Microsoft.com
Bienvenue Connexion
TechCenter Windows Server
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Windows
Windows Server
Windows Server 2003
 Restriction BindToObject d'Internet...
Restriction BindToObject d'Internet Explorer
noteRemarques
Le composant Configuration de sécurité renforcée d'Internet Explorer de Microsoft Windows Server 2003 (également connu sous le nom de sécurisation Microsoft Internet Explorer) réduit la vulnérabilité d'un serveur aux attaques provenant de contenus Web, en appliquant des paramètres de sécurité Internet Explorer plus restrictifs qui désactivent les scripts, les composants ActiveX et les téléchargements de fichiers pour les ressources dans la zone de sécurité Internet. De ce fait, la plupart des améliorations de sécurité incluses dans la dernière version d'Internet Explorer ne seront pas aussi perceptibles dans Windows Server 2003 Service Pack 1. Ainsi, les nouvelles fonctionnalités Barre de notification Internet Explorer et Bloqueur de fenêtres publicitaires intempestives ne seront pas utilisées sauf si le site se trouve dans une zone dont les paramètres de sécurité autorisent les scripts. Si vous n'utilisez pas la configuration de la sécurité améliorée sur votre serveur, ces fonctionnalités vont se comporter comme elles le font dans Windows XP Service Pack 2.

Quelle est la fonction de la restriction BindToObject ?

Dans Windows Server 2003 avec le Service Pack 1, le modèle de sécurité ActiveX est appliqué dans tous les cas où la liaison URL est utilisée pour instancier et initialiser un objet. Ce modèle permet aux contrôles ActiveX d'être reconnus comme « sécurisés pour le script » et « sécurisés pour l'initialisation ». Il donne également aux utilisateurs la possibilité de bloquer ou d'autoriser des contrôles ActiveX par zone de sécurité, en fonction de ces paramètres. Il en résulte une plus grande souplesse et un contrôle accru des contenus actifs dans Internet Explorer.

Qui est concerné par cette fonctionnalité ?

  • Il est important pour les développeurs Web et les administrateurs réseau de connaître ces restrictions afin de prévoir les changements ou les solutions possibles en cas d'impact sur leur site Internet.
  • Les développeurs d'applications doivent étudier cette fonctionnalité afin d'envisager la modification de leurs applications.
  • Les utilisateurs peuvent être affectés par les sites non compatibles avec ces règles plus strictes.

Quelles nouvelles fonctionnalités ont été ajoutées à cette fonction dans Windows Server 2003 Service Pack 1 ?

Aucune. La fonction de sécurité existante a été étendue.

Quelles fonctionnalités existantes ont été modifiées dans Windows Server 2003 Service Pack 1 ?

Modèle de sécurité ActiveX appliqué aux initialisations d'objets URL

Description détaillée

Le moyen le plus efficace d'éliminer les failles de sécurité d'ActiveX est d'appliquer des stratégies de sécurité de façon régulière à la source de la liaison URL : URLMON. Le fait de déclarer un contrôle ActiveX dans une page HTML à l'aide de la balise <object> et de l'attribut CODEBASE constitue un exemple courant d'utilisation de BindToObject. La même fonctionnalité est utilisée par tout composant souhaitant résoudre une URL et obtenir un flux ou un objet. Le modèle de sécurité ActiveX est désormais appliqué à toutes les initialisations d'objet dont la source est une URL.

Pourquoi cette modification est-elle importante ?

Ce modèle de sécurité permet aux contrôles ActiveX d'être reconnus comme « sécurisés pour le script » ou « sécurisés pour l'initialisation ». Il donne également aux utilisateurs la possibilité de bloquer ou d'autoriser des contrôles ActiveX par zone de sécurité, en fonction de ces paramètres. Dans les versions antérieures de Windows, ce modèle de sécurité n'était pas appliqué lors de chaque liaison URL. Au lieu de cela, c'était le code d'appel qui garantissait l'intégrité et la sécurité du contrôle, ce qui engendrait souvent des failles de sécurité. Il existe à l'heure actuelle un certain nombre de correctifs basés sur des attaques connues, qui signalent les vulnérabilités du code d'appel d'Internet Explorer.

Quels sont les changements observés ?

Le modèle de sécurité ActiveX est appliqué à toutes les initialisations d'objet dont la source est une URL, et l'indicateur « Sécurisé pour l'initialisation » est appliqué à tous les objets. Cette restriction ne concerne que les cas où Internet Explorer résout une URL, instancie un objet et initialise cet objet avec des données extraites de cette URL.

Comment contourner ces problèmes ?

Les problèmes de compatibilité des applications devraient être minimes. Les applications peuvent néanmoins ne pas être soumises à ce modèle de sécurité si elles disposent de leur propre gestionnaire de sécurité. Pour plus d'informations sur la façon de procéder, voir l'article relatif à l'API des zones de sécurité des URL sur le site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?LinkId=21814.

Les applications peuvent aussi s'inclure ou s'exclure de cette restriction au moyen de la clé de contrôle de fonctionnalité FEATURE_SAFE_BINDTOOBJECT, comme l'explique la rubrique Utilisation dans Internet Explorer des paramètres de Registre de contrôle des fonctionnalités avec les paramètres de zone de sécurité.

Quels paramètres ont été ajoutés ou modifiés dans Microsoft Windows Server 2003 Service Pack 1 ?

Internet Explorer et la mise en cache d'objets

Nom du paramètre Emplacement Précédente valeur par défaut Valeur par défaut Valeurs possibles

IExplore.exe

Explorer.exe

WMPlayer.exe

HKEY_LOCAL_MACHINE (ou utilisateur actuel)\Software \Microsoft \Internet Explorer\Main \FeatureControl \FEATURE_SAFE_BINDTOOBJECT

Aucune

1

0 - désactivé

1 - activé

Contenu de la communauté   Qu'est-ce que le Contenu de la communauté ?
Ajouter du contenu RSS  Annotations
© 2012 Microsoft. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité
Page view tracker