微软的软件体系结构所含有的核心特性会使安全漏洞长期存在于Windows Outlook客户程序及Office的其它程序。企业应该实施严格的配置管理措施,以减小病毒或其它类型的恶性代码利用这些漏洞的隐患。
另外的风险来自微软为用户定制个性化收发消息而提供的灵活性。就此而言,企业应该加强政策和培训,以便应对与用户行为有关的风险。
仍在使用Outlook 98的企业能够加密安全,但Gartner认为,这些用户应该立即升级至Outlook 2000。因为后者是微软提高安全和发布补丁的重中之重。除了加强安全,升级还能改善远程访问性能、减少消息丢失,这将有助于证明有必要升级。企业应该不断打上所有的最新补丁,所以下令安装补丁非常关键。
防止脚本和程序的未授权执行
Outlook最众所周知的漏洞来自微软产品执行Visual Basic及HTML脚本和宏指令历来所具有的功能,却又不采取严格的验证程序。“爱虫”病毒只是普遍的基于脚本的电子邮件病毒的一个例子而已,许多年后,黑客很容易重新设计及再次发布这类病毒。黑客在共享的工具能够利用微软内部特性的缺陷,从而使新手与比较老道的黑客一样轻而易举就能够造成严重破坏,而且破坏会越来越频繁。
因此,微软的Outlook安全补丁致力于防止偶尔执行通过电子邮件发送的代码。可执行程序在使用前必须加以保存,从而使用户的防病毒和防火墙程序更可能发挥作用。如果恶性代码真的发作,安全补丁就会阻止程序自动发送电子邮件消息。在这个时候用户必须参予,并按下发送键。同样,如果没有用户的干预,程序就无法自动处理地址簿信息或定制表格。即使有几个用户在上面点击、诱使恶性事情发作,感染病毒的资料传播开来也是极为缓慢,从而使企业有时间查明恶性事件、采取对策。如果加强安全培训,用户会报告电子邮件系统出现的可疑活动。关于现有补丁的信息以及确定个人用户系统补丁级别的一款工具在微软的Windows Update网站上能够找到。
把Outlook加入标准系统映像时,信息系统部门必须制订并实施消息加密规则。应该建立采用存储加密的消息文件夹,这样通过企业Exchange服务器发送的消息就会得到加密。另外,避免用户日程表和临时数据偶尔被暴露这种情形也很有必要,所以企业应该确保公共文件夹、用户草稿消息文件夹、授权及其它管理设置没有使数据暴露在公司内部或因特网上的其他用户面前。
如果保密消息要发送到企业外面,信息系统组织必须确保消息不仅仅进行了数字签名,还要确保经过加密。未经加密的电子邮件内容在传送途中很容易被人读取,而且到了目的地的服务器,也很容易被大多数系统管理员读取。用户在Outlook Help的安全与加密主题下面可以找到基本消息加密及文件夹访问在设置方面的建议。
保护Outlook Web访问
Outlook Web访问(OWA)简化了从众多平台访问Exchange的工作,对远程访问来说极其方便。然而,实施OWA时务必要小心,以免企业遭受入侵,同时确保电子邮件的部分内容和访问控制权限未遗留在来宾系统上。从企业外能够访问的OWA登录/注销屏幕应该利用能够阻止刷新、清除Web高速缓存器、强制退出系统的另一种安全程序加以保护。如果缺乏这些保护措施,即使在授权用户注销后,访客系统(如信息亭)上所用的当前版本的OWA也有可能允许下一个用户重新进入帐号。
为最终用户提供保护
除了补丁技术外,用户仍需要合理使用公司电子邮件方面的指导。企业应该实施相关的政策,防止企业的Outlook帐号在不是由公司配置及控制的系统如家用PC上进行本机执行。不要把在个人系统上维护级别严格的安全和补丁升级这项任务委托给用户,因为他们一不小心就会使恶性代码潜入企业防火墙内部无人看管的地方。
虽然Outlook提供了使用S/MIME通过因特网发送加密消息的一种方法,但桌面至桌面加密也许不是最能够满足企业需求的安全传送消息的办法。S/MIME需要所有有关方的公共密匙基础设施都要到位。如果这种基础设施还没有实施,第三方附加服务可以保护消息传输。
此外,消息发送者不能想当然地以为接收者的口令非常安全。用户一定要明白:在通过电子邮件发送的信息方面,要特别小心保护自己及雇主。
自动转发公司的电子邮件到外部目的地必须得到信息系统部门的批准并加以管理。现在有许多重定向程序使用户可以把Outlook电子邮件转发到不安全的、暴露的系统,譬如家用PC、无线个人数字助理,或者是因特网上基于Web的电子邮件系统如Yahoo.com。如果用户未经企业允许就擅自使用这种服务,企业就要给予警告甚至处罚。信息系统管理员可以在公司工作站上实施配置控制和个人防火墙,以便发现并阻止企图设置自动转发和同步功能的非授权行为。
Tags:
责任编辑:小黑游戏