Lorsque vous ouvrez une page Web, Internet Explorer restreint les actions qu'elle peut effectuer en fonction de la zone dans laquelle elle est classée. Il existe plusieurs zones de sécurité possibles, auxquelles sont associées différentes restrictions. La zone de sécurité d'une page est déterminée par l'emplacement de celle-ci. Par exemple, les pages situées sur Internet sont généralement placées dans la zone de sécurité Internet, plus restrictive. Elles peuvent ne pas être en mesure d'effectuer certaines opérations, comme accéder aux informations de votre disque dur local. Les pages situées sur le réseau d'une entreprise sont généralement placées dans la zone de sécurité intranet et sont soumises à moins de restrictions. L'utilisateur peut configurer les restrictions spécifiques de la plupart de ces zones dans la boîte de dialogue Options Internet dans le menu Outils.

Avant la publication de Windows XP Service Pack 2, le contenu du système de fichiers local, à l'exception du contenu mis en cache par Internet Explorer, était considéré comme sûr et était donc affecté à la zone de sécurité Ordinateur local. Le contenu de cette zone était autorisé à s'exécuter avec relativement peu de restrictions de sécurité. Cependant, il était fréquent de voir des intrus tenter de tirer parti de ces restrictions faibles afin d'augmenter leurs privilèges et d'endommager un ordinateur.

Les changements apportés à Internet Explorer dans Windows XP SP2 permettent d'éliminer plusieurs attaques impliquant la zone Ordinateur local. Ces changements ont été apportés également dans l'Internet Explorer de la version Windows Server 2003 Service Pack 1. Cependant, pour éviter que les intrus trouvent d'autres moyens d'exploiter cette zone de sécurité, Internet Explorer protège encore davantage l'utilisateur en verrouillant cette zone par défaut. Le contenu HTML local hébergé dans d'autres applications est exécuté avec les paramètres les moins restrictifs de la zone Ordinateur local, utilisés dans la version précédente d'Internet Explorer, à moins que l'application utilise la fonction de verrouillage de la zone Ordinateur local.

Les administrateurs peuvent avoir recours à la stratégie de groupe pour gérer la fonction de verrouillage de la zone Ordinateur local et l'appliquer plus facilement à des groupes d'ordinateurs.

Tous les développeurs d'applications doivent prendre connaissance de cette fonctionnalité. Les applications qui hébergent des fichiers HTML locaux dans Internet Explorer risquent fort d'être affectées par ce changement. Les développeurs d'applications autonomes hébergeant Internet Explorer devront modifier leurs applications pour exploiter la fonction de verrouillage de la zone Ordinateur local.

Par défaut, cette fonctionnalité n'est activée que pour Internet Explorer. Les développeurs devront inscrire leurs applications pour tirer parti de ces modifications. Dans les applications n'ayant pas recours à cette restriction, il est recommandé de détecter tout vecteur d'attaque de la zone Ordinateur local.

Les développeurs dont les applications hébergent Internet Explorer peuvent utiliser cette fonctionnalité en ajoutant leur nom de processus au Registre, comme décrit plus loin dans ce document. À l'avenir, il est possible que Microsoft mette en œuvre cette fonctionnalité en adoptant une stratégie « d'exclusion » plutôt que « d'inclusion ». Les applications hébergeant Internet Explorer doivent être testées afin de vérifier qu'elles fonctionnent lorsque le verrouillage de la zone Ordinateur local est activé pour leur processus.

Pour les administrateurs réseau, il se peut que certains scripts locaux soient affectés par ces restrictions. Il leur est recommandé d'étudier les différentes solutions possibles pour activer les scripts locaux sans compromettre la sécurité des ordinateurs clients des utilisateurs.

Les développeurs de sites Web hébergés sur Internet ou sur un intranet local ne devraient pas être affectés par les changements apportés à la zone Ordinateur local, sauf lorsqu'ils chargent ces fichiers à partir de l'ordinateur local au cours du développement.

Les utilisateurs peuvent être affectés par les applications non compatibles avec ces restrictions plus rigoureuses.

Modifications apportées aux paramètres de sécurité de la zone Ordinateur local

Description détaillée

Le verrouillage de la zone Ordinateur local est à présent plus restrictif que la zone Internet. Lorsqu'un contenu tente d'effectuer l'une des actions ci-dessous dans cette zone, la barre d'informations apparaît dans Internet Explorer et affiche le texte suivant :

Pour vous aider à protéger votre ordinateur, Internet Explorer a restreint l'affichage du contenu actif de ce fichier, qui pourrait accéder à votre ordinateur. Cliquez ici pour afficher plus d'options...

L'utilisateur peut cliquer sur la barre d'informations pour déverrouiller le contenu.

Les paramètres de sécurité qui contrôlent les privilèges accordés aux contenus exécutés dans la zone Ordinateur local sont appelés actions d'URL. Lorsque le verrouillage de la zone Ordinateur local est appliqué à un processus donné, il modifie le comportement des actions d'URL en remplaçant l'ancien paramètre de la zone Ordinateur local, Activer, par le paramètre Désactiver. Par conséquent, les scripts et les contrôles Active X ne peuvent pas être exécutés. Les actions d'URL par défaut qui ont été modifiées sont les suivantes :

• URLACTION _SCRIPT_RUN
  
• URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
  
• URLACTION_ACTIVEX_RUN
  
• URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (pour Demander, pas pour Désactiver)
  
• URLACTION_CLIENT_CERT_PROMPT
  
• URLACTION_BEHAVIOR_RUN
  
• URLACTION_JAVA_PERMISSIONS
  
• URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (pour Approuvé par l'administrateur, pas pour Désactiver)
  
• URLACTION_FEATURE_MIME_SNIFFING
  
• URLACTION_FEATURE_WINDOWS_RESTRICTIONS
  
• URLACTION_AUTOMATIC_DOWNLOAD_UI
  
• URLACTION_AUTOMATIC_ACTIVEX_UI
  

Remarques
URLACTION_FEATURE_ZONE_ELEVATION est défini à Désactivé dans la zone Ordinateur local, avec ou sans cette fonctionnalité.

Pour la fonctionnalité de verrouillage de la zone Ordinateur local, ces paramètres sont stockés dans une clé de Registre distincte :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

Les paramètres par défaut des actions d'URL pour la zone Ordinateur local se trouvent à l'emplacement suivant :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Pourquoi cette modification est-elle importante ?

Cette modification contribue à empêcher un contenu d'obtenir des droits élevés. En effet, un code bénéficiant de droits élevés devient capable d'exécuter tout type de code au moyen de contrôles ActiveX, ou de lire des informations à l'aide d'un script.

Quels sont les changements observés ?

Si une page Web utilise l'un des contenus restreints répertoriés précédemment, Internet Explorer affiche la barre d'informations, comme décrit plus haut.

Les fichiers HTML hébergés sur le protocole res: sur l'ordinateur local sont automatiquement exécutés avec les paramètres de sécurité de la zone Internet. Pour plus d'informations sur les possibilités offertes par ces modèles, voir l'article du site Web MSDN relatif aux modèles de zones de sécurité des URL, à l'adresse http://go.microsoft.com/fwlink/?LinkId=26003.

Comment contourner ces problèmes ?

Vous pouvez autoriser les contrôles Active X et les scripts à être toujours exécutés dans les pages Web lancées à partir d'un CD-ROM. Il suffit pour cela de cliquer sur « Oui » lorsque le message suivant s'affiche :

Le contenu actif peut endommager votre ordinateur ou révéler des informations personnelles. Voulez-vous vraiment autoriser les CD à exécuter du contenu actif sur votre ordinateur ?

Si votre page Web doit exécuter des contrôles ActiveX ou des scripts, vous pouvez ajouter un commentaire de référence d'adresse Web dans le code HTML. Cette fonctionnalité d'Internet Explorer permet de placer de force des fichiers HTML dans une zone différente de la zone Ordinateur local, afin qu'ils puissent exécuter le script ou le code ActiveX selon le modèle de sécurité applicable à l'URL identifiée dans le commentaire. Par exemple, si l'URL spécifiée est www.contoso.com et que cette URL est présente dans votre liste de sites de confiance, alors la page utilise le modèle de sécurité de la zone des sites de confiance. Ce paramètre fonctionne dans Internet Explorer 4 et les versions ultérieures. Pour insérer un commentaire de référence d'adresse Web dans un fichier HTML, ajoutez l'un des commentaires suivants :

<!-- saved from url=(0022)http://www.exemple.com -->

Utilisez ce commentaire lorsque vous insérez une référence d'adresse Web dans une page dont le domaine est identifié, en remplaçant http://www.exemple.com par l'URL du domaine Internet ou intranet qui héberge la page. Incluez entre parenthèses la longueur de l'URL utilisée pour la référence d'adresse Web avant l'URL, par exemple (0022).

Si vous souhaitez que votre page Web soit toujours traitée comme si elle appartenait à la zone Internet, utilisez la référence d'adresse Web suivante :

<!-- saved from url=(0014)about:internet -->

Ce commentaire permet d'insérer une référence d'adresse Web de façon générique. Le texte about:internet a pour effet de placer la page dans la zone Internet.

À partir de Windows Server 2003 Service Pack 1 et Windows XP Service Pack 2, ce commentaire HTML peut être également utilisé avec des fichiers .mht, appelés HTML multipartie, ou des fichiers .xml. La référence d'adresse Web n'est pas respectée pour les fichiers .mht ou .xml dans les versions antérieures d'Internet Explorer.

Il existe une autre solution, qui consiste à créer une application distincte hébergeant le contenu HTML dans le contrôle d'objet Web d'Internet Explorer (WebOC). Dans ce cas, le contenu HTML n'est plus lié par les règles applicables au contenu exécuté dans Internet Explorer. Lorsqu'il est exécuté dans l'autre processus, il peut bénéficier de droits complets, selon les droits définis par le développeur ou la stratégie de zone pour ce processus.

Le meilleur moyen est d'enregistrer le contenu en tant que fichier .hta (application HTML) puis d'exécuter le fichier de nouveau dans la zone Ordinateur local. Les fichiers .hta sont hébergés dans un processus différent et ne sont donc pas soumis à ces restrictions. Cependant, ils sont exécutés avec des droits complets : n'autorisez pas de code non approuvé à être exécuté de cette manière.

Il est recommandé aux développeurs de tester leurs applications et d'activer le verrouillage afin d'offrir de meilleurs niveaux de sécurité. Les développeurs d'applications autonomes doivent envisager d'adopter ces changements dans leurs applications hébergeant Internet Explorer.

Les développeurs de contrôles ActiveX qui autorisaient des droits élevés dans la zone Ordinateur local ne doivent pas modifier leurs contrôles afin qu'ils autorisent des droits élevés dans une autre zone. Il est en effet préférable de les convertir de façon à ce qu'ils soient exécutés uniquement à partir d'une application HTML (fichier .hta) ou d'une application autonome exécutée en dehors du verrouillage de la zone Ordinateur local.

Par défaut, cette zone n'est pas activée pour les processus autres qu'Internet Explorer. Les développeurs doivent explicitement enregistrer leurs applications pour tirer parti de ces modifications. Dans les applications n'ayant pas recours à cette restriction, il est recommandé de détecter tout vecteur d'attaque de la zone Ordinateur local. Pour activer le verrouillage de la zone Ordinateur local dans une application, accédez à la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Ajoutez à cette clé une valeur REG_DWORD appropriée pour votre application (par exemple, MonApplication.exe) et définissez-la à 1. Tout autre paramètre pour cette valeur désactivera le verrouillage de la zone Ordinateur local pour l'application.

Pour décider si le verrouillage de la zone Ordinateur local s'applique aux pages Web ouvertes à partir d'un CD, modifiez la valeur de la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

Si vous définissez sa valeur à 1, vous désactivez cette fonction pour les pages Web ouvertes à partir d'un CD sur l'ordinateur de l'utilisateur.