.gif) Remarques |
|---|
|
Le composant Configuration de sécurité renforcée d'Internet Explorer de Microsoft Windows Server 2003 (également connu sous le nom de sécurisation Microsoft Internet Explorer) réduit la vulnérabilité d'un serveur aux attaques provenant de contenus Web, en appliquant des paramètres de sécurité Internet Explorer plus restrictifs qui désactivent les scripts, les composants ActiveX et les téléchargements de fichiers pour les ressources dans la zone de sécurité Internet. De ce fait, la plupart des améliorations de sécurité incluses dans la dernière version d'Internet Explorer ne seront pas aussi perceptibles dans Windows Server 2003 Service Pack 1. Ainsi, les nouvelles fonctionnalités Barre de notification Internet Explorer et Bloqueur de fenêtres publicitaires intempestives ne seront pas utilisées sauf si le site se trouve dans une zone dont les paramètres de sécurité autorisent les scripts. Si vous n'utilisez pas la configuration de la sécurité améliorée sur votre serveur, ces fonctionnalités vont se comporter comme elles le font dans Windows XP Service Pack 2. |
Quelle est la fonction des paramètres de Registre de contrôle des fonctionnalités et des paramètres de zone de sécurité ?
Des paramètres du Registre relatifs au contrôle des fonctionnalités (Feature Control) sont proposés pour Internet Explorer afin qu'il soit possible de configurer un processus spécifique permettant d'adopter une fonctionnalité de sécurité donnée. Chaque fonctionnalité de sécurité a une clé de Registre associée, que vous pouvez utiliser pour inclure ou exclure la fonctionnalité.
Si un processus a été configuré pour utiliser une fonctionnalité de sécurité, celle-ci s'exécute. Une fois la fonctionnalité en cours d'exécution, il peut y avoir des paramètres de zone de sécurité correspondants à appliquer pour plus de précision. Certaines fonctionnalités n'ont pas de paramètres de zone de sécurité supplémentaires.
Sous l'onglet Paramètres de sécurité de la boîte de dialogue Options Internet, l'utilisateur peut ajuster les paramètres de nombreuses fonctionnalités nouvelles. Si vous sélectionnez Activer, le niveau des paramètres de sécurité est abaissé et le fonctionnement est moins sécurisé, de la même manière que dans la version précédente d'Internet Explorer. Le contrôle de fonctionnalité peut être réappliqué en définissant le paramètre de la zone de sécurité à Désactiver ; le comportement moins sécurisé est alors bloqué, tandis que le contrôle de fonctionnalité est activé pour ce processus.
Chaque contrôle de fonctionnalité est décrit plus en détail dans la suite de ce document. Pour plus d'informations sur les paramètres d'action d'URL et leur relation avec les zones de sécurité, voir l'article du site Web de Microsoft relatif aux modèles de zones de sécurité des URL, à l'adresse http://go.microsoft.com/fwlink/?LinkId=26001.
L'utilisation de paramètres de zone de sécurité pour une fonctionnalité permet de contrôler avec davantage de précision les fonctionnalités de sécurité d'Internet Explorer. Cela peut également favoriser la gestion de la compatibilité des applications intranet d'entreprise. Un utilisateur ou un administrateur peut ainsi sélectionner différents comportements selon les risques encourus.
Qui est concerné par cette fonctionnalité ?
Les développeurs d'applications Web doivent savoir que les paramètres de sécurité d'Internet Explorer dépendent de la zone dans laquelle est exécutée l'application. Par conséquent, soyez prudent lors de l'affectation de zones de sécurité ; cet aspect doit faire partie de votre programme de sécurité des informations. Prenez également en compte les zones de sécurité à utiliser lors de l'évaluation de la compatibilité des applications.
Les administrateurs de la stratégie de groupe peuvent définir des valeurs par défaut pour chaque zone, en fonction des environnements propres à leur organisation.
À moins que cela soit interdit dans le cadre de la stratégie de groupe, les utilisateurs peuvent gérer les valeurs de ces paramètres de zone de sécurité (ou actions d'URL) pour chaque zone, via le module Options Internet du Panneau de configuration. Notez que la zone Ordinateur local n'est pas accessible par le biais du Panneau de configuration. Pour accéder aux paramètres de sécurité d'une zone, cliquez sur Démarrer, puis sur Panneau de configuration et sur Options Internet, cliquez ensuite sur l'onglet Sécurité, sélectionnez une zone de sécurité et cliquez sur Personnaliser le niveau.
Quelles nouvelles fonctionnalités ont été ajoutées à cette fonction dans Windows Server 2003 Service Pack 1 ?
Paramètres de Registre de contrôle des fonctionnalités
Description détaillée
Windows Server 2003 Service Pack 1 contient de nouveaux paramètres de Registre pour le contrôle des fonctionnalités.
Les utilisateurs peuvent configurer les paramètres de sécurité (également appelés indicateurs d'action d'URL) de la plupart de ces fonctionnalités lorsque le paramètre du Registre est activé. Ils peuvent ainsi ajuster le contrôle de fonctionnalité séparément dans chaque zone de sécurité.
Si vous choisissez l'action Activer pour un contrôle de fonctionnalité Internet Explorer, la zone est sécurisée de la même façon que dans la version précédente d'Internet Explorer. Les fonctionnalités appropriées de contrôle de sécurité ne s'appliquent pas à cette zone et celle-ci est exécutée sans la protection supplémentaire qu'offre cette fonctionnalité.
Si vous choisissez de désactiver le paramètre de zone de sécurité, les actions potentiellement néfastes ne peuvent pas être exécutées ; cette fonctionnalité de sécurité d'Internet Explorer est activée dans cette zone, comme prescrit par le paramètre de contrôle des fonctionnalités de ce processus.
Les paramètres de sécurité sont souvent appliqués à une zone au moyen d'un modèle de zone de sécurité URL. Les valeurs par défaut pour les paramètres de sécurité et les paramètres de chaque modèle de zone sont répertoriées dans la section Paramètres avancés de sécurité Internet Explorer pour les actions d'URL dans la stratégie de groupe.
Pourquoi cette modification est-elle importante ? Quelles menaces permet-elle d'atténuer ?
À l'origine, il était prévu que chaque paramètre de contrôle des fonctionnalités soit activé ou désactivé pour toutes les zones de sécurité. Cependant, les commentaires renvoyés par les utilisateurs ont montré qu'un réglage plus précis des paramètres était nécessaire pour certaines fonctionnalités. Par exemple, le flux de travail interne de certaines organisations dépend d'applications intranet. Un contrôle de fonctionnalité qui protège les utilisateurs dans la zone Internet peut entraîner l'arrêt d'une application intranet. Microsoft a donc incorporé la possibilité de contrôler un grand nombre de paramètres de sécurité par zone.
Quels sont les changements observés ?
Le fait d'ajouter des paramètres de sécurité par zone procure une plus grande souplesse dans l'application des nouvelles fonctionnalités de sécurité. Cette souplesse permet une gestion plus aisée de la mise en œuvre de ces fonctionnalités, notamment dans les cas où des intranets sont utilisés.
Comment contourner ces problèmes ?
Si vous soupçonnez le paramètre de contrôle d'une fonctionnalité de provoquer des problèmes dans une application, vous pouvez le définir à Activer dans la zone où est exécutée l'application. L'administrateur ou l'utilisateur est ainsi en mesure de rétablir le comportement précédent dans cette zone pour cette fonctionnalité précise, tout en conservant le comportement le plus sécurisé dans les autres zones de sécurité. Pour certains paramètres de sécurité, des options de configuration supplémentaires telles que Demander et Comportements approuvés par l'administrateur sont disponibles en plus des options Activer et Désactiver.
Dois-je modifier mon code pour utiliser Windows Server 2003 Service Pack 1 ?
Si le code utilise le gestionnaire de sécurité par défaut URLmon, le développeur doit appeler CoInternetIsFeatureEnabledForURL pour vérifier les paramètres de sécurité d'une zone particulière.