Exporter (0) Imprimer
Développer tout

Guide de sécurité de Windows XP

Chapitre 4 : Modèles d'administration pour Windows XP

Dernière mise à jour le 20 octobre 2005

Sur cette page

Présentation
Paramètres de configuration de l'ordinateur
Paramètres de configuration utilisateur
Résumé

Présentation

Ce chapitre décrit en détail la configuration et l'application de paramètres de sécurité supplémentaires sur les ordinateurs dotés de Microsoft® Windows® XP Professionnel avec Service Pack 2 (SP2) grâce à l'utilisation de modèles d'administration. Les paramètres du registre Windows XP qui régissent le comportement d'un grand nombre de services, applications et composants du système d'exploitation sont configurés à l'aide de fichiers modèles d'administration (.adm).

Cinq des modèles d'administration fournis avec Windows XP SP2 incluent des centaines de paramètres supplémentaires que vous pouvez exploiter afin d'améliorer la sécurité de Windows XP Professionnel. Certains paramètres des modèles d'administration de Microsoft Windows Server™ 2003 sont incompatibles avec Windows XP. Pour une liste complète des paramètres de modèles d'administration disponibles sur Windows XP, reportez-vous au classeur Microsoft Excel® intitulé « Policy Settings » (Paramètres de stratégie), référencé à la section Informations complémentaires, à la fin de ce chapitre.

Le tableau suivant répertorie les fichiers .adm et les applications et services concernés.

Tableau 4.1. Fichiers de modèles d’administration

Nom de fichier

Système d'exploitation.

Description

System.adm

Windows XP Professional

Contient de nombreux paramètres de personnalisation de l’environnement de l’utilisateur.

Inetres.adm

Windows XP Professional

Contient des paramètres pour Internet Explorer 6.0.

Conf.adm

Windows XP Professional

Contient des paramètres de configuration de Microsoft NetMeeting®.

Wmplayer.adm

Windows XP Professional

Contient des paramètres de configuration du lecteur Windows Media.

Wuau.adm

Windows XP Professional

Contient des paramètres de configuration de Windows Update.

Remarque : Pour les appliquer aux ordinateurs et aux utilisateurs de votre environnement, vous devez configurer manuellement les paramètres des modèles d'administration dans l'objet de stratégie de groupe.

Les modèles d'administration englobent deux groupes de paramètres principaux :

  • Les paramètres de configuration de l'ordinateur stockés dans la ruche du registre, HKEY_Local_Machine.

  • Les paramètres de configuration utilisateur stockés dans la ruche du registre, HKEY_Current_User.

Comme dans le Chapitre 3, « Paramètres de sécurité des clients Windows XP », des recommandations de paramètres sont incluses pour les environnements Client Entreprise (EC) et Sécurité spécialisée – Fonctionnalité limitée (SSLF) définis dans ce guide.

Remarque : Les paramètres utilisateur s'appliquent à une unité d'organisation (UO) contenant des utilisateurs via un objet de stratégie de groupe lié. Pour plus de détails sur cette unité d'organisation, reportez-vous au Chapitre 2, « Configuration de l'infrastructure de domaine Active Directory ».

Certains paramètres sont disponibles à la fois sous la configuration de l'ordinateur et la configuration utilisateur dans l'éditeur d'objet de stratégie de groupe. Si deux paramètres de même effet (l'un de type configuration de l'ordinateur, l'autre défini via une stratégie de groupe) sont appliqués à une connexion utilisateur, le paramètre de configuration de l'ordinateur l'emporte sur le paramètre de configuration utilisateur.

Les versions précédentes de ce guide contenaient des informations sur les paramètres Office XP. Ces paramètres ont à présent été mis à jour pour Office 2003 et sont disponibles sur le site Web de Microsoft. Vous trouverez des liens vers ces informations dans la section « Informations complémentaires » à la fin de ce chapitre.

Ce chapitre ne traite pas de tous les paramètres disponibles dans les modèles d'administration Microsoft, car la plupart de ceux qui sont décrits s'appliquent à l'interface utilisateur et ne sont donc pas spécifiques à la sécurité. Choisissez les configurations qui s'appliquent le mieux à votre environnement en fonction des objectifs de votre entreprise en matière de sécurité.

Pour effectuer d'autres réglages via la stratégie de groupe dans Windows XP Professionnel, vous pouvez développer des modèles personnalisés. Pour plus d'informations sur le développement de modèles d'administration personnalisés, reportez-vous aux livres blancs indiqués à la section d'informations complémentaires, à la fin de ce chapitre.

Paramètres de configuration de l'ordinateur

Les sections suivantes décrivent les paramètres de configuration de l'ordinateur dans l'Éditeur d'objet de stratégie de groupe. Configurez ces paramètres à l'emplacement suivant :

Configuration ordinateur\Modèles d’administration

Cet emplacement est illustré dans son contexte dans la figure suivante :

Cc163076.SGFG0401(fr-fr,TechNet.10).gif

Figure 4.1 Structure de stratégie de groupe pour la configuration de l'ordinateur

La structure de ce chapitre est basée sur la structure du conteneur dans la stratégie de groupe. Les tableaux des sections suivantes résument les recommandations en matière de paramètres pour les diverses options de configuration de l'ordinateur. Vous trouverez également des recommandations pour les ordinateurs de bureau et les ordinateurs portables dans deux types d'environnements sécurisés : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF). Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Appliquez ces paramètres via un objet de stratégie de groupe lié à une unité d'organisation contenant les comptes d'ordinateur de votre environnement. Incluez les paramètres d'ordinateur portable de l'objet GPO lié à l'unité d'organisation d'ordinateur portable. Incluez les paramètres d'ordinateur de bureau de l'objet GPO lié à l'unité d'organisation d'ordinateur de bureau.

Composants Windows

La figure suivante illustre les sections de stratégie de groupe qui seront affectées par les modifications de paramètres dans cette section :

Cc163076.SGFG0402(fr-fr,TechNet.10).gif

Figure 4.2 Structure de stratégie de groupe pour les composants Windows de la configuration de l'ordinateur
NetMeeting

Microsoft NetMeeting permet de diriger des réunions virtuelles entre utilisateurs du réseau de votre entreprise. Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
NetMeeting

Tableau 4.2 Paramètres NetMeeting recommandés

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Désactiver le partage de Bureaux distants

Non configuré

Non configuré

Activé

Activé

Désactiver le partage de Bureaux distants

Ce paramètre de stratégie désactive la fonctionnalité de partage de bureaux à distance de NetMeeting. Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas configurer NetMeeting pour permettre le contrôle à distance du bureau local.

Le paramètre Désactiver le partage de Bureaux distants est configuré sur Non configuré pour l'environnement EC. En revanche, ce paramètre est défini sur Activé dans l'environnement SSLF afin d'empêcher les utilisateurs de partager des bureaux distants via NetMeeting.

Internet Explorer

Les stratégies de groupe Microsoft Internet Explorer permettent de mettre en œuvre les besoins de sécurité des postes de travail Windows XP et d'empêcher les échanges de contenu indésirable par l'intermédiaire d'Internet Explorer. Pour sécuriser Internet Explorer sur les postes de travail de votre environnement, employez les critères suivants :

  • Assurez-vous que les demandes d'accès à Internet n'ont lieu que lors de réponses directes à des actions utilisateur.

  • Assurez-vous que les informations n'atteignent que les sites Web auxquels elles sont adressées sauf si des actions utilisateur précises permettent de transmettre des informations à d'autres destinations.

  • Assurez-vous que les canaux approuvés vers des serveurs/sites ainsi que leurs propriétaires respectifs sont clairement identifiés.

  • Vérifiez que les scripts ou programmes qui s'exécutent avec Internet Explorer le font dans un environnement restreint. Dans certains cas, les programmes livrés par des canaux approuvés sont exécutables hors de l'environnement restreint.

Vous pouvez configurer les paramètres recommandés ci-dessous pour Internet Explorer à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Le tableau suivant résume bon nombre des recommandations de paramètres pour Internet Explorer. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.3 Paramètres Internet Explorer recommandés

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Désactiver l'installation automatique de composants Internet Explorer

Activé

Activé

Activé

Activé

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer

Activé

Activé

Activé

Activé

Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme

Activé

Activé

Activé

Activé

Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires

Activé

Activé

Activé

Activé

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)

Activé

Désactivé

Activé

Désactivé

Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites

Activé

Activé

Activé

Activé

Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies

Activé

Activé

Activé

Activé

Zones de sécurité : Utiliser seulement les paramètres ordinateur

Activé

Activé

Activé

Activé

Désactiver la détection des pannes

Activé

Activé

Activé

Activé

Désactiver l'installation automatique de composants Internet Explorer

Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas télécharger des composants lorsque les utilisateurs naviguent sur des sites Web qui nécessitent ces composants pour fonctionner correctement. Si ce paramètre de stratégie est désactivé ou qu'il n'est pas configuré, les utilisateurs seront invités à télécharger et installer des composants chaque fois qu'ils visiteront des sites Web qui les utilisent.

Le paramètre Désactiver l'installation automatique de composants Internet Explorer est configuré sur Activé pour les deux environnements qui sont abordés dans ce chapitre.

Remarque : Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une stratégie alternative pour la mise à jour d'Internet Explorer via Microsoft Update ou un service similaire.

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer

Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas déterminer si une version plus récente du navigateur est disponible et en avertir les utilisateurs si tel est le cas. Si ce paramètre de stratégie est désactivé ou qu'il n'est pas configuré, Internet Explorer recherchera des mises à jour tous les 30 jours (paramètre par défaut) et avertira les utilisateurs si une nouvelle version est disponible.

Le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une stratégie alternative pour les administrateurs de votre organisation afin qu'ils acceptent de façon périodique de nouvelles mises à jour pour Internet Explorer sur les ordinateurs clients de votre environnement.

Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme

Ce paramètre de stratégie indique que les programmes qui utilisent des chaînes de distribution de logiciels Microsoft n'avertiront pas les utilisateurs à l'installation de nouveaux composants. Les chaînes de distribution de logiciels permettent de mettre à jour de façon dynamique des logiciels sur des ordinateurs utilisateur. Cette fonctionnalité s'appuie sur les technologies Open Software Distribution (.osd).

Le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires

Ce paramètre de stratégie vous permet de décider si les utilisateurs ont la capacité d'autoriser ou de refuser des modules complémentaires via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Activé, les utilisateurs ne peuvent pas activer ou désactiver des modules complémentaires par le biais de Gérer les modules complémentaires. Il existe une seule exception à cette règle : si un module complémentaire a été entré dans le paramètre de stratégie Liste des modules complémentaires de façon à permettre aux utilisateurs de continuer à le gérer. Dans ce cas, l'utilisateur peut continuer à gérer le module complémentaire via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Désactivé, l'utilisateur pourra activer ou désactiver des modules complémentaires.

Remarque : Pour plus d'informations sur la gestion des modules complémentaires Internet Explorer dans Windows XP avec SP2, reportez-vous à l'article 883256 de la Base de connaissances Microsoft, « Comment faire pour gérer les modules complémentaires Internet Explorer dans le Service Pack 2 Windows XP » à l'adresse http://support.microsoft.com/?kbid=883256.(Disponible en française à l'adresse: http://support.microsoft.com/kb/883256/fr)

Les utilisateurs installent souvent des modules complémentaires qui ne sont pas autorisés par la stratégie de sécurité de l'organisation. Ces modules complémentaires peuvent présenter des risques importants en matière de sécurité et de confidentialité de votre réseau. Ce paramètre de stratégie est donc configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque : Vérifiez les paramètres GPO dans Internet Explorer\Fonctionnalités de sécurité\Gestionnaire afin de vous assurer que les modules complémentaires appropriés peuvent s'exécuter dans votre environnement. Vous pouvez par exemple lire l'article « Outlook Web Access and Small Business Server Remote Web Workplace do not function if XP Service Pack 2 Add-on Blocking is enabled via group policy » de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/default.aspx?kbid=555235.

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)

Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas modifier les paramètres de proxy spécifiques aux utilisateurs. Ils doivent utiliser les zones créées pour tous les utilisateurs des ordinateurs auxquels ils accèdent.

Le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) est configuré sur Activé pour les ordinateurs de bureau client pour les deux environnements abordés dans ce chapitre. Il est cependant configuré sur Désactivé pour les ordinateurs portables client, les utilisateurs mobiles pouvant avoir besoin de changer leurs paramètres proxy en déplacement.

Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites

L'activation de ce paramètre de stratégie désactive les paramètres de gestion de site pour les zones de sécurité. (Pour consulter les paramètres de gestion de site pour les zones de sécurité, ouvrez Internet Explorer, sélectionnez Outils et Options Internet, cliquez sur l'onglet Sécurité puis sur Sites.) Si ce paramètre de stratégie est désactivé ou qu'il n'est pas configuré, les utilisateurs ont la possibilité d'ajouter ou de supprimer des sites Web dans les zones Sites de confiance et Sites sensibles, et de modifier les paramètres de la zone Intranet local.

Le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Si vous activez le paramètre Désactiver l'onglet Sécurité (situé \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'onglet Sécurité est retiré de l'interface et le paramètre Désactiver prend la priorité sur le paramètre Zones de sécurité.

Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies

Si vous activez ce paramètre de stratégie, vous désactivez le bouton Niveau personnalisé et la barre coulissante Niveau de sécurité pour cette zone dans l'onglet Sécurité de la boîte de dialogue Options Internet. Si ce paramètre de stratégie est désactivé ou n'est pas configuré, les utilisateurs pourront modifier les paramètres des zones de sécurité. Il empêche les utilisateurs de modifier les paramètres de stratégie des zones de sécurité définis par l'administrateur.

Le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Si vous activez le paramètre Désactiver l'onglet Sécurité (situé \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'onglet Sécurité est retiré d'Internet Explorer dans le panneau de configuration et le paramètre Désactiver prend la priorité sur le paramètre Zones de sécurité.

Zones de sécurité : Utiliser seulement les paramètres ordinateur

Ce paramètre de stratégie affecte la façon dont les modifications apportées aux zones de sécurité s'appliquent aux différents utilisateurs. Il a pour but d'assurer l'uniformité des paramètres de zone de sécurité sur un même ordinateur ; ces paramètres ne doivent pas varier d'un utilisateur à l'autre. Si vous activez ce paramètre de stratégie, les modifications apportées par un utilisateur à une zone de sécurité s'appliquent à tous les utilisateurs de cet ordinateur. Si ce paramètre de stratégie est désactivé ou n'est pas configuré, tous les utilisateurs d'un même ordinateur peuvent établir leurs propres paramètres de zone de sécurité.

Le paramètre Zones de sécurité : Utiliser seulement les paramètres ordinateur est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Désactiver la détection des pannes

Ce paramètre de stratégie vous permet de gérer la fonctionnalité de détection des pannes du gestionnaire dans Internet Explorer. Si vous activez ce paramètre de stratégie, une panne dans Internet Explorer aura le même effet qu'une panne survenant sur un ordinateur doté de Windows XP Professionnel avec Service Pack 1 (SP1) ou version antérieure : le signalement d'erreurs de Windows sera invoqué. Si vous désactivez ce paramètre de stratégie, la fonction de détection des pannes sera fonctionnelle (gestion des modules complémentaires).

Étant donné que les informations de rapport de panne Internet Explorer peuvent contenir des données sensibles de la mémoire de l'ordinateur, le paramètre Désactiver la détection des pannes est configuré sur Activé pour les deux environnements abordés dans ce chapitre. Si vous rencontrez fréquemment des pannes et que vous voulez les signaler pour bénéficier d'un dépannage, vous pouvez configurer temporairement ce paramètre sur Désactivé.

Internet Explorer\Panneau de configuration Internet\onglet Sécurité

Vous pouvez configurer ces paramètres à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\onglet Sécurité

SP2 a introduit bon nombre de nouveaux paramètres de stratégie afin de vous aider à sécuriser la configuration de la zone Internet Explorer dans votre environnement. Les valeurs par défaut de ces paramètres permettent de bénéficier d'une sécurité améliorée par rapport aux versions précédentes de Windows. Nous vous conseillons cependant de passer ces paramètres en revue afin de déterminer si vous voulez les appliquer ou non dans votre environnement pour des questions d'utilisation ou de compatibilité des applications.

Par exemple, SP2 configure par défaut Internet Explorer de façon à bloquer les pop-ups de toutes les zones Internet. Vérifiez que ce paramètre de stratégie est appliqué sur tous les ordinateurs de votre environnement afin d'éliminer les fenêtres contextuelles et de réduire les risques d'installation de logiciels malveillants et de logiciels espions. Il est possible que votre environnement contienne des applications qui nécessitent l'utilisation de pop-ups. Dans ce cas, vous pouvez configurer cette stratégie de façon à autoriser les fenêtres contextuelles pour les sites Web se trouvant sur votre intranet.

Internet Explorer\Panneau de configuration Internet\onglet Avancé

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\onglet Avancés

Tableau 4.4 Paramètres recommandés - Permettre l'exécution du logiciel

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide

Désactivé

Désactivé

Désactivé

Désactivé

Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide

Les contrôles Microsoft ActiveX® et les téléchargements de fichiers comportent souvent des signatures numériques certifiant l'intégrité du fichier et l'identité du créateur du logiciel. Ces signatures permettent de garantir que le logiciel téléchargé n'est pas altéré et que vous pouvez identifier la personne ayant signé le fichier afin de déterminer si vous lui faites suffisamment confiance pour exécuter le logiciel.

Le paramètre Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide vous permet d'autoriser ou non l'installation ou l'exécution de logiciels téléchargés par les utilisateurs lorsque la signature n'est pas valide. Une signature non valide pourrait indiquer que quelqu'un a altéré le fichier. Si vous activez ce paramètre de stratégie, les utilisateurs pourront installer ou exécuter des fichiers portant une signature non valide. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne pourront pas exécuter ou installer des fichiers portant une signature non valide.

Étant donné que les logiciels non signés peuvent créer une vulnérabilité de sécurité, ce paramètre de stratégie est configuré sur Désactivé pour les deux environnements abordés dans ce chapitre.

Remarque : Il est possible que certains logiciels et contrôles légitimes aient une signature non valide. Testez ces logiciels de façon exhaustive avant d'autoriser leur utilisation sur le réseau de votre organisation.

Internet Explorer\Fonctions de sécurités\Restriction de sécurité du protocole MK

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Restriction de sécurité du protocole MK

Tableau 4.5 Paramètres recommandés - Protocole MK

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Protocole MK)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Protocole MK)

Ce paramètre de stratégie réduit la zone exposée aux attaques en bloquant le protocole MK, rarement utilisé. Certaines applications Web assez anciennes se servent du protocole MK pour la récupération d'informations dans des fichiers compressés. Si vous configurez ce paramètre de stratégie sur Activé, le protocole MK est bloqué pour l'Explorateur Windows et Internet Explorer. Les ressources utilisant le protocole MK ne peuvent donc pas fonctionner. Si vous désactivez ce paramètre de stratégie, les autres applications sont autorisées à utiliser l'API du protocole MK.

Le protocole MK n'étant pas largement utilisé, nous vous recommandons de le bloquer si vous n'en avez pas besoin. Ce paramètre de stratégie est configuré sur Activé pour les deux environnements qui sont abordés dans ce chapitre. Microsoft vous recommande de bloquer le protocole MK, sauf si vous en avez spécifiquement besoin dans votre environnement.

Remarque : Étant donné que les ressources qui utilisent le protocole MK ne fonctionnent pas, si vous déployez ce paramètre de stratégie, vérifiez qu'aucune de vos applications n'utilise le protocole.

Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Tableau 4.6 Paramètres recommandés - Gestion MIME cohérente

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Gestion MIME cohérente)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Gestion MIME cohérente)

Internet Explorer utilise des données MIME (Multipurpose Internet Mail Extensions) pour déterminer les procédures de traitement des fichiers reçus via un serveur Web. Le paramètre Gestion MIME cohérente détermine si Internet Explorer requiert la cohérence de toutes les informations de types de fichiers fournies par les serveurs Web. Par exemple, si le type MIME d'un fichier est texte brut mais que les données MIME indiquent que le fichier est en fait un fichier exécutable, Internet Explorer modifie son extension afin de refléter cet état de fait. Cette fonction permet de s'assurer que le code exécutable ne peut pas se faire passer pour d'autres types de données fiables.

Si vous activez ce paramètre de stratégie, Internet Explorer examine tous les fichiers reçus et leur applique des données MIME homogènes. Si ce paramètre de stratégie est désactivé ou n'est pas configuré, Internet Explorer ne requiert pas des données MIME cohérentes pour tous les fichiers reçus et utilise les données MIME fournies par le fichier.

L'usurpation de types de fichiers MIME constitue une menace potentielle pour votre organisation. Vérifiez que ces fichiers sont cohérents et correctement étiquetés afin d'empêcher les téléchargements de fichiers malveillants qui peuvent infecter votre réseau. Ce paramètre de stratégie est configuré sur Activé pour les deux environnements qui sont abordés dans ce chapitre.

Remarque : Ce paramètre de stratégie est utilisé conjointement avec les paramètres Fonctionnalité de sécurité de détection MIME, mais il ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Tableau 4.7 Paramètres recommandés - Détection MIME

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (espionnage MIME)

Activé

Activé

Activé

Activé

Processus Internet Explorer (espionnage MIME)

La détection MIME est un processus qui examine le contenu d'un fichier MIME afin de déterminer son contexte (fichier de données, fichier exécutable ou autre type de fichier). Ce paramètre de stratégie détermine si l'espionnage MIME d'Internet Explorer permet d'empêcher la promotion d'un fichier vers un type de fichier plus dangereux. Quand ce paramètre est configuré sur Activé, l'espionnage MIME ne permet pas de promouvoir un fichier vers un type plus dangereux. Si vous désactivez ce paramètre de stratégie, la détection MIME configure les processus Internet Explorer afin d'autoriser la promotion d'un fichier d'un certain type vers un type plus dangereux. Un fichier texte pourrait par exemple être promu en fichier exécutable, ce qui présente des risques étant donné que tout code se trouvant dans le fichier texte présumé, le cas échéant, serait exécuté.

L'usurpation de types de fichiers MIME constitue une menace potentielle pour votre organisation. Microsoft vous recommande de vérifier que ces fichiers sont traités de façon cohérente afin d'empêcher les téléchargements de fichiers malveillants qui peuvent infecter votre réseau.

Le paramètre Processus Internet Explorer (espionnage MIME) est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Ce paramètre de stratégie est utilisé conjointement avec les paramètres Gestion MIME cohérente, mais il ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Tableau 4.8 Paramètres recommandés - Restrictions de sécurité de scripts de fenêtres

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres)

Internet Explorer permet aux scripts d'ouvrir, redimensionner et repositionner par programmation divers types de fenêtres. Souvent, les sites Web non fiables redimensionnent les fenêtres afin de masquer d'autres fenêtres ou de vous forcer à interagir avec une fenêtre contenant un code malveillant.

Le paramètre Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres) limite les fenêtres contextuelles et ne permet pas aux scripts d'afficher des fenêtres dans lesquelles les barres de titre et d'état ne sont pas visibles ou qui cachent les barres de titre et d'état d'autres fenêtres. Si vous activez ce paramètre de stratégie, les fenêtres contextuelles ne seront pas affichées dans l'Explorateur Windows et les processus Internet Explorer. Si vous désactivez ce paramètre ou s'il n'est pas configuré, les scripts pourront créer des fenêtres contextuelles et des fenêtres masquant d'autres fenêtres.

Le paramètre Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres) est configuré sur Activé pour les deux environnements abordés dans ce chapitre. Si ce paramètre de stratégie est activé, les sites Web malveillants auront plus de mal à contrôler vos fenêtres Internet Explorer ou à pousser les utilisateurs à cliquer sur la mauvaise fenêtre.

Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Tableau 4.9 Paramètres recommandés - Protection contre l'élévation de zone

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Protection contre l'élévation de zone)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Protection contre l'élévation de zone)

Internet Explorer place des restrictions sur chaque page Web ouverte. Ces restrictions dépendent de l'emplacement de la page Web (zone Internet, zone Intranet ou zone Ordinateur local). Les pages Web sur un ordinateur local ont des restrictions de sécurité très limitées et résident dans la zone Ordinateur local, ce qui fait de cette zone de sécurité une cible de choix pour les utilisateurs malveillants.

Si vous activez le paramètre Processus Internet Explorer (Protection contre l'élévation de zone), n'importe quelle zone peut être protégée contre l'élévation de zone par les processus Internet Explorer. Cette approche empêche donc du contenu s'exécutant dans une zone d'obtenir les privilèges élevés d'une autre zone. Si vous désactivez ce paramètre de stratégie, aucune zone ne reçoit une protection de ce type pour les processus Internet Explorer.

Étant donné la gravité et la fréquence des attaques d'élévation de zone, le paramètre Processus Internet Explorer (Protection contre l'élévation de zone) est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Tableau 4.10 Paramètres - Restreindre l'installation ActiveX

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Restreindre l'installation ActiveX)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Restreindre l'installation ActiveX)

Ce paramètre de stratégie permet de bloquer les invites d'installation de contrôle ActiveX pour les processus Internet Explorer. Si vous activez ce paramètre de stratégie, les invites d'installation de contrôle ActiveX seront bloquées pour les processus Internet Explorer. Si vous désactivez ce paramètre de stratégie, les invites d'installation de contrôles ActiveX ne seront pas bloquées et les utilisateurs les verront s'afficher.

Les utilisateurs installent souvent des logiciels tels que les contrôles ActiveX qui ne sont pas autorisés par la stratégie de sécurité de l'organisation. Ces logiciels peuvent présenter des risques significatifs pour la sécurité et la confidentialité des réseaux. Le paramètre Processus Internet Explorer (Restreindre l'installation ActiveX) est donc configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Ce paramètre de stratégie empêche également les utilisateurs d'installer des contrôles ActiveX légitimes qui interféreront avec des composants importants du système (Windows Update par exemple). Si vous activez ce paramètre de stratégie, mettez en place une alternative pour le déploiement des mises à jour de sécurité, comme Windows Server Update Services (WSUS) par exemple.
Pour plus d'informations sur WSUS, reportez-vous à la page Windows Server Update Services Product Overview à l'adresse www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.msp.
Pour plus d'informations sur Windows Update, reportez-vous à la page Windows Update à l'adresse http://windowsupdate.microsoft.com.

Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Tableau 4.11 Paramètres recommandés - Restreindre le téléchargement de fichiers

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Processus Internet Explorer (Restreindre le téléchargement de fichiers)

Activé

Activé

Activé

Activé

Processus Internet Explorer (Restreindre le téléchargement de fichiers)

Il arrive que des sites Web lancent des invites de téléchargement de fichier sans interaction des utilisateurs. Cette technique peut permettre à des sites Web de placer des fichiers non autorisés sur les disques durs des utilisateurs s'ils cliquent sur le mauvais bouton et acceptent le téléchargement.

Si vous configurez le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) sur Activé, les invites de téléchargements de fichiers non initiés par un utilisateur sont bloquées pour les processus Internet Explorer. Si vous configurez ce paramètre de stratégie sur Désactivé, les invites de téléchargements de fichiers non initiés par des utilisateurs sont autorisées.

Le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) est configuré sur Activé pour les deux environnements abordés dans ce chapitre afin d'empêcher des utilisateurs malveillants de placer du code arbitraire sur les ordinateurs des utilisateurs.

Internet Explorer\Fonctions de sécurité\Gestionnaire

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité\Gestionnaire

Tableau 4.12 Paramètres - Gestionnaire

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Refuser tous les modules complémentaires saufs s'ils figurent sur la liste des modules complémentaires.

Recommandé

Recommandé

Recommandé

Recommandé

Liste des modules complémentaires

Recommandé

Recommandé

Recommandé

Recommandé

Refuser tous les modules complémentaires saufs s'ils figurent sur la liste des modules complémentaires.

Ce paramètre de stratégie, avec le paramètre Liste des modules complémentaires, vous permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètre Liste des modules complémentaires définit une liste de modules complémentaires pouvant être autorisés ou refusés via la stratégie de groupe. Le paramètre Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires permet de s'assurer que tous les modules complémentaires sont refusés, sauf s'ils sont répertoriés spécifiquement via le paramètre de stratégie Liste des modules complémentaires.

Si vous activez ce paramètre de stratégie, Internet Explorer autorise uniquement les modules complémentaires répertoriés dans la Liste des modules complémentaires. Si vous désactivez ce paramètre de stratégie, les utilisateurs peuvent utiliser le gestionnaire pour autoriser ou refuser les modules complémentaires.

Nous vous conseillons d'utiliser à la fois Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires qui peuvent être utilisés dans votre environnement. Cette approche vous permettra de vous assurer que seuls les modules complémentaires autorisés seront utilisés.

Liste des modules complémentaires

Ce paramètre de stratégie, avec le paramètre Refuser tous les modules complémentaires sauf s'ils figurent sur la liste des modules complémentaires, vous permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètre Liste des modules complémentaires définit une liste de modules complémentaires pouvant être autorisés ou refusés via la stratégie de groupe. Le paramètre Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires permet de garantir que tous les modules complémentaires sont refusés, sauf s'ils sont répertoriés spécifiquement via le paramètre de stratégie Liste des modules complémentaires.

Si vous activez le paramètre Liste des modules complémentaires, vous devez dresser une liste des modules complémentaires autorisés ou refusés par Internet Explorer. Les modules spécifiques inclus dans la liste varient d'une organisation à l'autre ; vous ne trouverez donc pas de liste détaillée dans ce guide. Pour chaque entrée que vous ajoutez à la liste, vous devez fournir les informations suivantes :

  • Nom de la valeur. Le CLSID (identificateur de classe) du module complémentaire que vous souhaitez ajouter à la liste. Le CLSID doit être entre parenthèses ; par exemple : {000000000-0000-0000-0000-0000000000000}. Le CLSID correspondant à un module complémentaire est indiqué sur la balise OBJECT d'une page Web sur laquelle le module est référencé.

  • Valeur. Numéro indiquant à Internet Explorer s'il doit accepter ou refuser le chargement du module complémentaire. Les valeurs suivantes sont valides :

    • 0    Refuser ce module complémentaire

    • 1    Autoriser ce module complémentaire

    • 2    Autoriser ce module complémentaire et permettre à l'utilisateur de le gérer via Gérer les modules complémentaires

Si vous désactivez le paramètre Liste des modules complémentaires, la liste est effacée. Nous vous conseillons d'utiliser à la fois Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires qui peuvent être utilisés dans votre environnement. Cette approche vous permettra de vous assurer que seuls les modules complémentaires autorisés seront utilisés.

Terminal Services\Redirection de données client/serveur

Les paramètres Terminal Services fournissent des options pour la redirection des ressources des ordinateurs clients vers des serveurs auxquels les utilisateurs accèdent via Terminal Services. Le paramètre suivant est propre à Terminal Services.

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Terminal Services\Redirection de données client/serveur

Tableau 4.13 Paramètres recommandés - Ne pas autoriser la redirection de lecteur

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Ne pas autoriser la redirection de lecteur

Non configuré

Non configuré

Activé

Activé

Ne pas autoriser la redirection de lecteur

Ce paramètre de stratégie empêche les utilisateurs de partager les lecteurs locaux de leurs ordinateurs clients avec les Terminal Servers auxquels ils ont accès. Dans l'Explorateur Windows ou dans le Poste de travail, l'arborescence des dossiers de sessions comporte les lecteurs mappés sous le format suivant :

\\TSClient\<lettre lecteur>$

Si les lecteurs locaux sont partagés, ils sont exposés aux utilisateurs malveillants qui tentent d'exploiter les données qu'ils contiennent.

De ce fait, le paramètre Ne pas autoriser la redirection de lecteur est configuré sur Activé pour l'environnement SSLF. Cependant, ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Terminal Services\Cryptage et Sécurité

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Terminal Services\Cryptage et Sécurité

Tableau 4.14 Paramètres recommandés - Cryptage et sécurité Terminal Services

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Toujours demander au client le mot de passe à la connexion

Non configuré

Non configuré

Activé

Activé

Définir le niveau de cryptage de la connexion client

Niveau haut

Niveau haut

Niveau haut

Niveau haut

Toujours demander au client le mot de passe à la connexion

Ce paramètre de stratégie indique si les services Terminal Server demandent toujours un mot de passe à l'ordinateur client à la connexion. Vous pouvez utiliser ce paramètre de stratégie pour appliquer une invite de mot de passe pour les utilisateurs se connectant aux services Terminal Server, même s'ils ont déjà fourni le mot de passe au client Connexion Bureau à distance. Par défaut, les services Terminal Server autorisent les utilisateurs à se connecter automatiquement s'ils entrent un mot de passe dans le client de Connexion Bureau à distance.

Le paramètre Toujours demander au client le mot de passe à la connexion est configuré sur Activé dans l'environnement SSLF. Cependant, ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Si vous ne configurez pas ce paramètre, l'administrateur de l'ordinateur local peut, à l'aide de l'outil Configuration des services Terminal Server, autoriser ou empêcher l'envoi automatique de mots de passe.

Définir le niveau de cryptage de la connexion client

Ce paramètre de stratégie indique si l'ordinateur qui est sur le point d'héberger la connexion à distance applique un niveau de cryptage à toutes les données envoyées par et vers l'ordinateur client lors de la session à distance.

Le niveau de cryptage est configuré sur Niveau haut afin d'appliquer un cryptage 128 bits pour les deux environnements abordés dans ce chapitre.

Terminal Services\Client

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Modèles d'administration\Composants Windows\Terminal Services\Client

Tableau 4.15 Paramètres recommandés - Ne pas autoriser l'enregistrement des mots de passe

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Ne pas autoriser l'enregistrement des mots de passe

Activé

Activé

Activé

Activé

Ne pas autoriser l'enregistrement des mots de passe

Ce paramètre de stratégie empêche l'enregistrement des mots de passe sur un ordinateur par les clients des services Terminal Server. Si vous activez ce paramètre de stratégie, la case d'enregistrement du mot de passe est grisée sur les clients des services Terminal Server. Les utilisateurs ne peuvent donc pas enregistrer leurs mots de passe.

Étant donné que l'enregistrement de mots de passe peut présenter des risques supplémentaires, le paramètre Ne pas autoriser l'enregistrement des mots de passe est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Si ce paramètre de stratégie avait été préalablement défini sur Désactivé ou Non configuré, les mots de passe précédemment enregistrés sont effacés à la première déconnexion d'un client des services Terminal Server d'un serveur, quel qu'il soit.

Windows Messenger

Windows Messenger permet d'envoyer des messages instantanés à d'autres utilisateurs d'un réseau. Les messages peuvent contenir des fichiers et autres pièces jointes.

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Messenger

Tableau 4.16 Paramètres recommandés - Windows Messenger

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Ne pas autoriser l'exécution de Windows Messenger

Activé

Activé

Activé

Activé

Ne pas autoriser l'exécution de Windows Messenger

Vous pouvez activer le paramètre Ne pas autoriser l'exécution de Windows Messenger afin de désactiver Windows Messenger et d'empêcher l'exécution du programme. Étant donné que cette application a été utilisée à des fins malveillantes par le passé (courrier indésirable, distribution de logiciels malveillants et divulgation de données sensibles), Microsoft vous recommande de configurer le paramètre Ne pas autoriser l'exécution de Windows Messenger sur Activé pour les environnements EC et SSLF.

Remarque : Si vous configurez ce paramètre de stratégie sur Activé, l'Assistance à distance ne peut pas utiliser Windows Messenger et les utilisateurs ne peuvent pas utiliser MSN® Messenger.

Windows Update

Les paramètres de Windows Update permettent aux administrateurs de gérer la façon dont les correctifs sont mis en œuvre sur les postes de travail Windows XP. Les mises à jour sont disponibles à partir du site Web Windows Update de Microsoft. Vous pouvez également configurer un site Web d'intranet afin de distribuer les correctifs de la même façon avec un contrôle administratif supplémentaire. Le modèle d'administration de Windows Update (WUAU.adm) est une nouveauté de Windows XP avec Service Pack 1 (SP1).

Windows Server Update Services (WSUS) est un service d'infrastructure qui s'appuie sur le succès des technologies Microsoft Windows Update et Software Update Services (SUS). WSUS gère et distribue des correctifs Windows importants destinés à résoudre des brèches de sécurité et des problèmes de stabilité connus des systèmes Microsoft Windows.

WSUS remplace ces opérations manuelles par un système de notification dynamique pour les mises à jour importantes de clients Windows disponibles via votre serveur intranet. Ce service est utilisable par les ordinateurs clients hors connexion Internet. Cette technologie fournit également une solution automatique simple de distribution des mises à jour à vos postes de travail et serveurs Windows.

Windows Server Update Services propose également les fonctionnalités suivantes :

  • Administration des synchronisations de contenu sur votre intranet. Ce service de synchronisation est un composant serveur qui récupère les mises à jour importantes à partir de Windows Update. À mesure que de nouvelles mises à jour sont ajoutées à Windows Update, le serveur qui exécute WSUS les télécharge et les stocke automatiquement en fonction d'un planning défini par l'administrateur.

  • Un serveur Windows Update hébergé sur intranet. Ce serveur facile d'emploi joue le rôle d'un serveur Windows Update virtuel pour les ordinateurs clients. Il contient un service de synchronisation et des outils d'administration pour la gestion des mises à jour. Il utilise le protocole HTTP pour traiter des demandes de mises à jour approuvées émanant de clients connectés. Le serveur peut également héberger des mises à jour importantes téléchargées auprès du service de synchronisation et en informer les clients.

  • Administration des mises à jour. L'administrateur peut tester et valider les mises à jour émanant du site public de mises à jour de Windows avant de les déployer sur l'intranet de l'entreprise. Le déploiement peut s'appuyer sur une planification définie par l'administrateur. Si WSUS s'exécute sur plusieurs ordinateurs, l'administrateur détermine quels ordinateurs accèdent aux serveurs exécutant ce service. L'administrateur peut définir ce niveau d'intervention à l'aide de stratégies de groupes dans un environnement de service d'annuaire Active Directory, ou par l'intermédiaire de clés du registre.

  • Mises à jour automatiques (sur postes de travail ou serveurs). La fonction Windows, Mises à jour automatiques, permet de vérifier automatiquement les mises à jour disponibles sur le site Windows Update. WSUS recourt à cette fonction pour publier sur un intranet les mises à jour validées par l'administrateur.

    Remarque : Si vous optez pour un autre moyen de distribution des correctifs, tel que Microsoft Systems Management Server, ce guide vous recommande de désactiver le paramètre Configurer les mises à jour automatiques.

Il existe plusieurs paramètres Windows Update. Au moins trois paramètres sont requis pour le bon fonctionnement de Windows Update : Configurer les mises à jour automatiques, Pas de redémarrage planifié des installations planifiées des mises à jour automatiques et Nouvelle planification des installations planifiées de mises à jour automatiques. Un quatrième paramètre facultatif dépend des exigences de votre organisation : Spécifier l'emplacement intranet du service de Mise à jour Microsoft.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update

Les paramètres qui sont abordés dans cette section ne traitent pas individuellement de risques de sécurité spécifiques ; ils sont davantage liés aux préférences de l'administrateur. Cependant, Windows Update est essentiel à la gestion de la sécurité de votre environnement car il garantit que les clients obtiennent de Microsoft des correctifs de sécurité peu après leur sortie.

Remarque : Windows Update dépend de plusieurs services, tels que le service d'accès à distance au Registre et le service de transfert intelligent en arrière-plan. Comme l'indique le Chapitre 3, « Paramètres de sécurité des clients Windows XP », ces services sont désactivés dans l'environnement SSLF. Ceci signifie que, si ces services sont désactivés, Windows Update ne fonctionne pas et que les quatre paramètres décrits ci-dessous peuvent être ignorés pour l'environnement SSLF uniquement.

Le tableau suivant résume les paramètres Windows Update recommandés. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.17 Paramètres recommandés - Windows Update

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows

Désactivé

Désactivé

Désactivé

Désactivé

Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows

Désactivé

Désactivé

Désactivé

Désactivé

Configurer les mises à jour automatiques

Activé

Activé

Activé

Activé

Pas de redémarrage planifié des installations planifiées des mises à jour automatiques

Désactivé

Désactivé

Désactivé

Désactivé

Replanifier les installations planifiées des mises à jour automatiques

Activé

Activé

Activé

Activé

Spécifier l'emplacement intranet du service de Mise à jour Microsoft

Activé

Activé

Activé

Activé

Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows

Ce paramètre de stratégie vous permet de gérer l'affichage ou non de l'option Installer les mises à jour et éteindre dans la boîte de dialogue Arrêter Windows. Si vous désactivez ce paramètre de stratégie, l'option Installer les mises à jour et éteindre s'affiche dans la boîte de dialogue Arrêter Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter l'ordinateur dans le menu Démarrer ou clique sur Arrêter après avoir appuyé sur CTRL+ALT+SUPPR.

Les mises à jour étant importantes dans le cadre de la sécurité globale des ordinateurs, le paramètre Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows est configuré sur Désactivé pour les deux environnements abordés dans ce chapitre. Ce paramètre de stratégie fonctionne conjointement avec le paramètre Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows.

Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows

Ce paramètre de stratégie vous permet de gérer l'affichage ou non de l'option Installer les mises à jour et éteindre comme option par défaut dans la boîte de dialogue Arrêter Windows. Si vous désactivez ce paramètre de stratégie, l'option Installer les mises à jour et éteindre sera l'option par défaut dans la boîte de dialogue Arrêter Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter l'ordinateur dans le menu Démarrer.

Les mises à jour étant importantes dans le cadre de la sécurité globale des ordinateurs, le paramètre Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows est configuré sur Désactivé pour les deux environnements abordés dans ce chapitre.

Remarque : Ce paramètre de stratégie n'a pas d'effet si l'option Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update\Ne pas afficher l'option "Installer les mises à jour et éteindre" de la boîte de dialogue Arrêter Windows est définie sur Activé.

Configurer les mises à jour automatiques

Ce paramètre de stratégie indique si les ordinateurs de votre environnement recevront des mises à jour de sécurité de Windows Update ou de WSUS. La définition de ce paramètre sur Activé permet au système d'exploitation d'identifier les connexions réseau disponibles et, au besoin, d'en utiliser une pour rechercher les mises à jour appropriées sur le site Web Windows Update ou sur votre site intranet désigné.

Après avoir réglé ce paramètre sur Activé, sélectionnez l'une des trois options de la boîte de dialogue Configurer les propriétés des mises à jour automatiques afin de spécifier le mode opératoire du service :

  1. Notifier les téléchargements et les installations de mises à jour.

  2. Télécharger automatiquement les mises à jour et avertir lorsqu’elles sont prêtes pour l’installation. (Paramètre par défaut)

  3. Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous.

Si ce paramètre de stratégie est désactivé, vous devrez télécharger et installer manuellement les mises à jour disponibles à partir du site de mise à jour Windows, à l'adresse http://windowsupdate.microsoft.com.

Le paramètre Configurer les mises à jour automatiques est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Pas de redémarrage planifié des installations planifiées des mises à jour automatiques

Si ce paramètre de stratégie est activé, l'ordinateur attendra un redémarrage pour réaliser une installation planifiée ; sinon, l'ordinateur redémarrera automatiquement. Le réglage de ce paramètre sur Activé empêche Mises à jour automatiques de redémarrer les ordinateurs lors d'une installation planifiée. Si, pour terminer une installation de mise à jour, Mises à jour automatiques nécessite le redémarrage d'un ordinateur auquel est connecté un utilisateur, ce dernier reçoit un message de notification indiquant que le redémarrage peut être reporté. Mises à jour automatiques est incapable de détecter de futures mises à jour tant que l'ordinateur n'a pas redémarré.

Si le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques est configuré sur Désactivé ou Non configuré, Mises à jour automatiques avertira l'utilisateur que l'ordinateur redémarrera automatiquement 5 minutes plus tard pour terminer l'installation. Si les redémarrages automatiques posent problème, vous pouvez configurer le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques sur Activé. Si vous activez ce paramètre, prévoyez le redémarrage des clients après les heures de travail pour garantir la validité de l'installation.

Le paramètre Pas de redémarrage planifié des installations des mises à jour automatiques planifiées est configuré sur Désactivé pour les deux environnements abordés dans ce chapitre.

Remarque : Ce paramètre ne fonctionne que lorsque Mises à jour automatiques est défini pour effectuer des installations de mises à jour planifiées. Il est inopérant si le paramètre Configurer les mises à jour automatiques est défini sur Désactivé. Un redémarrage est généralement nécessaire à la validation des modifications apportées par une installation de mise à jour.

Replanifier les installations planifiées des mises à jour automatiques

Ce paramètre de stratégie détermine le temps qui s'écoule avant que les installations de Mises à jour automatiques planifiées aient lieu, après le démarrage du système. Si vous configurez ce paramètre de stratégie sur Activé, une installation planifiée est lancée au bout d'un certain nombre de minutes après le démarrage de l'ordinateur. Si vous configurez ce paramètre de stratégie sur Désactivé ou Non configuré, les installations planifiées s'exécutent à l'heure définie par l'administrateur.

Le paramètre Nouvelle planification des installations de mises à jour automatiques planifiées est configuré sur Activé pour les deux environnements abordés dans ce chapitre. Une fois ce paramètre de stratégie activé, vous pouvez modifier le délai d'attente par défaut si vous le souhaitez.

Remarque : Ce paramètre ne fonctionne que lorsque Mises à jour automatiques est défini pour effectuer des installations de mises à jour planifiées. Si le paramètre Configurer les mises à jour automatiques est configuré sur Désactivé, le paramètre Nouvelle planification des installations de mises à jour automatiques planifiées est sans effet. L'activation des deux derniers paramètres garantit que les installations qui n'ont pas encore eu lieu seront planifiées à chaque redémarrage de l'ordinateur.

Spécifier l'emplacement intranet du service de Mise à jour Microsoft

Ce paramètre de stratégie spécifie un serveur intranet pour l'hébergement des mises à jour disponibles sur les sites Web de mises à jour Microsoft. Vous pouvez ensuite employer ce service pour mettre à jour automatiquement les ordinateurs de votre réseau. Ce paramètre permet de spécifier le serveur WSUS de votre réseau qui jouera le rôle de serveur interne de mises à jour. Le client Mises à jour automatiques interrogera le service de mises à jour du serveur WSUS afin de connaître les mises à jour qui s'appliquent aux ordinateurs du réseau.

Le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : L'activation du paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft est sans effet si le paramètre Configurer les mises à jour automatiques est désactivé.

Système

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Système

La figure suivante illustre les sections de stratégie de groupe qui seront affectées par les modifications de paramètres dans cette section :

Cc163076.SGFG0403(fr-fr,TechNet.10).gif

Figure 4.3 Structure de stratégie de groupe pour la configuration de l'ordinateur

Le tableau suivant résume les paramètres système recommandés. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.18 Paramètres recommandés - Système

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Désactiver le lecteur automatique

Non configuré

Non configuré

Activé –
Tous les lecteurs

Activé –
Tous les lecteurs

Désactiver l'invite de recherche de pilote de périphérique Windows Update

Désactivé

Désactivé

Activé

Activé

Désactiver le lecteur automatique

Exécution automatique lit le média dès qu'il est inséré dans l'unité, démarrant immédiatement le fichier d'installation ou le média audio. Un pirate pourrait utiliser cette fonctionnalité pour lancer un programme visant à endommager l'ordinateur ou des données de l'ordinateur. Vous pouvez activer le paramètre Désactiver le lecteur automatique pour désactiver la fonctionnalité d'exécution automatique. L'exécution automatique est désactivée par défaut sur certains types de lecteurs amovibles (lecteurs de disquettes et lecteurs réseau, par exemple), mais pas sur les lecteurs de CD-ROM.

Le paramètre Désactiver le lecteur automatique est configuré sur Activé – Tous les lecteurs pour l'environnement SSLF uniquement. Cependant, ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Le paramètre Exécution automatique n'est pas utilisable avec des lecteurs (lecteurs de disquette ou lecteurs réseau) pour lesquels il est désactivé par défaut.

Désactiver l'invite de recherche de pilote de périphérique Windows Update

Ce paramètre de stratégie détermine si l'administrateur est invité ou non à rechercher des pilotes de périphérique sur Windows Update via Internet. Si ce paramètre de stratégie est Activé, les administrateurs ne sont pas invités à rechercher des pilotes sur Windows Update. Si ce paramètre de stratégie et Désactiver la recherche de pilotes de périphérique Windows Update sont tous deux configurés sur Désactivé ou Non configuré, l'administrateur sera invité à confirmer avant toute recherche de pilotes de périphérique sur Windows Update.

Étant donné que tout téléchargement de pilotes de périphérique sur Internet présente des risques, le paramètre Désactiver l'invite de recherche de pilote de périphérique Windows Update est configuré sur Activé pour l'environnement SSLF et sur Désactivé pour l'environnement EC. En effet, les types d'attaques pouvant exploiter un téléchargement de pilote sont généralement contrés dans le cadre d'une gestion des ressources correcte en entreprise.

Remarque : Ce paramètre de stratégie est efficace uniquement si le paramètre Désactiver la recherche de pilotes de périphérique Windows Update de Modèles d'administration/Système/Paramètres de communication Internet\Communication Internet est configuré sur Désactivé ou Non configuré.

Ouverture de session

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Connexion

Le tableau suivant résume les paramètres d'ouverture de session recommandés. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.19 Paramètres recommandés - Ouverture de session

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Ne pas traiter la liste d'exécution héritée

Non configuré

Non configuré

Activé

Activé

Ne pas traiter la liste d'exécution unique

Non configuré

Non configuré

Activé

Activé

Ne pas traiter la liste d'exécution héritée

Ce paramètre de stratégie permet d'ignorer la liste d'exécution, la liste des programmes exécutés automatiquement par Windows XP au démarrage. Les listes d'exécution personnalisées de Windows XP sont stockées dans le registre, aux emplacements suivants :

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

L'activation du paramètre Ne pas traiter la liste d'exécution héritée empêche qu'un utilisateur malintentionné se serve d'un programme pour endommager les données ou exercer toute autre action néfaste sur l'ordinateur, à chaque démarrage de Windows XP Ce paramètre empêche également l'exécution de certains programmes système, comme les logiciels antivirus et les logiciels de contrôle, ainsi que la distribution de logiciels. Microsoft vous recommande d'évaluer le niveau de menace dans votre environnement avant de déterminer si vous devez utiliser ou non ce paramètre pour votre entreprise.

Le paramètre Ne pas traiter la liste d'exécution héritée est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Ne pas traiter la liste d'exécution unique

Ce paramètre de stratégie permet d'ignorer la liste d'exécution unique contenant les programmes exécutés automatiquement par Windows XP au démarrage. Ce paramètre diffère du paramètre Ne pas traiter la liste d’exécution héritée car cette liste répertorie les programmes à exécution unique lors du redémarrage du client. Cette liste est parfois mise à jour avec des programmes de configuration et d'installation destinés à s'exécuter pendant le redémarrage d'un ordinateur client. Si vous activez ce paramètre de stratégie, les pirates ne peuvent pas utiliser la liste d'exécution unique pour lancer des applications malveillantes. Cela constituait une méthode d'attaque courante par le passé. À l'aide de la liste d'exécution unique, un utilisateur malintentionné peut installer un programme susceptible de compromettre la sécurité de clients Windows XP.

Remarque : Les listes d'exécution unique sont stockées dans le registre à l'emplacement suivant : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Le paramètre Ne pas traiter la liste d'exécution unique entraîne une perte minime de fonctionnalités pour les utilisateurs de votre environnement, surtout si tous les ordinateurs clients ont été configurés avant la mise en œuvre de ce paramètre via la stratégie de groupe.

Le paramètre Ne pas traiter la liste d'exécution unique est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Stratégie de groupe

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe

Tableau 4.20 Paramètres recommandés - Stratégie de groupe

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Traitement de la stratégie du Registre

Activé

Activé

Activé

Activé

Traitement de la stratégie du Registre

Ce paramètre de stratégie détermine à quel moment les stratégies de registre sont mises à jour. Ce paramètre concerne l'ensemble des stratégies du dossier Modèles d'administration ainsi que toute stratégie dont les valeurs sont stockées dans le registre. Si ce paramètre est activé, les options suivantes sont disponibles :

  • Ne pas appliquer lors des traitements en tâche de fond périodiques.

  • Traiter même si les objets Stratégie de groupe n'ont pas été modifiés.

Certains paramètres définis par l'intermédiaire des modèles d'administration sont en fait accessibles dans le registre par les utilisateurs. Les modifications apportées par les utilisateurs à ces paramètres seront écrasées si ce paramètre de stratégie est activé.

Le paramètre Traitement de la stratégie du Registre est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Assistance à distance

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Assistance à distance

Le tableau suivant résume les paramètres recommandés pour l'Assistance à distance. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.21 Paramètres recommandés - Assistance à distance

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Proposer l'Assistance à distance

Non configuré

Non configuré

Désactivé

Désactivé

Demander l'Assistance à distance

Non configuré

Non configuré

Désactivé

Désactivé

Proposer l'Assistance à distance

Ce paramètre détermine si un membre du support technique ou un administrateur chevronné en informatique peut proposer son aide aux utilisateurs de votre environnement avant que ceux-ci aient demandé explicitement de l'assistance par l'intermédiaire d'une chaîne, d'un message de courrier ou de la messagerie instantanée.

Remarque : L'expert ne se connecte pas à l'ordinateur à l'insu de son utilisateur et sans sa permission explicite. L'utilisateur peut refuser les demandes de connexion émanant de l'assistance technique (les privilèges d'accès au poste de travail sont proposés en lecture seule). Quand le paramètre Proposer l'Assistance à distance est défini sur Activé, l'utilisateur doit cliquer sur le bouton Oui pour autoriser l'expert technique à prendre, à distance, le contrôle du poste de travail.

Si ce paramètre est activé, les options suivantes sont disponibles :

  • Ne permettre aux conseillers de ne voir que l'ordinateur

  • Permettre aux conseillers de contrôler l'ordinateur à distance

En configurant ce paramètre, vous pouvez également définir une liste d'utilisateurs ou de groupes d'utilisateurs, désignés sous le nom de « conseillers » et autorisés à proposer leur assistance à distance.

Pour configurer la liste de conseillers

  1. Dans la fenêtre de configuration Proposer l’assistance à distance, cliquez sur Afficher. Une nouvelle fenêtre s'ouvre ; elle vous permet de saisir les noms des conseillers.

  2. Dans la liste Conseiller, entrez le nom de chaque utilisateur ou groupe d'utilisateurs dans l'un des formats suivants :

    • <Nom de domaine>\<Nom d'utilisateur>

    • <Nom de domaine>\ <Nom du groupe>

Si ce paramètre de stratégie est désactivé ou n'est pas configuré, les utilisateurs ou les groupes ne pourront pas offrir d'assistance à distance non sollicitée aux utilisateurs dans votre environnement.

Le paramètre Proposer l’assistance à distance est configuré sur Non configuré pour l'environnement EC. Ce paramètre de stratégie est cependant configuré sur Désactivé pour l'environnement SSLF afin d'empêcher l'accès aux ordinateurs clients Windows XP sur le réseau.

Demander l'Assistance à distance

Ce paramètre de stratégie détermine si l'assistance à distance peut être sollicitée à partir des ordinateurs Windows XP de votre environnement. Vous pouvez activer ce paramètre de stratégie pour permettre aux utilisateurs de solliciter l'assistance à distance d'administrateurs chevronnés.

Remarque : Les experts ne se connectent pas à l'ordinateur à l'insu de son utilisateur et sans sa permission explicite. L'utilisateur peut refuser les demandes de connexion émanant de l'assistance technique (les privilèges d'accès au poste de travail sont proposés en lecture seule). L'utilisateur doit cliquer sur le bouton Oui pour autoriser l'expert technique à prendre à distance le contrôle du poste de travail.

Si le paramètre Demander l'Assistance à distance est activé, les options suivantes sont disponibles :

  • Permettre aux conseillers de contrôler l'ordinateur à distance

  • Ne permettre aux conseillers de ne voir que l'ordinateur

En outre, les options suivantes permettent de configurer la durée de validité d'une demande d'assistance émanant d'un utilisateur :

  • Durée maximale du ticket (valeur) :

  • Durée maximale du ticket (unités) : heures, minutes ou jours

Lorsque le ticket (c'est-à-dire la demande d'aide) expire, l'utilisateur doit envoyer une autre demande pour qu'un expert puisse se connecter à l'ordinateur. Si vous désactivez le paramètre Demander l'Assistance à distance, les utilisateurs ne peuvent pas envoyer de demandes d'assistance et l'expert ne peut pas se connecter à leur ordinateur.

Quand le paramètre Demander l'Assistance à distance n'est pas configuré, les utilisateurs peuvent configurer dans le panneau de configuration, l'assistance à distance sollicitée. Les paramètres suivants sont activés par défaut dans le panneau de configuration : Assistance à distance sollicitée, Support d'un ami et Contrôle à distance. La valeur de Durée maximale du ticket est fixée à 30 jours. Si ce paramètre de stratégie est désactivé, personne ne pourra accéder aux ordinateurs clients Windows XP sur le réseau.

Le paramètre Demander l'assistance à distance est configuré sur Non configuré pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Signalement d’erreurs

Ces paramètres définissent la façon dont sont rapportées les erreurs système et les erreurs d'application. Dans la configuration par défaut, l'utilisateur est averti qu'une erreur se produit à l'aide d'une boîte de dialogue qui lui demande s'il veut envoyer un rapport d'erreur à Microsoft. Microsoft dispose de stratégies strictes pour la protection des données reçues dans ces rapports. Les données sont cependant transmises au format texte brut, ce qui présente un risque potentiel.

L'outil Signalement d'erreurs d'une entreprise permet aux entreprises de collecter les rapports d'erreurs localement au lieu de les envoyer à Microsoft via Internet. Microsoft recommande l'utilisation de l'outil Signalement d'erreurs d'une entreprise dans l'environnement SSLF afin d'empêcher l'exposition d'informations sensibles sur Internet. La section Informations complémentaires, qui figure à la fin de ce chapitre, fournit d'autres informations sur cet outil.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Rapport d'erreurs

Le tableau suivant résume les paramètres recommandés pour les rapports d'erreurs. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.22 Paramètres recommandés - Signalement d'erreurs

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Affiche les notifications d'erreur

Activé

Activé

Activé

Activé

Configurer le rapport d'erreurs

Activé

Activé

Activé

Activé

Affiche les notifications d'erreur

Ce paramètre de stratégie détermine si des messages d'erreur s'affichent sur les écrans des ordinateurs des utilisateurs. Si vous activez ce paramètre de stratégie, des notifications de messages d'erreur seront envoyées le cas échéant. Les utilisateurs pourront également consulter le détail de ces erreurs. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne pourront pas consulter les notifications d'erreurs.

En cas d'erreur, il est important d'adresser un message de notification à l'utilisateur. Si vous désactivez le paramètre Afficher les notifications d’erreur, les utilisateurs ne seront pas avertis en cas d'erreur. De ce fait, le paramètre Afficher les notifications d’erreur est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Configurer le rapport d'erreurs

Ce paramètre de stratégie détermine si le signalement d'erreurs est activé. Quand ce paramètre de stratégie est activé, les utilisateurs peuvent choisir s'ils souhaitent signaler les erreurs lorsqu'elles surviennent. Les erreurs peuvent être signalées à Microsoft par Internet ou à un partage de fichiers local. Si ce paramètre est activé, les options suivantes sont disponibles :

  • Ne pas afficher les liens aux sites Web « Plus d’informations » fournis par Microsoft

  • Ne pas recueillir les fichiers supplémentaires

  • Ne pas recueillir de données supplémentaires sur l'ordinateur

  • Forcer le mode file d'attente pour les erreurs d'application

  • Chemin d'accès du fichier de téléchargement d'entreprise

  • Remplacer les occurrences du mot « Microsoft »

Si le paramètre Configurer le rapport d'erreurs est désactivé, les utilisateurs n'ont pas la possibilité de signaler des erreurs. Si le paramètre Affiche les notifications d'erreur est activé, les utilisateurs reçoivent des notifications d'erreur mais ne peuvent pas les signaler. Le paramètre Configurer le rapport d'erreurs permet de personnaliser une stratégie de signalement d'erreurs pour votre entreprise et de collecter des rapports pour une analyse locale.

Le paramètre Configurer le rapport d'erreurs est configuré sur Activé pour les deux environnements abordés dans ce chapitre. Les options suivantes ont en outre été sélectionnées pour l'environnement SSLF :

  • Ne pas recueillir les fichiers supplémentaires

  • Ne pas recueillir de données supplémentaires sur l'ordinateur

  • Forcer le mode file d'attente pour les erreurs d'application

Sélectionnez également Chemin d'accès du fichier de téléchargement d'entreprise et définissez le chemin d'accès au serveur sur lequel vous avez installé Signalement d'erreurs d'une entreprise. Évaluez les besoins de votre entreprise afin de déterminer les options à utiliser.

Appel de procédure distante (RPC)

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Modèles d'administration\Système\Appel de procédure distante

Le tableau suivant résume les paramètres recommandés pour l'appel de procédure distante. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.23 Paramètres recommandés - Appel de procédure distante

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Restrictions pour les clients RPC non authentifiés

Activé– Authentifié

Activé– Authentifié

Activé– Authentifié

Activé– Authentifié

Authentification de client mappeur de point final RPC

Désactivé

Désactivé

Activé

Activé

Restrictions pour les clients RPC non authentifiés

Ce paramètre de stratégie configure l'exécution RPC sur un serveur RPC afin d'empêcher les clients RPC non authentifiés de se connecter au serveur RPC. Un client sera considéré comme authentifié s'il utilise un canal nommé pour communiquer avec le serveur ou s'il utilise la sécurité RPC. Les interfaces RPC ayant demandé spécifiquement à être accessibles aux clients non authentifiés peuvent être exemptées de cette restriction, en fonction de la valeur choisie pour cette stratégie. Si ce paramètre est activé, les valeurs suivantes sont disponibles :

  • Aucune. Cette valeur permet à tous les clients RPC authentifiés de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée.

  • Authentifié. Cette valeur permet uniquement aux clients RPC authentifiés de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée. Une exception sera faite pour les interfaces ayant demandé à être exemptées de cette restriction.

  • Authentifié sans exceptions. Cette valeur permet uniquement aux clients RPC authentifiés de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée. Aucune exception n'est permise.

Étant donné que la communication RPC non authentifiée peut constituer une vulnérabilité de sécurité, le paramètre Restrictions pour les clients RPC non authentifiés est configuré sur Activé et la valeur Restriction d'exécution du client à distance RPC non authentifié est définie sur Authentifié pour les deux environnements abordés dans ce chapitre.

Remarque : Il est possible que les applications RPC qui n'authentifient pas de demandes de connexion entrantes non sollicitées ne fonctionnent pas correctement avec cette configuration. Testez les applications avant de déployer ce paramètre de stratégie dans votre environnement. Bien que la valeur Authentifié pour ce paramètre de stratégie ne soit pas complètement sécurisée, elle peut s'avérer utile en termes de compatibilité des applications dans votre environnement.

Authentification de client mappeur de point final RPC

Si vous activez ce paramètre de stratégie, les ordinateurs clients qui communiquent avec cet ordinateur devront fournir une authentification pour qu'une communication RPC soit établie. Par défaut, les clients RPC n'utilisent pas d'authentification pour communiquer avec le service de mappeur de point final RPC lorsqu'ils demandent le point final d'un serveur. Cette valeur par défaut a cependant été modifiée pour l'environnement SSLF ; les ordinateurs clients doivent donc s'authentifier pour que la communication RPC soit autorisée.

Gestion de la communication Internet\Paramètres de communication Internet

Plusieurs paramètres de configuration sont disponibles dans le groupe Paramètres de communication Internet. Ce guide vous recommande de limiter bon nombre de ces paramètres, afin d'améliorer la confidentialité des données sur vos systèmes informatiques. Si ces paramètres ne sont pas limités, des informations pourraient être interceptées et utilisées par des pirates. Bien que ce type d'attaque soit rare de nos jours, une bonne configuration de ces paramètres vous permettra de protéger votre environnement contre les attaques futures.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Modèles d'administration\Système\Gestion de la communication Internet\Paramètres de communication Internet

Le tableau suivant résume les paramètres recommandés pour la communication Internet. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.24 Paramètres recommandés - Communication Internet

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Désactiver la tâche Publication sur le Web pour les fichiers et dossiers

Activé

Activé

Activé

Activé

Désactiver le téléchargement Internet pour les assistants de publication Web et de commande en ligne

Activé

Activé

Activé

Activé

Désactiver le programme d'amélioration de la satisfaction client Windows Messenger

Activé

Activé

Activé

Activé

Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche

Activé

Activé

Activé

Activé

Désactiver l'impression sur HTTP

Activé

Activé

Activé

Activé

Désactiver le téléchargement de pilotes d'impression sur HTTP

Activé

Activé

Activé

Activé

Désactiver la recherche de pilotes de périphérique Windows Update

Désactivé

Désactivé

Activé

Activé

Désactiver la tâche Publication sur le Web pour les fichiers et dossiers

Ce paramètre de stratégie indique si les tâches Publier ce fichier sur le Web, Publier ce dossier sur le Web et Publier les éléments sélectionnés sur le Web sont affichées dans le volet Gestion des fichiers des dossiers Windows. L'Assistant Publication de pages Web est utilisé pour télécharger une liste de fournisseurs et permettre aux utilisateurs de publier des pages Web.

Si vous configurez le paramètre Désactiver la tâche Publication sur le Web pour les fichiers et dossiers sur Activé, ces options sont supprimées du volet Gestion des fichiers des dossiers Windows. L'option de publication sur le Web est disponible par défaut. Étant donné que cette capacité pourrait être utilisée pour exposer du contenu sécurisé à un ordinateur client Web non authentifié, ce paramètre de stratégie est configuré sur Activé pour les environnements EC et SSLF.

Désactiver le téléchargement Internet pour les assistants de publication Web et de commande en ligne

Ce paramètre de stratégie détermine si Windows télécharge une liste de fournisseurs pour les assistants de publication Web et de commande en ligne. Si ce paramètre de stratégie est activé, Windows ne télécharge pas de liste des fournisseurs ; seuls les fournisseurs de service qui se trouvent en cache dans le registre local s'affichent.

Étant donné que le paramètre Désactiver la tâche Publication sur le Web pour les fichiers et dossiers a été activé pour les environnements EC et SSLF (voir paramètre précédent), cette option n'est pas nécessaire. Le paramètre Désactiver le téléchargement Internet pour les assistants de publication Web et de commande en ligne est cependant configuré sur Activé afin de minimiser la surface d'attaque potentielle des ordinateurs clients et d'empêcher l'exploitation de cette capacité d'une autre manière.

Désactiver le programme d'amélioration de la satisfaction client Windows Messenger

Ce paramètre de stratégie indique si Windows Messenger peut recueillir des informations anonymes sur la manière dont le logiciel et le service Windows Messenger sont utilisés. Vous pouvez activer ce paramètre de stratégie pour vous assurer que Windows Messenger ne recueillera pas d'informations d'utilisation et pour empêcher l'affichage des paramètres utilisateur qui activent la collecte de ces informations.

Dans les grands environnements d'entreprise, il n'est pas toujours souhaitable de recueillir des informations des ordinateurs clients gérés. Le paramètre Désactiver le programme d'amélioration de la satisfaction client Windows Messenger est configuré sur Activé pour les deux environnements abordés dans ce chapitre afin d'empêcher la collecte d'informations.

Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche

Ce paramètre de stratégie indique si l'Assistant Recherche télécharge automatiquement les mises à jour de contenu lors des recherches locales et sur Internet. Si vous configurez ce paramètre de stratégie sur Activé, vous empêchez l'Assistant Recherche de télécharger des mises à jour de contenu pendant les recherches.

Le paramètre Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche est configuré sur Activé pour les environnements EC et SSLF afin de contrôler les communications réseau inutiles.

Remarque : Pour les recherches Internet, le texte de la recherche et des informations associées sont néanmoins envoyées à Microsoft et au fournisseur choisi. Si vous sélectionnez Recherche classique, la fonctionnalité d'Assistant Recherche n'est pas disponible. Pour sélectionner Recherche classique, cliquez sur Démarrer, Rechercher, Modifier les préférences, puis Modifier les paramètres de recherche d'Internet.

Désactiver l'impression sur HTTP

Ce paramètre de stratégie vous permet de désactiver la capacité d'impression sur HTTP de l'ordinateur client ; cette fonction permet à l'ordinateur d'utiliser des imprimantes de l'intranet et d'Internet pour ses impressions. Si vous activez ce paramètre de stratégie, l'ordinateur client ne pourra pas utiliser des imprimantes d'Internet sur HTTP.

Les informations transmises sur HTTP via cette fonction ne sont pas protégées et peuvent être interceptées par des utilisateurs malveillants. C'est pour cette raison qu'elle n'est généralement pas utilisée dans les environnements d'entreprise. Le paramètre Désactiver l'impression sur HTTP est configuré sur Activé pour les environnements EC et SSLF afin d'empêcher toute violation de la sécurité par l'intermédiaire d'un travail d'impression non sécurisé.

Remarque : Ce paramètre de stratégie affecte uniquement le côté client de l'impression sur Internet. Quelle que soit la configuration choisie, un ordinateur peut jouer le rôle de serveur d'impression Internet et permettre l'accès à ses imprimantes partagées sur HTTP.

Désactiver le téléchargement de pilotes d'impression sur HTTP

Ce paramètre de stratégie détermine si l'ordinateur est autorisé à télécharger des packages de pilotes d'imprimante sur HTTP. Pour configurer l'impression sur HTTP, il pourrait être nécessaire de télécharger sur HTTP des pilotes d'imprimante non disponibles dans l'installation standard du système d'exploitation.

Le paramètre Désactiver le téléchargement de pilotes d'impression sur HTTP est configuré sur Activé pour empêcher le téléchargement de pilotes d'impression sur HTTP.

Remarque : Ce paramètre de stratégie n'empêche pas l'ordinateur client d'utiliser des imprimantes de l'intranet ou d'Internet sur HTTP pour ses impressions. Il empêche uniquement le téléchargement des pilotes qui ne sont pas déjà installés localement.

Désactiver la recherche de pilotes de périphérique Windows Update

Ce paramètre de stratégie indique si Windows recherche des pilotes de périphérique dans Windows Update lorsqu'il n'y a pas de pilotes locaux pour un périphérique.

Étant donné que tout téléchargement de pilotes de périphérique sur Internet présente des risques, le paramètre Désactiver la recherche de pilotes de périphérique Windows Update est configuré sur Activé pour l'environnement SSLF et sur Désactivé pour l'environnement EC. En effet, les types d'attaques pouvant exploiter un téléchargement de pilote sont généralement contrées dans le cadre d'une gestion des ressources et d'une configuration correcte en entreprise.

Remarque : Voir également Désactiver l'invite de recherche de pilote de périphérique Windows Update dans Modèles d'administration/Système ; ce paramètre détermine si l'administrateur reçoit des invites avant la recherche de pilotes de périphérique sur Windows Update lorsque le pilote n'est pas trouvé localement.

Réseau

Il n'y a pas de configurations de sécurité spécifiques dans le conteneur Réseau de la stratégie de groupe. Un certain nombre de paramètres très importants se trouvent cependant dans le conteneur Connexions réseau\Pare-feu Windows ; les sections suivantes détaillent ces paramètres.

La figure suivante illustre les sections de stratégie de groupe qui seront affectées par les modifications de paramètres dans cette section :

Cc163076.SGFG0404(fr-fr,TechNet.10).gif

Figure 4.4 Structure de stratégie de groupe pour les connexions réseau de la configuration de l'ordinateur

Connexions réseau\Pare-feu Windows

Les paramètres du pare-feu Windows sont définis dans deux profils : le Profil du domaine et le Profil standard. Quand un environnement de domaine est détecté, c'est le Profil du domaine qui est utilisé, et quand aucun environnement de domaine n'est disponible, c'est le Profil standard qui est utilisé.

Quand un paramètre du pare-feu Windows est défini sur Recommandé dans l'un des tableaux suivants, la valeur spécifique à utiliser pourra varier d'une organisation à l'autre. Par exemple, chaque organisation disposera d'une liste unique d'applications qui nécessiteront des exceptions définies pour le pare-feu Windows. Ce guide ne peut donc pas définir une liste globale.

Au moment de déterminer les applications ou ports qui nécessitent des exceptions, vous pouvez activer la journalisation et l'audit du pare-feu Windows, ainsi que le traçage réseau. Pour plus d'informations, voir l'article « Configuring a Computer for Windows Firewall Troubleshooting », disponible en ligne à l'adresse http://technet2.microsoft.com/windowsserver/en/library/bfdeda55-46fc-4b53-b4cd-c71838ef4b411033.mspx.

Pour plus d'informations sur la façon dont Windows XP utilise NLA (Network Location Awareness) pour déterminer le type de réseau auquel il est connecté, reportez-vous à l'article « Network Determination Behavior for Network-Related Group Policy Settings » sur le site Web de Microsoft à l'adresse www.microsoft.com/technet/community/columns/cableguy/cg0504.msp.

Généralement, le Profil du domaine est configuré de façon moins restrictive que le Profil standard, étant donné qu'un environnement de domaine fournit souvent des couches de protection supplémentaires.

Les noms des paramètres de stratégie sont identiques dans les deux profils. Les deux tableaux suivants résument les paramètres de stratégie pour ces deux profils. Des explications plus détaillées sont fournies dans les sous-sections qui suivent les tableaux.

Connexions réseau\Pare-feu Windows\Profil du domaine

Les paramètres de cette section configurent le profil du domaine du pare-feu Windows.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Modèles d'administration\Réseau\Connexions réseau\Pare-feu Windows\Profil du domaine

Tableau 4.25 Paramètres recommandés - Profil du domaine du Pare-feu Windows

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Protéger toutes les connexions réseau

Activé

Activé

Activé

Activé

N'autoriser aucune exception

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Définir les exceptions de programmes

Recommandé

Recommandé

Recommandé

Recommandé

Autoriser les exceptions de programmes locaux

Non recommandé

Non recommandé

Désactivé

Désactivé

Autoriser l'exception d'administration à distance

Recommandé

Recommandé

Désactivé

Désactivé

Autoriser l'exception de partage de fichiers et d'imprimantes

Désactivé

Désactivé

Désactivé

Désactivé

Autoriser les exceptions ICMP

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Autoriser l'exception du Bureau à distance

Recommandé

Recommandé

Désactivé

Désactivé

Autoriser l'exception d'infrastructure UPnP

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Interdire des notifications

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

Activé

Activé

Activé

Activé

Définir les exceptions de ports

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Autoriser les exceptions de ports locaux

Désactivé

Désactivé

Désactivé

Désactivé

Remarque : Quand un paramètre du pare-feu Windows est Recommandé dans ce tableau, la valeur spécifique à utiliser pourra varier d'une organisation à l'autre. Par exemple, chaque organisation disposera d'une liste unique d'applications qui nécessiteront des exceptions définies pour le pare-feu Windows. Ce guide ne peut donc pas définir une liste globale.

Connexions réseau\Pare-feu Windows\Profil standard

Les paramètres de cette section permettent de configurer le profil standard du pare-feu Windows. Ce profil est souvent plus restrictif que le profil de domaine, qui part du principe qu'un environnement de domaine offre un niveau de sécurité de base. Le profil standard doit être utilisé lorsqu'un ordinateur se trouve sur un réseau non fiable (réseau d'un hôtel, par exemple, ou point d'accès sans fil public). Les environnements de ce type présentent des menaces inconnues et nécessitent des précautions supplémentaires en matière de sécurité.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Modèles d'administration\Réseau\Connexions réseau\Pare-feu Windows\Profil standard

Tableau 4.26 Paramètres recommandés - Profil standard du pare-feu Windows

Paramètre

Bureau EC

Portable EC

Bureau SSLF

Portable SSLF

Protéger toutes les connexions réseau

Activé

Activé

Activé

Activé

N'autoriser aucune exception

Recommandé

Recommandé

Recommandé

Recommandé

Définir les exceptions de programmes

Recommandé

Recommandé

Recommandé

Recommandé

Autoriser les exceptions de programmes locaux

Non recommandé

Non recommandé

Désactivé

Désactivé

Autoriser l'exception d'administration à distance

Désactivé

Désactivé

Désactivé

Désactivé

Autoriser l'exception de partage de fichiers et d'imprimantes

Désactivé

Désactivé

Désactivé

Désactivé

Autoriser les exceptions ICMP

Désactivé

Désactivé

Désactivé

Désactivé

Autoriser l'exception du Bureau à distance

Activé

Activé

Désactivé

Désactivé

Autoriser l'exception d'infrastructure UPnP

Désactivé

Désactivé

Désactivé

Désactivé

Interdire des notifications

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

Activé

Activé

Activé

Activé

Définir les exceptions de ports

Non recommandé

Non recommandé

Non recommandé

Non recommandé

Autoriser les exceptions de ports locaux

Désactivé

Désactivé

Désactivé

Désactivé

Remarque : Quand un paramètre du pare-feu Windows est Recommandé dans ce tableau, la valeur spécifique à utiliser pourra varier d'une organisation à l'autre. Par exemple, chaque organisation disposera d'une liste unique d'applications qui nécessiteront des exceptions définies pour le pare-feu Windows. Ce guide ne peut donc pas définir une liste globale.

Pare-feu Windows : Protéger toutes les connexions réseau

Ce paramètre de stratégie active le pare-feu Windows, qui remplace le pare-feu de connexion Internet sur tous les ordinateurs dotés de Windows XP avec SP2. Ce guide vous recommande de configurer ce paramètre de stratégie sur Activé pour protéger toutes les connexions réseau pour les ordinateurs des environnements abordés dans ce guide.

Si le paramètre Pare-feu Windows : Protéger toutes les connexions réseau est configuré sur Désactivé, le pare-feu Windows est désactivé et tous les autres paramètres associés sont ignorés.

Remarque : Si vous activez ce paramètre de stratégie, le pare-feu Windows s'exécute et ignore le paramètre de stratégie Configuration ordinateur\Modèles d'administration\Réseau\Connexions réseau\Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS.

Pare-feu Windows : N'autoriser aucune exception

Ce paramètre de stratégie forçait le pare-feu Windows à bloquer tous les messages entrants non sollicités. Il remplace tous les autres paramètres de stratégie de pare-feu Windows autorisant ce type de messages. Si vous activez ce paramètre de stratégie dans le composant Pare-feu Windows du panneau de configuration, la case N'autoriser aucune exception est cochée et les administrateurs ne peuvent pas la décocher.

Beaucoup d'environnements contiennent des applications et des services qui, dans le cadre de leur fonctionnement normal, doivent être autorisés à recevoir des communications entrantes non sollicitées. Dans ces environnements, le paramètre Pare-feu Windows : N'autoriser aucune exception devra peut-être être configuré sur Désactivé afin de permettre la bonne exécution de ces applications et services. Testez l'environnement avant de configurer ce paramètre de stratégie afin de déterminer exactement les communications qui doivent être autorisées.

Remarque : Ce paramètre de stratégie permet de bénéficier d'une bonne défense contre les utilisateurs malveillants externes et doit être configuré sur Activé lorsque vous voulez une protection complète contre les attaques externes (nouvelle épidémie de ver, par exemple). Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows pourra appliquer d'autres paramètres de stratégie autorisant les messages entrants non sollicités.

Pare-feu Windows : Définir les exceptions de programmes

Quelques applications peuvent avoir besoin d'ouvrir et d'utiliser des ports réseau qui ne sont pas autorisés, normalement, par le pare-feu Windows. Le paramètre Pare-feu Windows : Définir les exceptions de programmes vous permet de consulter et de modifier la liste des exceptions de programmes définie par la stratégie de groupe.

Configurez cette stratégie sur Activé afin de pouvoir consulter et modifier la liste des exceptions de programmes. Si vous ajoutez un programme à cette liste et que vous configurez son statut sur Activé, le programme en question pourra recevoir des messages entrants non sollicités sur le port qu'il demande au pare-feu Windows d'ouvrir, même si ce port est bloqué par un autre paramètre de stratégie. Si vous configurez ce paramètre de stratégie sur Désactivé, la liste d'exceptions de programmes définie par la stratégie de groupe est supprimée.

Remarque : Si vous saisissez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans vérifier si elle contient des erreurs ou non. L'entrée n'étant pas vérifiée, vous avez la possibilité d'ajouter des programmes que vous n'avez pas encore installés. Vous pouvez également créer accidentellement des exceptions multiples pour un même programme avec des valeurs Étendue et État en conflit.

Pare-feu Windows : Autoriser les exceptions de programmes locaux

Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de programmes locaux. Si vous désactivez ce paramètre de stratégie, les administrateurs n'ont pas la possibilité de définir une liste d'exceptions de programmes locaux ; en outre, les exceptions de programmes proviennent uniquement de la stratégie de groupe. Si ce paramètre de stratégie est activé, les administrateurs locaux ont la possibilité d'utiliser le panneau de configuration pour définir des exceptions de programmes localement.

Certaines conditions peuvent justifier des exceptions de programmes locaux pour les ordinateurs clients d'entreprise. Ces conditions peuvent inclure des applications qui n'ont pas été analysées au moment de la création de la stratégie de pare-feu de l'organisation ou de nouvelles applications nécessitant une configuration de port non standard. Si vous choisissez d'activer le paramètre Pare-feu Windows : Autoriser les exceptions de programmes locaux dans ces situations, n'oubliez pas que la zone exposée aux attaques des ordinateurs affectés est alors plus importante.

Pare-feu Windows : Autoriser l'exception d'administration à distance

Beaucoup d'organisations utilisent une administration à distance dans leurs opérations quotidiennes. Certaines attaques exploitent cependant les ports qui sont généralement utilisés par des programmes d'administration à distance ; le pare-feu Windows peut bloquer ces ports.

Le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance permet une administration à distance flexible. Configurez ce paramètre sur Activé pour permettre à l'ordinateur de recevoir les messages entrants non sollicités et associés à l'administration à distance sur les ports TCP 135 et 445. Ce paramètre de stratégie permet également à Svchost.exe et Lsass.exe de recevoir des messages entrants non sollicités. Il permet également aux services hébergés d'ouvrir des ports supplémentaires affectés de façon dynamique, généralement dans la plage 1024 à 1034 (valeur potentiellement située entre 1024 et 65535). Si vous activez ce paramètre, vous devez spécifier les adresses IP ou sous-réseaux à partir desquels ces messages entrants sont autorisés.

Si vous configurez le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance sur Désactivé, le pare-feu Windows n'applique aucune de ces exceptions. L'impact de la configuration de ce paramètre de stratégie sur Désactivé peut être inacceptable pour bon nombre d'organisations, cette configuration empêchant en effet le fonctionnement de beaucoup d'outils d'administration à distance et d'outils d'analyse des vulnérabilités. De ce fait, Microsoft recommande l'activation de ce paramètre uniquement dans les organisations à très haute sécurité.

Pour le Profil du domaine, Microsoft recommande de configurer le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance sur Activé pour les ordinateurs de l'environnement EC (si possible) et sur Désactivé pour les ordinateurs de l'environnement SSLF. Le nombre de requêtes d'administration à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum. Afin de maximiser la protection fournie par le pare-feu Windows, ne spécifiez que les adresses IP nécessaires et les sous-réseaux d'ordinateurs utilisés pour l'administration à distance.

Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance sur Désactivé pour tous les ordinateurs du Profil standard afin d'éviter les attaques connues exploitant les ports TCP 135 et 445.

Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.

Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes

Ce paramètre de stratégie crée une exception qui permet le partage des fichiers et des imprimantes. Il configure le pare-feu Windows pour l'ouverture des ports UDP 137 et 138, TCP 139 et 445. Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre ces ports pour que l'ordinateur puisse recevoir des travaux d'impression et des requêtes d'accès à des fichiers partagés. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.

Si vous désactivez le pare-feu Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, le pare-feu Windows bloque ces ports et empêche l'ordinateur de partager des fichiers et des imprimantes.

Étant donné que les ordinateurs de votre environnement dotés de Windows XP ne partagent pas, en général, des fichiers et des imprimantes, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes sur Désactivé pour les deux environnements abordés dans ce chapitre.

Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.

Pare-feu Windows : Autoriser les exceptions ICMP

Ce paramètre de stratégie définit les types de messages ICMP (Internet Control Message Protocol) autorisés par le pare-feu Windows. Les messages ICMP permettent aux utilitaires de déterminer le statut des autres ordinateurs. Ping utilise par exemple le message de requête d'écho.

Si vous configurez le paramètre Pare-feu Windows : Autoriser les exceptions ICMP sur Activé, vous devez spécifier les types de messages ICMP que le pare-feu Windows autorise l'ordinateur à envoyer ou recevoir. Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows bloque tous les types de message ICMP entrants non sollicités et les types de message ICMP sortants répertoriés. Les utilitaires utilisant ICMP peuvent donc ne pas fonctionner.

Beaucoup d'outils utilisés par les pirates se servent des ordinateurs qui acceptent les types de message ICMP ; c'est à partir de ces messages qu'ils élaborent leurs attaques. Cependant, certaines applications nécessitent des messages ICMP pour fonctionner convenablement. En outre, les messages ICMP sont utilisés pour évaluer les performances réseau au moment du téléchargement et du traitement de la stratégie de groupe. Si les messages ICMP sont bloqués, la stratégie de groupe ne sera peut-être pas appliquée sur les systèmes affectés. De ce fait, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser les exceptions ICMP sur Désactivé quand cela est possible. Si votre environnement nécessite le passage de certains messages ICMP, configurez ce paramètre de stratégie avec les types de message appropriés.

Lorsque l'ordinateur se trouve sur un réseau douteux, le paramètre Pare-feu Windows : Autoriser les exceptions ICMP doit être configuré sur Désactivé.

Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.

Pare-feu Windows : Autoriser l'exception du Bureau à distance

Beaucoup d'organisations utilisent des connexions Bureau à distance dans le cadre de leurs procédures de dépannage ou de leurs opérations normales. Certaines attaques ont exploité les ports généralement utilisés par le Bureau à distance.

Le paramètre Pare-feu Windows : Autoriser l'exception du Bureau à distance permet une administration à distance flexible. Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre le port TCP 3389 pour les connexions entrantes. Vous devez également spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.

Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ce port et empêche l'ordinateur de recevoir des requêtes de Bureau à distance. Si un administrateur tente d'ouvrir ce port en l'ajoutant à une liste d'exceptions de ports locaux, le pare-feu Windows n'ouvre pas le port.

Certaines attaques exploitent un port 3389 ouvert ; Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser l'exception du Bureau à distance sur Désactivé pour l'environnement SSLF. Pour maintenir les capacités de gestion améliorées offertes par le Bureau à distance, configurez ce paramètre de stratégie sur Activé pour l'environnement EC. Vous devez spécifier les adresses IP et les sous-réseaux des ordinateurs qui sont utilisés pour l'administration à distance. Le nombre de requêtes de Bureau à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum.

Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP

Ce paramètre de stratégie permet à un ordinateur de recevoir des messages Plug-and-Play non sollicités envoyés par des périphériques réseau (routeurs comportant des pare-feu intégrés, par exemple). Pour recevoir ces messages, le pare-feu Windows ouvre le port TCP 2869 et le port UDP 1900.

Si vous activez le paramètre Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP, le pare-feu Windows ouvre ces ports afin que l'ordinateur puisse recevoir les messages Plug-and-Play. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés. Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ces ports et empêche l'ordinateur de recevoir les messages Plug-and-Play.

Le blocage du trafic réseau UPnP permet de réduire efficacement la surface des ordinateurs se trouvant dans votre environnement. Sur les réseaux de confiance, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP sur Désactivé, sauf si vous utilisez des périphériques UPnP sur votre réseau. Ce paramètre de stratégie doit toujours être Désactivé sur réseaux douteux.

Pare-feu Windows : Empêcher les notifications

Le pare-feu Windows peut afficher des notifications destinées aux utilisateurs lorsqu'un programme demande au pare-feu de l'ajouter à la liste des exceptions de programmes. Cette situation survient quand des programmes tentent d'ouvrir un port alors que les règles du pare-feu Windows en vigueur ne les y autorisent pas.

Le paramètre Pare-feu Windows : Empêcher les notifications détermine si les utilisateurs voient ces paramètres ou non. Si vous configurez ce paramètre de stratégie sur Activé, le pare-feu Windows empêche l'affichage de ces notifications. Si vous le configurez sur Désactivé, le pare-feu Windows autorise l'affichage de ces notifications.

Dans les environnements EC ou SSLF, les utilisateurs ne peuvent généralement pas ajouter d'applications ou de ports en réponse à ces messages. Dans ce cas, ce message informe l'utilisateur d'une situation sur laquelle il n'a aucun contrôle ; configurez alors le paramètre Pare-feu Windows : Empêcher les notifications sur Activé. Dans les autres environnements où les exceptions sont autorisées pour certains utilisateurs, configurez ce paramètre de stratégie sur Désactivé.

Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

Ce paramètre de stratégie empêche un ordinateur de recevoir des réponses monodiffusion à ses messages multidiffusion ou diffusion. Quand ce paramètre de stratégie est activé et que l'ordinateur envoie des messages multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows bloque les réponses monodiffusion envoyées par ces ordinateurs. Quand ce paramètre de stratégie est désactivé et que l'ordinateur envoie un message multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows attend pendant trois secondes des réponses monodiffusion des autres ordinateurs et bloque ensuite toutes les réponses ultérieures.

Recevoir des réponses monodiffusion à des messages multidiffusion ou diffusion ne présente généralement aucun intérêt. Ces réponses peuvent indiquer une attaque de déni de service ou un utilisateur malveillant tentant de sonder un ordinateur connecté connu. Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion sur Activé afin d'empêcher ce type d'attaque.

Remarque : Ce paramètre de stratégie n'a aucun effet si le message monodiffusion constitue une réponse à un message de diffusion DHCP (Dynamic Host Configuration Protocol) envoyé par l'ordinateur. Le pare-feu Windows autorise systématiquement ces réponses monodiffusion DHCP. Cependant, ce paramètre de stratégie peut interférer avec les messages NetBIOS qui détectent les conflits de nom.

Pare-feu Windows : Définir les exceptions de ports

La liste des exceptions de ports du pare-feu Windows doit être définie via la stratégie de groupe, qui vous permet de gérer et de déployer vos exceptions de ports de façon centralisée ; elle vous permet également de vous assurer que les administrateurs ne créent pas de paramètres moins sécurisés.

Le paramètre Pare-feu Windows : Définir les exceptions de ports vous permet de consulter et de modifier la liste des exceptions de ports définie par la stratégie de groupe. Pour afficher et modifier la liste des exceptions de ports, configurez le paramètre de stratégie sur Activé, puis cliquez sur le bouton Afficher. Remarque : Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans la vérifier. Cela signifie que vous pouvez créer accidentellement des entrées multiples pour le même port avec des valeurs Portée ou Statut en conflit.

Si vous désactivez le paramètre Pare-feu Windows : Définir les exceptions de ports, la liste d'exceptions définie par la stratégie de groupe est supprimée, mais les autres paramètres peuvent continuer à ouvrir ou bloquer des ports. En outre, s'il existe une liste d'exceptions de ports locaux, elle est ignorée sauf si vous activez le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux.

Dans le cas d'environnements comportant des applications non standard qui nécessitent l'ouverture de ports spécifiques, le déploiement d'exceptions de programmes devra être envisagé. Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Définir les exceptions de ports sur Activé et de spécifier une liste d'exceptions de ports uniquement lorsqu'il n'est pas possible de spécifier des exceptions de programmes. Les exceptions de programmes permettent au pare-feu Windows de n'accepter le trafic réseau non sollicité que lorsque le programme spécifié est en cours d'exécution, et les exceptions de ports maintiennent les ports spécifiés ouverts en continu.

Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.

Pare-feu Windows : Autoriser les exceptions de ports locaux

Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de ports locaux. Le pare-feu Windows peut utiliser deux listes d'exceptions de ports ; la deuxième est définie par le paramètre de stratégie Pare-feu Windows : Définir les exceptions de ports.

Si vous activez le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux, les administrateurs peuvent utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste des exceptions de ports locaux. Si vous désactivez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration n'autorise pas les administrateurs à définir cette liste.

Généralement, les administrateurs locaux ne sont pas autorisés à ignorer la stratégie de l'entreprise et à définir leur propre liste d'exceptions de ports dans les environnements EC ou SSLF. De ce fait, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux sur Désactivé.

Paramètres de configuration utilisateur

Le reste de ce chapitre traite des recommandations de paramètres Configuration utilisateur. N'oubliez pas que ces paramètres doivent être appliqués aux utilisateurs, et non aux ordinateurs. Ils doivent être mis en œuvre via une stratégie de groupe liée à l'UO contenant les utilisateurs que vous souhaitez configurer. Reportez-vous à la Figure 2.3 « Structure d'UO étendue pour l'adapter aux ordinateurs de bureau et ordinateurs portables Windows XP » du Chapitre 2 pour vous rafraîchir la mémoire. Vous pouvez configurer ces paramètres dans l'Éditeur d'objets de stratégie de groupe à l'emplacement suivant :

Configuration utilisateur\Modèles d'administration

Cet emplacement est illustré dans son contexte dans la figure suivante :

Cc163076.SGFG0405(fr-fr,TechNet.10).gif

Figure 4.5 Structure de stratégie de groupe pour la configuration de l'utilisateur

Appliquez ces paramètres via un objet de stratégie de groupe lié à une unité d'organisation contenant les comptes utilisateur.

Remarque : Les paramètres de configuration utilisateur sont appliqués à tous les ordinateurs Windows XP auxquels un utilisateur se connecte dans un domaine d'Active Directory. Les paramètres de configuration de l'ordinateur s'appliquent cependant à tous les ordinateurs clients qui sont régis par un objet GPO dans Active Directory, quel que soit l'utilisateur connecté à l'ordinateur. C'est pourquoi les tableaux de cette section ne comportent que les paramètres recommandés pour les environnements EC et SSLF définis dans ce chapitre. Ces paramètres peuvent s'appliquer à tous les ordinateurs.

Composants Windows

La figure suivante illustre les sections de stratégie de groupe qui seront affectées par les modifications de paramètres dans la section Composants Windows :

Cc163076.SGFG0406(fr-fr,TechNet.10).gif

Figure 4.6 Structure de stratégie de groupe pour les composants Windows de la configuration de l'utilisateur
Internet Explorer

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer

Le tableau suivant résume les paramètres recommandés pour la configuration de l'utilisateur Internet Explorer. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.27 Paramètres recommandés - Configuration de l'utilisateur Internet Explorer

Paramètre

Ordinateur EC

Ordinateur SSLF

Menus du navigateur\Désactiver l'option Enregistrer ce programme sur le disque

Non configuré

Activé

Panneau de configuration Internet\Désactiver l'onglet Avancés

Non configuré

Activé

Panneau de configuration Internet\Désactiver l'onglet Sécurité

Non configuré

Activé

Pages hors connexion\Désactiver l'ajout de chaînes

Activé

Activé

Pages hors connexion\Désactiver l'ajout de planifications pour les pages hors connexion

Activé

Activé

Pages hors connexion\Désactiver toutes les pages hors connexion planifiées

Activé

Activé

Pages hors connexion\Désactiver complètement l'interface utilisateur de la chaîne

Activé

Activé

Pages hors connexion\Désactiver le téléchargement du contenu de l'abonnement à un site

Activé

Activé

Pages hors connexion\Désactiver la modification et la création de groupes de planification

Activé

Activé

Pages hors connexion\Désactiver la modification des planifications pour les pages hors connexion

Activé

Activé

Pages de connexion\Désactiver le comptage des visites hors connexion

Activé

Activé

Pages hors connexion\Désactiver la suppression de chaînes

Activé

Activé

Pages hors connexion\Désactiver la suppression des planifications pour les pages hors connexion

Activé

Activé

Configurer Outlook Express

Activé

Activé

Désactiver la modification des paramètres de l'onglet Avancés

Non configuré

Activé

Param. de configuration automatique non modifiable

Non configuré

Activé

Désactiver la modif. des param. des certificats

Non configuré

Activé

Désactiver la modif. des param. de connexion

Non configuré

Activé

Désactiver la modification des paramètres de proxy

Non configuré

Activé

Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe

Activé

Activé

Menus du navigateur\Désactiver l'option Enregistrer ce programme sur le disque

Ce paramètre de stratégie empêche les utilisateurs d'enregistrer sur le disque dur un programme ou un fichier téléchargé par Internet Explorer. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas enregistrer de programmes sur le disque via l'option Enregistrer ce programme sur le disque. Le fichier du programme ne sera pas téléchargé et l'utilisateur est informé que la commande est indisponible. Ce paramètre de stratégie permet de protéger les environnements à haute sécurité ; les utilisateurs ne peuvent pas télécharger des programmes potentiellement dangereux par le biais d'Internet Explorer et les enregistrer sur le disque.

Le paramètre Menus du navigateur\Désactiver l'option Enregistrer ce programme sur le disque est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Panneau de configuration Internet\Désactiver l'onglet Avancés

Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres afin de faire en sorte que les utilisateurs ne puissent pas modifier les paramètres qui sont configurés dans l'onglet Avancé de l'IU d'Internet Explorer.

Le paramètre Panneau de configuration Internet\Désactiver l'onglet Avancé est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Panneau de configuration Internet\Désactiver l'onglet Sécurité

Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres afin de faire en sorte que les utilisateurs ne puissent pas modifier les paramètres qui sont configurés via la stratégie de groupe. Ce paramètre fait disparaître l'onglet Sécurité de la boîte de dialogue Options Internet. L'activation de ce paramètre de stratégie empêche les utilisateurs de consulter et de modifier les paramètres des zones de sécurité, tels que le scripting, les téléchargements et l'authentification utilisateur. Microsoft vous recommande d'activer ce paramètre pour interdire aux utilisateurs de modifier des paramètres, ce qui risquerait de limiter l'action d'autres paramètres de sécurité dans Internet Explorer.

Le paramètre Panneau de configuration Internet\Désactiver l'onglet Sécurité est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Pages hors connexion\Désactiver l'ajout de chaînes

Ce paramètre de stratégie empêche les utilisateurs d'ajouter des chaînes à Internet Explorer. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur les ordinateurs exécutant Internet Explorer, selon une planification choisie par le fournisseur de la chaîne. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu. Il est recommandé d'autoriser un ordinateur à télécharger des pages Internet uniquement quand l'utilisateur lui en fait la demande.

De ce fait, le paramètre Pages hors connexion\Désactiver l'ajout de chaînes est défini sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver l'ajout de planifications pour les pages hors connexion

Ce paramètre de stratégie empêche les utilisateurs de spécifier que les pages Web peuvent être téléchargées et consultées hors ligne. Cette fonction permet aux utilisateurs de consulter des pages Web lorsqu'ils ne sont pas connectés à Internet.

Le paramètre Pages hors connexion\Désactiver l'ajout de planifications pour les pages hors connexion est défini sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver toutes les pages hors connexion planifiées

Ce paramètre de stratégie désactive les planifications existantes configurées pour télécharger des pages Web pour une consultation ultérieure hors ligne. L'activation de cette stratégie efface les cases à cocher de l'onglet Planification de la boîte de dialogue des propriétés de la page Web pour interdire leur sélection. Pour afficher cet onglet, l'utilisateur clique sur le menu Outils, puis sur Synchroniser. Il sélectionne ensuite une page Web et clique consécutivement sur le bouton Propriétés et sur l'onglet Planification. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver toutes les pages hors connexion planifiées est configuré sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver complètement l'interface utilisateur de la chaîne

Ce paramètre de stratégie empêche les utilisateurs d'afficher l'interface de la barre des chaînes. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur les ordinateurs, selon une planification choisie par le fournisseur de la chaîne. Ce paramètre empêche les utilisateurs d'accéder à l'interface Barres des chaînes et de cocher la case Barre des chaînes de Internet Explorer dans l'onglet Web de la boîte de dialogue Propriétés de l'affichage. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver complètement l'interface utilisateur de la chaîne est configuré sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver le téléchargement du contenu de l'abonnement à un site

Ce paramètre de stratégie empêche les utilisateurs de télécharger le contenu de l'abonnement sur des sites Web. La synchronisation se produira malgré tout quand l'utilisateur réaffichera une page déjà consultée afin de déterminer si son contenu a été mis à jour. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver le téléchargement du contenu de l'abonnement à un site est défini sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver la modification et la création de groupes de planification

Ce paramètre de stratégie empêche les utilisateurs d'ajouter, modifier ou supprimer des planifications pour une consultation hors ligne des pages Web ou groupes de pages Web auxquels ils sont abonnés. Un groupe d'abonnement est une page Web favorite et les pages Web qui lui sont liées. Si vous activez ce paramètre, les boutons Ajouter, Supprimer et Modifier sont effacés de l'onglet Planification dans la boîte de dialogue Propriétés de la page Web. Pour afficher cet onglet, l'utilisateur clique sur le menu Outils, puis sur Synchroniser dans Internet Explorer; il sélectionne ensuite une page Web et clique consécutivement sur le bouton Propriétés et sur l'onglet Planification. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Pour ces raisons, le paramètre Pages hors connexion\Désactiver la modification et la création de groupes de planification est défini sur Activé pour les deux environnements définis dans ce guide.

Pages hors connexion\Désactiver la modification des planifications pour les pages hors connexion

Ce paramètre de stratégie empêche les utilisateurs de modifier les planifications existantes configurées pour télécharger des pages Web pour une consultation ultérieure hors ligne. Si vous activez cette stratégie, les utilisateurs ne pourront pas afficher les propriétés de planification des pages configurées pour une consultation hors ligne. Aucune propriété ne s'affichera lorsque l'utilisateur cliquera sur Outils, Synchroniser dans Internet Explorer, choisira une page Web, puis cliquera sur le bouton Propriétés. Les utilisateurs ne sont pas informés de l'indisponibilité de la commande. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver la modification des planifications pour les pages hors connexion est défini sur Activé dans les deux environnements abordés dans ce guide.

Pages de connexion\Désactiver le comptage des visites hors connexion

Ce paramètre de stratégie empêche les fournisseurs de chaînes d'enregistrer la fréquence à laquelle leurs pages sont affichées par les utilisateurs lorsque ceux-ci sont hors ligne. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver le comptage des visites hors connexion est configuré sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver la suppression de chaînes

Ce paramètre de stratégie empêche les utilisateurs de désactiver la synchronisation des chaînes dans Internet Explorer. Il est recommandé d'autoriser un ordinateur à télécharger des pages Internet uniquement quand l'utilisateur lui en fait la demande.

De ce fait, le paramètre Pages hors connexion\Désactiver la suppression de chaînes est défini sur Activé dans les deux environnements abordés dans ce guide.

Pages hors connexion\Désactiver la suppression des planifications pour les pages hors connexion

Ce paramètre de stratégie empêche les utilisateurs d'effacer les paramètres préconfigurés des pages Web concernant le téléchargement pour consultation hors ligne. Si vous activez ce paramètre de stratégie, les paramètres préconfigurés sont protégés. Ce paramètre de stratégie constitue l'un des divers paramètres empêchant Internet Explorer de télécharger automatiquement du contenu.

Le paramètre Pages hors connexion\Désactiver la suppression des planifications pour les pages hors connexion est défini sur Activé dans les deux environnements abordés dans ce guide.

Configurer Outlook Express

Ce paramètre de stratégie permet aux administrateurs de permettre ou d'interdire aux utilisateurs de Microsoft Outlook® Express d'enregistrer ou d'ouvrir des pièces jointes pouvant contenir un virus. Les utilisateurs n'ont pas la possibilité de désactiver le paramètre Configurer Outlook Express pour activer l'ouverture des pièces jointes. Pour appliquer ce paramètre, cliquez sur Activer et sélectionnez Bloquer les pièces jointes qui pourraient contenir un virus.

Le paramètre Configurer Outlook Express est défini sur Activé avec l'option Bloquer les pièces jointes qui pourraient contenir un virus dans les deux environnements définis dans ce chapitre.

Désactiver la modification des paramètres de l'onglet Avancés

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de l'onglet Avancé dans la boîte de dialogue Options Internet d'Internet Explorer. Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas modifier les paramètres avancés liés à la sécurité, au multimédia et à l'impression dans le navigateur. Les utilisateurs ne pourront ni sélectionner ni désélectionner les options de l'onglet Avancé de la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également l'utilisateur de modifier les paramètres configurés par la stratégie de groupe.

Le paramètre Désactiver la modification des paramètres de l’onglet Avancé est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Si vous configurez le paramètre Désactiver l'onglet Avancé (dans \Configuration de l'utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), il est inutile de configurer le présent paramètre car l'activation de Désactiver l'onglet Avancé supprime l'onglet Avancé de la boîte de dialogue Options Internet.

Param. de configuration automatique non modifiable

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres configurés automatiquement. Les administrateurs recourent à la configuration automatique pour la mise à jour périodique des navigateurs. Si vous activez ce paramètre de stratégie, les paramètres de configuration automatique sont désactivés dans Internet Explorer. (Ces paramètres sont situés dans la zone Configuration automatique de la boîte de dialogue de Paramètres réseau.) Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe.

Pour afficher la boîte de dialogue Paramètres réseau :

  1. Ouvrez la boîte de dialogue Options Internet, puis cliquez sur l'onglet Connexions.

  2. Cliquez sur le bouton Paramètres réseau pour afficher les paramètres.

Le paramètre Désactiver la modification des paramètres de la configuration automatique est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Le paramètre Désactiver l'onglet Connexions (situé dans \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) retire l'onglet Connexions d'Internet Explorer dans le panneau de configuration et rend ce paramètre prioritaire sur le paramètre Désactiver la modification des paramètres de la configuration automatique. Si le premier paramètre est activé, le second est ignoré.

Désactiver la modif. des param. des certificats

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de certificats dans Internet Explorer. Les certificats sont destinés à vérifier l'identité des éditeurs de logiciels. Si vous activez ce paramètre de stratégie, les paramètres de certificats de la zone Certificats de l'onglet Contenu dans la boîte de dialogue Options Internet sont désactivés. Ce paramètre de stratégie empêche également l'utilisateur de modifier les paramètres configurés par la stratégie de groupe.

Le paramètre Désactiver la modif. des param. des certificats est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Même si ce paramètre de stratégie est activé, les utilisateurs peuvent double-cliquer sur le fichier de certificat Software Publishing (.spc) pour exécuter l'Assistant Importation du Gestionnaire de certificats. Cet assistant permet aux utilisateurs d'importer et de configurer des paramètres de certificats émanant d'éditeurs de logiciels qui ne sont pas encore configurés dans Internet Explorer.

Remarque : Le paramètre Désactiver l'onglet Contenu (situé dans \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) retire l'onglet Contenu d'Internet Explorer dans le panneau de configuration et rend ce paramètre prioritaire sur le paramètre Désactiver la modif. des param. des certificats. Si le premier paramètre est activé, le second est ignoré.

Désactiver la modif. des param. de connexion

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de connexion à distance. L'activation de ce paramètre de stratégie efface le bouton Paramètres de la page Connexions de la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également l'utilisateur de modifier les paramètres configurés par la stratégie de groupe. Il peut être souhaitable de désactiver ce paramètre pour les utilisateurs d'ordinateur portable qui doivent modifier leurs paramètres de connexion à distance.

Le paramètre Désactiver la modification des paramètres de connexion est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Si vous configurez le paramètre Désactiver l'onglet Connexions (situé dans \Configuration Utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètre Désactiver l'onglet Connexions supprime l'onglet Connexions de l'interface.

Désactiver la modification des paramètres de proxy

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de proxy. Si ce paramètre est activé, les paramètres de proxy sont effacés. (Les paramètres de proxy sont situés dans la zone Serveur proxy de la boîte de dialogue de Paramètres réseau qui s'affiche lorsque l'utilisateur clique sur l'onglet Connexions puis sur le bouton Paramètres réseau dans la boîte de dialogue Options Internet.) Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe. Il peut être souhaitable de désactiver ce paramètre pour les utilisateurs d'ordinateur portable qui doivent modifier leurs paramètres de connexion à distance.

Le paramètre Désactiver la modification des paramètres de proxy est configuré sur Activé pour l'environnement SSLF uniquement. Ce paramètre de stratégie n'est pas configuré pour l'environnement EC.

Remarque : Si vous configurez le paramètre Désactiver l'onglet Connexions (situé dans \Configuration Utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètre Désactiver l'onglet Connexions supprime l'onglet Connexions de l'interface.

Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe

Ce paramètre de stratégie désactive la saisie automatique de noms et de mots de passe d'utilisateur dans les formulaires Web, ainsi que l'affichage d'invites d'enregistrement des mots de passe. L'activation de ce paramètre de stratégie grise les cases à cocher Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe, et bloque l'enregistrement local des mots de passe. Pour afficher ces cases à cocher, les utilisateurs peuvent ouvrir la boîte de dialogue Options Internet, cliquer sur l'onglet Contenu puis sur le bouton Saisie automatique.

Le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Gestionnaire de pièces jointes

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Gestionnaire de pièces jointes

Le tableau suivant résume les paramètres recommandés pour la configuration utilisateur du Gestionnaire de pièces jointes. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.28 Paramètres recommandés - Configuration utilisateur du Gestionnaire de pièces jointes

Paramètre

Ordinateur EC

Ordinateur SSLF

Ne pas conserver les informations de zones dans les pièces jointes de fichiers

Désactivé

Désactivé

Masquer les mécanismes de suppression d'informations de zones

Activé

Activé

Avertir les programmes antivirus lors de l'ouverture des pièces jointes

Activé

Activé

Ne pas conserver les informations de zones dans les pièces jointes de fichiers

Ce paramètre de stratégie vous permet de déterminer si Windows inclut des informations concernant la zone d'origine des pièces jointes Internet Explorer ou Outlook Express (restreinte, Internet, intranet ou locale). Pour que ce paramètre de stratégie fonctionne correctement, il faut que les fichiers soient téléchargés dans des partitions de disque NTFS. Si les informations de zones ne sont pas conservées, Windows ne peut pas établir d'évaluations correctes des risques sur la base de la zone d'origine de la pièce jointe.

Si le paramètre Ne pas conserver les informations de zones dans les pièces jointes de fichiers est activé, les pièces jointes ne contiennent pas d'informations concernant la zone d'origine. Si ce paramètre de stratégie est désactivé, Windows stocke les pièces jointes avec les informations correspondantes. Étant donné que des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non fiables telles que la zone Internet, Microsoft vous recommande de configurer ce paramètre de stratégie sur Désactivé afin qu'un maximum d'informations de sécurité soient préservé avec chaque fichier.

Le paramètre Ne pas conserver les informations de zones dans les pièces jointes de fichiers est configuré sur Désactivé pour les deux environnements abordés dans ce chapitre.

Masquer les mécanismes de suppression d'informations de zones

Ce paramètre de stratégie vous permet d'autoriser ou non les utilisateurs à supprimer manuellement les informations de zone des pièces jointes enregistrées. Généralement, les utilisateurs peuvent cliquer sur le bouton Déverrouiller dans la boîte de dialogue Propriétés ou cocher une case dans la boîte de dialogue Avertissement de sécurité. Si les informations de zone sont supprimées, les utilisateurs peuvent ouvrir des pièces jointes potentiellement dangereuses qui avaient été interdites par Windows.

Si le paramètre Masquer les mécanismes de suppression d'informations de zones est activé, Windows masque la case à cocher et le bouton Déverrouiller. Si ce paramètre de stratégie est désactivé, Windows affiche la case à cocher et le bouton Déverrouiller. Étant donné que des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non fiables telles que la zone Internet, Microsoft vous recommande de configurer ce paramètre de stratégie sur Activé afin qu'un maximum d'informations de sécurité soient préservé avec chaque fichier.

Le paramètre Masquer les mécanismes de suppression d'informations de zones est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Reportez-vous au paramètre Ne pas conserver les informations de zones dans les pièces jointes de fichiers pour déterminer si les fichiers sont enregistrés avec des informations de zone.

Avertir les programmes antivirus lors de l'ouverture des pièces jointes

Les programmes antivirus sont obligatoires dans bon nombre d'environnements et permettent de bénéficier d'une bonne défense contre les attaques.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes vous permet de gérer la façon dont les programmes antivirus enregistrés sont avertis. Si ce paramètre est activé, Windows invoque le programme antivirus enregistré et lui demande d'analyser les pièces jointes lorsque les utilisateurs les ouvrent. Si l'analyse antivirus échoue, les pièces jointes sont bloquées et ne peuvent pas être ouvertes. Si ce paramètre de stratégie est désactivé, Windows n'invoque pas le programme antivirus enregistré à l'ouverture des pièces jointes. Microsoft vous recommande de configurer ce paramètre de stratégie sur Activé dans tous environnements afin que tous les fichiers soient examinés par un antivirus avant d'être ouverts.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Remarque : Pour que ce paramètre fonctionne correctement, il faut qu'un programme antivirus mis à jour soit installé. Bon nombre de programmes antivirus mis à jour utilisent de nouvelles API incluses dans SP2.

Explorateur Windows

L'Explorateur Windows permet de parcourir le système de fichiers des ordinateurs clients dotés de Windows XP Professionnel.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Explorateur Windows

Le tableau suivant résume les paramètres recommandés pour la configuration de l'utilisateur dans l'Explorateur Windows. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.

Tableau 4.29 Paramètres recommandés - Configuration de l'utilisateur dans l'Explorateur Windows

Paramètre

Ordinateur EC

Ordinateur SSLF

Supprimer les fonctionnalités de gravage de CD

Non configuré

Activé

Supprimer l'onglet Sécurité

Non configuré

Activé

Supprimer les fonctionnalités de gravage de CD

Ce paramètre de stratégie supprime les fonctionnalités Windows XP incorporées permettant aux utilisateurs de graver des CD par l'intermédiaire de l'Explorateur Windows. Windows XP permet de créer et de modifier des CD réinscriptibles si un lecteur de CD-RW est connecté à votre ordinateur. Cette fonctionnalité est capable de copier d'importants volumes de données du disque dur vers un CD, données qui peuvent ensuite être supprimées de l'ordinateur.

Le paramètre Supprimer les fonctionnalités de gravage de CD est configuré sur Non configuré pour l'environnement EC. Ce paramètre de stratégie est cependant configuré sur Activé pour l'environnement SSLF.

Remarque : Ce paramètre de stratégie n'empêche pas de créer ou de modifier des CD à l'aide d'applications tierces. Ce guide recommande l'utilisation de stratégies de restriction logicielle afin de bloquer la création ou la modification de CD à l'aide d'applications tierces. Pour plus d'informations, reportez-vous au Chapitre 6, « Stratégie de restriction logicielle pour les clients Windows XP ».

Un autre moyen d'empêcher les utilisateurs de graver des CD est de démonter les graveurs de CD des clients de votre environnement ou de les remplacer par des lecteurs de CD.

Supprimer l'onglet Sécurité

Ce paramètre désactive l'onglet Sécurité des boîtes de dialogue de propriétés des fichiers et des dossiers dans l'Explorateur Windows. L'activation de ce paramètre empêche les utilisateurs d'accéder à l'onglet Sécurité après l'ouverture de la boîte de dialogue Propriétés pour l'ensemble des objets du système de fichiers, comme les dossiers, les fichiers, les raccourcis et les lecteurs. Étant donné que l'onglet Sécurité est inaccessible, les utilisateurs ne peuvent pas modifier de paramètres ou afficher la liste d'utilisateurs.

De ce fait, le paramètre Supprimer l'onglet Sécurité est défini sur Non  configuré pour l'environnement EC. Ce paramètre de stratégie est cependant configuré sur Activé pour l'environnement SSLF.

Système

La figure suivante illustre les sections de stratégie de groupe qui seront affectées par les modifications de paramètres dans la section Système :

Cc163076.SGFG0407(fr-fr,TechNet.10).gif

Figure 4.7 Structure de stratégie de groupe pour le système de configuration de l'utilisateur

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système

Empêche l'accès aux outils de modifications du Registre

Le tableau suivant résume les paramètres recommandés pour la configuration de l'utilisateur dans l'Éditeur de Registre.

Tableau 4.30 Paramètres recommandés - Configuration de l'utilisateur dans l'Éditeur de Registre

Paramètre

Ordinateur EC

Ordinateur SSLF

Empêche l'accès aux outils de modifications du Registre

Non configuré

Activé

Ce paramètre de stratégie désactive les éditeurs de registre Windows Regedit.exe et Regedt32.exe. Si vous activez ce paramètre de stratégie, lorsque les utilisateurs essaient d'utiliser un éditeur de registre, un message les informe qu'ils n'en ont pas la possibilité. Ce paramètre de stratégie empêche les utilisateurs et intrus potentiels d'accéder au registre à l'aide de ces outils, mais n'empêche pas l'accès au registre lui-même.

Le paramètre Empêche l'accès aux outils de modifications du Registre est défini sur Non configuré pour l'environnement EC. Ce paramètre de stratégie est cependant configuré sur Activé pour l'environnement SSLF.

Système\Gestion de l'alimentation

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système\Gestion de l'alimentation

Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension

Le tableau suivant résume les paramètres de configuration recommandés pour Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension.

Tableau 4.31 Paramètres recommandés - Système\Utilisateur de la gestion de l'alimentation

Paramètre

Ordinateur EC

Ordinateur SSLF

Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension

Activé

Activé

Ce paramètre de stratégie détermine si les ordinateurs clients de votre environnement sont verrouillés lors d'une reprise après une mise en veille prolongée ou suspension. Si vous activez ce paramètre de stratégie, les ordinateurs clients sont verrouillés lors d'une reprise. Les utilisateurs doivent entrer un mot de passe pour les déverrouiller. Des violations de sécurité potentiellement importantes peuvent survenir si ce paramètre de stratégie est désactivé ou s'il n'est pas configuré, n'importe quel utilisateur pouvant alors accéder aux ordinateurs clients.

De ce fait, le paramètre Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension est configuré sur Activé pour les deux environnements abordés dans ce chapitre.

Résumé

Ce chapitre décrit bon nombre des paramètres de sécurité fondamentaux disponibles dans les modèles d'administration fournis avec Windows XP. Vous pouvez utiliser ces modèles pour sécuriser les ordinateurs de bureau et portables dotés de Windows XP dans votre organisation. La mise en œuvre de stratégies de paramètres de sécurité dans votre organisation implique des compromis entre sécurité et productivité des utilisateurs. L'objectif est de protéger les utilisateurs contre les programmes nuisibles et les virus en implémentant une structure de sécurité informatique fiable qui leur permette de mener à bien leur travail sans imposer de contraintes excessives.

Informations complémentaires

Les liens suivants permettent d'obtenir des informations complémentaires concernant les questions de sécurité liées à Windows XP Professionnel.

  • Pour une liste complète de tous les paramètres de stratégie de groupe des modèles d'administration disponibles dans Windows XP et Windows Server 2003, téléchargez le fichier « Group Policy Settings Reference for Windows Server 2003 with Service Pack 1 » à l'adresse www.microsoft.com/downloads/details.aspx?FamilyId=
    7821C32F-DA15-438D-8E48-45915CD2BC14.

  • Pour plus d'informations sur la création de Modèles d'administration, reportez-vous au livre blanc « Implementing Registry-Based Group Policy » à l'adresse
    www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.as.

  • Pour plus d'informations sur le signalement d'erreurs, reportez-vous au site Web sur le signalement d'erreurs d'une entreprise à l'adresse www.microsoft.com/resources/satech/cer/.

  • Pour obtenir des informations générales sur le service Windows Server Update Service (WSUS), reportez-vous à « Windows Server Update Services Product Overview » à l'adresse
    www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.msp.

  • Pour plus d'informations sur la manière de déployer WSUS, reportez-vous à « Deploying Microsoft Windows Server Update Services » à l'adresse http://technet2.microsoft.com/windowsserver/en/library/ace052df-74e7-4d6a-b5d4-f7911bb06b401033.mspx.

  • Pour plus d'informations sur la gestion de la stratégie de groupe, reportez-vous à « Enterprise Management with the Group Policy Management Console » à l'adresse www.microsoft.com/windowsserver2003/gpmc/.

  • Le site principal de Sécurité d'Office 2003 comporte des liens vers des articles expliquant comment utiliser les paramètres et fonctionnalités de sécurité d'Office 2003 ; vous pouvez le consulter à l'adresse
    http://office.microsoft.com/en-us/assistance/HA011403061033.asp.

  • « Office 2003 Policy Template Files and Deployment Planning Tools » inclut les fichiers et feuilles des modèles d'administration de stratégie de groupe Office qui reprennent tous les paramètres disponibles. Ces outils sont disponibles à l'adresse
    http://www.microsoft.com/downloads/details.aspx?FamilyID=ba8bc720-edc2-479b-b115-5abb70b3f490.

  • « Office 2003 Resource Kit toolset » inclut les « Office 2003 Policy Template Files and Deployment Planning Tools » ainsi qu'un certain nombre d'outils de déploiement et de gestion d'Office 2003 ; vous le trouverez à l'adresse http://download.microsoft.com/download/0/e/
    d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe.

  • Pour plus d'informations sur IEAK (Internet Explorer Administration Kit), reportez-vous à l'adresse :www.microsoft.com/technet/prodtechnol/ie/ieak/.

Téléchargez

Cc163076.icon_exe(fr-fr,TechNet.10).gifTélécharger le Guide de sécurité de Windows XP


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft