Безопасность в Microsoft Outlook 2007

Как я уже писал в моей колонке в прошлом, одно из существенных изменений в Microsoft Office Outlook 2007 - то, что скрипты в HTML сообщениях не могут запускаться вообще...

Это только одно из многих усовершенствований Outlook 2007,делающее его более безопасным. Так как теперь доступно более стабильное обновление beta 2 для Microsoft Office (Microsoft Office system Beta 2 Technical Refresh (B2TR)) , я думаю, что пришло время, чтобы рассмотреть усовершенствования безопасности и секретности в Outlook 2007.

Давайте начнем с программного доступа и тех навязчивых запросов безопасности, которые пользователи видят, когда внешние приложения пробуют автоматизировать Outlook. По умолчанию, они не должны появляться в Outlook 2007, если у пользователя своевременно обновлённые антивирусные базы. Это очень выгодно для крупных корпораций имеющих свои внутренние программы, которые было бы дорого переписывать, чтобы они использовали методы автоматизации Outlook и не вызывали проблем с безопасностью. Кроме того, раньше установки программного доступа в Outlook позволяли работать с почтой только через общий сервер, теперь, с помощью «объекта групповой безопасности»(GPO), организациям можно использовать Outlook 2007 даже без создания общего сервера для почты.

Другая настройка в безопасности, которая могла бы затронуть существующие клиентские приложения это то, что Outlook 2007, по умолчанию, не показывает ничего из папки домашних страниц другим пользователям, кроме информации о папке и структурной иерархии папок. Папки домашних страниц – папки, синхронизированные с Интернет-страницами. Подобно любой странице Интернета, она может запускать программный код, но стоит заметить, что хотя он и запускается внутри Outlook , он не блокируется защитой Outlook, если страница вебсайта была открыта в Microsoft Internet Explorer. Если папка домашних страниц в другой папке является существенной для организации, то администратор может изменить её поведение, используя GPO. После добавления административного шаблона Outlk12.adm (см. URL ниже для загрузки этого шаблона), откройте User Configuration-> Administrative Templates,->Microsoft Office Outlook 2007-> Tools | Options...-> Other-> Advanced и найдите настройку «Do not allow folders in non-default stores to be set as folder home pages. »

Outlook 2007 включает улучшенную защиту против спама и фишинга, плюс более заметное предупреждение о подозрительных фишинг-сообщениях. Поняв, что пользователи часто должны посылать обычные сообщения, которые могли бы напоминать спам другим клиентам электронной почты, Microsoft, добавило новую особенность в Outlook, названную подписью электронной почты. Когда пользователь посылает сообщение по характеристикам похожее на спам, Outlook случайным образом генерирует сложную головоломку, перемешивает решение, и помещает информацию о головоломке и решении в два поля в SMTP заголовке сообщения. Получатель сообщения не видит ничего особенного в сообщении, но если у получателя Outlook 2007, то он может использовать содержание тех полей, чтобы решить, является или нет сообщение спамом. Отправитель не заметит небольшую задержку при отправке сообщений, но Microsoft утверждает, что эта особенность подписи электронной почты сделает Outlook непрактичным для использования спаммерами.

Outlook 2007 имеет ряд потенциальных дыр в безопасности, которые присутствовали в более ранних версиях. Подобно Outlook 2003, новая версия блокирует изображения и другое содержимое в HTML – сообщениях, которые могли бы содержать так называемых «сетевых жучков», которые показывают информацию о пользователе. Но в Outlook 2007 расширили эту особенность, дав пользователю новую опцию блокировки дополнительного содержимого не только при чтении сообщения, но также и при ответе, отправке, и печати.

В более ранних версиях, пользователь мог добавить файл vCard формата .vcf к любому электронному документу, но всегда существовала возможность случайно добавить в этот файл vCard личную информацию, сохраненную в общем списке адресов (GAL). Outlook 2007 устраняет эту возможность. Единственный тип vCard .vcf файла, который может быть включен в документ, созданный в новой версии Outlook – Электронная Визитная Карта. Чтобы создать Электронную Визитную Карточку, пользователь должен точно определить, какую информацию включить. Поэтому, нет никакого риска утечки информации из GAL.

Другая область, где секретность важна не менее – доступ к назначенным заданиям. Это особенно важно для руководителей, которые обеспокоены секретностью.:) В более ранних версиях Outlook пользователи или видели назначенные задания других пользователей, или, если они имели доступ Рецензента к папкам других пользователей, задания были видны в календаре другого пользователя. Единственный способ блокировать видимость любого назначенного задания для пользователя состоял в том, чтобы полностью прекратить использовать назначенные задания. При использовании Exchange 2007 Outlook 2007 расширяет опции для назначенных заданий, предлагая новые варианты «Ни для кого» и «время, предмет, и местоположение для назначенного задания». Таким образом, руководитель может установить четыре различных уровня доступа для четырех различных наборов людей в организации: отсутствие доступа – по умолчанию; полный доступ (то есть доступ Рецензента) для помощника руководителя; для других руководителей есть доступ ко времени, предмету, и местоположению назначенного задания; и для прямых отчётов есть доступ только ко времени назначенного задания.

Хороший способ узнать некоторые из новых возможностей в Outlook 2007 – загрузить административный шаблон .adm для B2TR и добавить его к редактору групповой политики (GPE) – тогда Вы сможете тогда можно изучить доступные опции. В дополнении к Outlk12.adm появилось одно долгожданное дополнение - объяснительный текст для большинства настроек безопасности.

Администраторы долго просили о возможности полного запрета в Outlook панели чтения (хотя она и не была источником уязвимости в течение многих лет). Outlook 2007 имеет эту опцию, хотя её и трудно найти в GPE. После того, как Вы добавите административный шаблон Outlk12.adm, ищите по адресу User Configuration-> Administrative Templates-> Microsoft Office Outlook 2007-> Tools | Options...-> Other там вы найдёте опцию запрета панели чтения.

И напоследок: Что можно сказать относительно уязвимости для вирусов, написанных на VML, о которой сообщала на прошлой неделе Sunbelt Software (см. http://www.windowsitpro.com/Article/ArticleID/93584/93584.html)? Согласно Sunbelt, Outlook 2007 B2TR не уязвим для этих языков.

Источник: http://http://www.windowsitpro.com/
Перевод: joe_fenrir