Outlook 2013 的安全和保护设置概述

项目
12/19/2017

适用于： Office 365 ProPlus, Outlook 2013

上一次修改主题： 2016-12-16

摘要： 了解 Outlook 2013 的安全设置。

目标用户： IT 专业人员

管理员可以在 Outlook 2013 中自定义许多与安全相关的功能。这包括如何强制实施安全设置，哪种 ActiveX 控件可以运行，自定义窗体安全设置和编程式安全设置。您还可以针对附件、信息权限管理、垃圾邮件和加密自定义 Outlook 2013 安全设置，这些内容包含在本文后面的其他设置中列出的其他文章中。

重要说明：
本文提供了适用于为其组织配置 Outlook 设置的管理员的内容。您是否正在桌面上查找有关 Outlook 中的安全设置的帮助？您可以在桌面上找到下列文章之一来帮助您保护 Outlook。 Blocked attachments in Outlook（Outlook 中被阻止的附件） How Outlook helps protect you from viruses, spam, and phishing（Outlook 如何帮助计算机抵御病毒、垃圾邮件和网络钓鱼的攻击或骚扰） Set a password to help protect your Outlook information（设置密码帮助保护 Outlook 信息） Get a digital ID（获取数字标识）

本文提供了适用于为其组织配置 Outlook 设置的管理员的内容。
您是否正在桌面上查找有关 Outlook 中的安全设置的帮助？您可以在桌面上找到下列文章之一来帮助您保护 Outlook。

Blocked attachments in Outlook（Outlook 中被阻止的附件）
How Outlook helps protect you from viruses, spam, and phishing（Outlook 如何帮助计算机抵御病毒、垃圾邮件和网络钓鱼的攻击或骚扰）
Set a password to help protect your Outlook information（设置密码帮助保护 Outlook 信息）
Get a digital ID（获取数字标识）

本文内容：

概述
指定如何在 Outlook 中强制实施安全设置
管理员与用户设置在 Outlook 2013 中的交互方式
使用 Outlook COM 加载项
在 Outlook 2010 中对 ActiveX 窗体和自定义窗体的安全性进行自定义
在 Outlook 2013 中自定义编程式设置
自定义简单 MAPI 设置
其他设置

概述

默认情况下，Outlook 被配置为使用高度安全相关设置。高安全级别可能会导致 Outlook 功能受限，例如，对电子邮件附件文件类型的限制。您可能必须降低您的组织的默认安全设置。但是，请注意，降低任何默认安全设置都有可能增加病毒执行或传播的风险。

使用组策略或 Outlook 安全模板开始配置 Outlook 2013 的安全设置之前，必须在组策略中配置 Outlook 安全模式。如果不设置 Outlook 安全模式，Outlook 2013 将使用默认安全设置并忽略您所做的任何 Outlook 2013 安全设置。

有关如何下载 Outlook 2013 管理模板以及有关其他 Office 2013 管理模板的信息，请参阅 Office 2013 组策略管理模板文件（ADMX、ADML）和 Office 自定义工具 (OCT) 文件。有关组策略的详细信息，请参阅 Office 2013 组策略概述和使用组策略在 Office 2010 中强制启用设置。

指定如何在 Outlook 中强制实施安全设置

与在 Office Outlook 2007 和 Outlook 2010 一样，您可以通过使用组策略配置 Outlook 2013 的安全选项（推荐），或者通过使用 Outlook 安全模板来更改安全设置，还可以将设置发布到 Exchange Server 公共文件夹中的顶级文件夹的窗体中。除非您的环境中有 Office Outlook 2003 或之前的版本，否则建议您使用组策略来配置安全设置。若要使用任一选项，您必须在组策略中启用“Outlook 安全模式”设置并设置“Outlook 安全策略”值。如果不启用此设置，则将强制实施产品中的默认安全设置。“Outlook 安全模式”设置位于“用户配置\管理模板\Microsoft Outlook 2013\安全性\安全窗体设置”下的 Outlook 2013 组策略模板 (Outlk15.admx) 中。当您启用“Outlook 安全模式”设置时，您将具有四个 Outlook 安全策略选项，下表中对这四个选项进行了描述。

Outlook 安全策略选项

Outlook 安全模式选项	说明
Outlook 默认安全性	Outlook 将忽略在组策略中或使用 Outlook 安全模板配置的任何安全相关设置。这是默认设置。
Outlook 安全组策略	Outlook 将使用组策略中的安全设置（推荐）。
“Outlook Security Settings”公用文件夹中的安全窗体	Outlook 将使用在指定的公用文件夹中发布的安全窗体中的设置。
“Outlook 10 Security Settings”公用文件夹中的安全窗体	Outlook 将使用在指定的公用文件夹中发布的安全窗体中的设置。

使用组策略自定义安全设置

当您使用组策略来配置 Outlook 2013 的安全设置时，请考虑以下因素：

**Outlook 安全模板中的设置必须手动迁移到组策略。**如果您以前用 Outlook 安全模板来管理安全设置，而现在选择使用组策略在 Outlook 2013 中强制实施设置，则必须将以前配置的设置手动迁移到对应的 Outlook 2013 组策略设置中。
**使用组策略配置的自定义设置不会立即生效。**您可以将组策略配置为：当用户已登录时，按您设定的频率在用户的计算机上自动刷新（在后台）。若要确保新组策略设置立即生效，用户必须注销并重新登录到其计算机。
**Outlook 仅在启动时检查安全设置。**如果在运行 Outlook 期间刷新了安全设置，则在用户关闭并重新启动 Outlook 之前不会使用新的配置。
在仅个人信息管理器 (PIM) 模式下，不会应用任何自定义设置。 在 PIM 模式下，Outlook 将使用默认安全设置。在此模式下，不需要也不使用任何管理员设置。

特殊环境

在使用组策略来为 Outlook 2013 配置安全设置时，请考虑您的环境中是否包含下表中显示的一个或多个应用场景。

特殊环境应用场景

应用场景	问题
用户使用托管 Exchange Server 访问其邮箱	如果用户通过托管 Exchange Server 访问邮箱，则您可以使用 Outlook 安全模板来配置安全设置或者使用默认的 Outlook 安全设置。在托管环境中，用户远程访问其邮箱。例如，用户可通过使用虚拟专用网络 (VPN) 连接或使用 Outlook 无处不在 (RPC over HTTP) 来远程访问其邮箱。因为组策略是通过使用 Active Directory 部署的，在此应用场景中，用户的本地计算机不是域的成员，因此无法应用组策略安全设置。此外，通过使用 Outlook 安全模板来配置安全设置，用户可以自动接收安全设置的更新。除非用户的计算机位于 Active Directory 域中，否则用户无法接收组策略安全设置的更新。
用户在其计算机上具有管理权限	在用户使用管理凭据登录时，不会强制实施对组策略设置的限制。具有管理权限的用户还可以在其计算机上更改 Outlook 安全设置，并可以删除或更改您所配置的限制。不仅对于 Outlook 安全设置是这种情况，对于所有的组策略设置也是如此。在组织打算为所有用户都实现标准的设置时，这虽然会成为一个问题，但还有以下缓解因素：在下次登录时组策略会覆盖本地更改。当用户登录时，对 Outlook 安全设置的更改将恢复为组策略设置。覆盖组策略设置将只影响本地计算机。具有管理权限的用户只能影响自己计算机上的安全设置，不会影响其他计算机上的用户的安全设置。没有管理权限的用户不能更改策略。在这种情况下，组策略安全设置如同使用 Outlook 安全模板配置的设置一样安全。
用户使用 Outlook Web App 访问 Exchange 邮箱	Outlook 和 Outlook Web App 未使用相同的安全模型。Outlook Web App 具有存储在 Exchange Server 计算机上的独立安全设置。有关详细信息，请参阅了解 Outlook Web App 的安全性。

用户使用托管 Exchange Server 访问其邮箱

如果用户通过托管 Exchange Server 访问邮箱，则您可以使用 Outlook 安全模板来配置安全设置或者使用默认的 Outlook 安全设置。在托管环境中，用户远程访问其邮箱。例如，用户可通过使用虚拟专用网络 (VPN) 连接或使用 Outlook 无处不在 (RPC over HTTP) 来远程访问其邮箱。因为组策略是通过使用 Active Directory 部署的，在此应用场景中，用户的本地计算机不是域的成员，因此无法应用组策略安全设置。

此外，通过使用 Outlook 安全模板来配置安全设置，用户可以自动接收安全设置的更新。除非用户的计算机位于 Active Directory 域中，否则用户无法接收组策略安全设置的更新。

用户在其计算机上具有管理权限

在用户使用管理凭据登录时，不会强制实施对组策略设置的限制。具有管理权限的用户还可以在其计算机上更改 Outlook 安全设置，并可以删除或更改您所配置的限制。不仅对于 Outlook 安全设置是这种情况，对于所有的组策略设置也是如此。

在组织打算为所有用户都实现标准的设置时，这虽然会成为一个问题，但还有以下缓解因素：

在下次登录时组策略会覆盖本地更改。当用户登录时，对 Outlook 安全设置的更改将恢复为组策略设置。
覆盖组策略设置将只影响本地计算机。具有管理权限的用户只能影响自己计算机上的安全设置，不会影响其他计算机上的用户的安全设置。
没有管理权限的用户不能更改策略。在这种情况下，组策略安全设置如同使用 Outlook 安全模板配置的设置一样安全。

用户使用 Outlook Web App 访问 Exchange 邮箱

Outlook 和 Outlook Web App 未使用相同的安全模型。Outlook Web App 具有存储在 Exchange Server 计算机上的独立安全设置。有关详细信息，请参阅了解 Outlook Web App 的安全性。

Outlook 2013 中的管理员设置与用户设置的交互方式

用户在 Outlook 2013 中定义的安全设置如同您作为管理员在组策略中配置的设置一样发挥作用。当两者之间存在冲突时，具有更高安全级别的设置将覆盖具有较低安全级别的设置。

例如，如果您使用组策略附件安全设置“添加要作为级别 1 阻止的文件扩展名”创建要阻止的级别 1 文件扩展名列表，您的列表将覆盖 Outlook 2013 随附的默认列表。它还将覆盖要阻止的级别 1 文件扩展名的用户设置。用户只能从 Outlook 2013 随附的默认列表中删除文件扩展名，而不能删除您添加到“添加要作为级别 1 阻止的文件扩展名”列表中的文件类型。例如，如果用户需要从级别 1 组中删除文件扩展名 .exe 和 .reg，而您使用“添加要作为级别 1 阻止的文件扩展名”组策略设置将 .exe 作为级别 1 文件类型添加，则用户只能从 Outlook 中的级别 1 组中删除 .reg 文件。

使用 Outlook COM 加载项

应该对 COM 加载项进行编码，使其能够利用 Outlook 信任模型，并可在运行时不在 Outlook 2013 中显示警告消息。用户在访问使用加载项的 Outlook 功能时可能仍然会看到警告，例如，当他们将手持设备与其桌面计算机上的 Outlook 2013 进行同步时。

但是，用户在 Outlook 2013 中看到警告的可能性比在 Office Outlook 2003 或更早版本中要小。对象模型 (OM) 保护功能在 Office Outlook 2007、Outlook 2010 和 Outlook 2013 中已更新，该功能有助于阻止病毒使用 Outlook 通讯簿传播。Outlook 2013 将查找最新的防病毒软件，以帮助确定何时显示通讯簿访问警告和其他 Outlook 安全警告。

您无法使用 Outlook 安全窗体或组策略更改 OM 保护。但是，如果您使用默认的 Outlook 2013 安全设置，则 Outlook 2013 中安装的所有 COM 加载项都是默认受信任的。如果您使用组策略自定义安全设置，则可以指定受信任且在运行时不受 Outlook 对象模型阻止的 COM 加载项。

不过，Outlook 2013 中提供了两个新的配置设置，即“托管加载项列表”和“阻止所有非托管加载项”，二者分别允许您创建始终启用的加载项列表或始终阻止的加载项列表。这些设置将会覆盖信任中心设置。如果某个加载项位于“阻止所有非托管加载项”列表中且已被添加到设置“配置受信任加载项”中，则该加载项将被阻止。您可以在“用户配置\管理模板\Microsoft Outlook 2013\杂项”下的 Outlook 组策略模板中找到设置“托管加载项列表”和“阻止所有非托管加载项”。

若要信任某个 COM 加载项，请在组策略设置中包含该加载项的文件名以及该文件的计算哈希值。您必须先安装一个程序来计算哈希值，然后才能指定 Outlook 信任的加载项。有关如何执行此操作的详细信息，请参阅管理 Outlook 2010 的受信任加载项。

如果通过 Exchange Server 公用文件夹中发布的 Microsoft Exchange Server 安全窗体强制实施了自定义的 Outlook 安全设置，则可以了解如何信任 COM 加载项。在 Microsoft Office 2003 资源工具包文章 Outlook 安全模板设置中向下滚动到“‘受信任的代码’选项卡”一节。

在将加载项包含到受信任的加载项列表中后，如果用户仍然看到安全提示，则必须协同 COM 加载项开发人员来解决此问题。有关对受信任的加载项进行编码的详细信息，请参阅 Important Security Notes for Microsoft Outlook COM Add-in Developers（针对 Microsoft Outlook COM 加载项开发人员的重要安全说明）。

在 Outlook 2013 中对 ActiveX 窗体和自定义窗体的安全性进行自定义

您可以为 Outlook 2013 用户指定 ActiveX 窗体和自定义窗体安全设置。自定义窗体安全设置包括用于更改 Outlook 2013 如何限制脚本、自定义控件和自定义操作的选项。

自定义 ActiveX 控件在一次性窗体中的行为方式

当 Outlook 接收到包含窗体定义的邮件时，该项目为一次性窗体。为帮助阻止有害的脚本和控件在一次性窗体中运行，Outlook 在默认情况下不在一次性窗体中加载 ActiveX 控件。

可以使用组策略 Outlook 2013 模板 (Outlk15.admx) 来锁定用于自定义 ActiveX 控件的设置。或者，可以使用 Office 自定义工具 (OCT) 配置默认设置，在这种情况下，用户可以更改设置。在组策略中，请使用“用户配置\管理模板\Microsoft Outlook 2013\安全性”下的“允许 ActiveX 一次性窗体”。在 OCT 中，“允许 ActiveX 一次性窗体”设置位于 OCT 的“修改用户设置”页上相应的位置。有关 OCT 的详细信息，请参阅 Office 2013 的 Office 自定义工具 (OCT) 参考。

启用“允许 ActiveX 一次性窗体”设置时，有三个选项可供选择，下表对这三个选项进行了介绍。

“允许 Active X 一次性窗体”设置选项

选项	说明
允许所有 ActiveX 控件	允许所有 ActiveX 控件不受限制地运行。
仅允许安全控件	只允许安全的 ActiveX 控件运行。如果 ActiveX 控件是用验证码签名的，并且签名者列于受信任的发布者列表中，则证明 ActiveX 控件是安全的。
仅加载 Outlook 控件	Outlook 仅加载以下控件，这些控件是可在一次性窗体中使用的唯一控件。 fm20.dll 中的控件 Microsoft Office Outlook 富格式控件 Microsoft Office Outlook 收件人控件 Microsoft Office Outlook 视图控件

允许所有 ActiveX 控件

允许所有 ActiveX 控件不受限制地运行。

仅允许安全控件

只允许安全的 ActiveX 控件运行。如果 ActiveX 控件是用验证码签名的，并且签名者列于受信任的发布者列表中，则证明 ActiveX 控件是安全的。

仅加载 Outlook 控件

Outlook 仅加载以下控件，这些控件是可在一次性窗体中使用的唯一控件。

fm20.dll 中的控件
Microsoft Office Outlook 富格式控件
Microsoft Office Outlook 收件人控件
Microsoft Office Outlook 视图控件

如果您未配置这些选项中的任何一项，默认情况下将只加载 Outlook 控件。

对自定义窗体的安全设置进行自定义

您可以通过使用组策略 Outlook 2013 模板 (Outlk15.admx) 来锁定设置以配置自定义窗体的安全性。在组策略中，这些设置位于“用户配置\管理模板\Microsoft Outlook 2013\安全性\安全窗体设置\自定义窗体安全性”下。

下表中显示了您可以为脚本、自定义控件和自定义操作配置的设置：

脚本、自定义控件和自定义操作设置

设置名称	注册表路径和值名称	说明
允许一次性 Outlook 窗体中的脚本	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts	在邮件中运行包含脚本和布局的窗体中的脚本。如果用户收到包含脚本的一次性窗体，则会提示用户是否要运行该脚本。
设置 Outlook 对象模型自定义操作执行提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction	使用 Outlook 对象模型指定当程序试图运行自定义操作时所发生的情况。可以创建自定义操作以答复消息并绕过编程式发送保护。选择下列选项之一：提示用户使用户能够收到一条消息，并决定是否允许编程式发送访问。自动批准始终允许编程式发送访问，且不显示消息。自动拒绝始终拒绝编程式发送访问，且不显示消息。根据计算机安全设置提示用户强制实施 Outlook 2013 中的默认设置。

允许一次性 Outlook 窗体中的脚本

组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts

在邮件中运行包含脚本和布局的窗体中的脚本。如果用户收到包含脚本的一次性窗体，则会提示用户是否要运行该脚本。

设置 Outlook 对象模型自定义操作执行提示

组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction

使用 Outlook 对象模型指定当程序试图运行自定义操作时所发生的情况。可以创建自定义操作以答复消息并绕过编程式发送保护。选择下列选项之一：

提示用户 使用户能够收到一条消息，并决定是否允许编程式发送访问。
自动批准 始终允许编程式发送访问，且不显示消息。
自动拒绝 始终拒绝编程式发送访问，且不显示消息。
根据计算机安全设置提示用户 强制实施 Outlook 2013 中的默认设置。

在 Outlook 2013 中自定义编程式设置

作为 Outlook 2013 管理员，您可以配置编程式安全设置来管理对 Outlook 对象模型的限制。通过 Outlook 对象模型，您可以以编程方式操作存储在 Outlook 文件夹中的数据。

注意：
Exchange Server 安全模板包括用于协作数据对象 (CDO) 的设置。但是，不支持在 Outlook 2013 中使用 CDO。

您可以使用组策略来为 Outlook 对象模型配置编程式安全设置。在组策略中，加载 Outlook 2013 模板 (Outlk15.admx)。组策略设置位于“用户配置\管理模板\Microsoft Outlook 2013\安全性\安全窗体设置\程序安全性”下。无法通过使用 Office 自定义工具来配置这些设置。

以下是针对编程式设置的组策略选项的说明。您可以为每个项目选择下列设置之一：

提示用户 用户收到一条消息，允许用户选择是允许还是拒绝该操作。对于某些提示，用户可以选择允许或拒绝该操作且 10 分钟内不再提示。
自动批准 Outlook 自动批准来自任何程序的编程式访问请求。此选项可能会造成重大漏洞，我们建议您不要选择该选项。
自动拒绝 Outlook 自动拒绝来自任何程序的编程式访问请求。用户不会收到提示。
根据计算机安全设置提示用户 Outlook 依赖于信任中心的“编程访问”部分中的设置。这是默认行为。

下表显示了您可以为 Outlook 对象模型的编程式安全设置配置的设置。

编程式安全设置

设置名称	注册表路径和值名称	说明
配置访问通讯簿时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressbookaccess	通过使用 Outlook 对象模型指定当程序试图访问通讯簿时会发生什么情况。
配置访问 UserProperty 对象的 Formula 属性时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomformulaaccess	指定当用户将“合并”或“公式”自定义字段添加到自定义窗体，并将其绑定到“地址信息”字段时，会发生什么情况。通过执行此操作，可以使用代码获取“地址信息”字段的“值”属性，从而间接检索该字段的值。
配置执行“另存为”操作时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsaveas	指定当程序试图以编程方式使用“另存为”命令保存项目时会发生什么情况。在项目已保存时，恶意程序可能会搜索文件以查找电子邮件地址。
配置读取地址信息时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressinformationaccess	通过使用 Outlook 对象模型指定当程序试图访问收件人字段（如“收件人”）时会发生什么情况。
配置响应会议和任务要求时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoommeetingtaskrequestresponse	通过使用对任务请求和会议请求的“响应”方法指定当程序试图以编程方式发送邮件时，会发生什么情况。此方法非常类似于电子邮件上的“发送”方法。
配置发送邮件时的 Outlook 对象模型提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsend	通过使用 Outlook 对象模型指定当程序试图以编程方式发送邮件时，会发生什么情况。

自定义简单 MAPI 设置

您可以使用组策略来为 Outlook 对象模型配置简单 MAPI 设置。在组策略中，加载 Outlook 2013 模板 (Outlk15.admx)。组策略设置位于“用户配置\管理模板\Microsoft Outlook 2013\安全性\安全窗体设置\程序安全性”下。无法通过使用 Office 自定义工具来配置这些设置。

简单 MAPI 设置

设置名称	注册表路径和值名称	说明
配置简单 MAPI 发送提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapisend	允许您指定当程序尝试使用简单 MAPI 以编程方式发送邮件时发生的情形。
配置简单 MAPI 名称解析提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapinameresolve	允许您指定当程序尝试使用简单 MAPI 获取通讯簿的访问权限时发生的情形。
配置简单 MAPI 邮件打开提示	组策略注册表路径：HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapiopenmessage	允许您指定当程序尝试使用简单 MAPI 获取收件人字段（如“收件人”字段）的访问权限时发生的情形。

其他设置

下表列出了包含本文中未涉及的其他安全设置的文章。

其他安全性文章

功能	相关资源
ActiveX 控件	规划 Office 2013 ActiveX 控件的安全设置
附件	规划 Outlook 2013 中的附件设置
加密	规划 Outlook 2010 中的电子邮件加密
数字签名	规划 Office 2013 的数字签名设置
垃圾邮件	规划 Outlook 2010 中的垃圾邮件限制
信息权限管理	规划 Office 2013 中的信息权限管理
受保护的视图	规划 Office 2013 的受保护视图设置

另请参阅

Office 2013 中的安全概述