auf der Benutzeroberfläche |
|---|---|---|---|
ShowWithMultiLabels |
0, 1, (DWORD) |
Auf 0 festlegen, um zu versuchen, eine Meldung anzuzeigen, wenn auf der Signaturschicht unterschiedliche Beschriftungen für verschiedene Signaturen festgelegt wurden. Auf 1 festlegen, um die Anzeige der Meldung zu verhindern. Standard: 0. |
Keine |
CertErrorWithLabel |
0, 1, 2 (DWORD) |
Auf 0 festlegen, um eine Nachricht mit einem Zertifikatfehler zu verarbeiten, wenn die Nachricht eine Beschriftung aufweist. Auf 1 festlegen, um den Zugriff auf eine Nachricht mit einem Zertifikatfehler zu verweigern. Auf 2 festlegen, um unabhängig von der Nachrichtenbeschriftung Zugriff auf die Nachricht zu gewähren. (Der Zertifikatfehler wird dennoch angezeigt.) Standard: 0. |
Keine |
Sicherheitsrichtlinieneinstellungen für vom Schlüsselverwaltungsdienst ausgestellte Zertifikate
Die Werte in der folgenden Tabelle gelten nur für Zertifikate, die vom Microsoft Exchange-Schlüsselverwaltungsserver (Key Management Server, KMS) ausgestellt wurden. In der Tabelle sind zusätzliche Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Konfiguration verwenden können. Diese Einstellungen sind im folgenden Unterschlüssel enthalten:
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider
| Wertname | Wertdaten (Datentyp) | Beschreibung | Entsprechende Option auf der Benutzeroberfläche |
|---|---|---|---|
MaxPWDTime |
0, Zahl (DWORD) |
Auf 0 festlegen, um die Möglichkeit zum Speichern eines Kennworts zu unterbinden (der Benutzer muss jedes Mal ein Kennwort eingeben, wenn ein Schlüsselsatz erforderlich ist). Eine positive Zahl gibt das maximale Kennwortalter in Minuten an. Standard: 999. |
Keine |
DefPWDTime |
Zahl (DWORD) |
Legt den Standardwert für den Zeitraum fest, für den ein Kennwort gespeichert wird. |
Keine |
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in die folgenden Bücher zum Herunterladen aufgenommen:
Messaginghandbuch für die 2007 Office-Version (in englischer Sprache)
Sicherheit für die 2007 Office-Version (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Inhalte zum Herunterladen für das 2007 Office Resource Kit.