Дата последнего изменения раздела: 2009-03-12

Анализатор рекомендаций Microsoft® Exchange Server считывает следующую запись реестра, чтобы определить, блокировано ли подключение к серверу Exchange Server любых версий Microsoft Office Outlook®:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Если анализатор сервера Exchange Server обнаруживает, что раздел Disable MAPI Clients не существует, на экран выводится предупреждение.

Раздел Disable MAPI Clients который по умолчанию отключен, позволяет администратору заблокировать подключение конкретных версий Outlook к компьютеру с сервером Exchange 2000 Server, Exchange Server 2003 или Exchange Server 2007.

Последние выпуски и пакеты обновления Outlook содержат много дополнительных возможностей, связанных с обеспечением безопасности и антивирусной защитой. Начиная с Outlook 2002, блокирование вложений и механизм защиты модели объектов (Object Model Guard) входит в состав приложения и активирован по умолчанию. Эти функции являются критическим компонентом всей системы антивирусной защиты. Самой старой версией Outlook, поддерживаемой службой поддержки продуктов Майкрософт, является пакет обновления 3 для Outlook 2000 Service (SP3). Если в вашей организации используются более ранние версии Outlook, обновите их до Outlook 2003 или, по крайней мере, обновите клиент Outlook путем установки в него самых последних выпусков программ защиты.

После обновления Outlook можно заблокировать доступ к Exchange из более ранних, не обновленных, версий Outlook. Блокировка более ранних версий Outlook, не поддерживающих блокировку вложений и механизм защиты модели объектов, помогает обеспечить известный уровень безопасности для подключений MAPI-клиентов.

Для защиты от всех более ранних версий Outlook (Outlook 97, Outlook 98, Outlook 2000 до пакета обновления SP3 и более ранних версий) настоятельно рекомендуется отменить разрешение на подключение к серверу Exchange всех версий Outlook с номерами сборки, не меньше, чем 5.3164.0.0.

Список разделенных запятыми или точками с запятой значений в разделе реестра Disable MAPI Clients представляет различные способы отключения диапазонов версий клиента MAPI. Версии (vX) обычно имеют следующие форматы:

В этой записи реестра можно указать все конкретные версии или диапазоны версий, которые требуется отключить. Чтобы определить версию клиентов MAPI, которые подключаются к хранилищу почтовых ящиков для сервера Exchange Server 2003, используйте диспетчер Exchange. В диспетчере Exchange перейдите к контейнеру Входы в систему хранилища почтовых ящиков. В столбце Версия клиента отображается версия клиентов MAPI, которые подключены к хранилищу почтовых ящиков.

Просмотр страницы «Входы в систему» хранилища почтовых ящиков

  1. Запустите диспетчер Exchange.

  2. Разверните по очереди узел Административные группы, узел своей административной группы, узел Серверы, узел необходимого сервера Exchange Server, узел группы хранения, например Основная группа хранения, узел Хранилище почтовых ящиков (<имя_сервера>) и щелкните элемент Входы в систему.

  3. В области сведений просмотрите записи в столбце Версия клиента. Например, для объекта Системный помощник может быть задана версия клиента 6.0.7638.2.

Чтобы узнать клиентскую версию клиентов MAPI, которые подключены к базе данных почтовых ящиков, воспользуйтесь командлетом Get-LogonStatistics командной консоли Exchange сервера Exchange Server 2007.

Важно!
В диспетчере Exchange и командной консоли Exchange версия клиента MAPI отображается как X.0.Y.Z. В реестре эту версию необходимо вводить как X.Y.Z. Например, если в диспетчере Exchange версия клиента MAPI указана как 5.0.2819.0, введите в качестве значения реестра Disable MAPI Clients 5.2819.0.

Дополнительные сведения о номерах сборки, связанных с различными версиями Outlook, а также о соответствующих значениях записи реестра Disable MAPI Clients см. в приведенной ниже таблице.

Клиент Версия Запись реестра

Outlook 2007 (окончательная первоначальная версия (RTM))

12.4518.1014

12.4518.1014

Outlook 2003 с пакетом обновления 2 (SP2)

11.6568.6568

11.6568.6568

Outlook 2003 с пакетом обновления 1 (SP1)

11.6359.6360

11.6359.6360

Outlook 2003 с обновлением KB828041

11.0.5608.5703

11.5608.5703

Outlook 2003 (окончательная первоначальная версия (RTM))

11.0.5608.5606

11.5608.5606

Outlook 2002 с пакетом обновления 3 (SP3)

10.0.6515.6626

10.6515.6626

Outlook 2002 с обновлением KB812262

10.4712.4219

10.4712.4219

Outlook 2002 с обновлением KB331866

10.4608.4219

10.4608.4219

Outlook 2002 с пакетом обновления 2 (SP2)

10.4219.4219

10.4219.4219

Outlook 2002 с пакетом обновления 1 (SP1)

10.0.3513.3501

10.3513.3501

Outlook 2002 с обновлением KB300551

10.3311.2625

10.3311.2625

Outlook 2002 с обновлением KB303835

10.3117.2625

10.3117.2625

Outlook 2002 с обновлением KB300550

10.2930.2625

10.2930.2625

Outlook 2002 (окончательная первоначальная версия (RTM))

10.0.2627.2625

10.2627.2625

Outlook 2000 с обновлением для системы безопасности от 16 августа 2001 г.

9.0.0.5414

9.0.5414

Office 2000 с пакетом обновления 2 (SP2)

9.0.0.4527

9.0.4527

Office 2000 с обновлением для системы безопасности электронной почты (окончательная версия)

9.0.0.4201

9.0.4201

Outlook 2000 с обновлением для системы безопасности электронной почты (бета-версия)

9.0.0.4105

9.0.4105

Outlook 2000 SR-1 или SR-1a

9.0.0.3821

9.0.3821

Outlook 2000 с обновлением для системы безопасности вложений электронной почты

9.0.0.3011

9.0.3011

Outlook 2000 (окончательная первоначальная версия (RTM))

9.0.0.2711

9.0.2711

Outlook 97 SR2

8.04.5619

8.04.5619

Outlook 97 SR1

8.02.4212

8.02.4212

Перед изменением записи реестра Disable MAPI Clients обратите внимание, что установленные исправления и пакеты обновления могут повлиять на строку версии клиента. Будьте осторожны при ограничении доступа клиента, т.к. компоненты на стороне сервера Exchange для входа также должны использовать интерфейс MAPI. Некоторые компоненты сообщают свои версии клиентов, например SMTP или OLEDB, тогда как другие выдают в Exchange номер сборки, например 6.0.4712.0. По этой причине не рекомендуется устанавливать ограничения для клиентов, версии которых начинаются с 6.<x>.<x>.

Например, чтобы полностью запретить доступ через интерфейс MAPI, укажите вместо значения 0.0.0-65535.65535.65535 два диапазона. При этом все компоненты сервера Exchange Server, версия которых начинается на 6.<x>.<x>, по-прежнему смогут получать доступ к серверу Exchange Server. Например, чтобы запретить доступ к серверу Exchange Server через интерфейс MAPI и разрешить при этом доступ компонентам сервера Exchange Server, укажите в записи реестра Disable MAPI Clients следующую строку: 0.0.0-5.9.9;7.0.0-65535.65535.65535.

Важно!
Эта статья содержит сведения о редактировании реестра. Перед редактированием реестра убедитесь, что вы знаете, как восстановить реестр в случае возникновения неисправности. Сведения о восстановлении реестра см. в разделе справки «Восстановление реестра» в Regedit.exe или Regedt32.exe.

Ограничение определенных клиентов MAPI с помощью редактора реестра

  1. Запустите редактор реестра. Для этого нажмите кнопку Пуск, выберите пункт Выполнить, введите regedit.exe и нажмите кнопку ОК.

  2. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

  3. Щелкните правой кнопкой мыши раздел ParametersSystem, а затем выберите по очереди пункты Создать и Строковый параметр.

  4. В области сведений присвойте новому строковому параметру имя Disable MAPI Clients.

  5. Щелкните правой кнопкой мыши параметр реестра Disable MAPI Clients и выберите команду Изменить.

    В поле Значение введите через запятую или точку с запятой список клиентов MAPI, для которых необходимо заблокировать доступ. Список значений в поле Значение представляет список способов отключения диапазонов версий клиента MAPI. Можно заблокировать как отдельные версии клиентов MAPI, так и целые диапазоны версий. Можно использовать один или несколько из указанных ниже четырех типов диапазонов. Для разделения диапазонов используйте запятую или точку с запятой.

    • <значение_а>-<значение_б> Этот тип диапазона блокирует все версии, начиная со значения_а и заканчивая значением_б (включительно). Например, диапазон 6.0.0-7.0.0 блокирует все версии от 6.0.0 до 7.0.0.

    • <значение_а>- Этот тип диапазона блокирует версию значение_а и более поздние версии. Например, диапазон 6.0.0- блокирует версию 6.0.0 и более поздние версии.

    • -<значение_а> Этот тип диапазона блокирует все версии вплоть до версии значение_а включительно. Например, диапазон -9.0.0 блокирует все версии вплоть до версии 9.0.0 включительно.

    • <значение_а> Этот тип диапазона блокирует указанную версию. Например, диапазон 10.0.0 блокирует только версию 10.0.0.

    Важно!
    Чтобы запретить доступ к серверу Exchange Server всем клиентам MAPI, не указывайте один универсальный диапазон, например 0.0.0-65535.65535.65535. Если указать такой диапазон, доступ к серверу Exchange Server также будет запрещен его компонентам (версии клиентов — 6.<x>.<x>), например системному помощнику. Вместо этого чтобы заблокировать доступ к серверу Exchange Server для всех клиентов MAPI, укажите два диапазона. В данном случае не включайте диапазон 6.<x>.<x> в диапазоны заблокированных версий клиентов MAPI. Укажите, например, следующие значения: 0.0.0-5.9.9;7.0.0-65535.65535.65535.

    Ниже приведены примеры значений, блокирующих доступ клиентов MAPI к серверу Exchange Server.

    • Чтобы заблокировать доступ через интерфейс MAPI для всех версий Outlook, введите 0.0.0-5.9.9;7.0.0-65535.65535.65535.

    • Чтобы заблокировать доступ через интерфейс MAPI для всех версий Outlook, выпущенных до Outlook 2003 с пакетом обновления 2 (SP2), введите -5.9.9;7.0.0-11.6568.6568.

    • Чтобы заблокировать доступ через интерфейс MAPI для окончательной первоначальной версии (RTM) Outlook 2003 и окончательной первоначальной версии Outlook 2002, введите 11.5608.5606;10.2627.2625.

    • Чтобы заблокировать доступ через интерфейс MAPI для всех версий Outlook, выпущенных после Outlook 2000 с пакетом обновления 2 (SP2), введите 9.0.4527-.

  6. Выйдите из редактора реестра и перезагрузите банк данных Microsoft Exchange, чтобы изменения вступили в силу.

Перед внесением изменений в реестр, а также для получения дополнительных сведений об изменении реестра ознакомьтесь со статьей 256986 базы знаний Майкрософт «Сведения о реестре Windows для опытных пользователей» (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=256986).

Дополнительные сведения о блокировании подключения конкретных MAPI-клиентов к компьютеру, с установленным на нем приложением Exchange 2000 Server или Exchange Server 2003 , см. в следующих статьях:

Дополнительные сведения о загрузке обновлений для системы безопасности для предыдущих версий Outlook, а также о блокировке других версий Outlook см. в статье «Замедление и прекращение распространения вирусов, распространяющихся по электронной почте, в среде Exchange Server 2003» (http://go.microsoft.com/fwlink/?LinkId=47587, на английском языке).

Дополнительные сведения о командлете Get-LogonStatistics см. в разделе «Get-LogonStatistics» (http://go.microsoft.com/fwlink/?LinkId=80699, на английском языке) документации по серверу Exchange Server 2007.