Guide de sécurité de Microsoft Office 2007
Chapitre 5 : Conception et implémentation des paramètres de sécurité
Paru le 11 novembre 2007
Ce chapitre contient des informations de planification qui vous aideront à déployer des paramètres de sécurité pour six programmes Microsoft® Office 2007 dans deux types d'environnements : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF). Pour être sûr de réussir votre déploiement, lisez scrupuleusement chacune des sections de ce chapitre. Chaque section correspond à une étape clé du processus de planification. Aussi, si vous sautez l'une des sections, votre déploiement risque d'échouer et votre environnement ne sera pas protégé.
La figure suivante présente le processus global de planification du déploiement.
.gif)
Figure 5.1. Planification du déploiement des paramètres de sécurité d'Office 2007
Sur cette page
Choix des paramètres de sécurité pour votre environnement
Conception d'une infrastructure de stratégie de groupe
Préparation au déploiement des paramètres EC ou SSLF
Choix des paramètres de sécurité pour votre environnement
Dans Office 2007, il est possible de configurer des paramètres de sécurité pour toute une série d'environnements. Néanmoins, les informations de ce guide s'appliquent à deux environnements particuliers : l'environnement EC et l'environnement SSLF. Cette section propose des conseils et des informations qui vous aideront à déterminer l'environnement de sécurité le plus adapté à votre entreprise.
L'environnement EC
L'environnement EC est conçu pour les entreprises ayant des besoins classiques en matière de sécurité. Il est adapté aux PME et aux grandes entreprises qui recherchent un équilibre entre sécurité et fonctionnalité.
L'environnement EC suppose que vos ordinateurs clients appartiennent à un environnement de services de domaine Active Directory® (AD DS) et qu'ils communiquent exclusivement avec des ordinateurs qui exécutent l'un des systèmes d'exploitation suivants :
Windows Server® 2003 avec Service Pack 1 (SP1) ou ultérieur
Windows Vista® dans un environnement AD DS
Windows® XP dans un environnement AD DS
En outre, l'environnement EC part du principe que les objectifs opérationnels de votre entreprise reposent sur une stratégie de sécurité équilibrée : c'est à dire que, dans votre entreprise, la productivité des travailleurs de l'information a autant d'importance que la sécurité de l'environnement informatique. Pour faciliter la mise en œuvre de cette stratégie de sécurité équilibrée, la plupart des fonctionnalités et des technologies de productivité intégrées à Office 2007 sont activées lorsque vous implémentez les paramètres de sécurité EC. Néanmoins, il se peut que ces fonctionnalités et technologies ne fonctionnent pas de façon optimale en raison de certaines contraintes de sécurité.
L'environnement SSLF
L'environnement SSLF est prévu pour les entreprises ayant des besoins supérieurs en matière de sécurité et pour lesquelles la sécurité est primordiale. Il s'adresse uniquement à des PME et des grandes entreprises ayant des standards de sécurité rigoureux, qui considèrent que la sécurité des applications prime sur leur fonctionnalité. Les paramètres SSLF peuvent également être appliqués à un sous-ensemble d'ordinateurs d'une grande entreprise (un service qui traite des informations sensibles, par exemple). Tout comme l'environnement EC, l'environnement SSLF suppose que vos ordinateurs clients appartiennent à un environnement AD DS et qu'ils communiquent exclusivement avec des ordinateurs qui exécutent l'un des systèmes d'exploitation suivants :
Windows Server 2003 avec Service Pack 1 (SP1) ou ultérieur dans un environnement AD DS
Windows Vista dans un environnement AD DS
Windows XP dans un environnement AD DS
L'environnement SSLF part également du principe que les objectifs opérationnels de votre entreprise reposent sur une stratégie de sécurité renforcée : c'est à dire que, dans votre entreprise, la productivité des travailleurs de l'information est secondaire par rapport à la sécurité de son environnement informatique. Pour faciliter la mise en œuvre de cette stratégie de sécurité, de nombreuses fonctionnalités et technologies de productivité intégrées à Office 2007 sont désactivées ou fonctionnent en mode de fonctionnalités réduites lorsque vous implémentez les paramètres de sécurité SSLF.
La figure suivante montre la relation entre sécurité, risque et fonctionnalité pour les paramètres de sécurité EC, SSLF et la configuration de sécurité par défaut d'Office 2007.
.gif)
Figure 5.2. Comparaison entre le risque, la sécurité et la productivité pour les paramètres EC et SSLF
Conception d'une infrastructure de stratégie de groupe
Avant de déployer vos paramètres de sécurité pour les environnements EC ou SSLF, vous devez planifier et concevoir votre infrastructure de stratégie de groupe. Pour ce faire, vous devez concevoir la structure de vos unités d'organisation (UO), puis celle de vos objets de stratégie de groupe (GPO).
Conception des UO pour les stratégies de sécurité
Une unité d'organisation est un conteneur au sein d'un domaine Active Directory. Les UO peuvent contenir des utilisateurs, des groupes, des ordinateurs et d'autres UO. Si une UO contient d'autres UO, il s'agit d'une UO parent. De la même façon, une UO contenue dans une UO parent est une UO enfant.
Un GPO est un objet Active Directory qui contient des paramètres de stratégie de groupe ainsi que d'autres propriétés. Vous pouvez lier un objet GPO à une UO, qui appliquera ensuite les paramètres de l'objet GPO aux utilisateurs et aux ordinateurs qui sont contenus dans cette UO et dans ses UO enfants. Pour faciliter l'administration, vous pouvez déléguer une autorité d'administration à chaque UO.
Les UO sont un moyen simple et efficace de regrouper des utilisateurs et des ordinateurs pour établir des limites administratives. Vous pouvez déléguer le contrôle d'un groupe ou d'une UO individuelle à l'aide l'Assistant Délégation, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console).
Conception d'UO recommandée
Quel que soit le type d'environnement, l'un des principaux objectifs d'une conception d'UO est de fournir une base pour l'implémentation transparente d'une stratégie de groupe qui s'applique à tous les ordinateurs clients d'Active Directory et qui garantit le respect des standards de sécurité de votre entreprise. L'UO doit avoir une structure adéquate pour abriter les paramètres de sécurité pour des types d'utilisateurs spécifiques au sein d'une entreprise. Par exemple, les développeurs peuvent avoir besoin de certains accès spécifiques sur leur ordinateur (accès inutilisés par les utilisateurs classiques). La figure suivante illustre une structure d'UO simple, qui convient pour la stratégie de groupe présentée dans ce chapitre. Il est probable que la structure d'UO soit différente pour l'environnement de votre entreprise.
.gif)
Figure 5.3. Exemple de structure d'UO
Cette structure d'UO comprend les UO suivantes :
Service. Parce que les exigences de sécurité varient souvent au sein d'une même entreprise, il peut s'avérer utile de créer des UO par service dans votre environnement. Vous pouvez utiliser ce type d'UO pour appliquer des paramètres de sécurité via un GPO à des ordinateurs et à des utilisateurs dans leurs UO de service respectives.
Contrôleurs de domaine. Contiennent les comptes d'ordinateur pour les ordinateurs qui sont des contrôleurs de domaine.
Utilisateurs de Windows Vista. Contiennent les comptes d'utilisateur des utilisateurs d'ordinateurs qui exécutent Windows Vista.
Ordinateurs Windows Vista. Contiennent les comptes d'ordinateur des ordinateurs qui exécutent Windows Vista.
Utilisateurs de Windows XP. Contiennent les comptes d'utilisateur des utilisateurs d'ordinateurs qui exécutent Windows XP.
Ordinateurs Windows XP. Contiennent les comptes d'ordinateur des ordinateurs qui exécutent Windows XP.
Conception des GPO pour les stratégies de sécurité
Les GPO sont stockés au niveau du domaine, ce qui signifie que les paramètres au sein d'un GPO peuvent être appliqués à des utilisateurs et à des ordinateurs qui sont contenus dans des sites, des domaines et des UO. L'utilisation de GPO de domaine (et des paramètres de stratégie de groupe) plutôt que d'un processus de configuration manuelle ou scriptée est un moyen efficace de gérer et de mettre à jour des paramètres de sécurité pour de nombreux ordinateurs et utilisateurs. La configuration manuelle ou scriptée n'est pas efficace. Elle requiert, en effet, qu'un technicien réalise un script ou que ce dernier intervienne sur chaque ordinateur client. Elle peut également s'avérer inefficace et non viable, puisque les paramètres configurés localement peuvent être modifiés par les utilisateurs, les administrateurs et les scripts.
Lorsque vous configurez des paramètres de stratégie de groupe via des GPO de domaine, ces paramètres sont prioritaires sur les paramètres locaux et ne peuvent pas être modifiés localement par des utilisateurs ou des scripts. La figure suivante indique l'ordre de priorité selon lequel les GPO sont appliqués aux ordinateurs. Dans cet exemple, l'ordinateur est un membre de l'UO enfant. La stratégie de groupe est d'abord appliquée à partir de la stratégie de sécurité locale de chaque ordinateur client. Une fois la stratégie de sécurité locale appliquée, les GPO sont ensuite appliqués au niveau du site, puis au niveau du domaine et enfin, au niveau de l'UO.
.gif)
Figure 5.4. Ordre de priorité selon lequel les GPO s'appliquent aux ordinateurs
Pour les ordinateurs qui exécutent le système d'exploitation Windows Vista ou Windows XP et qui sont imbriqués dans plusieurs couches d'UO, les GPO s'appliquent dans l'ordre, du niveau de l'UO parent jusqu'au niveau de l'UO enfant le plus bas de la hiérarchie. Le dernier objet GPO est appliqué à partir de l'UO contenant l'ordinateur client. Cet ordre de traitement des GPO (stratégie de sécurité locale, site, domaine, UO parent et UO enfant) est particulièrement important dans la mesure où les objets GPO appliqués en dernier dans le processus écrasent ceux qui ont été appliqués précédemment. Les objets GPO utilisateurs sont appliqués de la même manière.
Tenez compte des aspects suivants lorsque vous concevez la stratégie de groupe :
Un administrateur doit définir l'ordre suivant lequel plusieurs objets GPO sont liés à une UO ou la stratégie de groupe s'appliquera par défaut dans l'ordre selon lequel elle a été liée à l'UO. Si plusieurs stratégies spécifient le même paramètre, c'est la stratégie située le plus haut dans la liste des stratégies du conteneur qui sera prioritaire.
Vous pouvez configurer un objet GPO avec l'option Forcé. Si vous choisissez cette option, d'autres objets GPO ne pourront pas écraser les paramètres configurés dans cet objet GPO.
Vous pouvez configurer un Active Directory, un site, un domaine ou une UO avec l'option Bloquer l'héritage de stratégies. Cette option bloque les paramètres GPO des objets GPO qui sont plus élevés dans la hiérarchie Active Directory, sauf si l'option Forcé est sélectionnée. En d'autres termes, l'option Forcé est prioritaire sur l'option Bloquer l'héritage de stratégies.
Les paramètres de Stratégie de groupe s'appliquent aux utilisateurs et aux ordinateurs en fonction de l'emplacement de l'objet utilisateur ou ordinateur dans Active Directory. Dans certains cas, les objets utilisateur peuvent nécessiter une stratégie particulière, en fonction de l'emplacement de l'objet ordinateur et non de celui de l'objet utilisateur. La fonctionnalité Mode de traitement par boucle de la stratégie de groupe utilisateur donne à l'administrateur la possibilité d'appliquer des paramètres de stratégie de groupe utilisateur en fonction de l'ordinateur auquel l'utilisateur est connecté. Pour plus d'informations sur cette option, consultez l'article de la Base de connaissances Microsoft intitulé Traitement en boucle de la stratégie de groupe.
Conception de GPO recommandée
Si vous utilisez la conception d'UO décrite précédemment, les GPO devront déployer l'un des deux environnements de sécurité préconisés dans ce guide.
L'environnement EC nécessiterait :
Un GPO pour les paramètres de configuration de l'utilisateur EC
Un GPO pour les paramètres de configuration de l'ordinateur EC
De même, l'environnement SSLF nécessiterait :
Un GPO pour les paramètres de configuration de l'utilisateur SSLF
Un GPO pour les paramètres de configuration de l'ordinateur SSLF
La figure suivante vous indique comment lier ces GPO à une conception UO de base.
.gif)
Figure 5.5. Lien de GPO à une conception UO de base
Dans cet exemple, les paramètres de sécurité EC sont appliqués à des ordinateurs qui exécutent Windows Vista et à ceux qui exécutent Windows XP. De plus, les paramètres de sécurité sont appliqués dans cet ordre :
Les stratégies locales sont appliquées à tous les ordinateurs équipés de Windows Vista ou Windows XP.
Les paramètres de sécurité de domaine sont appliqués à tous les ordinateurs équipés de Windows Vista ou Windows XP à partir du GPO de domaine.
Les paramètres de sécurité sont appliqués aux ordinateurs équipés de Windows Vista ou Windows XP à partir du GPO de configuration d'utilisateur EC et du GPO de configuration d'ordinateur EC.
Cet exemple ne comporte qu'un site, si bien qu'aucun GPO n'est appliqué au niveau du site. S'il y avait plusieurs sites, les paramètres du GPO au niveau du site seraient appliqués après les stratégies locales.
Préparation au déploiement des paramètres EC ou SSLF
Pour déployer les paramètres de sécurité EC ou SSLF, vous devez télécharger GPOAccelerator et l'exécuter. Consultez le Chapitre 4 du guide Utilisation de GPOAccelerator pour obtenir une procédure détaillée sur le déploiement des paramètres pour les environnements EC et SSLF.
Important
Le déploiement des paramètres de sécurité via la stratégie de groupe peut avoir des effets indésirables sur vos ordinateurs client. Veillez à tester tous les paramètres de sécurité dans un environnement de test avant de les déployer dans un environnement de production.
Télécharger
Obtenir le Guide de sécurité de Microsoft Office 2007
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires