Planifier les paramètres de contrôle des fonctionnalités Internet Explorer dans Office System 2007
Mis à jour: février 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2015-03-09
Les paramètres de contrôle des fonctionnalités Internet Explorer vous permettent d'atténuer les menaces qui peuvent se produire lorsqu'une application utilise par programme la fonctionnalité Internet Explorer. Il est important atténuer les menaces Internet Explorer, car les menaces affectant Internet Explorer concernent également n'importe quelle application hébergeant Internet Explorer.
Vous pouvez configurer 15 paramètres de contrôle des fonctionnalités Internet Explorer dans Office System 2007. Pour plus d'informations sur les paramètres de contrôle des fonctionnalités Internet Explorer, voir Stratégies et paramètres de sécurité dans Office System 2007. Chaque paramètre restreint un type spécifique de comportement ou de fonctionnalité d'Internet Explorer. Pour activer la fonctionnalité ou le comportement pour un paramètre particulier, vous accréditez des applications. Lorsqu'une application est accréditée pour un paramètre spécifique de contrôle de fonctionnalité Internet Explorer, les comportements plus restrictifs spécifiés par le paramètre sont appliqués chaque fois que l'application héberge Internet Explorer. Inversement, lorsqu'une application est désaccréditée pour un paramètre particulier, les comportements plus restrictifs spécifiés par le paramètre ne sont pas appliqués chaque fois que l'application héberge Internet Explorer.
Pour créer des paramètres de contrôle des fonctionnalités Internet Explorer, vous devez :
Identifier les applications qui hébergent d'Internet Explorer.
Déterminer les paramètres de contrôle des fonctionnalités Internet Explorer à implémenter.
Identifier les conflits potentiels avec les versions précédentes d'Office System.
Identifier les applications qui hébergent Internet Explorer
Une application héberge Internet Explorer lorsqu’un type de contenu actif quelconque, tels que des contrôles ActiveX, des compléments ou des macros Visual Basic pour Applications (VBA), utilise par programme des fonctionnalités d'Internet Explorer. Exemple fréquent : lorsqu'un utilisateur ouvre un document Microsoft Office Word 2007 qui contient un contrôle ActiveX, le contrôle ActiveX appelle par programme Internet Explorer pour restituer le HTML. Dans ce cas, Office Word 2007 héberge Internet Explorer.
Par défaut, Office Groove 2007, Office Outlook 2007 et Office SharePoint Designer 2007 sont accrédités pour l'ensemble des 15 paramètres de contrôle des fonctionnalités Internet Explorer. Microsoft Office InfoPath 2003 est également accrédité pour ces paramètres de contrôle des fonctionnalités Internet Explorer, ainsi que trois composants Office InfoPath 2007 : le panneau Informations sur le document, les formulaires de workflow et l'hébergement de tiers. Ces applications sont accréditées car elles hébergent Internet Explorer ou elles présentent une probabilité élevée d'héberger Internet Explorer.
Utilisez les instructions suivantes pour vous aider à identifier d'autres applications qui hébergent Internet Explorer ou sont susceptibles de l'héberger.
Les applications qui permettent aux utilisateurs d'exécuter des contrôles ActiveX non approuvés, des compléments ou des macros peuvent potentiellement héberger Internet Explorer.
Les applications qui permettent aux utilisateurs d'exécuter des contrôles ActiveX, des compléments ou des macros générant du code HTML ou fournissant des fonctionnalités du navigateur hébergent généralement Internet Explorer.
Les applications que vous avez configurées pour générer du code HTML ou fournir des fonctionnalités de navigateur hébergent généralement Internet Explorer.
Les applications qui fournissent aux utilisateurs un accès aux projets VBA ou permettent aux utilisateurs de créer des macros VBA peuvent potentiellement héberger Internet Explorer.
Les applications qui permettent aux utilisateurs d'accéder à des documents externes et à des données peuvent potentiellement héberger Internet Explorer.
Nous vous recommandons d'accréditer toutes les applications qui hébergent Internet Explorer ou toutes les applications qui peuvent héberger potentiellement Internet Explorer. Veillez à enregistrer le nom de l'application et le nom du fichier exécutable correspondant dans vos documents de planification de la sécurité. Vous devez connaître le nom du fichier exécutable pour configurer les paramètres de contrôle des fonctionnalités Internet Explorer. Pour cela, utilisez l'outil de personnalisation Office (OPO) ou la stratégie de groupe.
Le tableau ci-dessous répertorie le nom des fichiers exécutables pour les applications que vous pouvez accréditer pour des paramètres de contrôle des fonctionnalités Internet Explorer pour Office System 2007.
| Application | Nom du fichier exécutable |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (accrédité par défaut) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (accrédité par défaut) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 ; |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007. |
Visio.exe |
Office SharePoint Designer 2007 (accrédité par défaut) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Visionneuse Microsoft Office PowerPoint |
Pptview.exe |
Microsoft Script Editor |
Mse7.exe |
Déterminer les paramètres de contrôle des fonctionnalités Internet Explorer à implémenter
Les applications peuvent être accréditées pour un ou l'ensemble des paramètres de contrôle Internet Explorer, qui restreignent une vaste gamme de fonctionnalités d'Internet Explorer. Dans la plupart des cas, si une application héberge Internet Explorer ou peut potentiellement héberger Internet Explorer, l'application doit être accréditée pour l'ensemble des 15 paramètres de contrôle des fonctionnalités Internet Explorer. L'accréditation d'une application pour l'ensemble des 15 paramètres permet de s'assurer que le modèle de sécurité Internet Explorer le plus restrictif est implémenté chaque fois que l'application héberge Internet Explorer.
Bien que nous recommandions d'accréditer les applications pour l'ensemble des 15 paramètres de contrôle des fonctionnalités Internet Explorer, il y a des circonstances où vous aurez besoin de désaccréditer des paramètres spécifiques, par exemple si :
Les restrictions d'un paramètre particulier empêchent une application de se comporter comme prévu. Par exemple, si vous savez qu'une application utilise Internet Explorer pour télécharger des fichiers sans intervention de l'utilisateur, vous devrez peut-être désaccréditer le paramètre Restreindre le téléchargement de fichier.
Les restrictions d'un paramètre particulier ne sont pas nécessaires car la menace spécifique que le paramètre permet d'atténuer pose peu ou pas de risques dans votre organisation. Par exemple, si les utilisateurs ne peuvent pas accéder à des réseaux publics tels qu'Internet, vous ne devrez peut-être pas accréditer le paramètre Bloquer les fenêtres publicitaires intempestives.
Les restrictions d'un paramètre particulier provoquent une baisse des performances. Par exemple, le paramètre Enregistré à partir de l'URL peut provoquer une baisse des performances. Si la perte de performance est importante, il se peut que vous deviez désaccréditer ce paramètre.
Veillez à enregistrer dans vos documents de planification de la sécurité les applications pour lesquelles vous voulez accréditer l'ensemble des 15 paramètres de contrôle des fonctionnalités Internet Explorer.
.gif "Note") Remarque : |
|---|
| Office InfoPath 2007 est un cas spécial car les paramètres de contrôle des fonctionnalités Internet Explorer ne peuvent pas être individuellement accrédités ou désaccrédités. Vous pouvez uniquement déterminer les composants Office InfoPath 2007 qui sont accrédités ou désaccrédités dans l'ensemble des paramètres de contrôle des fonctionnalités Internet Explorer. Veillez à enregistrer dans vos documents de planification de la sécurité tous les composants Office InfoPath 2007 que vous souhaitez désaccréditer. Il est recommandé de conserver les paramètres par défaut tels qu'ils sont et d'accréditer tous les composants Office InfoPath 2007. Pour plus d'informations sur les paramètres Office InfoPath 2007, voir Stratégies et paramètres de sécurité dans Office System 2007. |
Identifier les conflits liés aux versions antérieures d'Office
Bien que nous vous recommandions d'accréditer toute application hébergeant Internet Explorer ou susceptible de l'héberger, dans certaines situations, l'accréditation d'une application peut provoquer un comportement inattendu dans les versions antérieures d'Office System. Ce comportement inattendu se produit en raison de la manière dont les paramètres de contrôle des fonctionnalités Internet Explorer sont stockés dans le Registre, et peut se produire uniquement dans les installations côte à côté d'Office System 2007 et de versions antérieures d'Office.
Lorsqu'une application est accréditée ou désaccréditée pour un paramètre de contrôle des fonctionnalités Internet Explorer, le nom du fichier exécutable de l'application est stocké dans le Registre et la valeur 1 (accrédité) ou 0 (désaccrédité) lui est attribuée. Par exemple, si vous accréditez le paramètre de contrôle des fonctionnalités Internet Explorer Restreindre l'installation d'ActiveX pour Office Word 2007, une entrée de clé de Registre intitulée Winword.exe est ajoutée sous la clé de Registre FEATURE_RESTRICT_ACTIVEXINSTALL et l'entrée Winword.exe est définie sur la valeur 1.
Chaque fois qu'Internet Explorer est appelé par programme, il détermine si l'application Internet Explorer est hébergée dans des processus, des bibliothèques de liens dynamiques (DLL) ou des fichiers exécutables quelconques. Internet Explorer examine également le Registre pour déterminer les processus, les DLL ou les fichiers exécutables pour lesquels chaque contrôle de fonctionnalité Internet Explorer est accrédité ou désaccrédité. Si Internet Explorer est hébergé par un processus, une DLL ou un fichier exécutable, et les paramètres du Registre indiquent que le processus, la DLL ou le fichier exécutable est accrédité pour un paramètre de contrôle des fonctionnalités Internet Explorer, Internet Explorer active le comportement le plus restrictif du paramètre de contrôle des fonctionnalités Internet Explorer. Par exemple, si Internet Explorer est hébergé par Winword.exe et que l'entrée Winword.exe sous la clé de Registre FEATURE_RESTRICT_ACTIVEXINSTALL a la valeur 1, Internet Explorer adopte le comportement le plus restrictif qui est spécifié par le paramètre de contrôle des fonctionnalités Internet Explorer Restreindre l'installation d'ActiveX.
Toutefois, Winword.exe est le nom du fichier exécutable pour Office Word 2007 et pour Microsoft Office Word 2003. Par conséquent, si vous disposez d'installations côte à côte de Office Word 2007 et Office Word 2003, et que vous accréditez les paramètres de contrôle des fonctionnalités Internet Explorer dans Office Word 2007, Internet Explorer ne peut pas déterminer si vous souhaitez appliquer les paramètres de contrôle des fonctionnalités Internet Explorer à Office Word 2007 ou à Office Word 2003. Ce problème se produit avec les applications qui ont utilisé le même nom de fichier exécutable pour les versions successives d'Office System. Le tableau suivant répertorie le nom de fichiers exécutables qui sont identiques dans Office System 2007 et les versions antérieures d'Office System.
| Nom du fichier exécutable | Applications |
|---|---|
Excel.exe |
Office Excel 2007, Office Excel 2003 |
Msaccess.exe |
Office Access 2007, Office Access 2003 |
Mspub.exe |
Office Publisher 2007, Publisher 2003 |
Outlook.exe |
Office Outlook 2007, Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007, Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007, Office Visio 2003 |
Winproj.exe |
Office Project 2007, Office Project 2003 |
Winword.exe |
Office Word 2007, Office Word 2003 |
Pour identifier les problèmes potentiels liés aux installations côte à côte, nous vous recommandons de tester chaque paramètre de contrôle des fonctionnalités Internet Explorer avec les versions antérieures des applications qui figurent dans le tableau précédent. Les paramètres de contrôle des fonctionnalités Internet Explorer sont pris en charge uniquement sur Office System 2007. Les paramètres de contrôle des fonctionnalités Internet Explorer ne sont pas pris en charge dans les versions antérieures d'Office et peuvent amener des applications des versions antérieures d'Office à se comporter de façon imprévisible.
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.
Voir aussi
Concepts
Configurer les paramètres de contrôle des fonctionnalités de Microsoft Internet Explorer dans Office System 2007
Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007
Évaluer les menaces pour la sécurité et la confidentialité dans Office System 2007