微軟的軟件體系結構所含有的核心特性會使安全漏洞長期存在於Windows Outlook客戶程序及Office的其它程序。企業應該實施嚴格的配置管理措施,以減小病毒或其它類型的惡性代碼利用這些漏洞的隱患。
另外的風險來自微軟為用戶定制個性化收發消息而提供的靈活性。就此而言,企業應該加強政策和培訓,以便應對與用戶行為有關的風險。
仍在使用Outlook 98的企業能夠加密安全,但Gartner認為,這些用戶應該立即升級至Outlook 2000。因為後者是微軟提高安全和發布補丁的重中之重。除了加強安全,升級還能改善遠程訪問性能、減少消息丟失,這將有助於證明有必要升級。企業應該不斷打上所有的最新補丁,所以下令安裝補丁非常關鍵。
防止腳本和程序的未授權執行
Outlook最眾所周知的漏洞來自微軟產品執行Visual Basic及HTML腳本和宏指令歷來所具有的功能,卻又不采取嚴格的驗證程序。“愛蟲”病毒只是普遍的基於腳本的電子郵件病毒的一個例子而已,許多年後,黑客很容易重新設計及再次發布這類病毒。黑客在共享的工具能夠利用微軟內部特性的缺陷,從而使新手與比較老道的黑客一樣輕而易舉就能夠造成嚴重破壞,而且破壞會越來越頻繁。
因此,微軟的Outlook安全補丁致力於防止偶爾執行通過電子郵件發送的代碼。可執行程序在使用前必須加以保存,從而使用戶的防病毒和防火牆程序更可能發揮作用。如果惡性代碼真的發作,安全補丁就會阻止程序自動發送電子郵件消息。在這個時候用戶必須參予,並按下發送鍵。同樣,如果沒有用戶的干預,程序就無法自動處理地址簿信息或定制表格。即使有幾個用戶在上面點擊、誘使惡性事情發作,感染病毒的資料傳播開來也是極為緩慢,從而使企業有時間查明惡性事件、采取對策。如果加強安全培訓,用戶會報告電子郵件系統出現的可疑活動。關於現有補丁的信息以及確定個人用戶系統補丁級別的一款工具在微軟的Windows Update網站上能夠找到。
把Outlook加入標准系統映像時,信息系統部門必須制訂並實施消息加密規則。應該建立采用存儲加密的消息文件夾,這樣通過企業Exchange服務器發送的消息就會得到加密。另外,避免用戶日程表和臨時數據偶爾被暴露這種情形也很有必要,所以企業應該確保公共文件夾、用戶草稿消息文件夾、授權及其它管理設置沒有使數據暴露在公司內部或因特網上的其他用戶面前。
如果保密消息要發送到企業外面,信息系統組織必須確保消息不僅僅進行了數字簽名,還要確保經過加密。未經加密的電子郵件內容在傳送途中很容易被人讀取,而且到了目的地的服務器,也很容易被大多數系統管理員讀取。用戶在Outlook Help的安全與加密主題下面可以找到基本消息加密及文件夾訪問在設置方面的建議。
保護Outlook Web訪問
Outlook Web訪問(OWA)簡化了從眾多平台訪問Exchange的工作,對遠程訪問來說極其方便。然而,實施OWA時務必要小心,以免企業遭受入侵,同時確保電子郵件的部分內容和訪問控制權限未遺留在來賓系統上。從企業外能夠訪問的OWA登錄/注銷屏幕應該利用能夠阻止刷新、清除Web高速緩存器、強制退出系統的另一種安全程序加以保護。如果缺乏這些保護措施,即使在授權用戶注銷後,訪客系統(如信息亭)上所用的當前版本的OWA也有可能允許下一個用戶重新進入帳號。
為最終用戶提供保護
除了補丁技術外,用戶仍需要合理使用公司電子郵件方面的指導。企業應該實施相關的政策,防止企業的Outlook帳號在不是由公司配置及控制的系統如家用PC上進行本機執行。不要把在個人系統上維護級別嚴格的安全和補丁升級這項任務委托給用戶,因為他們一不小心就會使惡性代碼潛入企業防火牆內部無人看管的地方。
雖然Outlook提供了使用S/MIME通過因特網發送加密消息的一種方法,但桌面至桌面加密也許不是最能夠滿足企業需求的安全傳送消息的辦法。S/MIME需要所有有關方的公共密匙基礎設施都要到位。如果這種基礎設施還沒有實施,第三方附加服務可以保護消息傳輸。
此外,消息發送者不能想當然地以為接收者的口令非常安全。用戶一定要明白:在通過電子郵件發送的信息方面,要特別小心保護自己及雇主。
自動轉發公司的電子郵件到外部目的地必須得到信息系統部門的批准並加以管理。現在有許多重定向程序使用戶可以把Outlook電子郵件轉發到不安全的、暴露的系統,譬如家用PC、無線個人數字助理,或者是因特網上基於Web的電子郵件系統如Yahoo.com。如果用戶未經企業允許就擅自使用這種服務,企業就要給予警告甚至處罰。信息系統管理員可以在公司工作站上實施配置控制和個人防火牆,以便發現並阻止企圖設置自動轉發和同步功能的非授權行為。