Planifier les paramètres de sécurité pour les contrôles ActiveX, les compléments et les macros dans Office System 2007
Mis à jour: février 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2015-03-09
Microsoft Office System 2007 contient plusieurs paramètres qui vous permettent de modifier le comportement des contrôles ActiveX, des compléments et des macros VBA (Visual Basic for Applications). Pour planifier les paramètres en vue des contrôles ActiveX, compléments et macros, utilisez les pratiques recommandées et instructions des sections suivantes :
Planifier les paramètres de sécurité pour les contrôles ActiveX
Planifier les paramètres de sécurité pour les compléments
Planifier les paramètres de sécurité pour les macros
Planifier les paramètres de sécurité pour les contrôles ActiveX
Office System 2007 fournit plusieurs paramètres de sécurité qui vous permettent de contrôler le comportement des contrôles ActiveX et la manière avec laquelle les utilisateurs sont informés de la présence de contrôles ActiveX potentiellement dangereux. Ces paramètres sont généralement utilisés pour :
Désactiver les contrôles ActiveX dans tous les documents.
Autoriser tous les contrôles ActiveX à s'initialiser et s'exécuter sans notification.
Modifier la façon dont les contrôles ActiveX sont initialisés en fonction des paramètres SFI (Safe for Initialization) et UFI (Unsafe for Initialization).
Pour planifier les paramètres de sécurité des contrôles ActiveX, utilisez les méthodes recommandées et les instructions des sections suivantes. Ces instructions sont basées sur l'environnement EC (Enterprise Client) plutôt que l'environnement SSFL (Specialized Security Limited Functionality). L'environnement EC représente une organisation qui présente des besoins classiques en matière de sécurité. Il convient aux entreprises de taille moyenne à grande qui recherchent une solution équilibrant la sécurité et les fonctionnalités. L'environnement SSLF représente une organisation moins classique, pour qui la sécurité est primordiale. Il convient uniquement aux entreprises de taille moyenne à grande qui ont des normes de sécurité strictes, pour lesquelles la sécurité prime sur la fonctionnalité des applications.
Désactiver les contrôles ActiveX dans tous les documents
Si votre architecture de sécurité est très restrictive et que vous souhaitez contribuer à réduire les risques potentiels des contrôles ActiveX, vous pouvez désactiver les contrôles ActiveX. La désactivation des contrôles ActiveX empêche les contrôles ActiveX d'un fichier de s'initialiser (c'est-à-dire, de se charger) à l'ouverture du fichier. Dans certains cas, un contrôle ActiveX désactivé peut apparaître dans un fichier sous la forme d'un x rouge ou d'un autre symbole, mais le contrôle est désactivé et reste inactif si l'utilisateur clique sur le symbole. En outre, lorsque vous désactivez les contrôles ActiveX, les utilisateurs n'en sont pas informés.
Pour désactiver les contrôles ActiveX, configurez l'un des paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Désactiver tous les contrôles ActiveX |
Pas configuré |
Par défaut, les utilisateurs sont invités à activer les contrôles ActiveX. Lorsque vous activez ce paramètre, tous les contrôles ActiveX sont désactivés et ne sont pas initialisés lorsqu'un utilisateur ouvre un fichier qui contient des contrôles ActiveX. Par ailleurs, lorsque vous activez ce paramètre, les utilisateurs ne sont pas avertis que les contrôles ActiveX sont désactivés. Ce paramètre peut être configuré dans l'outil de personnalisation Office (OPO) et avec les modèles d'administration (fichiers .adm) Office System 2007. Ce paramètre s'applique uniquement aux applications d'Office System 2007 et ne désactive pas les contrôles ActiveX dans les fichiers lorsqu'ils sont ouverts dans des versions antérieures d'Office. |
Initialisation d'ActiveX non sécurisée |
Sélectionnez cette configuration : Ne pas demander et désactiver tous les contrôles |
Par défaut, le paramètre Initialisation d'ActiveX non sécurisée est Inviter l'utilisateur à utiliser des données persistantes. Lorsque vous sélectionnez Ne pas demander et désactiver tous les contrôles , tous les contrôles ActiveX sont désactivés et ne sont pas initialisés lorsqu'un utilisateur ouvre un fichier qui contient des contrôles ActiveX. Par ailleurs, les utilisateurs ne sont pas avertis que les contrôles ActiveX sont désactivés. Ce paramètre n'existe que dans l'OPO. Il s'applique uniquement aux applications d'Office System 2007 et ne désactive pas les contrôles ActiveX dans les fichiers lorsqu'ils sont ouverts dans des versions antérieures d'Office. |
.gif "Note") Remarque : |
|---|
| Les contrôles ActiveX ne peuvent pas être désactivés dans les fichiers qui sont enregistrés à des emplacements approuvés. Lorsqu'un fichier est ouvert depuis un emplacement approuvé, tout son contenu actif est initialisé et autorisé à s'exécuter sans notification même si vous désactivez les contrôles ActiveX. |
Si vous désactivez les contrôles ActiveX, veillez à :
Avertir les utilisateurs que les contrôles ActiveX sont désactivés et qu'aucune notification n'apparaîtra lorsqu'ils ouvriront des fichiers contenant des contrôles ActiveX désactivés.
Tester l'impact de la désactivation des contrôles ActiveX au sein de votre organisation. Étant donné que de nombreuses solutions Office sont construites autour de contrôles ActiveX, la désactivation de ces contrôles peut engendrer un comportement inattendu et empêcher ces applications de fonctionner correctement.
Consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Autoriser tous les contrôles ActiveX à s'initialiser et à s'exécuter sans notification
Vous pouvez configurer Office System 2007 de sorte que tous les contrôles ActiveX s'initialisent et s'exécutent sans notification. Ce comportement peut être utile dans certains environnements de test et de développement, ainsi que dans les environnements isolés où des mécanismes de sécurité supplémentaires tels que des pare-feu, des programmes de détection de virus et d'intrusion permettent de garantir que les fichiers ne contiennent pas de contenus malveillants.
.gif "Important") Important : |
|---|
| Nous vous déconseillons d'autoriser les contrôles ActiveX à s'initialiser et à s'exécuter sans avertissement dans un environnement de production. Autoriser les contrôles ActiveX à s'initialiser et à s'exécuter sans avertissement peut considérablement augmenter les risques d'attaque et potentiellement affaiblir la sécurité de votre organisation. |
Pour autoriser les contrôles ActiveX à s'initialiser et à s'exécuter sans notification, configurez l'un des paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Initialisation d'ActiveX non sécurisée |
Sélectionnez cette configuration : Ne pas demander |
Par défaut, le paramètre Initialisation d'ActiveX non sécurisée est Inviter l'utilisateur à utiliser des données persistantes. Lorsque vous sélectionnez Ne pas demander, tous les contrôles ActiveX sont activés et initialisés avec des restrictions minimales (c'est-à-dire, des valeurs persistantes) lorsqu'un utilisateur ouvre un fichier qui contient des contrôles ActiveX. Par ailleurs, les utilisateurs ne sont pas avertis que les contrôles ActiveX sont activés et les contrôles ActiveX qui sont SFI ne sont pas activés en mode sans échec. Ce paramètre n'existe que dans l'OPO et s'applique à Office System 2007 et aux versions antérieures d'Office. |
Initialisation de contrôles ActiveX |
Sélectionnez cette configuration : 2 |
Par défaut, ce paramètre a une valeur de 6. Lorsque vous la remplacez par 2, les contrôles SFI et UFI sont initialisées avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes). Si les valeurs persistantes ne sont pas disponibles, les contrôles sont initialisés avec les valeurs par défaut à l'aide de la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec et les utilisateurs ne sont pas avertis que les contrôles ActiveX sont activés. Ce paramètre peut être configuré uniquement avec les modèles d'administration (fichiers .adm) Office System 2007 et s'applique à Office System 2007 et aux versions antérieures d'Office. |
Lorsque vous modifiez le paramètre, les contrôles SFI et UFI sont initialisés avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes). Si les valeurs persistantes ne sont pas disponibles, les contrôles sont initialisés avec les valeurs par défaut à l'aide de la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec et les utilisateurs ne sont pas avertis que les contrôles ActiveX sont activés. Ce paramètre peut être configuré uniquement avec les modèles d'administration (fichiers .adm) Office System 2007 et s'applique à Office System 2007 et aux versions antérieures d'Office.
Pour obtenir la liste de toutes les configurations, consultez le Guide de la sécurité de Microsoft Office 2007 (Menaces et contre-mesures : Paramètres de sécurité dans Office System 2007) (https://technet.microsoft.com/fr-fr/library/cc500475.aspx).
Si vous autorisez tous les contrôles ActiveX à s'initialiser et à s'exécuter sans notification, veillez à :
Avertir les utilisateurs que les contrôles ActiveX sont activés et qu'aucune notification n'apparaîtra lorsqu'ils ouvriront des fichiers contenant des contrôles ActiveX.
Consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Modifier la façon dont les contrôles ActiveX sont initialisés en fonction des paramètres SFI et UFI
Office System 2007 fournit plusieurs paramètres qui vous permettent de contrôler la façon dont les contrôles ActiveX sont initialisés en fonction de paramètres SFI, UFI et mode sans échec. SFI, UFI et le mode sans échec sont des paramètres que les développeurs peuvent configurer lorsqu'ils créent des contrôles ActiveX. Les contrôles ActiveX qui sont marqués SFI utilisent des sources de données sûres à initialiser. Une source de données sûre est une source de données approuvée, connue et qui n'engendre pas de violation de la sécurité. Les contrôles qui ne sont pas marqués SFI sont considérés comme UFI.
Le mode sans échec est un autre mécanisme de sécurité à la disposition des développeurs pour garantir la sécurité des contrôles ActiveX. Lorsqu'un développeur crée un contrôle ActiveX qui implémente le mode sans échec, ce contrôle peut être initialisé de deux manières : en mode sans échec et en mode non sécurisé. Lorsqu'un contrôle ActiveX est initialisé en mode sans échec, certaines restrictions qui limitent les fonctionnalités sont imposées au contrôle. À l'inverse, lorsqu'un contrôle ActiveX est initialisé en mode non sécurisé, aucune restriction ne limite ses fonctionnalités. Par exemple, un contrôle ActiveX qui lit et écrit dans les fichiers peut n'être autorisé qu'à lire les fichiers s'il est initialisé en mode sans échec, mais peut être capable de lire et écrire dans les fichiers lorsqu'il est initialisé en mode non sécurisé. Seuls les contrôles ActiveX qui sont SFI peuvent être initialisés en mode sans échec. Les contrôles ActiveX qui sont UFI sont toujours initialisés en mode non sécurisé.
Par défaut, les contrôles ActiveX sont initialisés comme suit dans Office System 2007 :
Si un fichier contient un projet VBA, les utilisateurs sont invités à activer ou à désactiver les contrôles ActiveX contenus dans le fichier. Si les utilisateurs choisissent d'activer les contrôles ActiveX, tous les contrôles SFI et UFI sont initialisés avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes). Si les valeurs persistantes ne sont pas disponibles, les contrôles sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec.
Si le fichier ne contient pas de projet VBA et que le fichier contient uniquement des contrôles SFI, les contrôles SFI sont initialisés avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes). Si les valeurs persistantes ne sont pas disponibles, les contrôles sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec.
Si le fichier ne contient pas de projet VBA, et que le fichier contient des contrôles SFI et UFI, les utilisateurs sont invités à activer ou à désactiver les contrôles ActiveX contenus dans le fichier. Si les utilisateurs choisissent d'activer les contrôles ActiveX, les contrôles SFI sont initialisés avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes), et les contrôles UFI sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec.
Si ce comportement par défaut ne convient pas à votre organisation mais que vous ne souhaitez pas désactiver les contrôles ActiveX, vous pouvez renforcer la façon dont les contrôles ActiveX sont initialisés en forçant les contrôles UFI à être initialisés avec les valeurs par défaut au lieu des restrictions minimales lorsqu'un fichier contient un projet VBA. Pour ce faire, configurez l'un ou l'autre des paramètres suivants comme indiqué dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Comportement d'initialisation en présence d'un projet VBA | Comportement d'initialisation en l'absence de projet VBA |
|---|---|---|---|
Initialisation d'ActiveX non sécurisée |
Sélectionnez cette configuration : Inviter l'utilisateur à employer les paramètres par défaut du contrôle |
Invite les utilisateurs à activer ou à désactiver les contrôles. Si un utilisateur active les contrôles, les contrôles SFI sont initialisés avec les restrictions minimales (c'est-à-dire, avec des valeurs persistantes), et les contrôles UFI sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec. Ce paramètre n'existe que dans l'OPO et s'applique à Office System 2007 et aux versions antérieures d'Office. |
Si le fichier contient uniquement des contrôles SFI, ces derniers sont initialisés avec des restrictions minimales (c'est-à-dire, avec des valeurs persistantes). Si les valeurs persistantes ne sont pas disponibles, les contrôles SFI sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec. Les utilisateurs ne sont pas invités à activer les contrôles. Si le fichier contient des contrôles UFI, les utilisateurs sont invités à les activer ou les désactiver. Si un utilisateur active les contrôles, les contrôles SFI sont initialisés avec des restrictions minimales et les contrôles UFI sont initialisés avec les valeurs par défaut à l'aide la méthode InitNew. Les contrôles SFI sont initialisés en mode sans échec. |
Initialisation des contrôles ActiveX |
Sélectionnez cette configuration : 4 |
Identique au comportement du paramètre Initialisation d'ActiveX non sécurisée. |
Identique au comportement du paramètre Initialisation d'ActiveX non sécurisée. |
Vous pouvez configurer les paramètres des contrôles ActiveX pour prendre en charge de nombreux scénarios de sécurité supplémentaires. Pour plus d'informations sur les paramètres des contrôles ActiveX dans Office System 2007, ainsi qu'une description de tous les paramètres et une comparaison entre les paramètres d'outil de personnalisation Office (OPO), de stratégie de groupe et de Centre de gestion de la confidentialité, consultez Stratégies et paramètres de sécurité dans Office System 2007. Pour plus d'informations sur la configuration des paramètres des contrôles ActiveX, consultez Configurer les paramètres de sécurité pour les contrôles ActiveX, les compléments et les macros dans Office System 2007.
Planifier les paramètres de sécurité pour les compléments
Office System 2007 fournit plusieurs paramètres qui vous permettent de changer le comportement des compléments. Les compléments, également appelés extensions d'application, sont des programmes complémentaires ou des composants supplémentaires qui étendent le fonctionnement des applications. Les compléments doivent être installés et enregistrés, et peuvent inclure :
Composant COM (Component Object Model).
Balises actives.
Compléments Automation.
Serveurs RealTimeData (RTD).
Compléments d'applications (fichiers .wll, .xll et .xlam, par exemple).
Kits d'extension XML.
Feuilles de style XML.
Par défaut, les compléments installés et inscrits sont autorisés à s'exécuter sans notification. Toutefois, vous pouvez utiliser les paramètres de sécurité pour les compléments afin de modifier ce comportement. Plus précisément, vous pouvez :
Désactiver les compléments en fonction d'applications individuelles.
Exiger la signature des compléments d'applications par un éditeur approuvé.
Désactiver la notification pour les compléments non signés.
Désactiver les compléments en fonction d'applications individuelles.
Si votre architecture de sécurité est très restrictive et que vous souhaitez contribuer à réduire les risques potentiels des compléments, vous pouvez désactiver les compléments. Lorsque vous désactivez les compléments, vous empêchez l'exécution des compléments et les utilisateurs ne sont pas avertis que les compléments sont désactivés.
Vous ne pouvez pas désactiver globalement les compléments. Vous pouvez uniquement désactiver les compléments individuellement par application pour les applications suivantes :
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office PowerPoint 2007
Microsoft Office Publisher 2007 ;
Microsoft Office Visio 2007.
Microsoft Office Word 2007
Pour désactiver les compléments, configurez l'un ou l'autre des paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Désactiver tous les compléments d'applications |
Pas configuré |
Par défaut, les compléments sont activés. Lorsque vous sélectionnez cette option, les compléments sont désactivés et les utilisateurs n'en sont pas avertis. Ce paramètre peut être configuré dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. Vous devez configurer ce paramètre individuellement par application. |
Options des avertissements liés aux compléments d'applications |
Sélectionnez cette configuration : Désactiver toutes les extensions d'applications |
Par défaut, le paramètre Options des avertissements liés aux compléments d'applications est Activer tous les compléments d'applications installés. Lorsque vous sélectionnez Désactiver toutes les extensions d'applications, tous les compléments sont désactivés et les utilisateurs n'en sont pas avertis. Ce paramètre existe uniquement dans l'OPO. Vous devez le configurer individuellement par application. |
Si vous désactivez les compléments, veillez à :
Avertir les utilisateurs que les compléments sont désactivés.
Consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Exiger la signature des compléments d'applications par un éditeur approuvé
Si vous ne souhaitez pas désactiver les compléments, mais souhaitez tout de même augmenter la sécurité des macros complémentaires, vous pouvez exiger que les compléments soient signés par un éditeur approuvé. Lorsque vous effectuez cette opération, le comportement suivant se produit :
Les compléments approuvés s'exécutent sans notification. Un complément approuvé est un complément enregistré à un emplacement approuvé ou un complément signé par un éditeur figurant dans la liste des éditeurs approuvés.
Les compléments non signés sont désactivés, mais les utilisateurs sont invités à activer ou à désactiver les compléments.
Les compléments qui sont signés par un éditeur qui ne figure pas sur la liste des éditeurs approuvés sont désactivés, mais les utilisateurs sont invités à activer ou à désactiver les compléments.
Vous ne pouvez pas configurer globalement un paramètre qui requiert que les compléments soient signés par un éditeur approuvé. Vous devez configurer ce paramètre individuellement par application, et uniquement pour les applications suivantes :
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Pour exiger que les compléments soient signés par un éditeur approuvé, configurez l'un ou l'autre des paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Exiger la signature des compléments d'applications par un éditeur approuvé. |
Pas configuré |
Par défaut, les compléments sont activés. Lorsque vous sélectionnez cette option, les compléments qui sont signés par un éditeur figurant sur la liste des éditeurs approuvés sont exécutés sans notification. Les compléments non signés et les compléments signés par un éditeur ne figurant pas sur la liste des éditeurs approuvés sont désactivés, mais les utilisateurs sont invités à activer ou désactiver les compléments. Ce paramètre peut être configuré dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. Ce paramètre se configure individuellement par application. |
Options des avertissements liés aux compléments d'applications |
Sélectionnez cette configuration : Exiger la signature des extensions d'applications par un éditeur approuvé |
Par défaut, le paramètre Options des avertissements liés aux compléments d'applications est Activer tous les compléments d'applications installés. Lorsque vous sélectionnez Exiger la signature des extensions d'applications par un éditeur approuvé, les compléments qui sont signés par un éditeur figurant sur la liste des éditeurs approuvés sont exécutés sans notification. Les compléments non signés et les compléments signés par un éditeur ne figurant pas sur la liste des éditeurs approuvés sont désactivés, mais les utilisateurs sont invités à activer ou désactiver les compléments. Ce paramètre existe uniquement dans l'OPO et se configure individuellement par application. |
Veillez à consigner ces paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Désactiver la notification pour les compléments non signés
Même si vous nécessitez que les compléments soient signés par un éditeur approuvé, les utilisateurs peuvent toujours activer les compléments non signés par le biais de la barre des messages. Si vous ne souhaitez pas que les utilisateurs activent les compléments non signés, vous pouvez désactiver les notifications des compléments non signés. Vous pouvez le faire individuellement pour chaque application, et uniquement pour les applications suivantes :
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Pour ce faire, configurez l'un ou l'autre des paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Désactiver la notification de la barre de confidentialité pour les compléments d'applications non signés. |
Pas configuré |
Par défaut, les compléments sont activés. Lorsque vous sélectionnez cette option, les compléments signés qui ne sont pas approuvés sont désactivés, mais les utilisateurs sont invités à activer ou à désactiver les compléments. Les compléments non signés sont également désactivés, mais les utilisateurs n'en sont pas avertis et ne sont pas invités à activer ou à désactiver les compléments non signés. Ce paramètre doit être utilisé conjointement au paramètre Exiger la signature des compléments d'applications par un éditeur approuvé. Ce paramètre peut être configuré dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. Vous devez configurer ce paramètre individuellement pour chaque application. |
Options des avertissements liés aux compléments d'applications |
Exiger la signature des extensions et désactiver toutes les extensions non signées en silence |
Par défaut, le paramètre Options des avertissements liés aux compléments d'applications est Activer tous les compléments d'applications installés. Lorsque vous sélectionnez Exiger la signature des extensions et désactiver en silence les extensions non signées, les compléments signés qui ne sont pas approuvés sont désactivés, mais les utilisateurs sont invités à activer ou à désactiver les compléments. Les compléments non signés sont également désactivés, mais les utilisateurs n'en sont ni avertis, ni invités à activer ou à désactiver les compléments non signés. Ce paramètre n'existe que dans l'OPO. Vous devez configurer ce paramètre individuellement pour chaque application. |
Si vous désactivez les notifications pour les compléments non signés, veillez à :
Avertir les utilisateurs que les compléments non signés sont désactivés en silence.
Consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Pour plus d'informations sur les paramètres des compléments dans Office System 2007, ainsi que des descriptions des paramètres et une comparaison entre les paramètres de l'OPO, de stratégie de groupe et du Centre de gestion de la confidentialité, consultez Stratégies et paramètres de sécurité dans Office System 2007. Pour plus d'informations sur la configuration des paramètres des compléments, consultez Configurer les paramètres de sécurité pour les contrôles ActiveX, les compléments et les macros dans Office System 2007.
Planifier les paramètres de sécurité pour les macros
Office System 2007 fournit plusieurs paramètres de sécurité qui vous permettent de contrôler le comportement des macros et de VBA. Vous pouvez utiliser ces paramètres pour :
Modifier les paramètres de sécurité par défaut des macros. Cela inclut la désactivation des macros, l'activation de toutes les macros et le changement de la manière avec laquelle les utilisateurs sont informés sur les macros.
Modifier le comportement de VBA. Cela inclut la désactivation de VBA et permettre aux clients Automation d'accéder par programme aux projets VBA.
Modifier la manière dont se comportent les macros dans les applications qui sont démarrées par programme via Automation.
Empêcher l'analyse de recherche de virus sur les macros chiffrées.
Pour planifier les paramètres de sécurité des macros, utilisez les méthodes recommandées et les instructions des sections suivantes.
Modifier les paramètres de sécurité par défaut des macros
Office System 2007 fournit plusieurs paramètres qui vous permettent de modifier le comportement par défaut des macros. Par défaut, les macros approuvées sont autorisées à s'exécuter sans notification. Cela inclut les macros des documents qui sont enregistrés à un emplacement approuvé et les macros qui répondent aux critères suivants :
La macro est signée par le développeur à l'aide d'une signature numérique.
La signature numérique est valide.
La signature numérique est effective (non expirée).
Le certificat associé à la signature numérique a été émis par une autorité de certification reconnue.
Le développeur qui a signé la macro est un éditeur approuvé.
Les macros qui ne sont pas approuvées ne sont pas autorisées à s'exécuter jusqu'à ce que l'utilisateur clique sur la barre des messages et choisisse d'activer la macro. (Certaines applications ne possèdent pas de barre des messages. Dans ce cas, les notifications apparaissent dans des boîtes de dialogue.)
| Remarque : |
|---|
| Le paramètre de sécurité par défaut pour les macros est différent dans Microsoft Office Outlook 2007. Pour plus d'informations, consultez la documentation consacrée à la sécurité d'Office Outlook 2007. |
Si les paramètres de sécurité par défaut des macros ne conviennent pas à votre organisation, vous pouvez effectuer l'une des opérations suivantes :
Désactiver les macros non approuvées sans notification.
Désactiver les notifications pour les macros non signées, mais autoriser les notifications pour les macros signées.
Désactiver les macros non approuvées sans notification
Lorsque vous désactivez les macros non approuvées sans notification, les macros non approuvées ne sont pas chargées et les utilisateurs ne sont pas avertis que les macros non approuvées sont désactivées. Les macros approuvées sont autorisées à s'exécuter sans notification. Ce paramètre est utile si votre organisation dispose d'un modèle de sécurité restrictif et que vous ne souhaitez pas que les utilisateurs exécutent des macros non approuvées.
Pour désactiver les macros non approuvées sans notification, configurez l'un des paramètres décrits dans le tableau suivant. Ces paramètres doivent être configurés individuellement pour chaque application, et uniquement pour les applications suivantes :
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Paramètres d'avertissement de macro VBA |
Sélectionnez cette option : Activé Sélectionnez cette configuration : Aucun avertissement et désactiver toutes les macros |
Par défaut, les utilisateurs sont avertis de la présence de macros non approuvées dans un fichier, et ils peuvent les activer ou les désactiver. Lorsque vous sélectionnez Désactiver toutes les macros VBA et Aucun avertissement et désactiver toutes les macros, les macros non approuvées sont désactivées, les utilisateurs n'en sont pas avertis et ils ne peuvent pas activer les macros non approuvées. Les macros approuvées sont autorisées à s'exécuter sans notification. Ce paramètre peut être configuré avec les modèles d'administration (fichiers .adm) Office System 2007 uniquement. |
Désactiver les notifications pour les macros non signées
Lorsque vous désactivez les notifications pour les macros non signées, celles-ci sont désactivées en mode silencieux, mais les utilisateurs sont avertis des macros signées et ils peuvent activer ou désactiver les macros signées. Les macros approuvées sont autorisées à s'exécuter sans notification. Ce paramètre est utile si votre environnement nécessite une protection contre les macros non signées.
Pour désactiver les notifications à propos des macros non signées, configurez l'un des paramètres décrits dans le tableau suivant. Ces paramètres doivent être configurés individuellement pour chaque application, et uniquement pour les applications suivantes :
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Paramètres d'avertissement de macro VBA |
Sélectionnez cette option : Activé Sélectionnez cette configuration : Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées) |
Par défaut, les utilisateurs sont avertis de la présence de macros non approuvées dans un fichier et ils peuvent les activer ou les désactiver. Lorsque vous sélectionnez Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées), les événements ci-dessous se produisent :
Ce paramètre peut être configuré avec les modèles d'administration (fichiers .adm) Office System 2007 uniquement. Lorsque vous sélectionnez Désactiver l'avertissement de la barre de confidentialité pour les macros VBA non signées (le code non signé sera désactivé), les événements ci-dessous se produisent :
Ce paramètre peut être configuré uniquement dans l'OPO. |
Contrôler le comportement de VBA
Office System 2007 fournit deux paramètres qui vous permettent de contrôler le comportement de VBA. Par défaut, VBA est activé s'il est installé, et les clients Automation n'ont pas accès par programme aux projets VBA. Vous pouvez modifier ce comportement de l'une des manières suivantes :
Vous pouvez fournir aux clients Automation l'accès par programme aux projets VBA.
Vous pouvez désactiver VBA.
En plus de ces paramètres de sécurité dans Office System 2007, Office Visio 2007 fournit plusieurs paramètres qui vous permettent de contrôler le comportement de VBA dans Office Visio 2007. Pour plus d'informations, consultez Stratégies et paramètres de sécurité dans Office System 2007.
Fournir aux clients Automation l'accès par programme aux projets VBA
Lorsque vous fournissez aux clients Automation l'accès par programme aux projets VBA, ils ont la possibilité d'utiliser le modèle d'objet VBA.
Pour fournir aux clients Automation l'accès par programme aux projets VBA, configurez le paramètre qui est décrit dans le tableau suivant. Ce paramètre doit être configuré individuellement pour chacune des applications suivantes :
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Faire confiance au projet Visual Basic |
Sélectionnez cette option : Désactivé |
Par défaut, les clients Automation ne dispose pas de l'accès par programme aux projets VBA. Lorsque vous sélectionnez cette option, les clients Automation peuvent accéder par programme au modèle d'objet VBA. Ce paramètre peut être configuré dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. |
| Important : |
|---|
| Si vous fournissez aux clients Automation l'accès par programme aux projets VBA, vous accroissez également vos risques d'attaque à partir de programmes non autorisés capables de générer du code auto-répliquant. |
Désactiver VBA
Lorsque vous désactivez VBA, les macros et autres programmes ne s'exécutent pas. Cela est utile si vous disposez d'un modèle de sécurité restrictif et que vous ne souhaitez pas que les utilisateurs exécutent des macros, ou si votre organisation est sous le coup d'une attaque de sécurité et que vous souhaitez empêcher temporairement les macros de s'exécuter.
Pour désactiver VBA, configurez le paramètre qui est décrit dans le tableau suivant. Il s'agit d'un paramètre global qui s'applique aux applications suivantes :
Office Excel 2007
Office Outlook 2007
Office PowerPoint 2007
Office Publisher 2007
Microsoft Office SharePoint Designer 2007 ;
Office Word 2007
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Désactiver VBA pour les applications Office |
Pas configuré |
Par défaut, VBA est activé s'il est installé. Lorsque vous sélectionnez cette option, VBA ne fonctionne pas et les utilisateurs ne seront pas en mesure d'exécuter des macros ou d'autres programmes. Ce paramètre peut être configuré dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. |
Désactiver VBA empêche l'exécution des macros et d'autres contenus. Pour plus d'informations sur les conséquences de la désactivation de VBA, consultez l'article de la Base de connaissances suivant : Considérations à prendre en compte avant de désactiver VBA dans Office (https://go.microsoft.com/fwlink/?linkid=85867\&clcid=0x40C).
Si vous désactivez VBA, veillez à :
Avertir les utilisateurs que VBA est désactivé.
Consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
En plus de ces paramètres de sécurité dans Office System 2007, Office Visio 2007 fournit plusieurs paramètres qui vous permettent de modifier le comportement de VBA dans Office Visio 2007. Pour plus d'informations, consultez Stratégies et paramètres de sécurité dans Office System 2007.
Modifier la manière dont se comportent les macros dans les applications qui sont démarrées par programme via Automation
Office System 2007 fournit un paramètre unique qui vous permet de contrôler le comportement des macros lorsqu'elles sont exécutées dans une application qui est démarrée par programme par le biais d'Automation. Automation est un outil de programmation qui permet aux développeurs d'accéder à la fonctionnalité d'une application depuis une autre application. Par exemple, un développeur peut créer une application de gestion de projet qui utilise les fonctionnalités de messagerie électronique et de planification d'Office Outlook 2007. Par défaut, lorsqu'une application utilise Automation pour démarrer une application dans Office System 2007, les macros sont activées et autorisées à s'exécuter sans contrôles de sécurité. Vous pouvez modifier ce comportement de deux manières :
Vous pouvez désactiver les macros dans l'application qui est démarrée par programme. Lorsque vous effectuez cette opération, les utilisateurs ne sont pas avertis que les macros sont désactivées et ne sont pas invités à activer ou à désactiver les macros. Ce paramètre est utile si votre organisation dispose d'un modèle de sécurité restreint et que vous n'autorisez pas les utilisateurs à exécuter des macros.
Vous pouvez exécuter des macros conformément aux paramètres de sécurité configurés dans l'application qui est démarrée par programme. Lorsque vous effectuez cette opération, le comportement des macros est dicté par les paramètres de sécurité qui sont configurés dans l'application qui est démarrée par programme. Par exemple, si vous nécessitez que toutes les macros soient signées numériquement dans Office Excel 2007, et qu'une application utilise Automation pour démarrer Office Excel 2007, les macros ne fonctionneront pas avant d'être signées numériquement. Ce paramètre est utile si vous souhaitez que les paramètres de sécurité de votre organisation pour les macros soient étendus aux applications qui sont démarrées via Automation.
Pour modifier le comportement par défaut des macros dans les applications qui sont démarrées par programme via Automation, appliquez l'un ou l'autre des paramètres recommandés dans le tableau suivant. Vous pouvez configurer ces paramètres dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. Ces paramètres sont globaux et s'appliquent aux applications suivantes :
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Sécurité d'automation |
Sélectionnez cette option : Activé Sélectionnez cette configuration : Utiliser le niveau de sécurité des macros de l'application |
Par défaut, le paramètre Sécurité d'automation est Macros activées. Lorsque vous sélectionnez Utiliser le niveau de sécurité des macros de l'application, les macros s'exécutent conformément aux paramètres de sécurité de l'application qui est démarrée par programme via Automation. Lorsque vous sélectionnez Désactiver les macros par défaut, les macros sont désactivées dans les applications Office System 2007 qui sont démarrées par le biais d'Automation. Les utilisateurs ne sont pas avertis que les macros sont désactivées et ne sont pas invités à les activer. |
Si vous modifiez les paramètres de sécurité d'Automation, veillez à :
Tester toutes vos applications pour garantir que votre modification n'engendre pas un comportement imprévisible ou limite les fonctionnalités d'une application. Certaines applications utilisent Automation pour démarrer les applications en mode silencieux dans Office System 2007.
Consigner les paramètres de configuration dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
En plus de ces paramètres de sécurité dans Office System 2007, Office Publisher 2007 fournit un paramètre qui vous permet de configurer la sécurité d'Automation pour les macros dans Office Publisher 2007. Pour plus d'informations, consultez Stratégies et paramètres de sécurité dans Office System 2007.
Empêcher l'analyse de recherche de virus sur les macros chiffrées
Office System 2007 fournit plusieurs paramètres qui vous permettent d'empêcher l'analyse des macros chiffrées à la recherche de virus qu'elles pourraient contenir. Cela est utile si votre programme de détection des virus ne prend pas en charge l'interface de programmation d'application (API) Microsoft Antivirus.
Par défaut, les macros sont chiffrées lorsque vous chiffrez et enregistrez un fichier au format de fichier Office Open XML. Si votre programme de détection des virus ne prend pas en charge l'API Microsoft Antivirus, votre programme de détection des virus ne peut pas analyser les macros chiffrées. Par conséquent, les macros chiffrées sont désactivées. Pour empêcher votre programme antivirus d'analyser les macros chiffrées, configurez les paramètres comme recommandé dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Détermine si les macros chiffrées doivent être analysées dans les classeurs au format XML ouvert Microsoft Excel |
Sélectionnez cette option : Désactivé |
Par défaut, les macros chiffrées sont analysées par votre programme antivirus lorsque vous ouvrez un classeur chiffré qui contient des macros. Lorsque vous activez cette option, les macros chiffrées ne sont pas analysées par votre programme de détection des virus, ce qui signifie que les macros chiffrées s'exécuteront conformément aux paramètres de sécurité des macros que vous avez configurés. Ce paramètre s'applique uniquement à Office Excel 2007. Vous pouvez configurer ce paramètre dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. |
Détermine si les macros chiffrées doivent être analysées dans les présentations au format XML ouvert Microsoft PowerPoint |
Sélectionnez cette option : Activé |
Par défaut, les macros chiffrées sont analysées par votre programme antivirus lorsque vous ouvrez une présentation chiffrée qui contient des macros. Lorsque vous sélectionnez cette option, les macros chiffrées ne sont pas analysées par votre programme de détection des virus, ce qui signifie que les macros chiffrées s'exécuteront conformément aux paramètres de sécurité des macros que vous avez configurés. Ce paramètre s'applique uniquement à Office PowerPoint 2007. Vous pouvez configurer ce paramètre dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. |
Détermine si les macros chiffrées doivent être analysées dans les documents au format XML ouvert Microsoft Word |
Sélectionnez cette option : Activé |
Par défaut, les macros chiffrées sont analysées par votre programme antivirus lorsque vous ouvrez un document chiffré qui contient des macros. Lorsque vous sélectionnez cette option, les macros chiffrées ne sont pas analysées par votre programme de détection des virus, ce qui signifie que les macros chiffrées s'exécuteront conformément aux paramètres de sécurité des macros que vous avez configurés. Ce paramètre s'applique uniquement à Office Word 2007. Vous pouvez configurer ce paramètre dans l'OPO ainsi qu'avec les modèles d'administration (fichiers .adm) Office System 2007. |
Si vous changez les paramètres par défaut pour l'analyse des macros chiffrées, veillez à :
Consigner les paramètres dans vos documents de planification de la sécurité.
Consigner les paramètres dans vos documents des opérations de sécurité.
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.