.gif) Remarques |
|---|
|
Le composant Configuration de sécurité renforcée d'Internet Explorer de Microsoft Windows Server 2003 (également connu sous le nom de sécurisation Microsoft Internet Explorer) réduit la vulnérabilité d'un serveur aux attaques provenant de contenus Web, en appliquant des paramètres de sécurité Internet Explorer plus restrictifs qui désactivent les scripts, les composants ActiveX et les téléchargements de fichiers pour les ressources dans la zone de sécurité Internet. De ce fait, la plupart des améliorations de sécurité incluses dans la dernière version d'Internet Explorer ne seront pas aussi perceptibles dans Windows Server 2003 Service Pack 1. Ainsi, les nouvelles fonctionnalités Barre de notification Internet Explorer et Bloqueur de fenêtres publicitaires intempestives ne seront pas utilisées sauf si le site se trouve dans une zone dont les paramètres de sécurité autorisent les scripts. Si vous n'utilisez pas la configuration de la sécurité améliorée sur votre serveur, ces fonctionnalités vont se comporter comme elles le font dans Windows XP Service Pack 2. |
Quelle est la fonction du paramètre de sécurité pour les comportements binaires ?
Internet Explorer contient des comportements binaires : des composants qui intègrent une fonctionnalité spécifique pour les éléments HTML auxquels ils sont attachés. Ces comportements binaires ne sont contrôlés par aucun paramètre de sécurité Internet Explorer, ce qui leur permet de fonctionner sur des pages Web de la zone Sites sensibles. Dans Windows Server 2003 Service Pack 1, il existe un nouveau paramètre de sécurité Internet Explorer pour les comportements binaires qui désactive par défaut ces comportements dans la zone des sites sensibles. En complément de la fonction de sécurité de verrouillage de l'ordinateur local, l'approbation de l'administrateur est également nécessaire pour une exécution par défaut dans la zone Ordinateur local. Ce nouveau paramètre permet de réduire de façon globale les vulnérabilités des comportements binaires d'Internet Explorer.
Pour plus d'informations sur les comportements binaires, par exemple sur leur mode de fonctionnement et la façon de les mettre en œuvre, consultez l'article relatif aux comportements binaires d'Internet Explorer 5.5 sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=21862. Notez qu'il ne faut pas confondre les comportements binaires, qui sont définis dans C++ et compilés, avec les comportements attachés et les comportements d'éléments, qui sont définis dans un script.
Qui est concerné par cette fonctionnalité ?
Les développeurs dont les applications utilisent les fonctionnalités d'Internet Explorer dans les zones Sites sensibles ou Ordinateur local doivent étudier cette fonction afin d'envisager la modification de leurs applications. Par exemple, il peut être nécessaire de modifier les applications de courrier électronique qui affichent des messages HTML dans la zone Sites sensibles.
Les utilisateurs ne peuvent être affectés que par les applications qui ne restituent pas entièrement des contenus HTML à cause de ce nouveau paramètre. Ces applications signalent généralement à l'utilisateur que l'affichage d'un comportement actif a été bloqué. Par exemple, lorsque Outlook Express rencontre ce cas de figure, il informe l'utilisateur que le message électronique contient un contenu actif sensible.
Quelles nouvelles fonctionnalités ont été ajoutées à cette fonction dans Windows Server 2003 Service Pack 1 ?
Nouveaux paramètres de sécurité d'Internet Explorer
Description détaillée
Chaque zone de sécurité d'Internet Explorer contient un nouveau paramètre d'action d'URL : Comportements des fichiers binaires et des scripts. La valeur par défaut de ce paramètre est Activer pour toutes les zones à l'exception de la zone Sites sensibles et de la zone Ordinateur local verrouillé. Dans cette zone, la valeur par défaut est Désactiver. Dans la zone Ordinateur local verrouillé, la valeur par défaut est Approuvé par l'administrateur.
Pourquoi cette modification est-elle importante ? Quelles menaces permet-elle d'atténuer ?
Ce nouveau paramètre contribue à limiter les attaques dans lesquelles les comportements binaires étaient utilisés dans un but malveillant et permet aux utilisateurs de contrôler l'utilisation de ces comportements pour chaque zone individuellement.
Quels sont les changements observés ?
L'utilisation d'un comportement binaire quelconque pour le rendu HTML de la zone des sites sensibles est bloquée.
Comment contourner ces problèmes ?
Pour utiliser les comportements binaires provenant de la zone des sites sensibles, une application devra mettre en œuvre un gestionnaire de sécurité personnalisé. Pour plus d'informations, voir la section traitant de la création d'un gestionnaire de sécurité URL personnalisé dans l'article consacré aux zones de sécurité d'URL, sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=21863.
Lorsque l'action d'URL des comportements binaires est exercée depuis un gestionnaire de sécurité personnalisé, elle passe une chaîne représentant les comportements binaires pouvant être activés par ce gestionnaire lorsque c'est nécessaire pour la compatibilité de l'application. Le processus suivant a lieu lorsque cette action d'URL est exercée :
-
Internet Explorer appelle un gestionnaire de sécurité personnalisé (s'il en existe un) en utilisant la méthode
ProcessUrlAction avec un paramètre dwAction de URLACTION_BEHAVIOR_RUN.
-
Le paramètre pContext pointe vers un élément
LPCWSTR qui contient le comportement recherché dans une stratégie. Par exemple, #default#time.
-
Définissez
*pPolicy =URLPOLICY_ALLOW pour le comportement SmartTag depuis votre gestionnaire de sécurité personnalisé en fonction de vos besoins.
En l'absence de gestionnaire de sécurité personnalisé, l'action par défaut est d'interdire l'exécution de comportements dans la zone Sites sensibles, et d'interdire l'exécution de la plupart des comportements dans la zone Ordinateur local.
Si vous êtes administrateur d'ordinateurs de bureau, vous pouvez décider des comportements binaires à autoriser dans la zone Ordinateur local verrouillé. Pour activer un comportement dans cette zone, vous pouvez l'ajouter à la liste des comportements approuvés par l'administrateur comme indiqué ci-dessous, en remplaçant les espaces de noms et les variables de comportement en fonction de votre environnement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedBehaviors
#%Espace de nom%#%Comportement%=dword:00000001
Les comportements définis dans cette liste seront également utilisés pour toutes les autres zones où le paramètre de restriction de comportement binaire est configuré en « Approuvé par l'administrateur » (65536).
Quelles fonctionnalités existantes ont été modifiées dans Windows Server 2003 Service Pack 1 ?
Aucun. Il s'agit simplement d'un paramètre permettant d'activer ou de désactiver la fonctionnalité existante de comportements binaires.
Quels paramètres ont été ajoutés ou modifiés dans Windows Server 2003 Service Pack 1 ?
Paramètres Internet Explorer pour les comportements binaires
|
Nom du paramètre
|
Emplacement
|
Précédente valeur par défaut
|
Valeur par défaut
|
Valeurs possibles
|
|---|
* | HKEY LOCAL MACHINE [ou Current User] \Software\Microsoft \Internet Explorer\Main \Feature Control \FEATURE_BEHAVIORS | Aucune | 1 | 0 - désactivé 1 - activé |
2000 | HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings\Zones [or Lockdown_Zones] \*\ | Aucune | 3 - désactivé (pour la zone Sites sensibles) 65536 - Approuvé par l'administrateur (pour la zone Ordinateur local verrouillé) 0 - Activé (pour toutes les autres zones) | 3 - Désactivé 65536 - Approuvé par l'administrateur 0 - Activé |
| Remarques |
|---|
|
* est utilisé dans le tableau précédent pour indiquer que par défaut, tous les processus sont soumis à ce paramètre de contrôle des fonctionnalités.
Il est également possible de modifier le paramètre de comportements binaires par l'intermédiaire de la stratégie de groupe, dans le cadre des zones de sécurité d'Internet Explorer et du paramètre de contrôle d'accès aux contenus. |
Dois-je modifier mon code pour utiliser Windows Server 2003 Service Pack 1 ?
Si votre code utilise des comportements binaires dans la zone des sites sensibles, il vous faudra le modifier en utilisant un gestionnaire de sécurité personnalisé pour votre application. Si votre code utilise des comportements binaires dans la zone Ordinateur local, vous devrez soit mettre en œuvre un gestionnaire de sécurité personnalisé, soit ajouter vos comportements à la liste des comportements approuvés, soit utiliser une référence d'adresse Web pour charger vos pages dans des zones moins protégées. Pour plus d'informations, voir la section traitant de la création d'un gestionnaire de sécurité URL personnalisé dans l'article consacré aux zones de sécurité d'URL, sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=21863.