Guide de sécurité Windows Vista

Chapitre 2 : Se défendre contre les programmes malveillants

Paru le 08 novembre 2006

Un logiciel malveillant est un programme ou un fichier qui présente un danger pour l'utilisateur. Les programmes malveillants comptent parmi eux des virus, des vers, des chevaux de Troie et des logiciels espions qui rassemblent des informations sur l'utilisateur d'un ordinateur sans y être autorisés.

Windows Vista™ intègre plusieurs technologies nouvelles que vous pouvez utiliser afin d'améliorer la protection contre les programmes malveillants des ordinateurs qui exécutent Windows Vista dans votre environnement. Vous pouvez utiliser ces fonctionnalités et ces services en plus des paramètres inclus dans les objets de stratégie de groupe (GPO, Group Policy Objects) décrits dans le chapitre précédent, dont certains permettent aussi de se protéger contre les programmes malveillants.

Dans Windows Vista, Microsoft® Internet Explorer® 7 intègre également plusieurs améliorations qui aident à se protéger contre les programmes malveillants. Les technologies qui permettent d'empêcher l'installation de logiciels indésirables ou de se prémunir contre la transmission non autorisée de données personnelles ont nettement amélioré la sécurité du navigateur, ainsi que la protection de la confidentialité.

Ce chapitre donne une vue d'ensemble de chacune de ces technologies et des recommandations sur la manière de les configurer, le cas échéant. Vous pouvez appliquer ces recommandations dans les objets GPO appropriés décrits dans le chapitre 1, "Implementing the Security Baseline." (« Application du niveau de sécurité standard »). Il est néanmoins important de noter que la plupart des paramètres de ces technologies ont besoin d'informations qui sont spécifiques à votre environnement. C'est pourquoi la plupart des valeurs recommandées pour ces paramètres supplémentaires ne sont pas incluses dans les objets GPO décrits dans le chapitre précédent.

Par défaut, toutes ces technologies sont configurées pour fournir une protection améliorée aux ordinateurs exécutant Windows Vista dans l'environnement Client Entreprise (EC). Il existe cependant de nouveaux paramètres de stratégie de groupe que vous pouvez utiliser pour personnaliser le comportement et la fonctionnalité de ces technologies afin qu'elles apportent à votre environnement une protection encore plus efficace contre les programmes malveillants.

Ce chapitre traite respectivement des technologies de sécurité, nouvelles et améliorées; de Windows Vista et d'Internet Explorer 7 comme suit :

	Technologies de défense Windows Vista
	Technologies de défense Internet Explorer 7

Remarque   Pour chacun des sujets de ce chapitre, plusieurs paramètres de stratégie de groupe spécifiques sont approfondis pour servir de documentation à la configuration par défaut d'une nouvelle installation de Windows Vista. Les modifications ou recommandations de paramètres spécifiques sont représentées par le symbole ‡. Pour plus de détails sur les valeurs de ces paramètres, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité »).

Sur cette page

	Technologies de défense Windows Vista
	Technologies de défense Internet Explorer 7
	Plus d'informations

Technologies de défense Windows Vista

Windows Vista intègre plusieurs technologies, nouvelles et améliorées, qui permettent une meilleure protection contre les programmes malveillants. Ces technologies comprennent :

	Contrôle des comptes utilisateur (UAC)
	Windows Defender
	Pare-feu Windows
	Centre de sécurité Windows
	Outil de suppression de logiciels malveillants
	Stratégies de restriction logicielle

En complément de ces technologies de protection, il faut savoir que l'ouverture d'une session en tant que compte utilisateur standard reste une mesure de sécurité fortement conseillée. Même lorsque toutes ces technologies de protection sont installées, si vous n'installez pas une protection pour les personnes qui peuvent accéder en tant qu'administrateur à vos ordinateurs, vous les mettez en danger.

Contrôle des comptes utilisateur

Windows Vista comprend le Contrôle des comptes utilisateurs (UAC) qui permet de distinguer les privilèges et les tâches de l'utilisateur standard des privilèges et des tâches qui requièrent l'accès administrateur. L'UAC augmente le niveau de sécurité en améliorant l'expérience de l'utilisateur lors de l'exécution en compte utilisateur standard. Les utilisateurs peuvent désormais effectuer un plus grand nombre de tâches et bénéficier d'une meilleure compatibilité d'applications sans avoir à ouvrir de session avec des privilèges d'administrateur. Ceci permet de réduire les conséquences néfastes des programmes malveillants, l'installation de logiciels indésirables et les modifications système non approuvées.

Remarque   Dans les versions précédentes du système d'exploitation Windows, le groupe Utilisateurs avec pouvoir était conçu pour permettre aux membres de ce groupe d'effectuer des tâches système comme installer des applications sans détenir les autorisations d'administrateur intégral. L'UAC n'utilise pas le groupe Utilisateurs avec pouvoir, et les autorisations accordées dans Windows Vista ont été supprimées. Cependant, le groupe Utilisateurs avec pouvoir peut toujours être utilisé pour une compatibilité descendante avec d'autres versions du système d'exploitation. Pour utiliser le groupe Utilisateurs avec pouvoir dans Windows Vista, vous devez appliquer un nouveau Modèle de sécurité permettant de modifier les autorisations par défaut sur les dossiers système et le registre afin d'accorder aux membres du groupe Utilisateurs avec pouvoir les autorisations équivalentes à celles accordées à ce groupe dans Windows XP.

Dans Windows Vista, les utilisateurs standard peuvent désormais effectuer de nombreuses tâches qui nécessitaient auparavant un accès administrateur mais n'avaient pas de répercussions graves sur la sécurité. Les exemples de tâches que les utilisateurs peuvent désormais effectuer incluent la modification des paramètres du fuseau horaire, la connexion à un réseau sans fil sécurisé et l'installation de périphériques approuvés et de contrôles Microsoft ActiveX®.

De plus, la fonctionnalité Mode d'approbation administrateur dans la technologie UAC, permet également de protéger les ordinateurs exécutant Windows Vista contre certains types de programmes malveillants. Par défaut, les administrateurs peuvent exécuter la plupart des programmes et des tâches avec des privilèges d'utilisateur standard. Lorsque les utilisateurs doivent effectuer des tâches d'administrateur, telles que l'installation d'un nouveau logiciel ou la modification de certains paramètres système, ils sont tout d'abord interrogés pour confirmation avant d'effectuer ces tâches. Ce mode ne fournit cependant pas le même niveau de protection qu'un compte utilisateur standard et n'empêche pas un logiciel malveillant déjà installé sur l'ordinateur client d'altérer le logiciel élevé. Cela ne garantit non plus que le logiciel élevé ne tentera pas de lui-même des actions malveillantes après avoir été élevé.

Pour profiter pleinement de cette technologie, vous pouvez configurer de nouveaux paramètres de stratégie de groupe dans Windows Vista pour contrôler le comportement de l'UAC. Les paramètres de stratégie de groupe décrits dans le chapitre précédent, sont configurés pour imposer le comportement UAC recommandé. Microsoft recommande cependant de revérifier ces paramètres, décrits dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité  »), pour s'assurer qu'ils sont configurés de manière optimale en fonction des besoins de votre environnement.

Évaluation des risques

Les utilisateurs qui ont des privilèges d'administrateur s'enregistrent avec leurs droits d'administrateur activés. Des tâches d'administration pourraient alors se produire accidentellement ou par malveillance sans que la personne ne s'en rende compte. Exemple :

	Un utilisateur télécharge et installe sans le savoir un programme malveillant depuis un site Web malveillant ou infecté.
	Un utilisateur piégé ouvre par erreur une pièce jointe de courrier électronique contenant un programme malveillant qui s'exécute et peut s'installer sur l'ordinateur.
	Une unité amovible est insérée dans l'ordinateur et la lecture automatique tente alors d'exécuter le logiciel malveillant automatiquement.
	Un utilisateur installe des applications non prises en charge qui peuvent affecter la performance ou la fiabilité des ordinateurs.

Réduction des risques

La solution de réduction des risques recommandée consiste à s'assurer que tous les utilisateurs ouvrent une session avec un compte utilisateur standard pour les tâches courantes et quotidiennes. Les utilisateurs ne devraient accéder à un compte de niveau administrateur que pour des tâches nécessitant ce niveau d'accès. Assurez-vous également que l'UAC peut interroger l'utilisateur lorsque l'ordinateur tente d'effectuer une tâche qui requiert des privilèges d'administration.

Considérations concernant la réduction des risques

L'UAC peut contribuer à la réduction des risques décrits dans la précédente section "Évaluation des risques". Cependant, il est important de prendre en compte ce qui suit :

	Si vous avez des développeurs d'applications en interne, Microsoft leur recommande de télécharger et de lire l'article "Windows Vista Application Development Requirements for User Account Control Compatibility" (Exigences de développement des applications Windows Vista pour la compatibilité de contrôle du compte utilisateur) (cette page peut être en anglais). Ce document décrit comment concevoir et développer des applications compatibles avec l'UAC pour Windows Vista.
	L'UAC peut générer des problèmes dans des applications avec lesquelles il n'est pas compatible. C'est pourquoi il est important de tester les applications avec l'UAC avant de les déployer. Pour plus d'informations concernant le test de compatibilité des applications, reportez-vous au site Web Déploiement des postes de travail sur Microsoft TechNet®.
	Les requêtes de l'UAC sur les informations d'identification et sur l'augmentation des privilèges nécessitent des étapes supplémentaires pour effectuer de nombreuses tâches d'administration courantes. Vous devriez évaluer les répercussions de l'augmentation du nombre d'étapes sur votre personnel d'administration. Si les invites supplémentaires du Contrôle de comptes utilisateurs affectent ces utilisateurs de manière importante, vous pouvez configurer le paramètre de stratégie du Contrôle de comptes utilisateurs "Comportement de l'invite d’élévation pour les administrateurs en mode d’approbation Administrateur" sur "Élever sans invite". Cependant, modifier cette stratégie peut augmenter le risque par rapport à la sécurité de votre environnement et le Centre de sécurité Windows le signalera.
	Un utilisateur qui a des privilèges d'administrateur peut désactiver le Mode d'approbation Administrateur, désactiver l'UAC pour qu'il ne demande pas les informations d'identification permettant d'installer des applications et modifier le comportement de l'invite d'élévation. C'est pourquoi il est important de contrôler le nombre d'utilisateurs qui ont accès à des privilèges d'administration sur les ordinateurs de votre entreprise.
	Microsoft recommande d'attribuer deux comptes pour le personnel d'administration. Pour les tâches journalières, le personnel doit utiliser un compte de niveau standard. Lorsque des tâches d'administration spécifiques sont nécessaires, le personnel doit ouvrir la session avec le compte de niveau administrateur, effectuer les tâches, puis fermer la session pour revenir au compte utilisateur standard.
	Les paramètres de stratégie de groupe de ce guide désactivent la possibilité qu'à l'utilisateur standard d'élever les privilèges. Il s'agit de la solution recommandée car elle respecte le fait que les tâches d'administration ne peuvent être effectuées que par des comptes qui ont été spécialement configurés au niveau administrateur.
	Si une application est identifiée de manière incorrecte en tant qu'application administration ou utilisateur (par exemple avec un jeton "administrateur" ou "standard"), il se pourrait que Windows Vista démarre l'application dans un environnement de sécurité non conforme.

Processus de réduction des risques

Démarrez le processus de réduction des risques en effectuant des recherches sur les fonctionnalités complètes de l'UAC. Pour plus d'informations, reportez-vous au Guide pas à pas de Contrôle du compte utilisateur Windows Vista et à Démarrer avec le Contrôle du compte utilisateur sur Windows Vista.

Pour utiliser ce processus de réduction des risques

Identifiez le nombre d'utilisateurs capables d'effectuer des tâches d'administration. Identifiez la fréquence de ces tâches d'administration Déterminez si les administrateurs peuvent effectuer des tâches d'administration en acceptant simplement l'invite de l'UAC ou si on doit leur demander d'entrer des informations d'identification spécifiques pour effectuer des tâches d'administration. Déterminez si les utilisateurs standard ont possibilité d'élever les privilèges pour effectuer des tâches d'administration. Les paramètres de stratégie appliqués dans le cadre de ce guide empêchent les utilisateurs standard d'élever leurs privilèges. Identifiez la manière dont les installations d'applications doivent être gérées. Configurez les paramètres de stratégie de groupe de l'UAC pour qu'ils s'adaptent à vos exigences.

Utiliser la stratégie de groupe pour réduire les risques pour l'UAC

Vous pouvez configurer les paramètres de l'UAC à l’emplacement indiqué ci-dessous dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Le tableau suivant fournit des informations sur les paramètres de sécurité spécifiques à cette technologie dans Windows Vista.

Tableau 2.1 Paramètres UAC recommandés

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Mode d'approbation Administrateur pour le Compte Administrateur intégré	Ce paramètre de sécurité définit le comportement du mode d'approbation Administrateur pour le compte Administrateur intégré.	Désactivé ‡
Comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur.	Le paramètre de sécurité détermine le comportement de l'invite relative à l'élévation des privilèges pour les administrateurs.	Demande de confirmation‡
Comportement de l'invite d'élévation pour les utilisateurs standard	Ce paramètre de sécurité détermine le comportement de l'invite d'élévation pour les utilisateurs standard.	Invite demandant les informations d'identification ‡
Détecter les installations d'applications et demander l'élévation	Ce paramètre de sécurité détermine le comportement de la détection d'installations d'applications pour la totalité du système.	Activé
Uniquement les exécutables élevés qui ont été signés et validés.	Ce paramètre de sécurité vérifie les signatures PKI sur toute application interactive qui demande une élévation de privilèges. Les administrateurs d'entreprise peuvent contrôler la liste autorisée des applications administrateur à l'aide de certificats dans la Banque d'Éditeurs Agréée des ordinateurs locaux.	Désactivé
Elever uniquement les applications UIAccess élevées installées dans des emplacements sécurisés.	Ce paramètre de sécurité oblige les applications qui demandent une exécution avec un niveau d'intégrité UIAccess à résider à un emplacement sécurisé du système de fichiers.	Activé
Exécuter tous les comptes administrateurs en mode d'approbation Administrateur	Ce paramètre de sécurité détermine le comportement de toutes les stratégies UAC pour la totalité du système.	Activé
Basculer vers le bureau sécurisé lors de l'invite d'élévation	Ce paramètre de sécurité détermine si la demande d'élévation affichera une invite sur le bureau des utilisateurs interactifs ou sur le bureau sécurisé.	Activé
Virtualiser les erreurs d'écriture de fichier et de registre sur des emplacements individualisés	Ce paramètre de sécurité permet de rediriger les échecs en écriture des applications héritées vers des emplacements définis à la fois dans le registre et le système de fichiers.	Activé

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Vous pouvez configurer l'interface utilisateur Credentials de l'UAC à l’emplacement indiqué ci-dessous dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Interface utilisateur d'informations d'identification

Le tableau suivant fournit des informations sur les paramètres de sécurité spécifiques à cette technologie dans Windows Vista.

Tableau 2.2 Paramètres d'interface utilisateur d'informations d'identification UAC

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Énumérez les comptes administrateur sur élévation	Par défaut, tous les comptes administrateur s'affichent lorsqu'un utilisateur essaie d'élever une application en cours d'exécution. Si vous activez ce paramètre, les utilisateurs doivent systématiquement entrer un nom d'utilisateur et un mot de passe pour élever leurs privilèges.	Non configuré ‡
Demande d'un chemin approuvé pour entrer les informations d'identification	Si vous activez ce paramètre, Windows Vista demandera à l'utilisateur d'entrer les informations d'identification suivant le chemin approuvé pour empêcher qu'un cheval de Troie ou tout autre type de code malveillant ne s'empare des informations d'identification Windows de l'utilisateur. Cette stratégie affecte uniquement les tâches d'authentification sans ouverture de session. Cette stratégie doit être activée car considérée comme une bonne pratique de sécurité.	Non configuré ‡

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Vous pouvez configurer les paramètres de l'ActiveX à l’emplacement indiqué ci-dessous dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Service ActiveX Installer

Le tableau suivant fournit des informations sur les paramètres de sécurité spécifiques au Service ActiveX Installer dans Windows Vista.

Tableau 2.3 Service ActiveX Installer

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Sites d'installation approuvés pour les contrôles ActiveX	Ce paramètre permet à un administrateur d'autoriser un compte utilisateur standard à installer des contrôles ActiveX depuis une liste de sites d'installation ActiveX approuvés.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Windows Defender

Windows Defender est un programme inclus dans Windows Vista également disponible en téléchargement pour Windows XP. Il aide les ordinateurs à se protéger des pop-ups, des ralentissements de performance et des menaces de sécurité dûs à des logiciels espions et autres logiciels indésirables. Windows Defender surveille en temps réel les points de contrôle importants du système d'exploitation Windows Vista que vise le logiciel indésirable, tels que le dossier Démarrer et les entrées d'exécution automatique dans le registre.

Windows Defender permet également de détecter et de supprimer les applications indésirables, telles que les logiciels de publicité (adware) les enregistreurs de saisie clavier (keyloggers) et les logiciels espions (spyware). Lorsqu'un programme tente de modifier une zone protégée dans Windows Vista, Windows Defender invite l'utilisateur à accepter ou à refuser la modification pour essayer de protéger l'ordinateur contre l'installation d'un logiciel espion. Cette surveillance améliore la fiabilité des ordinateurs exécutant Windows Vista et permet de fournir une protection de la confidentialité de l'utilisateur supplémentaire. Windows Defender est activé par défaut dans Windows Vista et bien que cette technologie vous fournisse une protection améliorée contre les logiciels espions, vous pouvez également l'utiliser avec des produits de protection tiers. Afin d'offrir la meilleure protection possible contre les logiciels malveillants, Microsoft recommande fortement aux clients de déployer également une solution antivirus complète conjointement à Windows Defender.

Vous pouvez configurer de nouveaux paramètres de stratégie de groupe dans Windows Vista pour contrôler le comportement de Windows Defender. Les paramètres de stratégie de groupe, décrits dans le chapitre précédent, ne contiennent aucun paramètre modifiant le comportement par défaut de Windows Defender car il est fort probable que les valeurs de ces paramètres correspondront aux exigences de votre environnement.

Communauté Microsoft SpyNet

Microsoft SpyNet est une communauté en ligne conçue pour aider un utilisateur à répondre à d'éventuelles menaces de logiciels espions. Cette communauté permet également de stopper la propagation de nouvelles infections par des logiciels espions.

Lorsque Windows Defender détecte un logiciel ou des modifications faites par un logiciel qui ne sont pas encore considérés comme dangereux, vous pouvez voir comment d'autres membres de la communauté répondent à l'alerte. En retour, les actions que vous menez aident aussi les autres membres de la communauté à adopter un type de réponse. Vos actions permettent également à Microsoft de déterminer dans quel logiciel rechercher d'éventuelles menaces. Vous pouvez choisir d'envoyer des informations de base ou complémentaires sur le logiciel détecté. Les informations complémentaires permettent d'améliorer le fonctionnement de Windows Defender. Par exemple, la technologie peut inclure l'emplacement des éléments détectés sur votre ordinateur si un logiciel néfaste a été supprimé. Dans ce cas, Windows Defender collectera et enverra automatiquement les informations à la communauté.

Évaluation des risques

Les logiciels espions présentent un certain nombre de risques sérieux pour une entreprise, risques qui doivent être réduits pour s'assurer que les données et les ordinateurs ne sont pas en danger. Les risques identifiables les plus courants pour une entreprise provoqués par un logiciel espion comprennent :

	des données commerciales stratégiques susceptibles d'être exposées à des utilisateurs non autorisés.
	des informations personnelles sur les employés susceptibles d'être exposées à des utilisateurs non autorisés.
	ordinateur mis en danger par un attaquant non autorisé.
	une perte de productivité due à un logiciel espion affectant la performance et la stabilité de l'ordinateur.
	une augmentation des coûts de l'assistance technique suite à des infections par logiciel espion.
	un risque éventuel de chantage pour votre entreprise si une infection expose des données sensibles.

Réduction des risques

Windows Defender est conçu pour réduire les risques liés aux logiciels espions. Des mises à jour régulières de la technologie sont fournies automatiquement via Windows Update. Vous pouvez également utiliser Microsoft Windows Server Update Services (WSUS)

En plus de la protection contre les logiciels espions proposée par Windows Defender, Microsoft recommande fortement d'installer un package antivirus capable d'étendre votre protection contre les logiciels espions pour détecter aussi les virus, les chevaux de Troie et les vers. Par exemple, les produits tels que Microsoft Forefront Client Security fournissent une défense unifiée contre les programmes malveillants pour les ordinateurs de bureau, les ordinateurs portables et les systèmes d'exploitation du serveur.

Remarques concernant la réduction des risques

Windows Defender est activé par défaut dans Windows Vista. Cette technologie est conçue pour être la plus discrète possible pour les utilisateurs, dans des conditions de fonctionnement normales. Les entreprises doivent cependant prendre en compte les recommandations suivantes dans le cadre du déploiement de Windows Vista :

	Vérifiez l'interopérabilité de tout scanner tiers de détection en temps réel de logiciels espions ou de virus que vous pourriez utiliser dans votre entreprise.
	Concevez un système pour gérer le déploiement des mises à jour des définitions de signatures si votre entreprise gère un grand nombre d'ordinateurs.
	Formez les utilisateurs à certaines astuces de base employées par les logiciels espions pour manipuler un utilisateur afin qu'il exécute un programme malveillant.
	Définir l'heure où le balayage doit avoir lieu pour qu'il corresponde aux besoins de votre entreprise. La valeur par défaut est 2:00 du matin tous les jours. Si l'ordinateur ne peut pas effectuer le balayage à cette heure-là, l'utilisateur en est averti et est invité à l'exécuter. Si le balayage n'est pas effectué dans les deux jours suivants, celui-ci sera effectué environ 10 minutes après le prochain démarrage de l'ordinateur. Ce balayage est exécuté en tant que processus à priorité faible, les conséquences sur le client seront donc aussi réduites que possible. Grâce aux améliorations dans la gestion des entrées/sorties (E/S) dans Windows Vista, les conséquences sur l'utilisateur de ce balayage à priorité faible sont moins importantes qu'avec Windows XP.
	Windows Defender n'est pas conçu comme une application anti-espion pour entreprise. Il ne fournit pas de mécanisme centralisé de signalement, de surveillance ou de contrôle de type professionnel. Si un signalement ou un contrôle supplémentaire est requis, il vous faudra rechercher des programmes supplémentaires tels que Microsoft Forefront Client Security.
	Déterminez une stratégie pour que votre entreprise puisse signaler la présence éventuelle de logiciels espions à la communauté en ligne de Microsoft SpyNet

Processus de réduction des risques

Windows Defender étant intégré par défaut au système d'exploitation, aucune étape supplémentaire n'est requise pour activer Windows Defender. Il y a cependant quelques étapes supplémentaires recommandées par Microsoft pour s'assurer que votre entreprise est toujours protégée.

Pour utiliser ce processus de réduction des risques

Découvrez les fonctionnalités anti-espion de Windows Vista et de Windows Defender. Recherchez les paramètres de stratégie de groupe pour Windows Defender. Évaluez l'utilité d'une protection antivirus complémentaire pour votre entreprise. Planifiez le processus de mise à jour optimal pour les ordinateurs de l'entreprise. Il est possible que les ordinateurs portables aient besoin d'une configuration de mise à jour différente de celle des ordinateurs de bureau. Former les utilisateurs pour leur permettre d'identifier toute activité suspecte dans l'ordinateur. Former le personnel de l'assistance technique à l'utilisation des outils Windows Defender pour les aider à résoudre les questions posées lors des appels au support technique.

Utiliser la stratégie de groupe pour réduire les risques pour l'UAC

Vous pouvez revoir et configurer les paramètres Windows Defender disponibles à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Defender

Tableau 2.4 Paramètres de contrôle de Windows Defender

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Activer les mises à jour des définitions via WSUS et Windows Update	Ce paramètre vous permet de configurer Windows Defender pour vérifier et installer des mises à jour de définitions depuis Windows Update lorsqu'un serveur WSUS (Windows Server Update Services) administré en local n'est pas disponible.	Non configuré
Vérifier les nouvelles signatures avant les balayages planifiés.	Si vous activez ce paramètre, le balayage planifié vérifie s'il y a de nouvelles signatures avant de balayer l'ordinateur. Si ce paramètre est défini sur Désactivé ou Non configuré, le balayage planifié démarre sans télécharger les nouvelles signatures.	Non configuré
Désactiver Windows Defender	Le fait de maintenir ce paramètre à sa valeur par défaut active la protection Windows Defender en temps réel.	Non configuré
Désactiver les invites de protection en temps réel pour la détection d'éléments non connus.	Ce paramètre détermine si Windows Defender invitera les utilisateurs à accepter ou à bloquer l'activité inconnue.	Non configuré
Activer la détection des ouvertures de session autorisées	Ce paramètre active les données de détection d'ouvertures de session pendant la protection temps réel lorsque Windows Defender détecte des fichiers connus autorisés. Le fait d'enregistrer les détections d'ouvertures de session vous renseigne précisément sur les programmes qui s'exécutent sur les ordinateurs que vous surveillez.	Non configuré
Activer la détection d'ouvertures de session non connues	Ce paramètre active la détection d'ouvertures de session pendant la protection temps réel lorsque Windows Defender détecte des fichiers inconnus. Le fait d'enregistrer les détections d'ouvertures de session vous renseigne précisément sur les programmes qui s'exécutent sur les ordinateurs que vous surveillez.	Non configuré
Télécharger la liste complète des signatures	Ce paramètre permet un téléchargement de la liste complète des signatures plutôt que les seules signatures qui ont été mises à jour depuis le dernier téléchargement de signatures. Télécharger la liste complète des signatures peut aider à résoudre des problèmes d'installation de signatures mais le téléchargement peut être long en raison de la taille du fichier.	Non configuré
Configurer le signalement Microsoft SpyNet	Ce paramètre concerne l'appartenance à la communauté en ligne de Microsoft SpyNet.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Pare-feu Windows

Un pare-feu personnel constitue une ligne de défense critique contre toutes sortes de programmes malveillants. Comme pour la fonctionnalité pare-feu de Windows XP Service Pack 2 (SP2), le pare-feu Windows Vista est activé par défaut pour protéger les ordinateurs des utilisateurs dès que le système d'exploitation est opérationnel.

Windows Firewall dans Windows Vista comprend des filtrages en entrée et en sortie pour protéger les utilisateurs via une restriction des ressources du système d'exploitation qui agissent de manière imprévisible. Le pare-feu est également intégré à la fonction vigilance réseau de Windows Vista pour que des règles spécifiques puissent être appliquées en fonction de l'endroit où se trouve l'ordinateur client. Par exemple, si un ordinateur portable se trouve sur le réseau d'une entreprise, les règles du pare-feu peuvent être définies par l'administrateur de l'environnement réseau du domaine de manière à correspondre aux exigences de sécurité de ce réseau. Cependant, lorsqu'un utilisateur tente de connecter ce même ordinateur portable à Internet via un réseau public, tel qu'une zone de connexion sans fil gratuite, un ensemble différent de règles de pare-feu peut être automatiquement utilisé afin d'assurer la protection de l'ordinateur contre une attaque.

De plus, pour la première fois dans un système d'exploitation Windows, Windows Vista intègre la gestion du pare-feu à l'aide du protocole IPsec (Internet Protocol security). Dans Windows Vista, une seule console, appelée Pare-feu Windows avec console de sécurité avancée, intègre la gestion IPsec et du pare-feu. La console centralise le filtrage du trafic entrant et sortant, ainsi que les paramètres serveur IPsec et les paramètres d'isolation de domaine dans l'interface utilisateur pour simplifier la configuration et réduire les conflits de stratégies.

Évaluation des risques

Une entreprise moderne ne peut exister sans connexion réseau. Ce type de connexion est toutefois devenu une cible majeure pour les attaquants. Les menaces relatives à la connectivité doivent être réduites afin de s'assurer que les données ou les ordinateurs ne sont pas en danger. Les menaces les plus facilement identifiables envers une entreprise provenant d'attaques réseau comprennent :

	un ordinateur mis en danger par un attaquant non autorisé qui peut alors obtenir un accès administrateur sur cet ordinateur.
	des applications de balayage réseau qu'un attaquant peut utiliser pour déterminer à distance les ports réseau ouverts et lancer une attaque.
	des données d'entreprise confidentielles susceptibles d'être exposées à des utilisateurs non autorisés si un cheval de Troie parvient à ouvrir une connexion réseau non autorisée entre un ordinateur client et un attaquant.
	des ordinateurs portables susceptibles d'être exposés à des attaques réseau alors qu'ils se trouvent en dehors du pare-feu réseau de l'entreprise.
	des ordinateurs sur un réseau interne susceptibles d'être exposés à une attaque réseau à partir d'un ordinateur mis en danger qui se connecte directement au réseau interne.
	un risque de chantage potentiel pour votre entreprise si un attaquant arrive à mettre en danger les ordinateurs en interne

Réduction des risques

Le pare-feu dans Windows Vista protège l'ordinateur client dès son installation. Le pare-feu bloque la plus grande partie du trafic entrant non sollicité jusqu'à ce qu'une modification soit faite par un administrateur ou via une stratégie de groupe.

Le pare-feu Windows inclut également un filtrage du trafic sortant et dès l'installation, cette règle est définie sur « Autoriser » pour tout le trafic réseau sortant. Vous pouvez utiliser les paramètres de stratégie de groupe pour configurer ces règles dans le pare-feu Windows Vista garantissant ainsi que les paramètres de sécurité client restent constants.

Remarques sur la réduction des risques

Vous devez tenir compte de certains aspects si vous envisagez d'utiliser le pare-feu de Windows Vista :

	Testez l'interopérabilité des applications requises pour les ordinateurs de votre entreprise. Chaque application doit posséder un état des besoins des ports réseau pour vérifier que seuls les ports requis sont ouverts au travers du pare-feu Windows.
	Le pare-feu Windows XP prend en charge un profil de domaine et un profil standard. Le profil du domaine est actif lorsque le client est connecté à un réseau qui contient les contrôleurs de domaine relatifs au domaine dans lequel réside le compte de son ordinateur. Cela vous permet de créer des règles spécifiques aux exigences du réseau interne de l'entreprise. Le pare-feu Windows Vista inclut un profil Privé et Public pour fournir un niveau de contrôle plus précis et protéger un ordinateur client lorsqu'un utilisateur l'utilise hors des défenses réseau de l'entreprise.
	Évaluez les fonctionnalités d'ouverture de session du pare-feu Windows pour déterminer sa capacité à s'intégrer aux solutions de surveillance et de signalement de votre entreprise.
	Par défaut, le pare-feu Windows bloque le contrôle à distance ou l'administration à distance des ordinateurs basés sur Windows Vista. Microsoft a créé un certain nombre de règles spécifiques à ces tâches à distance dans le pare-feu Windows. Si vous voulez que les ordinateurs de votre entreprise prennent en charge ces tâches à distance, il vous faudra activer les règles requises pour chacun des profils pour lesquels la tâche est demandée. Par exemple, vous pouvez choisir d'activer la règle Bureau à distance pour le profil Domaine pour que votre assistance puisse prendre en charge les utilisateurs sur le réseau de l'entreprise, mais laissez-le désactivé pour les profils Privé et Public afin de réduire la surface de vos ordinateurs exposée aux attaques lorsqu'ils se trouvent hors de votre réseau.

Réduction des risques à l'aide du pare-feu Windows à sécurité avancée

Windows Vista inclut de nouveaux paramètres de stratégie de groupe et une interface utilisateur de gestion qui vous aide à configurer la nouvelle fonctionnalité disponible dans le pare-feu Windows Vista. Les paramètres de sécurité avancée pour Windows Vista ne s'appliquent pas à un ordinateur client exécutant Windows XP.

Microsoft recommande d'examiner avec attention ces nouvelles fonctionnalités pour déterminer si elles peuvent vous aider à mieux sécuriser votre environnement. Si vous envisagez de modifier l'action par défaut du pare-feu Windows Vista, Microsoft recommande d'utiliser le pare-feu Windows avec des paramètres de sécurité avancée pour gérer les ordinateurs clients exécutant Windows Vista.

Vous pouvez revoir et configurer les nouveaux paramètres de stratégie de groupe et le composant logiciel additionnel disponibles pour le pare-feu Windows dans l'Éditeur d'objets de stratégie de groupe, à l'emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec sécurité avancée

Le pare-feu Windows avec sécurité avancée prend en charge les profils d'environnement suivants :

	Profil de domaine. Ce profil s'applique lorsqu'un ordinateur est connecté à un réseau et qu'il s'authentifie auprès d'un contrôleur de domaine, pour le domaine auquel il appartient.
	Profil public. Ce profil correspond au type d'emplacement réseau par défaut lorsqu'un ordinateur n'est pas connecté à un domaine. Les paramètres de profil public doivent très restrictifs car l'ordinateur est connecté à un réseau public dont la sécurité ne peut être contrôlée de façon aussi stricte que dans un environnement informatique.
	Profil privé. Ce profil ne s'applique que si un utilisateur avec des privilèges d'administrateur local l'affecte à un réseau préalablement défini sur Public. Microsoft recommande l'appliquer uniquement pour un réseau fiable.

Important : il n'y a qu'un seul profil actif à la fois. Si l'ordinateur possède des interfaces multiples et qu'elles sont connectées à plusieurs emplacements réseau, l'évaluation du profil qui s'applique se fait de la manière suivante :

Si toutes les interfaces réseau correspondent à un emplacement réseau de domaine, appliquez le profil de domaine. Si toutes les interfaces réseau correspondent à un emplacement réseau privé, appliquez le profil privé. Si une interface réseau correspond à un emplacement réseau public, appliquez le profil public.

Microsoft recommande d'activer le pare-feu Windows avec sécurité avancée sur ces trois profils. En plus des règles avancées du pare-feu, le pare-feu Windows prend également en charge les règles de sécurité de connexion. La sécurité de connexion implique l'authentification de deux ordinateurs avant qu'ils ne commencent à communiquer et la sécurisation des informations envoyées entre eux. Le pare-feu Windows avec sécurité avancée intègre la technologie IPsec pour prendre en charge l'échange de clé, l'authentification, l'intégrité des données et éventuellement le chiffrement des données.

Pour plus d'informations, reportez-vous à la page Web IPsec dans Microsoft TechNet.

L'annexe A, « Paramètres de sécurité de stratégie de groupe », décrit tous les paramètres recommandés du pare-feu Windows avec sécurité avancée et indique lesquels nécessitent des informations spécifiques à l'environnement.

Centre de sécurité Windows

La fonctionnalité Centre de Sécurité Windows (WSC) s'exécute en arrière-plan sur les ordinateurs clients exécutant Windows Vista et Windows XP SP2. Dans Windows Vista, cette fonction vérifie et affiche en permanence l'état de quatre catégories de sécurité importantes :

	Pare-feu
	Mises à jour automatiques
	Protection contre les programmes malveillants
	Autres paramètres de sécurité

Le processus du centre de sécurité Windows (WSC) sert également de point de départ pour accéder à d'autres zones de l’ordinateur liées à la sécurité et vous fournit un seul point de référence pour trouver une assistance et des ressources en matière de sécurité. Par exemple, le WSC fournit un lien pour aider les utilisateurs ne possédant pas de logiciel antivirus, à visualiser les offres des fournisseurs proposant des solutions antivirus compatibles avec le WSC.

Microsoft a amélioré le WSC dans Windows Vista en incluant une nouvelle catégorie appelée « Autres paramètres de sécurité ». Cette catégorie affiche l'état des paramètres de sécurité d'Internet Explorer et l'état de l'UAC. Une autre catégorie nouvelle dans Windows Vista est la « protection contre les programmes malveillants », qui inclut la surveillance des utilitaires de surveillance des logiciels antivirus et des logiciels espions. En plus de la protection par défaut fournie par Windows Vista, le WSC peut surveiller de multiples solutions de sécurité de fournisseurs pour le pare-feu Windows, ainsi que les logiciels antivirus et anti-espions s'exécutant sur le même ordinateur client. Il peut également indiquer quelles sont les solutions activées et mises à jour.

Pour les ordinateurs clients exécutant Windows Vista, le WSC fournit des liens fournisseurs directs que vous pouvez utiliser pour remédier aux problèmes susceptibles de survenir sur l'ordinateur. Par exemple, si une solution antivirus ou anti-espion tierce est désactivée ou obsolète, un bouton du WSC vous permet de mettre en œuvre une solution fournisseur sur l'ordinateur pour corriger le problème. De plus, le WSC fournit des liens pour accéder au site Web du fournisseur pour que l'utilisateur puisse activer ou renouveler un abonnement ou obtenir des mises à jour. Connaître le moment où le logiciel de sécurité est désactivé ou obsolète et pouvoir télécharger facilement des mises à jour, peut faire la différence entre rester protégé autant que possible ou devenir vulnérable aux attaques de programmes malveillants.

Le WSC s'exécute par défaut sur les ordinateurs exécutant Windows Vista. Les paramètres de stratégie de groupe décrits dans le chapitre précédent ne comportent pas de paramètres qui modifient le comportement par défaut du WSC. Il est cependant possible que les administrateurs utilisent la Stratégie de groupe pour s'assurer que l'UI de client WSC reste désactivé ou activé pour les ordinateurs membres de domaine. Vous pouvez revoir et configurer le paramètre de stratégie de groupe disponible pour le WSC à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Centre de sécurité

Le fichier de modèles Securitycenter.admx comporte les informations XML pour ce paramètre de stratégie. Le tableau suivant décrit ce paramètre.

Tableau 2.5 Paramètre du centre de sécurité Windows (WSX)

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Activer le Centre de sécurité (ordinateurs du domaine uniquement)	Ce paramètre indique si le Centre de sécurité est activé ou désactivé sur les ordinateurs des utilisateurs qui sont liés à un domaine utilisant Active Directory. Si ce paramètre est laissé sur sa valeur par défaut ou qu'il n'est pas paramétré, le centre de sécurité est désactivé sur les ordinateurs membres de domaine.	Non configuré

Ce tableau fournit une description simple de ce paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Outil de suppression des logiciels malveillants

L'outil de suppression des logiciels malveillants de Microsoft Windows est conçu pour aider à la suppression des programmes malveillants des ordinateurs infectés. Chaque mois, Microsoft lance une nouvelle version de l'outil sur Microsoft Update, Windows Update, WSUS et sur le Centre de téléchargement Microsoft. L'Outil de suppression des logiciels malveillants n'étant pas un produit antivirus comportant toutes ses fonctionnalités, Microsoft recommande fortement aux utilisateurs d'exécuter un logiciel antivirus qui détectera et supprimera les virus en permanence. Lorsque vous exécutez l'outil, il effectue le balayage de votre ordinateur en arrière-plan et établit un rapport s'il détecte des infections. Cet outil ne s'installe pas sur le système d'exploitation qu'il est en train de balayer. Cet outil ne possède aucun paramètre de stratégie de groupe dans Windows Vista.

Évaluation des risques

Microsoft recommande que tous les ordinateurs exécutent un balayage antivirus en temps réel en plus des services de protection fournis dans Windows Vista. Cependant, même après l'installation de ces mesures de protection, deux risques peuvent continuer à menacer une entreprise :

	lorsque l'outil de balayage antivirus en temps réel installé ne détecte pas une instance spécifique de programme malveillant,
	lorsque le programme malveillant réussit à désactiver l'outil de balayage antivirus en temps réel qui est installé.

Dans de telles situations, l'Outil de suppression des programmes malveillants propose dans tous les cas une couche de sécurité supplémentaire pour contribuer à détecter et à supprimer les logiciels malveillants les plus courants.

Réduction des risques

Afin de réduire ces risques, Microsoft recommande de configurer vos ordinateurs clients pour qu'ils exécutent des mises à jour automatiques de sorte que l'Outil de suppression des logiciels malveillants soit téléchargé et exécuté dès qu'il est disponible.

Si vous envisagez d'utiliser cet outil dans votre environnement, la liste qui suit met en évidence certains aspects qui contribueront à un déploiement réussi :

	L'Outil de suppression des programmes malveillants pèse environ 4 Mo, ce qui peut affecter la connexion Internet d'une entreprise si de nombreux ordinateurs clients essaient de télécharger l'outil au même moment.
	L'outil est surtout conçu pour des utilisateurs hors entreprise qui ne possèdent pas déjà de produit antivirus à jour, installé sur leurs ordinateurs. Cependant, vous pouvez également déployer cet outil dans un environnement d'entreprise pour améliorer la protection existante, dans le cadre de la stratégie de défense renforcée. Afin de déployer cet outil dans un environnement d'entreprise, vous pouvez utiliser une ou plusieurs des méthodes suivantes : Services de mise à jour Windows Server Package logiciel SMS Script de démarrage de l'ordinateur basé sur la stratégie de groupe Script d'ouverture de session utilisateur basé sur la stratégie de groupe Pour les environnements d'entreprise, Microsoft recommande de lire l'article n° 891716 de la base de connaissances Microsoft « Déploiement de l'outil de suppression de logiciels malveillants Microsoft Windows dans un environnement d'entreprise ».
	Généralement, lorsque vous exécutez l'Outil de suppression des logiciels malveillants, l'outil crée un répertoire temporaire nommé de façon aléatoire dans le lecteur racine de votre ordinateur. Ce répertoire contiendra plusieurs fichiers et comprend le fichier Mrtstub.exe. La plupart du temps, ce dossier sera supprimé automatiquement une fois que l'outil a fini de s'exécuter ou après que l'ordinateur a redémarré. Cependant, ce dossier peut parfois ne pas être supprimé automatiquement. Dans ce cas, vous pouvez supprimer ce dossier manuellement sans effets néfastes pour l'ordinateur.
	Un utilisateur peut ouvrir une session sur un ordinateur au moment même où l'outil de suppression de logiciels malveillants s'exécute en arrière-plan. (L'outil peut s'exécuter dans le cadre du déploiement qui utilise les services de mise à jour Windows Server.) Dans ce cas, Windows peut informer l'utilisateur que le profil de l'utilisateur en cours est corrompu et qu'un nouveau profil est en cours de création. Pour résoudre ce problème, le nouveau profil peut être supprimé. L'utilisateur peut rouvrir une session sur le système lorsque l'outil n'est pas en cours d'exécution. Ce problème est plus susceptible de se produire sur un ordinateur fonctionnant sur Windows 2000.

Processus de réduction des risques

Pour utiliser efficacement l'outil de suppression de logiciels malveillants, utilisez le processus suivant.

Pour utiliser ce processus de réduction des risques

Analysez les capacités de l'outil de suppression de logiciels malveillants. Pour plus d'informations, reportez-vous à la page Web Outil de suppression de logiciels malveillants. Évaluez vos besoins concernant l'utilisation de cet outil dans votre environnement. Déterminez la méthode la plus appropriée pour déployer l'outil dans votre entreprise. Identifiez les systèmes de votre entreprise susceptibles de bénéficier de la protection que l'outil propose. Déployez l'outil via la méthode de déploiement sélectionnée.

Stratégies de restriction logicielle

Les stratégies de restriction logicielle fournissent aux administrateurs un moyen d'identifier les programmes d'applications et de contrôler leur aptitude à être exécutés sur des ordinateurs locaux. Cet outil contribue à protéger les ordinateurs exécutant Microsoft® Windows® XP Professionnel des conflits connus et à les préserver des logiciels malveillants, tels que les virus et les chevaux de Troie. Les stratégies de restriction logicielle s'intègrent parfaitement à Active Directory et aux stratégies de groupe. Vous pouvez également utiliser cette fonctionnalité sur des ordinateurs autonomes. Vous pouvez utiliser des stratégies de restriction logicielle pour effectuer les opérations suivantes :

	contrôler les logiciels susceptibles d'être exécutés sur les ordinateurs clients de votre environnement ;
	limiter l'accès des utilisateurs à des fichiers spécifiques sur les postes de travail multi-utilisateurs ;
	désigner les utilisateurs habilités à ajouter des éditeurs fiables sur les ordinateurs clients ;
	déterminer si les stratégies affectent tous les utilisateurs ou un sous-ensemble d'utilisateurs sur les ordinateurs clients ;
	empêcher les fichiers exécutables de s'exécuter sur des ordinateurs locaux sur la base de stratégies définies aux niveaux suivants : ordinateur, unité d'organisation (OU), site et domaine.

Important : Il est indispensable que vous testiez minutieusement l'ensemble des paramètres de stratégie présentés dans ce guide avant de les déployer dans un environnement de production. Ceci est particulièrement vrai lorsque vous configurez les paramètres des stratégies de restriction logicielle. Des erreurs commises au niveau de la conception ou de la mise en œuvre de cette fonctionnalité risquent de créer beaucoup de frustration chez les utilisateurs.

Les stratégies de restriction logicielle n'ont pas été modifiées de manière significative dans Windows Vista. C'est pourquoi ce thème n'est pas abordé dans ce guide. Pour plus d'informations concernant la manière de concevoir et de mettre en œuvre ces stratégies, reportez-vous à « Utilisation de stratégies de restriction logicielle pour vous protéger contre des logiciels non autorisés » sur TechNet (cette page peut être en anglais).

 Haut de page

Technologies de défense Internet Explorer 7

Des sites Web malveillants peuvent compromettre les ordinateurs clients que vous administrez. Internet Explorer 7 intègre des technologies qui permettent d'empêcher l'installation de logiciels indésirables et de se protéger contre la transmission non autorisée de données personnelles afin d'améliorer de façon significative la sécurité du navigateur et la protection de la confidentialité. Les nouvelles technologies de sécurité d'Internet Explorer 7 incluent :

	Mode Protégé d'Internet Explorer
	Inscription ActiveX
	Protection contre les attaques de scripts inter-domaines
	Barre d'état de sécurité
	Filtre anti-hameçonnage
	Fonctionnalités de sécurité supplémentaires

Internet Explorer 7 est disponible, à la fois pour Windows Vista et Windows XP. Windows Vista améliore l'utilisation d'Internet Explorer. Par exemple, certaines fonctionnalités disponibles dans Internet Explorer 7, comme le mode Protégé et les contrôles parentaux, ne sont pas disponibles lorsque le navigateur est utilisé sur un ordinateur client exécutant Windows XP. De même, l'interface utilisateur Aero n'est pas disponible via Internet Explorer 7 sur les ordinateurs exécutant Windows XP.

Mode protégé d'Internet Explorer

Le mode protégé d'Internet Explorer dans Windows Vista ajoute des défenses supplémentaires pour que les utilisateurs puissent naviguer sur Internet de manière plus sûre. En outre, le mode protégé permet d'empêcher des utilisateurs malveillants de prendre le contrôle du navigateur d'un utilisateur et d'exécuter du code via des privilèges élevés.

Le mode protégé permet de réduire les vulnérabilités logicielles qui existaient auparavant dans les extensions du navigateur en éliminant la possibilité de les utiliser pour une installation silencieuse de code malveillant. Le mode protégé utilise des mécanismes avec des niveaux d'intégrité élevés dans Windows Vista, qui limitent l'accès à des processus, des fichiers et des clés de registre dans ce but. L'interface de programmation d'application (API) du mode protégé permet aux fournisseurs de logiciels de développer des extensions et des modules complémentaires pour Internet Explorer qui peuvent interagir avec le système de fichiers et le registre alors que le navigateur est en mode Protégé.

En mode Protégé, Internet Explorer 7 s'exécute avec des autorisations réduites pour empêcher que des modifications de fichiers utilisateur ou système ou de paramètres ne se produisent sans la permission explicite de l'utilisateur. La nouvelle architecture du navigateur introduit également un processus de "système de distribution" qui permet aux applications existantes de s'élever et de sortir du mode protégé de façon plus sécurisée. Ceci empêche le téléchargement de données en dehors des répertoires à faible niveau de droits dans le navigateur, tels que le dossier Fichiers Internet temporaires.

Le mode protégé est activé par défaut dans Internet Explorer 7 pour toutes les zones de sécurité, sauf la zone Sites approuvés. Les utilisateurs peuvent cependant désactiver le mode, ce qui réduit la sécurité globale. C'est pourquoi les paramètres de stratégie de groupe décrits dans le chapitre précédent activent le mode protégé dans toutes les zones de contenu Web du navigateur excepté la zone Sites approuvés et empêchent les utilisateurs de le désactiver.

Vous pouvez revoir et configurer le paramètre de stratégie de groupe disponible pour le WSC à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\page de Sécurité\<Zone>

Le tableau suivant décrit ce paramètre.

Tableau 2.6 Paramètre du mode protégé

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Activer le mode protégé *	Si ce paramètre est activé, le mode protégé sera activé et les utilisateurs ne pourront pas le désactiver. Si ce paramètre est activé, le mode protégé sera activé et les utilisateurs ne pourront pas le désactiver. Si ce paramètre est configuré sur Non configuré, les utilisateurs peuvent l'activer ou le désactiver.	Non configuré

* Ce paramètre fonctionne seulement sur Internet Explorer 7 avec Windows Vista.

Ce tableau fournit une description simplifiée de ce paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Le Mode Protégé est disponible pour les zones de sécurité suivantes dans Internet Explorer 7 :

	Internet
	Intranet
	Ordinateur local
	Zones Internet verrouillées
	Zones Intranet verrouillées
	Zone Ordinateur local verrouillé
	Zones Sites sensibles verrouillées
	Zones Sites de confiance verrouillées
	Sites sensibles
	Sites fiables

Inscription ActiveX

Internet Explorer 7 dans Windows Vista propose un mécanisme de sécurité puissant et nouveau pour que la plate-forme ActiveX contribue à protéger les informations utilisateur et les systèmes informatiques. L'inscription ActiveX désactive automatiquement tous les contrôles qui ne sont pas explicitement autorisés par l'utilisateur. Ceci réduit les risques de mauvais usage des contrôles pré-installés.

Dans Windows Vista, la barre d'informations interroge les utilisateurs avant qu'ils ne puissent accéder à un contrôle ActiveX installé préalablement et n'ayant pas encore été utilisé sur Internet. Ce mécanisme de notification autorise l'utilisateur à permettre ou à refuser l'accès à une base de contrôle au cas par cas, ce qui permet de réduire encore un peu plus la surface exposée aux attaques. Les utilisateurs malveillants ne peuvent pas utiliser les sites Web pour lancer des attaques automatiques avec des contrôles ActiveX qui n'ont jamais été prévus pour être utilisés sur Internet.

Protection contre les attaques de scripts inter-domaines

Les nouvelles barrières de scripts inter-domaines contribuent à limiter la capacité des sites Web malveillants à agir sur les points faibles d'autres sites Web. Par exemple, avant la mise en place d'une protection contre les attaques de scripts inter-domaines, il se peut qu'un utilisateur consulte une page sur un site Web malveillant qui ouvre une nouvelle fenêtre de navigateur contenant une page reconnue (tel qu'un site Web bancaire) invitant l'utilisateur à entrer des données de compte bancaire. Ces informations peuvent alors être extraites par un script et rendues accessibles à l'attaquant. Avec Internet Explorer 7, la protection contre les attaques de scripts inter-domaines permet de s'assurer que ce type d'attaques échouera.

Barre d'état de sécurité

La nouvelle barre d'état de sécurité d'Internet Explorer 7 permet aux utilisateurs de rapidement faire la différence entre les sites Web authentiques et les sites Web suspects ou malveillants. Pour générer ces informations, la barre d'état de sécurité améliore l'accès aux informations des certificats numériques qui aident à identifier les sites Web sécurisés (HTTPS).

La barre d'état de sécurité fournit aux utilisateurs des signaux visuels plus clairs et plus évidents, portant sur la sécurité et l'identité des sites Web. Cette technologie prend également en charge les informations concernant les certificats de Garantie élevée pour identifier clairement les sites sécurisés (HTTPS) dont les mesures d'identification sont plus strictes.

Filtre anti-hameçonnage

Le hameçonnage est une technique que de nombreux attaquants utilisent pour piéger des utilisateurs afin qu'ils révèlent des informations personnelles ou financières via un message électronique ou un site Web. Les hameçonneurs se cachent sous l' identité de personne ou d'une entreprise connue des utilisateurs pour les piéger afin qu'ils révèlent des informations personnelles, telles que des mots de passe de compte et des numéros de cartes de crédit. Le filtre anti-hameçonnage d'Internet Explorer 7 informe les utilisateurs sur les sites Web suspects ou les sites d'hameçonnage connus, pour leur permettre de parcourir le contenu de pages Internet de manière plus sécurisée. Le filtre analyse le contenu des sites Web pour repérer les techniques d'hameçonnage connues, et utilise un réseau mondial de sources de données pour évaluer la fiabilité des sites Web.

Les développeurs qui créent des messageries électroniques, des publicités en ligne et des sites Web frauduleux prospèrent à cause du manque de communication et du partage limité d'informations. Le nouveau filtre anti-hameçonnage d'Internet Explorer 7, qui utilise un service en ligne mettant à jour le filtre plusieurs fois par heure, rassemble les dernières données de référence concernant les sites Web frauduleux, et les partage avec les clients d'Internet Explorer 7 pour essayer de les avertir et de les protéger par anticipation.

Le filtre anti-hameçonnage associe aux balayages côté client des caractéristiques des sites Web suspects accessibles par un service d'abonnement en ligne. Ceci permet de protéger les utilisateurs d'arnaques par hameçonnage de trois façons :

	en comparant les adresses des sites Web qu'un utilisateur tente de visiter à une liste de sites reconnus enregistrés, stockés sur l'ordinateur de l'utilisateur.
	en analysant les sites Web que les utilisateurs désirent visiter par la vérification de leurs caractéristiques et la détection de celles qui sont communes aux sites d'hameçonnage.
	Il envoie l'adresse d'un site Web qu'un utilisateur tente de visiter à un service en ligne géré par Microsoft qui la vérifie immédiatement par rapport à une liste de sites d'hameçonnage fréquemment mise à jour. Ces sites ont été confirmés comme étant frauduleux par des sources sûres et ont été signalés à Microsoft.

Même si le site est inconnu du service de filtre anti-hameçonnage, Internet Explorer 7 peut examiner le comportement du site et signaler à l'utilisateur toute activité suspecte, telle que la collecte de données utilisateur sans certificat SSL (Secure Socket Layer). Ainsi, le filtre anti-hameçonnage contribue à empêcher qu'un site puisse collecter des données utilisateur avant qu'il n'ait été officiellement signalé.

Lorsque les utilisateurs exécutent Internet Explorer 7, le filtre anti-hameçonnage est configuré par défaut pour inviter les utilisateurs à activer ou à désactiver le filtre. Les paramètres de stratégie de groupe décrits dans le chapitre précédent ne comportent pas de paramètres qui modifient le comportement par défaut du WSC. Il est cependant possible que les administrateurs contrôlent le comportement du filtre anti-hameçonnage à l'aide d'une stratégie de groupe.

Vous pouvez revoir et configurer les paramètres de stratégie de groupe disponibles pour le filtre d'hameçonnage à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Le tableau suivant décrit ce paramètre.

Tableau 2.7 Paramètre du filtre d'hameçonnage

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Désactiver la gestion du filtre anti-hameçonnage	Ce paramètre permet à l'utilisateur d'activer un filtre anti-hameçonnage qui avertira si le site Web visité est connu pour avoir tenté de rassembler des données personnelles par « hameçonnage ». Par défaut, l'utilisateur sera invité à décider du mode de fonctionnement du filtre anti-hameçonnage.	Non configuré

* Pour tirer profit de ce paramètre, l'ordinateur doit exécuter Internet Explorer 7 avec l'un ou l'autre des systèmes d'exploitation suivants : Windows Vista, Windows XP SP2 ou Windows Server 2003 Service Pack 1 (SP1).

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Microsoft recommande de configurer ce paramètre sur Activé et le mode de fonctionnement sur Automatique. Cependant, les administrateurs doivent être conscients du fait que cette configuration entraîne automatiquement le navigateur à envoyer des informations à Microsoft sans interroger l'utilisateur.

Fonctionnalités de sécurité supplémentaires

Internet Explorer inclut un certain nombre de fonctionnalités de sécurité spécialisées qui contribuent à la protection contre les programmes malveillants. Vous pouvez gérer tous ces paramètres via la stratégie de groupe.

Vous pouvez revoir et configurer les paramètres des fonctionnalités de stratégie de groupe disponibles Internet Explorer 7 à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Cette section fournit une vue d'ensemble de ces paramètres dans Internet Explorer 7. Pour obtenir une liste complète des paramètres de stratégie de groupe pour Internet Explorer 7, reportez-vous à l'Éditeur d'objets Stratégie de groupe.

Remarque   Toutes les fonctionnalités de cette section fonctionnent également sur les ordinateurs exécutant Explorer 6.0 (ou version ultérieure) avec les systèmes d'exploitation suivants : Windows XP SP2 et Windows Server 2003 SP1.

Gestion des modules complémentaires

Vous pouvez utiliser les paramètres de sécurité de cette section pour restreindre les modules complémentaires utilisables par Internet Explorer 7. Les paramètres décrits dans le tableau suivant gèrent les modules complémentaires.

Tableau 2.8 Paramètres de gestion des modules complémentaires

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Liste des modules complémentaires	Ce paramètre vous permet de gérer une liste de modules complémentaires	Non configuré ‡
Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires	Ce paramètre de stratégie autorise uniquement les modules complémentaires que vous avez spécifiés à s'exécuter avec Internet Explorer 7.	Non configuré ‡
Tous les processus	Ce paramètre vous permet de vérifier si les préférences utilisateur affectent les processus (comme montrés dans le Gestionnaire de modules complémentaires) ou les paramètres de stratégie.	Non configuré
Liste des processus	Ce paramètre vous permet de contrôler si les préférences utilisateur affectent les processus listés (comme entrés dans le Gestionnaire de modules complémentaires) ou les paramètres de stratégie.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Restriction de sécurité du comportement binaire

Internet Explorer contient des comportements binaires dynamiques : composants qui résument une fonctionnalité spécifique aux éléments HTML auxquels ils sont joints. Vous pouvez utiliser les paramètres du tableau suivant pour restreindre ces comportements.

Tableau 2.9 Paramètres de restriction de sécurité des comportements binaires

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus.	Ce paramètre vérifie si le paramètre de restriction de sécurité des comportements binaires est bloqué ou autorisé.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Non configuré ou sur Activé, les processus de Windows Explorer et d'Internet Explorer ne peuvent pas utiliser les comportements binaires.	Non configuré
Liste des processus	Ce paramètre autorise les administrateurs à définir des applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré
Comportements autorisés par l'administrateur	Si vous configurez ce paramètre sur Activé, il permet de définir une liste de comportements autorisés dans chaque zone pour Autoriser les comportements binaires et les comportements de scripts en tant qu'Administrateur approuvé.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Gestion MIME cohérente

Internet Explorer utilise les données MIME (Multipurpose Internet Mail Extensions) pour déterminer les procédures de gestion des fichiers reçus via un serveur Web. Le tableau suivant décrit les paramètres de stratégie de groupe disponibles pour les données MIME qui sont disponibles pour Internet Explorer 7.

Tableau 2.10 Paramètres de gestion MIME cohérente

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Ce paramètre détermine si Internet Explorer exige la cohérence de toutes les informations types fournies par les serveurs Web.	Non configuré
Processus Internet Explorer	Ce paramètre détermine si Internet Explorer exige la cohérence des données MIME pour tous les fichiers reçus. Si vous configurez ce paramètre sur Non configuré ou sur Activé, Internet Explorer exige la cohérence des données MIME pour tous les fichiers reçus.	Non configuré ‡
Liste des processus	Ce paramètre autorise les administrateurs à définir des applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Barre d'informations

Les paramètres de stratégie de cette section vous permettent de contrôler si la barre d'informations s'affiche ou pas pour les processus autres que ceux d'Internet Explorer lorsque l'installation de fichier ou de code est restreinte. Par défaut, la barre d'informations s'affiche pour les processus d'Internet Explorer mais pas pour d'autres processus si les installations de fichiers ou de code sont restreintes. Le tableau suivant fournit des informations relatives aux paramètres que vous pouvez utiliser pour modifier ce comportement.

Tableau 2.11 Paramètres de la barre d'informations

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Activé, la barre d'informations s'affiche pour tous les processus.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Désactivé, la barre d'informations ne s'affiche pas pour les processus d'Internet Explorer.	Non configuré
Liste des processus	Ce paramètre de stratégie vous permet de contrôler si la barre d'informations s'affiche ou pas pour des processus spécifiques lorsque les installations de fichiers ou de code sont restreintes.	Non configuré

Sécurité du verrouillage de la zone Ordinateur local

Internet Explorer définit des restrictions de zones sur chaque page Web qu'il ouvre. Ces restrictions dépendent de l'emplacement de la page Web (Internet, Intranet, Ordinateur local, etc.). Les pages Web sur l'ordinateur local possèdent le moins de restrictions de sécurité et se trouvent dans la zone Ordinateur local. La sécurité de la zone Ordinateur local s'applique à tout le contenu et à tous les fichiers locaux Cette fonctionnalité permet de réduire le risque d'attaques lorsque la zone Ordinateur local est utilisée comme vecteur d'attaque pour charger du code HTML malveillant.

Tableau 2.12 Paramètres de sécurité du verrouillage de la zone Ordinateur local

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Activé, la sécurité de la zone Ordinateur local s'applique à tout le contenu et à tous les fichiers locaux traités par n'importe quel processus autre qu'Internet Explorer ou ceux définis dans une liste de processus. Par défaut, la sécurité de la zone Ordinateur local n'est pas appliquée aux fichiers et au contenu locaux traités par tout processus autre qu'Internet Explorer ou ceux définis dans une liste de processus.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Non configuré ou sur Activé, la sécurité de la zone Ordinateur local s'applique à tout le contenu et tous les fichiers locaux traités par Internet Explorer.	Non configuré
Liste des processus	Si vous configurez ce paramètre sur Activé et que vous définissez un nom de processus avec une valeur de 1, la sécurité de la zone Ordinateur local s'applique. Si vous définissez une valeur de 0, la sécurité de la zone Ordinateur local ne s'applique pas.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Fonctionnalité de sécurité de détection MIME

Cette fonctionnalité permet d'empêcher la transformation d'un fichier d'un certain type en un type de fichier plus dangereux. Le tableau suivant répertorie les paramètres disponibles pour cette fonctionnalité.

Tableau 2.13 Paramètres de la fonctionnalité de sécurité de détection MIME

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Activé, la fonctionnalité de sécurité de détection MIME est activée pour tous les processus.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Désactivé, les processus d'Internet Explorer permettront à un espion MIME de transformer un fichier en un type de fichier plus dangereux. Le comportement par défaut (Non configuré) ne permet pas l'élévation.	Non configuré ‡
Liste de processus	Ce paramètre autorise les administrateurs à définir des applications pour lesquelles ils souhaitent bloquer ou autoriser l'exécution de cette fonctionnalité de sécurité.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Restriction de sécurité du protocole MK

Le paramètre de stratégie Restriction de sécurité du protocole MK permet de réduire la zone exposée aux attaques en bloquant le protocole MK. Si ce paramètre est activé, les ressources hébergées sur le protocole MK échoueront.

Tableau 2.14 Paramètres de restriction de sécurité du protocole MK

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Par défaut, cette restriction est désactivée pour tous les processus. Cependant, si vous configurez ce paramètre sur Activé, le protocole MK est bloqué pour tous les processus et toute utilisation du protocole MK est bloquée.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Désactivé, les applications peuvent utiliser l'API du protocole MK ;  les ressources hébergées sur le protocole MK fonctionneront pour les processus de Windows Explorer et d'Internet Explorer. Le paramètre par défaut empêche l'utilisation du protocole MK par Windows Explorer et Internet Explorer, et les ressources hébergées sur le protocole MK sont bloquées.	Non configuré ‡
Liste de processus	Ce paramètre autorise les administrateurs à définir des applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré

Ce tableau fournit une description simplifiée de chaque paramètre. Pour plus d'informations sur un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Verrouillage de protocole réseau

Vous pouvez configurer Internet Explorer 7 pour qu'il empêche le contenu actif obtenu via des protocoles restreints de s'exécuter d'une manière non sécurisée. Ce paramètre de sécurité contrôle si la restriction du contenu, obtenu par des protocoles restreints, est bloquée ou autorisée.

Tableau 2.15 Paramètres de verrouillage du protocole réseau

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Activé, la restriction du contenu, obtenu via des protocoles restreints, est appliquée à tous les processus autres que Windows Explorer ou Internet Explorer. Si vous configurez ce paramètre sur Activé, la restriction du contenu obtenu via des protocoles restreints est appliquée à tous les processus autres que Windows Explorer ou Internet Explorer. Le paramètre par défaut (Non configuré) n'applique pas cette stratégie pour les processus autres que Windows Explorer et Internet Explorer.	Non configuré
Processus Internet Explorer	Si vous configurez ce paramètre sur Activé, la restriction du contenu, obtenu via des protocoles restreints, est autorisée pour tous les processus autres que Windows Explorer ou Internet Explorer. Si vous configurez ce paramètre sur Désactivé, la restriction du contenu, obtenu via des protocoles restreints, est appliquée à tous les processus Windows Explorer ou Internet Explorer. Le paramètre par défaut (Non configuré) fait qu'Internet Explorer ignore ce paramètre.	Non configuré
Liste de processus	Ce paramètre autorise les administrateurs à définir les applications pour lesquelles ils souhaitent qu'une restriction du contenu obtenu via des protocoles restreints soit bloquée ou autorisée.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets Stratégie de groupe.

Pour chaque zone, la restriction de sécurité Verrouillage des protocoles réseau peut être configurée pour empêcher le contenu actif obtenu par des protocoles restreints de s'exécuter d'une manière non sécurisée, soit en interrogeant l'utilisateur, soit en désactivant tout simplement le contenu.

Remarque   Si vous définissez une stratégie pour une zone dans la configuration de l'ordinateur et dans la configuration de l'utilisateur, cette action restreint les deux listes de protocoles de cette zone.

Tableau 2.16 Protocoles restreints pour les paramètres de la zone de sécurité

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Protocoles restreints de la zone Internet	Si ce paramètre est activé, il crée une liste de protocoles restreints pour la zone Internet.	Non configuré
Protocoles restreints de la zone Intranet	Si ce paramètre est activé, il crée une liste de protocoles restreints pour la zone Internet.	Non configuré
Protocoles restreints de la zone Ordinateur local	Si ce paramètre est activé, il crée une liste de protocoles restreints pour la zone Internet.	Non configuré
Protocoles restreints de la zone Sites restreints	Si ce paramètre est activé, il crée une liste de protocoles restreints pour la zone Internet.	Non configuré
Protocoles restreints de la zone Sites approuvés	Si ce paramètre est activé, il crée une liste de protocoles restreints pour la zone Internet.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

Protection de la mise en cache des objets

Ce paramètre de stratégie détermine si la référence de l'objet est accessible lorsque l'utilisateur navigue au sein du même domaine ou vers un nouveau domaine.

Tableau 2.17 Paramètres de protection de mise en cache des objets

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Désactivé ou sur Non configuré, la référence de l'objet est conservée lors de la navigation dans un domaine ou sur l'ensemble des domaines dans les sites Zone restreinte.	Non configuré
Processus Internet Explorer	Si vous ne modifiez pas l'état Non configuré de ce paramètre ou que vous le configurez sur Activé, une référence de l'objet n'est plus accessible lors de la navigation dans un domaine ou sur l'ensemble des domaines pour les processus d'Internet Explorer.	Non configuré
Liste de processus	Ce paramètre autorise les administrateurs à définir les applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

Protection contre l'élévation de zone

Internet Explorer place des restrictions sur chaque page Web ouverte. Les restrictions dépendent de l'emplacement de la page Web (zone Internet, Intranet, Ordinateur local, etc.). Par exemple, les pages Web se trouvant sur l'ordinateur local possèdent les restrictions de sécurité les moins élevées et résident dans la zone Ordinateur local. Cette zone constitue donc une cible de choix pour les attaquants.

Tableau 2.18 Paramètres de protection contre l'élévation de zone

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous configurez ce paramètre sur Activé, vous pouvez protéger n'importe quelle zone de l'élévation sur tous les processus. Si vous ne modifiez pas l'état Non configuré ce paramètre ou si vous le configurez sur Désactivé, les processus autres qu'Internet Explorer ou ceux répertoriés dans la liste de processus, ne bénéficient pas d'une telle protection.	Non configuré
Processus Internet Explorer	Si vous ne modifiez pas l'état Non configuré de ce paramètre ou que vous le configurez sur Activé, n'importe quelle zone peut être protégée de l'élévation par les processus d'Internet Explorer. Si vous configurez ce paramètre sur Désactivé, cette protection n'est pas appliquée aux processus d'Internet Explorer.	Non configuré ‡
Liste de processus	Ce paramètre autorise les administrateurs à définir des applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

Restreindre l'installation ActiveX

Ces paramètres de stratégie appliquent des restrictions à l'installation des contrôles ActiveX.

Tableau 2.19 Restreindre les paramètres d'installation ActiveX

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Ce paramètre autorise les applications hébergeant le contrôle Navigateur Web à bloquer automatiquement l'invite automatique d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré
Processus Internet Explorer	Ce paramètre autorise le blocage des invites d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré ‡
Liste de processus	Ce paramètre autorise les administrateurs à créer une liste d'exécutables qui autoriseront ou non le blocage des invites automatiques d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

Restreindre le téléchargement de fichiers

Ces paramètres de stratégie appliquent des restrictions au téléchargement de fichiers qui font l'objet de tentatives automatiques sans qu'un utilisateur n'initie le téléchargement.

Tableau 2.20 Restreindre les paramètres de téléchargement de fichiers

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Ce paramètre autorise les applications hébergeant le contrôle Navigateur Web à bloquer automatiquement l'invite automatique d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré
Processus Internet Explorer	Ce paramètre autorise le blocage des invites d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré ‡
Liste de processus	Ce paramètre autorise les administrateurs à créer une liste d'exécutables qui autoriseront ou non le blocage des invites automatiques d'un téléchargement de fichiers qui n'est pas initié par un utilisateur.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

Restrictions de sécurité des fenêtres avec scripts

Internet Explorer autorise les scripts à ouvrir, redimensionner et repositionner divers types de fenêtres par programmation. La fonctionnalité de sécurité Restrictions de sécurité de fenêtres restreint les pop-up et empêche les scripts d'afficher des fenêtres dans lesquelles les barres de titre et d'état ne sont pas visibles à l'utilisateur ou de masquer les barres de titre et d'état d'autres fenêtres.

Tableau 2.21 Paramètres de restrictions de sécurité des fenêtres avec scripts

Objet de stratégie	Description	Valeurs par défaut de Windows Vista
Tous les processus	Si vous ne modifiez pas l'état Non configuré de ce paramètre ou que vous le configurez sur Désactivé, les fenêtres avec script ne sont pas restreintes. Cependant, si vous configurez ce paramètre sur Activé, les fenêtres avec script seront restreintes pour tous les processus.	Non configuré
Processus Internet Explorer	Si vous ne modifiez pas l'état Non configuré de ce paramètre ou que vous le configurez sur Activé, les pop-up et autres restrictions s'appliquent aux processus de Windows Explorer et d'Internet Explorer. Cependant, si vous configurez ce paramètre sur Désactivé, les scripts peuvent continuer à créer des pop-up et des fenêtres qui peuvent être utilisées pour masquer d'autres fenêtres.	Non configuré ‡
Liste de processus	Ce paramètre permet aux administrateurs de définir des applications pour lesquelles ils souhaitent bloquer ou autoriser cette fonctionnalité de sécurité.	Non configuré

Ce tableau donne une description simplifiée de chaque paramètre. Pour plus d'informations concernant un paramètre spécifique, reportez-vous à l'onglet Explication du paramètre dans l'Éditeur d'objets de stratégie de groupe.

 Haut de page

Plus d'informations

Pour des informations supplémentaires sur les nouvelles fonctionnalités et technologies améliorées en matière de sécurité de Windows Vista, reportez-vous aux ressources suivantes :

Outil de suppression de logiciels malveillants sur Microsoft.com.

Chapitre sur la Stratégie de restriction logicielle pour les clients Windows XP dans le Guide de sécurité de Windows XP sur Microsoft TechNet.

Contrôle de compte d'utilisateur (UAC) (TechNet)

« Utilisation de stratégies de restriction logicielle pour vous protéger contre les logiciels non autorisés » sur TechNet. (cette page peut être en anglais)

Windows Defender sur TechNet (cette page peut être en anglais).

Pare-feu Windows sur TechNet (cette page peut être en anglais).

Stratégie de groupe Windows Server 2003 sur Microsoft.com.

Améliorations de la protection des données et de la sécurité dans Windows Vista sur TechNet (cette page peut être en anglais).

Présentation des invites de commandes de Windows XP sur Microsoft.com (cette page peut être en anglais).

 Haut de page

Dans cet article

• Présentation
• Chapitre 1 : Implémentation de la ligne de base de sécurité
• Chapitre 2 : Se défendre contre les programmes malveillants
• Chapitre 3 : Protéger les données sensibles
• Chapitre 4 : Compatibilité des applications
• Chapitre 5 : Sécurité spécialisée – Fonctionnalité limitée
• Annexe A : Paramètres de stratégie de groupe de sécurité

Télécharger

Obtenir le Guide de sécurité Windows Vista

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.