Microsoft.com
Bienvenue Connexion
TechCenter Windows Server
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Windows
Windows Server
Windows Server 2003
 Paramètres de contrôle des fonction...
Paramètres de contrôle des fonctionnalités Internet Explorer dans la stratégie de groupe
noteRemarques
Le composant Configuration de sécurité renforcée d'Internet Explorer de Microsoft Windows Server 2003 (également connu sous le nom de sécurisation Microsoft Internet Explorer) réduit la vulnérabilité d'un serveur aux attaques provenant de contenus Web, en appliquant des paramètres de sécurité Internet Explorer plus restrictifs qui désactivent les scripts, les composants ActiveX et les téléchargements de fichiers pour les ressources dans la zone de sécurité Internet. De ce fait, la plupart des améliorations de sécurité incluses dans la dernière version d'Internet Explorer ne seront pas aussi perceptibles dans Windows Server 2003 Service Pack 1. Ainsi, les nouvelles fonctionnalités Barre de notification Internet Explorer et Bloqueur de fenêtres publicitaires intempestives ne seront pas utilisées sauf si le site se trouve dans une zone dont les paramètres de sécurité autorisent les scripts. Si vous n'utilisez pas la configuration de la sécurité améliorée sur votre serveur, ces fonctionnalités vont se comporter comme elles le font dans Windows XP Service Pack 2.

Quelle est la fonction des paramètres de contrôle des fonctionnalités Internet Explorer dans la stratégie de groupe ?

Windows XP Service Pack 2 a introduit de nouvelles clés de Registre et de nouvelles valeurs pour les fonctionnalités de sécurité d'Internet Explorer, appelées contrôles de fonctionnalités. Ces fonctionnalités de sécurité ont été intégrées dans Windows Server 2003 Service Pack 1. Le comportement propre aux nouveaux paramètres de Registre de contrôle des fonctionnalités est décrit dans cette section pour chaque fonctionnalité de sécurité individuelle.

Un fichier Inetres.adm modifié contient les paramètres de contrôle de fonctionnalités spécifiés sous la forme de stratégies. Les administrateurs peuvent gérer les stratégies de contrôle des fonctionnalités à l'aide d'objets de stratégie de groupe (GPO). Lorsque Internet Explorer est installé, les préférences par défaut de ces contrôles de fonctionnalités sont enregistrées sur l'ordinateur dans HKEY_LOCAL_MACHINE. Dans la stratégie de groupe, l'Administrateur peut les définir dans HKEY_LOCAL_MACHINE (Computer Configuration) ou dans HKEY_CURRENT_USER (User Configuration).

Qui est concerné par cette fonctionnalité ?

Les administrateurs de la stratégie de groupe peuvent configurer les paramètres de contrôle des fonctionnalités d'Internet Explorer uniformément pour les ordinateurs et les utilisateurs qu'ils gèrent.

Quelles fonctionnalités existantes ont été modifiées dans Windows Server 2003 Service Pack 1 ?

Paramètres Internet Explorer de la stratégie de groupe

Description détaillée

Les nouvelles stratégies de contrôle des fonctionnalités sont les suivantes :

  • Restriction de sécurité des comportements binaires
  • Restriction de sécurité du protocole MK
  • Sécurité du verrouillage de la zone Ordinateur local
  • Gestion MIME cohérente
  • Fonctionnalité de sécurité de détection MIME
  • Protection de la mise en cache d'objets
  • Restrictions de sécurité pour les scripts de fenêtres
  • Protection contre l'élévation de zone
  • Barre d'informations
  • Restriction d'installation ActiveX
  • Restriction de téléchargement de fichiers
  • Gestion des modules complémentaires
  • Verrouillage des protocoles réseau

Dans la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console), les stratégies de l'ordinateur local pour les contrôles de fonctionnalités se trouvent dans \Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité.

Les stratégies de l'utilisateur en cours pour les contrôles de fonctionnalités se trouvent dans \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité.

La stratégie de la fonctionnalité doit être activée pour le processus (par exemple, IExplore.exe) avant que les stratégies de paramètres de sécurité et les préférences individuelles soient appliquées. Pour plus d'informations sur le comportement des clés de contrôle des fonctionnalités et sur la façon de les paramétrer pour un processus, voir la section relative à la fonctionnalité en question ainsi que la section Utilisation dans Internet Explorer des paramètres de Registre de contrôle des fonctionnalités avec les paramètres de zone de sécurité. Pour plus d'informations sur les paramètres de sécurité propres à chaque zone, voir la section Paramètres avancés de sécurité Internet Explorer pour les actions d'URL dans la stratégie de groupe.

Les administrateurs de la stratégie de groupe peuvent gérer ces nouvelles stratégies dans l'extension Modèles d'administration de la console de gestion des stratégies de groupe. Lors de la configuration de ces stratégies, l'administrateur peut activer ou désactiver la fonctionnalité de sécurité pour les processus Internet Explorer et Explorateur Windows, les processus exécutables qu'ils ont définis ou tous les processus qui hébergent le contrôle d'objet Web.

Les utilisateurs n'ont pas accès aux préférences et aux stratégies de contrôle des fonctionnalités par le biais de l'interface utilisateur d'Internet Explorer, à l'exception de la stratégie Sécurité du verrouillage de la zone Ordinateur local. Les stratégies de contrôle des fonctionnalités ne peuvent être définies qu'à l'aide de la console de gestion des stratégies de groupe, tandis que les préférences peuvent être configurées uniquement par programmation ou en modifiant le Registre.

Configuration des stratégies et des préférences

Il est recommandé d'utiliser la stratégie de groupe pour gérer Internet Explorer sur les ordinateurs clients d'un réseau d'entreprise. Internet Explorer prend en charge la gestion de la stratégie de groupe pour les contrôles de fonctionnalités IE présents dans Windows XP Service Pack 2 et Windows Server 2003 Service Pack 1, ainsi que pour les paramètres ou les actions d'URL de l'onglet Sécurité. Les administrateurs de la stratégie de groupe peuvent gérer ces paramètres de stratégie dans l'extension Modèles d'administration de la console de gestion des stratégies de groupe.

Lors de la mise en œuvre des paramètres de stratégie, il est recommandé de configurer les paramètres de stratégie de modèle dans un objet de stratégie de groupe (GPO) et les paramètres de stratégie individuels associés dans une stratégie de groupe distincte. Vous pouvez ainsi utiliser les fonctionnalités de gestion des stratégies de groupe (par exemple, précédence, héritage ou application) pour appliquer des paramètres spécifiques à des cibles précises.

Les stratégies peuvent être lues par les utilisateurs mais ne peuvent être modifiées que par un administrateur ou via la gestion des stratégies de groupe. Les paramètres des préférences peuvent être définis par programme, en modifiant le Registre ou, dans le cas des actions d'URL et de la Sécurité du verrouillage de la zone Ordinateur local, à l'aide d'Internet Explorer. Notez que les paramètres associés à des stratégies ont priorité sur les paramètres définis par le biais des préférences d'Internet Explorer.

IEAK/IEM

Dans les systèmes d'exploitation antérieurs à Windows XP SP2, Windows Server 2003 SP1 et les précédentes versions d'Internet Explorer, le kit d'administration d'Internet Explorer (IEAK) 6 Service Pack 1 demeure l'outil recommandé pour les fournisseurs de solutions et les développeurs d'applications souhaitant personnaliser Internet Explorer pour leurs utilisateurs finals. La prise en charge d'IEAK et le processus IEAK/IEM ne changent pas pour les versions d'Internet Explorer antérieures à Windows XP Service Pack 2. Le processus demeure également inchangé en ce qui concerne l'utilisation d'IEAK/IEM pour définir les préférences des paramètres utilisateur dans les versions d'Internet Explorer Windows Server 2003 SP1 et antérieures. Cela concerne également les nouveaux paramètres de préférence d'Internet Explorer 6 dans Windows XP Service Pack 2 et Windows Server 2003 SP1. Toutefois, les vrais paramètres de stratégie introduits par cette fonctionnalité ne peuvent être gérés que dans le cadre de la stratégie de groupe. Pour plus d'informations sur IEAK, voir l'article relatif au Kit d'administration d'Internet Explorer (IEAK) 6 Service Pack 1 sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=26002.

En résumé, IEAK peut être utilisé comme auparavant pour toutes les versions d'Internet Explorer antérieures à Windows XP Service Pack 2, et constitue toujours l'outil approprié pour l'apposition de marque dans Windows XP Service Pack 2 et Windows Server 2003 SP1. IEM/IEAK peut encore servir à définir les paramètres des préférences utilisateur, mais les vraies stratégies doivent désormais être définies à l'aide de la console GPMC (Console de gestion des stratégies de groupe).

Questions fréquemment posées par les utilisateurs de IEAK

 

Question Réponse

J'utilise actuellement IEAK avec une licence d'entreprise pour configurer Internet Explorer sur des ordinateurs de bureau et mon organisation ne possède pas Active Directory. Comment configurer Internet Explorer si IEAK ne fonctionne pas avec Windows XP SP2 ou Windows Server 2003 SP1 ?

Vous pouvez utiliser la stratégie de groupe pour configurer les paramètres, même si vous n'utilisez pas Active Directory. La stratégie de groupe vous permet de créer un objet de stratégie de groupe (GPO) local avec vos paramètres, puis de déployer cet objet GPO. Une fois l'objet GPO configuré pour Internet Explorer, vous pouvez le déployer en utilisant vos méthodes de déploiement standard. Par exemple, vous pouvez utiliser des scripts de démarrage ou d'ouverture de session ou des scripts Systems Management Server, ou bien envoyer des liens aux utilisateurs par courrier électronique.

J'utilise actuellement IEAK avec une licence d'entreprise pour configurer Internet Explorer sur des ordinateurs de bureau et mon organisation ne possède pas Active Directory. Que se passera-t-il si je continue à exécuter mes packages IEAK 6 SP1 avec Windows XP SP2 ou Windows Server 2003 SP1 ?

Si vous installez un package IEAK 6 SP1 sur un ordinateur exécutant Windows XP SP2 ou Windows Server 2003 SP1, les paramètres d'Internet Explorer 6 SP1 seront mis à jour. Cependant, les paramètres de sécurité ne seront pas configurables, dans la mesure où IEAK 6 SP1 n'a pas été conçu pour déployer ces paramètres.

J'utilise actuellement IEAK avec une licence de fournisseur d'accès Internet pour apposer ma marque sur des portions d'Internet Explorer et configurer les connexions de mes clients. Mes packages IEAK 6 SP1 seront-ils toujours en mesure d'appliquer les paramètres sur Windows XP SP2 et Windows Server 2003 SP1 ?

Les paramètres d'apposition de marque de votre package IEAK 6 SP1 avec licence de fournisseur de services seront appliqués correctement.

Pourquoi cette modification est-elle importante ?

En ajoutant à la stratégie de groupe les stratégies Internet Explorer de contrôle des fonctionnalités, les administrateurs peuvent gérer ces vraies stratégies pour établir des paramètres de sécurité standard pour tous les ordinateurs qu'ils configurent.

Dois-je modifier mon code pour utiliser Windows Server 2003 Service Pack 1 ?

Internet Explorer dans Windows Server 2003 SP1 ajoute des stratégies de groupe mais ne modifie en rien la façon dont les stratégies sont administrées. Les développeurs doivent tenir compte du fait que chaque paramètre de contrôle des fonctionnalités a une incidence sur le comportement de leurs applications pour ce qui concerne la sécurité. Les effets du nouveau comportement sur le développement d'applications sont décrits dans ce document, sous la section propre à chaque fonctionnalité.

Contenu de la communauté   Qu'est-ce que le Contenu de la communauté ?
Ajouter du contenu RSS  Annotations
© 2012 Microsoft. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité
Page view tracker