.gif) Remarques |
|---|
|
Le composant Configuration de sécurité renforcée d'Internet Explorer de Microsoft Windows Server 2003 (également connu sous le nom de sécurisation Microsoft Internet Explorer) réduit la vulnérabilité d'un serveur aux attaques provenant de contenus Web, en appliquant des paramètres de sécurité Internet Explorer plus restrictifs qui désactivent les scripts, les composants ActiveX et les téléchargements de fichiers pour les ressources dans la zone de sécurité Internet. De ce fait, la plupart des améliorations de sécurité incluses dans la dernière version d'Internet Explorer ne seront pas aussi perceptibles dans Windows Server 2003 Service Pack 1. Ainsi, les nouvelles fonctionnalités Barre de notification Internet Explorer et Bloqueur de fenêtres publicitaires intempestives ne seront pas utilisées sauf si le site se trouve dans une zone dont les paramètres de sécurité autorisent les scripts. Si vous n'utilisez pas la configuration de la sécurité améliorée sur votre serveur, ces fonctionnalités vont se comporter comme elles le font dans Windows XP Service Pack 2. |
Quelle est la fonction du blocage de l'élévation de zone ?
Lorsqu'une page Web est ouverte dans Internet Explorer, le navigateur applique des restrictions sur les opérations qu'elle peut effectuer, selon l'origine de la page : Internet, un serveur intranet local, un site approuvé, etc. Par exemple, les pages Internet répondent à des restrictions de sécurité plus importantes que les pages provenant du réseau intranet local de l'utilisateur. Les pages Web présentes sur l'ordinateur de l'utilisateur appartiennent à la zone de sécurité Ordinateur local dont les restrictions de sécurité sont limitées. Cela fait de la zone de sécurité Ordinateur local une cible privilégiée pour les utilisateurs malveillants. Le blocage de l'élévation de zone rend l'exécution de code dans cette zone plus difficile. En outre, la fonctionnalité de verrouillage de la zone Ordinateur local modifie les paramètres de sécurité de cette zone pour la rendre moins vulnérable aux utilisateurs malveillants.
Qui est concerné par cette fonctionnalité ?
Les développeurs Web doivent prévoir de modifier leur site Web en cas d'incidence.
Les développeurs d'applications doivent étudier cette fonctionnalité afin d'envisager la modification de leurs applications exécutées dans la zone Ordinateur local. Cette fonctionnalité n'étant pas activée par défaut pour les processus autres que Internet Explorer, les développeurs doivent inscrire leurs applications pour bénéficier des modifications.
Les utilisateurs finals peuvent être affectés par les sites non compatibles avec ces règles et paramètres plus stricts.
Quelles nouvelles fonctionnalités ont été ajoutées à cette fonction dans Windows Server 2003 Service Pack 1 ?
Blocage de l'élévation de zone
Description détaillée
Internet Explorer empêche le contexte de sécurité global d'un lien quelconque situé sur une page d'être supérieur au contexte de sécurité de l'adresse URL racine. Cela signifie par exemple qu'une page se trouvant dans la zone Internet ne peut pas naviguer vers une page de la zone Intranet local. Ainsi, un script ne peut pas entraîner cette navigation. Pour cette restriction, l'ordre des zones du contexte de sécurité, du contexte le plus vers le moins sécurisé, est le suivant : zone Sites sensibles, zone Internet, zone Intranet local, zone Sites de confiance et zone Ordinateur local.
Le blocage de l'élévation de zone désactive également la navigation JavaScript en l'absence de contexte de sécurité.
Si un utilisateur clique sur un lien demandant au site Web de naviguer vers une zone de sécurité plus élevée, la navigation est bloquée sur la zone Ordinateur local. Toutefois, lorsqu'une page Web tente d'ouvrir une page dans une zone de sécurité au contexte de sécurité plus élevé, une boîte de dialogue apparaît dans Internet Explorer et le message suivant s'affiche. La partie en italique change, selon la zone de sécurité vers laquelle la page Web tente de naviguer.
-
La page Web actuelle tente d'ouvrir un site figurant dans votre liste de sites approuvés. Voulez-vous continuer ? »
Dans tous les cas, l'action par défaut ne permet pas l'élévation de zone et l'utilisateur doit explicitement l'autoriser.
Pourquoi cette modification est-elle importante ?
L'élévation des privilèges est l'une des failles de sécurité les plus exploitées, avec l'objectif final d'exécuter du code malveillant dans la zone Ordinateur local. Le blocage d'élévation de zone permet d'éliminer plusieurs attaques d'élévation des privilèges.
Quels sont les changements observés ?
La navigation d'une zone vers une zone « supérieure » est bloquée. En d'autres termes, les pages Web qui appellent automatiquement davantage de privilèges échouent.
Comment contourner ces problèmes ?
Si une application Web approuvée est affectée par ce changement parce qu'elle navigue entre différentes zones de sécurité sans intervention de l'utilisateur, vous devez mapper les domaines qu'utilise cette application avec la zone de sécurité requérant le moins de privilèges pour exécuter la tâche pour laquelle l'application a été conçue.