Modèles d'administration Windows XP, Office XP et Windows Server 2003

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Paramètres de l'ordinateur Internet Explorer
Configuration des stratégies Terminal Server
Services Internet (IIS)
Windows Update
Paramètres d'ouverture de session système
Assistant Installation personnalisée Microsoft Office XP
Paramètres de sécurité Microsoft Office XP
Traitement d'une stratégie de groupe
Signalement d'erreurs
Paramètres utilisateur Internet Explorer
Paramètres d'écran de veille

Dans ce module

Ce module explique comment utiliser les sections de modèles d'administration d'une stratégie de groupe. Ces sections comprennent des paramètres basés sur le Registre qui régissent le comportement et l'aspect des ordinateurs au sein d'un environnement.

Haut de page

Objectifs

Ce module vous permettra d'utiliser les modèles d'administration dans les configurations suivantes :

• paramètres de l'ordinateur Internet Explorer ;

• configuration des stratégies Terminal Server ;

• services Internet (IIS) ;

• Windows Update ;

• paramètres d'ouverture de session système ;

• Assistant Installation personnalisée Microsoft Office XP ;

• paramètres de sécurité Microsoft Office XP ;

• traitement d'une stratégie de groupe ;

• signalement d'erreurs ;

• paramètres utilisateur Internet Explorer ;

• paramètres d'écran de veille.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

• système d'exploitation Microsoft® Windows® Server™ 2003 ;

• service d'annuaire Microsoft Active Directory® ;

• Microsoft Windows XP.

Haut de page

Comment utiliser ce module

Ce module a pour objectif de vous servir de référence dans le cadre de l'utilisation des modèles d'administration Windows XP, Office XP et Windows Server 2003 disponibles dans les versions actuelles des systèmes d'exploitation Microsoft Windows. Cet ouvrage vient en complément de deux autres manuels édités par Microsoft : le Guide sur la sécurité de Windows Server 2003, disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=14845, et le Guide sur la sécurité de Windows XP.

La structure de ce module reflète approximativement les principales sections de l'interface utilisateur de modification des stratégies de groupe. Ce module commence par décrire brièvement les différents sujets abordés, puis il dresse la liste des en-têtes des sections subalternes. Ces en-têtes correspondent à un paramètre ou un groupe de paramètres. Une explication succincte de la fonction de la contre-mesure est associée à chaque paramètre, suivie de trois sections subalternes supplémentaires : Vulnérabilité, Contre-mesure et Impact potentiel. La section Vulnérabilité évoque le mode d'exploitation possible de la contre-mesure par un pirate informatique dans le cas d'une configuration moins sécurisée. La section Contre-mesure explique le mode d'implémentation de la contre-mesure. Enfin, la section Impact potentiel décrit les éventuelles conséquences négatives générées par la mise en place de la contre-mesure.

Haut de page

Introduction

Les paramètres basés sur le Registre régissant le comportement et l'aspect des ordinateurs au sein de votre environnement font partie des sections des modèles d'administration d'une stratégie de groupe. Ils contrôlent par ailleurs le comportement des applications et composants du système d'exploitation. Vous disposez de centaines de paramètres configurables de ce type et pouvez en ajouter d'autres en important des fichiers .adm supplémentaires.

Ce module répertorie les modèles d'administration contenus dans le nœud Configuration ordinateur de la stratégie de groupe définie dans ce guide. Il évoque ensuite les modèles d'administration contenus dans le nœud Configuration utilisateur. Ce module n'examine pas en détail tous les paramètres proposés dans les modèles d'administration Microsoft Windows XP, Microsoft Office XP et Microsoft Windows Server 2003. Cependant, il traite de tous les paramètres impliqués dans la sécurisation des ordinateurs exécutant ces systèmes d'exploitation et applications. Certains paramètres non mentionnés concernent les applications et utilitaires suivants : le logiciel de conférence Microsoft NetMeeting®, Application Compatibility, le Planificateur de tâches, Windows Installer, Windows Messenger et le Lecteur Windows Media®.

Haut de page

Paramètres de l'ordinateur Internet Explorer

Microsoft Internet Explorer est le navigateur Web livré avec Windows XP et Windows Server 2003. Vous pouvez gérer la plupart de ses fonctions par le biais des paramètres de Stratégie d'audit d'une stratégie de groupe. Pour configurer ces paramètres, ouvrez l'Éditeur d'objets de stratégie de groupe et accédez à l'emplacement suivant :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Désactiver l'installation automatique de composants Internet Explorer

L'activation du paramètre Désactiver l'installation automatique de composants Internet Explorer empêche Internet Explorer de télécharger des composants pendant que les utilisateurs parcourent des sites Web nécessitant ces composants pour fonctionner pleinement. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont invités à télécharger et à installer des composants chaque fois qu'ils consultent des sites Web qui les utilisent. Cette stratégie permet à l'administrateur de mieux contrôler les composants que les utilisateurs sont autorisés à installer.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Il arrive que des opérateurs de sites Web malveillants hébergent des composants contenant du code dangereux. Or, des utilisateurs de votre entreprise peuvent très bien télécharger et installer ces composants sur des ordinateurs de votre environnement en toute innocence. Cela affaiblit votre environnement, risque d'entraîner la perte de données ou de rendre les systèmes instables.

Contre-mesure

Configurez le paramètre Désactiver l'installation automatique de composants Internet Explorer sur Activé.

Impact potentiel

Internet Explorer ne sera pas en mesure de télécharger automatiquement des composants lorsque les utilisateurs navigueront sur des sites Web qui en ont besoin.

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer

L'activation du paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer empêche Internet Explorer de détecter la présence sur Internet d'une version plus récente du navigateur et d'en informer les utilisateurs le cas échéant. Si cette stratégie est désactivée ou n'est pas configurée, Internet Explorer vérifie par défaut la présence de mises à jour tous les 30 jours et avertit les utilisateurs lorsqu'une nouvelle version est disponible. Cette stratégie permet à l'administrateur de garder le contrôle des versions d'Internet Explorer utilisées en évitant que les utilisateurs soient tenus informés des nouvelles versions.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Bien que Microsoft teste tous les correctifs et Service Packs avant de les publier, certaines entreprises souhaitent vérifier soigneusement l'ensemble des logiciels installés sur les systèmes administrés. L'activation de ce paramètre permet de vous garantir qu'aucune mise à jour d'Internet Explorer ne sera téléchargée et installée automatiquement sur les ordinateurs de votre environnement.

Contre-mesure

Configurez le paramètre Désactiver la vérification périodique de mises à jour de logiciels Internet Explorer sur Activé.

Impact potentiel

Internet Explorer ne sera pas en mesure de télécharger et d'installer automatiquement des correctifs et Service Packs. En conséquence, les administrateurs devront mettre en place une autre procédure visant à distribuer automatiquement les mises à jour des logiciels sur les ordinateurs administrés.

Désactiver l'affichage de l'image de démarrage

L'activation du paramètre Désactiver l'affichage de l'image de démarrage permet de désactiver l'affichage de l'écran de démarrage, qui indique le nom de l'application, le titulaire de la licence et des informations sur les droits d'auteur. Si cette stratégie est désactivée ou n'est pas configurée, l'écran de démarrage s'ouvre au lancement du navigateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Certaines entreprises préfèrent que leur personnel ne prenne pas connaissance des informations de licence et de version d'Internet Explorer.

Contre-mesure

Configurez le paramètre Désactiver l'affichage de l'image de démarrage sur Activé.

Impact potentiel

Internet Explorer démarre un peu plus rapidement lorsqu'il ne charge pas l'écran de démarrage au lancement.

Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme

Le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme permet de configurer les applications utilisant la chaîne de distribution de logiciels Microsoft de sorte qu'elles n'avertissent pas les utilisateurs lors de l'installation de nouveaux composants. La chaîne de distribution de logiciels constitue une méthode dynamique de mise à jour de logiciels sur les ordinateurs des utilisateurs ; elle fait appel aux technologies OSD (Open Software Distribution).

L'activation de cette stratégie évite que les utilisateurs soient informés lors de la mise à jour de leurs applications à l'aide de chaînes de distribution de logiciels. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont avertis au préalable de la mise à jour de leurs applications. Cette stratégie est destinée aux administrateurs souhaitant utiliser les chaînes de distribution de logiciels afin de mettre à jour les applications des utilisateurs sans nécessiter l'intervention de ces derniers.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les entreprises ayant recours aux outils et technologies OSD préfèrent parfois que les utilisateurs n'aient pas connaissance des correctifs et Service Packs installés sur leurs systèmes. Cela s'explique par le fait que certains utilisateurs risquent d'arrêter une installation en cours avant son terme.

Contre-mesure

Configurez le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme sur Activé.

Impact potentiel

Les utilisateurs ne seront pas avertis lorsque des mises à jour de logiciels sont disponibles par le biais de technologies OSD.

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)

L'activation du paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) empêche les utilisateurs de modifier les paramètres proxy personnalisés. Ces personnes doivent alors se servir des zones créées pour l'ensemble des utilisateurs des ordinateurs auxquels elles ont accès.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Si ce paramètre est désactivé ou n'est pas configuré, les personnes ayant accès au même ordinateur ont la possibilité de définir leurs propres paramètres proxy. Cette stratégie est destinée à garantir l'application de paramètres proxy identiques sur un ordinateur donné, quel que soit l'utilisateur.

Contre-mesure

Configurez le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) sur Activé.

Impact potentiel

Tous les utilisateurs seront obligés de se conformer aux paramètres proxy définis pour l'ordinateur.

Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites

L'activation du paramètre Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites entraîne la désactivation des paramètres de gestion des sites pour les zones de sécurité. (Pour consulter ces paramètres, ouvrez la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur Sites.) Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs ont la possibilité d'ajouter ou de supprimer des sites Web dans les zones Sites de confiance et Sites sensibles, et de modifier les paramètres de la zone Intranet local.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : l'activation du paramètre Désactiver l'onglet Sécurité, situé dans le dossier

\Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet

permet de supprimer l'onglet Sécurité de l'interface. Lorsqu'il est actif, ce paramètre a priorité sur le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites.

Vulnérabilité

Si ce paramètre n'est pas configuré, les utilisateurs ont la possibilité d'ajouter ou de supprimer des sites à leur gré dans les zones Sites de confiance et Sites sensibles, et de modifier les paramètres de la zone Intranet local. Cette possibilité risque d'introduire dans ces zones des sites hébergeant du code mobile malveillant que les utilisateurs exécutent ensuite depuis leur ordinateur.

Contre-mesure

Configurez le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites sur Activé.

Impact potentiel

Cette stratégie évite que les utilisateurs modifient les paramètres de gestion des sites pour les zones de sécurité définies par l'administrateur. Si un utilisateur a besoin d'ajouter ou de supprimer des sites dans ces zones de sécurité Internet Explorer, il doit demander à l'administrateur de configurer ces sites.

Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies

L'activation du paramètre Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies a pour effet de désactiver le bouton Personnaliser le niveau et le curseur Niveau de sécurité pour cette zone disponibles via l'onglet Sécurité de la boîte de dialogue Options Internet. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs ont la possibilité de modifier les paramètres des zones de sécurité. Ce paramètre empêche les utilisateurs de modifier les paramètres de stratégie des zones de sécurité définis par l'administrateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : l'activation du paramètre Désactiver l'onglet Sécurité, situé dans le dossier

\Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet

permet de supprimer l'onglet Sécurité de l'interface. Lorsqu'il est actif, ce paramètre a priorité sur le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies.

Vulnérabilité

Les utilisateurs qui modifient la configuration des paramètres de sécurité d'Internet Explorer risquent d'activer l'exécution de types de code dangereux à partir d'Internet et de sites Web ouverts dans la zone Sites sensibles du navigateur.

Contre-mesure

Configurez le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas configurer les paramètres de sécurité des zones Internet Explorer.

Zones de sécurité : utiliser seulement des paramètres machine

L'activation du paramètre Zones de sécurité : utiliser seulement des paramètres machine permet d'appliquer des modifications apportées par un utilisateur à une zone de sécurité à l'ensemble des personnes ayant accès à cette machine. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs du même ordinateur ont la possibilité de définir leurs propres paramètres pour les zones de sécurité. Cette stratégie est destinée à garantir l'application de paramètres de zones de sécurité identiques sur un ordinateur donné, quel que soit l'utilisateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs qui modifient la configuration des paramètres de sécurité d'Internet Explorer risquent d'activer l'exécution de types de code dangereux à partir d'Internet et de sites Web ouverts dans la zone Sites sensibles du navigateur.

Contre-mesure

Configurez le paramètre Zones de sécurité : utiliser seulement des paramètres machine sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas configurer les paramètres de sécurité des zones d'Internet Explorer.

Haut de page

Configuration des stratégies Terminal Server

Le composant Terminal Services de Windows Server 2003 repose sur les solides fondations du mode Serveur d'applications des services Terminal Server Windows 2000. De plus, il comprend à présent les nouvelles fonctions client et protocole sur Windows XP. Les services Terminal Server vous permettent de disposer d'applications Windows ou du Bureau Windows lui-même sur quasiment tout périphérique informatique, notamment les appareils incompatibles avec Windows.

Les services Terminal Server disponibles sur Windows Server 2003 peuvent augmenter les capacités de déploiement de logiciels d'une entreprise dans de multiples cas de figure, assouplissant notablement l'infrastructure des applications et les tâches de gestion. Lorsqu'un utilisateur exécute une application sur Terminal Server, l'application est lancée sur le serveur et seules les informations concernant le clavier, la souris et l'affichage sont transmises par le biais du réseau. Chaque personne visualise exclusivement sa propre session, qui est gérée en toute transparence par le système d'exploitation serveur et est totalement autonome par rapport aux autres sessions client.

Vous pouvez configurer les paramètres de stratégie de groupe de Terminal Server à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server

Refuser la déconnexion d'un administrateur connecté à la session de la console

Le paramètre de stratégie Refuser la déconnexion d'un administrateur connecté à la session de la console indique si un administrateur qui tente de se connecter à la console d'un serveur est autorisé à fermer la session déjà ouverte par un autre administrateur. La session de la console est également appelée Session 0. L'accès à la console est possible via l'option /console disponible en tapant Connexion Bureau à distance dans le champ du nom de l'ordinateur ou à partir de la ligne de commande.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

La configuration de ce paramètre sur Activé évite qu'une personne puisse fermer la session d'un administrateur connecté au système. En revanche, si ce paramètre est défini sur Désactivé, un administrateur peut fermer la session d'un collègue connecté au système. La valeur Non défini permet à un administrateur de fermer la session d'une autre personne, mais cette autorisation peut être révoquée au niveau de la stratégie de l'ordinateur local.

Cette stratégie s'avère utile lorsque l'administrateur connecté ne souhaite pas voir sa session fermée par un autre administrateur. La fermeture de la session en cours entraîne la perte des données non enregistrées.

Vulnérabilité

Un pirate étant parvenu à ouvrir une session Terminal Server et bénéficiant des privilèges d'administrateur a la possibilité de rendre extrêmement difficile la reprise du contrôle de l'ordinateur dans cette situation déjà périlleuse s'il déconnecte un administrateur tentant d'ouvrir une session sur le serveur à partir de la console Session 0. La valeur de cette contre-mesure est diminuée par le fait qu'un pirate ayant acquis assez de privilèges pour déconnecter d'autres utilisateurs a déjà pris le contrôle quasiment total de l'ordinateur.

Contre-mesure

Configurez le paramètre Refuser la déconnexion d'un administrateur connecté à la session de la console sur Activé.

Impact potentiel

Un administrateur ne sera pas en mesure de forcer la fermeture d'une session en cours sur la console Session 0.

Ne pas autoriser les administrateurs locaux à personnaliser les autorisations

Le paramètre Ne pas autoriser les administrateurs locaux à personnaliser les autorisations indique si l'administrateur est habilité à personnaliser les autorisations de sécurité dans l'outil Configuration des services Terminal Server (TSCC). Ce paramètre vous permet d'éviter que les administrateurs apportent des modifications aux descripteurs de sécurité des groupes d'utilisateurs via l'onglet Autorisations TSCC. Par défaut, les administrateurs sont habilités à effectuer ce type de changement.

L'activation de ce paramètre évite que les informations contenues sous l'onglet Autorisations TSCC ne puissent servir à personnaliser les descripteurs de sécurité par connexion ou à modifier les descripteurs de sécurité par défaut d'un groupe existant. L'attribut Lecture seule est appliqué à l'ensemble des descripteurs de sécurité. Si ce paramètre est désactivé ou n'est pas configuré, les administrateurs de serveurs bénéficient des privilèges de lecture et d'écriture complets sur les descripteurs de sécurité des utilisateurs figurant sous l'onglet Autorisations TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : la méthode de gestion des utilisateurs recommandée consiste à ajouter les utilisateurs au groupe Utilisateurs du Bureau à distance.

Vulnérabilité

Un pirate ayant acquis des privilèges d'administrateur sur un serveur exécutant les services Terminal Server peut modifier les autorisations à l'aide de l'outil TSCC en vue d'empêcher des tiers de se connecter au serveur, générant ainsi un état de refus de service.

La valeur de cette contre-mesure est diminuée par le fait qu'un pirate ayant acquis des privilèges d'administrateur a déjà pris le contrôle total de l'ordinateur.

Contre-mesure

Configurez le paramètre Ne pas autoriser les administrateurs locaux à personnaliser les autorisations sur Activé.

Impact potentiel

L'onglet Autorisations TSCC ne peut pas être utilisé en vue de personnaliser les descripteurs de sécurité par connexion ou de modifier les descripteurs de sécurité par défaut d'un groupe existant.

Définit les règles de contrôle à distance des sessions utilisateurs des services Terminal Server

Le paramètre Définit les règles de contrôle à distance des sessions utilisateurs des services Terminal Server indique le niveau de contrôle à distance autorisé au cours d'une session Terminal Server. Il est possible de définir la prise de contrôle à distance avec ou sans l'autorisation de l'utilisateur de la session. Ce paramètre permet de sélectionner l'un ou l'autre de ces niveaux de contrôle à distance : Afficher la session permet à l'invité du contrôle à distance d'observer une session tandis que Contrôle total lui donne la possibilité de participer à la session.

Si vous activez ce paramètre, les administrateurs peuvent interagir à distance avec la session de services Terminal Server d'un utilisateur selon les règles spécifiées. Pour définir ces règles, choisissez le niveau de contrôle et d'autorisation souhaité dans la liste Options. Pour désactiver le contrôle à distance, sélectionnez Contrôle à distance interdit ou Aucun contrôle à distance autorisé. Si ce paramètre est désactivé ou n'est pas configuré, l'administrateur des serveurs peut définir les règles du contrôle à distance à l'aide de l'outil TSCC. Par défaut, les utilisateurs du contrôle à distance peuvent bénéficier d'un contrôle total avec l'autorisation de l'hôte de la session.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Contrôle à distance interdit ou Aucun contrôle à distance autorisé

  • Contrôle total avec l'autorisation de l'utilisateur

  • Contrôle total sans l'autorisation de l'utilisateur

  • Afficher la session avec l'autorisation de l'utilisateur

  • Afficher la session sans l'autorisation de l'utilisateur

• Désactivé

• Non défini

Remarque : ce paramètre est disponible à la fois sous Configuration ordinateur et Configuration utilisateur. Lorsqu'il est configuré aux deux emplacements, c'est le paramètre placé sous Configuration ordinateur qui prévaut.

Vulnérabilité

Un pirate qui acquiert des privilèges d'administrateur sur le serveur a la possibilité d'utiliser la fonction de contrôle à distance des services Terminal Server afin d'observer les actions des autres utilisateurs. Cela pourrait entraîner la violation d'informations confidentielles. La valeur de cette contre-mesure est diminuée par le fait qu'un pirate ayant obtenu des privilèges d'administrateur a déjà pris le contrôle total de l'ordinateur.

Contre-mesure

Configurez le paramètre Définit les règles de contrôle à distance des sessions utilisateurs des services Terminal Server sur Activé et sélectionnez l'option Contrôle à distance interdit ou Aucun contrôle à distance autorisé.

Impact potentiel

Les administrateurs ne pourront pas utiliser la fonction de contrôle à distance pour assister d'autres utilisateurs des services Terminal Server.

Il est possible de configurer les paramètres de Redirection de données de Terminal Server à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Redirection de données serveur

Autoriser la redirection du fuseau horaire

Le paramètre Autoriser la redirection du fuseau horaire indique si l'ordinateur client est autorisé à rediriger ses paramètres de fuseau horaire vers la session Terminal Server. Par défaut, le fuseau horaire de la session est identique à celui du serveur et l'ordinateur client ne peut pas rediriger ce type d'information.

L'activation de ce paramètre permet aux clients reconnaissant la fonction de redirection d'un fuseau horaire d'envoyer au serveur les informations horaires provenant de leur machine. L'heure de base du serveur sert ensuite à calculer l'heure de la session en cours. Cette dernière correspond à l'heure de base du serveur plus le fuseau horaire du client. Pour l'instant, les applications Connexion Bureau à distance et Windows CE 5.1 sont les seuls clients pouvant rediriger des fuseaux horaires. La session 0 (la session de la console) utilise toujours le fuseau horaire et les paramètres du serveur. Pour modifier l'heure et le fuseau horaire du système, connectez-vous à la session 0.

Si ce paramètre est désactivé, la redirection du fuseau horaire est impossible. S'il n'est pas configuré, la redirection du fuseau horaire n'est pas définie au niveau de la stratégie de groupe et est désactivée par défaut. Lorsqu'un administrateur modifie ce paramètre, seules les nouvelles connexions affichent le comportement déterminé par la nouvelle valeur du paramètre. Les sessions ouvertes avant cette modification doivent être fermées puis rouvertes pour prendre en compte ce changement. Microsoft recommande à tous les utilisateurs de se déconnecter du serveur après la modification de ce paramètre.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : la redirection de fuseau horaire est uniquement possible pour les connexions établies avec un serveur terminal de la famille Windows Server.

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Autoriser la redirection du fuseau horaire sur Désactivé.

Impact potentiel

La redirection de fuseau horaire sera impossible.

Ne pas autoriser la redirection du Presse-papiers

Le paramètre Ne pas autoriser la redirection du Presse-papiers indique si le partage du contenu du Presse-papiers (la redirection du Presse-papiers) est activé entre un ordinateur distant et un ordinateur client au cours d'une session Terminal Server. Ce paramètre vous permet d'éviter que des utilisateurs redirigent les données du Presse-papiers de l'ordinateur distant vers l'ordinateur local et vice versa. Par défaut, les services Terminal Server autorisent la redirection du Presse-papiers.

L'activation de ce paramètre empêche les utilisateurs de rediriger le contenu du Presse-papiers. Si ce paramètre est désactivé, les services Terminal Server autorisent en permanence la redirection de ces données. Si ce paramètre n'est pas configuré, cela signifie que la redirection du contenu du Presse-papiers n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver la redirection du Presse-papiers à l'aide de l'outil Configuration des services Terminal Server (TSCC).

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas autoriser la redirection du Presse-papiers sur Activé.

Impact potentiel

La redirection du contenu du Presse-papiers sera impossible.

Autoriser la redirection audio

Le paramètre Autoriser la redirection audio indique si les utilisateurs ont la possibilité de choisir l'emplacement de lecture de la sortie audio de l'ordinateur distant au cours d'une Terminal Server. Les utilisateurs peuvent sélectionner l'option Son de l'ordinateur distant sur l'onglet Ressources locales de l'application Connexion Bureau à distance afin de déterminer si le fichier audio est exécuté sur l'ordinateur distant ou local. Il est également possible de désactiver le son. Par défaut, les utilisateurs ne sont pas habilités à appliquer la redirection audio lors de connexions établies avec un serveur exécutant Windows Server 2003 via les services Terminal Server. En revanche, les utilisateurs se connectant à un ordinateur exécutant Windows XP Édition Professionnel peuvent utiliser la redirection audio par défaut.

Lorsque ce paramètre est activé, les utilisateurs peuvent rediriger le son ; lorsqu'il est désactivé, cela leur est impossible. Si ce paramètre n'est pas configuré, la redirection du son n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours activer ou désactiver la redirection du son à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Autoriser la redirection audio sur Désactivé.

Impact potentiel

La redirection audio sera impossible.

Ne pas autoriser la redirection de port COM

Le paramètre Ne pas autoriser la redirection de port COM indique si la redirection de données vers les ports COM (Component Object Model) du client à partir de l'ordinateur distant est possible au cours d'une session Terminal Server. Ce paramètre vous permet d'éviter que des utilisateurs redirigent des données vers des périphériques de port COM ou de mapper des ports COM locaux pendant qu'ils ont ouvert une session Terminal Server. Par défaut, les services Terminal Server autorisent la redirection de port COM.

L'activation de ce paramètre empêche les utilisateurs de rediriger des données stockées sur le serveur vers le port COM local. Si ce paramètre est désactivé, la redirection de port COM de services Terminal Server est autorisée en permanence. Lorsque ce paramètre n'est pas configuré, la redirection de port COM n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours désactiver cette fonction à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas autoriser la redirection de port COM sur Activé.

Impact potentiel

La redirection de port COM sera impossible.

Ne pas autoriser la redirection de l'imprimante client

Le paramètre Ne pas autoriser la redirection de l'imprimante client indique si le mappage d'imprimantes client est possible au cours de sessions Terminal Server. Ce paramètre vous permet d'éviter que des utilisateurs redirigent des travaux d'impression à partir de l'ordinateur distant vers une imprimante reliée à leur ordinateur local (client). Par défaut, les services Terminal Server autorisent le mappage d'imprimantes client.

L'activation de ce paramètre empêche les utilisateurs de rediriger les travaux d'impression lancés sur l'ordinateur distant vers une imprimante client locale au cours de sessions Terminal Server. Si ce paramètre est désactivé, les utilisateurs ont la possibilité de rediriger leurs travaux d'impression au moyen du mappage d'imprimante client. Lorsque ce paramètre n'est pas configuré, le mappage d'imprimante client n'est pas défini au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours désactiver cette fonction à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas autoriser la redirection de l'imprimante client sur Activé.

Impact potentiel

La redirection d'imprimante sera impossible.

Ne pas autoriser la redirection de port LPT

Le paramètre Ne pas autoriser la redirection de port LPT indique s'il est possible de rediriger les données vers les ports parallèle (LPT) du client au cours d'une session Terminal Server. Ce paramètre empêche les utilisateurs de mapper les ports LPT locaux en vue de rediriger des données à partir de l'ordinateur distant vers des périphériques reliés au port LPT local. Par défaut, les services Terminal Server autorisent la redirection de port LPT.

L'activation de ce paramètre empêche les utilisateurs de rediriger des données stockées sur le serveur vers le port LPT local au cours d'une session Terminal Server. Si ce paramètre est désactivé, la redirection de port LPT est autorisée en permanence. Lorsque ce paramètre n'est pas configuré, la redirection de port LPT n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours désactiver cette fonction à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas autoriser la redirection de port LPT sur Activé.

Impact potentiel

La redirection de port LPT sera impossible.

Ne pas autoriser la redirection de lecteur

Par défaut, les services Terminal Server mappent automatiquement les lecteurs client lors de l'établissement de la connexion. Les lecteurs mappés figurent dans l'arborescence des dossiers de la session dans Windows Explorer ou sous l'icône Poste de travail au format < lettre_lecteur > sur < nom_ordinateur >. Le paramètre Ne pas autoriser la redirection de lecteur a priorité sur ce comportement.

L'activation de ce paramètre empêche les utilisateurs d'appliquer la redirection de lecteurs client au cours de sessions Terminal Server. Si ce paramètre est désactivé, les utilisateurs sont autorisés à appliquer la redirection de lecteurs client. Lorsque ce paramètre n'est pas configuré, la redirection de lecteurs client n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours désactiver cette fonction à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas autoriser la redirection de lecteur sur Activé.

Impact potentiel

La redirection de lecteur sera impossible.

Ne pas définir l'imprimante par défaut du client pour être l'imprimante par défaut dans une session

Le paramètre Ne pas définir l'imprimante par défaut du client pour être l'imprimante par défaut dans une session indique aux services Terminal Server de ne pas spécifier l'imprimante client par défaut comme imprimante par défaut lors de sessions Terminal Server. Par défaut, les Services Terminal Server désignent automatiquement l'imprimante client par défaut comme périphérique d'impression par défaut au cours de sessions Terminal Server. Ce paramètre a priorité sur ce comportement.

L'activation de ce paramètre permet d'éviter que les services Terminal Server définissent l'imprimante client par défaut comme imprimante par défaut de la session. Au contraire, le périphérique par défaut est configuré sur le serveur même. Si ce paramètre est désactivé, l'imprimante par défaut fera également office d'imprimante client par défaut.

Si ce paramètre n'est pas configuré, la sélection de l'imprimante par défaut n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours configurer l'imprimante par défaut à utiliser lors des sessions client à l'aide de l'outil TSCC.

Configurez le paramètre Ne pas définir l'imprimante par défaut du client pour être l'imprimante par défaut dans une session sur Activé.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l'utilisateur vers l'ordinateur local sans interaction directe avec la personne.

Contre-mesure

Configurez le paramètre Ne pas définir l'imprimante par défaut du client pour être l'imprimante par défaut dans une session sur Activé.

Impact potentiel

L'imprimante par défaut d'un client donné ne sera pas utilisée comme imprimante par défaut lors des sessions Terminal Server dudit client.

Vous pouvez configurer les paramètres de cryptage et de sécurité des services Terminal Server à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Cryptage et Sécurité

Définir le niveau de cryptage de la connexion client

Le paramètre Définir le niveau de cryptage de la connexion client indique si un niveau de cryptage est appliqué à toutes les données échangées entre le client et l'ordinateur distant au cours d'une session Terminal Server.

L'activation de ce paramètre vous permet de spécifier le niveau de cryptage s'appliquant à toutes les connexions établies avec le serveur. Par défaut, le cryptage est défini sur la valeur Niveau haut. Si ce paramètre est désactivé ou n'est pas configuré, aucun niveau de cryptage n'est appliqué via la stratégie de groupe. Cependant, les administrateurs ont la possibilité de définir un niveau de cryptage sur le serveur à l'aide de l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options de cryptage suivantes :

  • Compatible avec le client : cette valeur permet de crypter les données échangées entre le client et le serveur selon le niveau de clé maximal pris en charge par le client. Choisissez ce niveau lorsque l'ordinateur distant est exécuté dans un environnement contenant des clients hétérogènes ou hérités.

  • Niveau haut : cette valeur permet de crypter les données échangées entre le client et le serveur à l'aide d'un niveau de cryptage sûr de 128 bits. Choisissez ce niveau lorsque l'ordinateur distant est exécuté dans un environnement contenant uniquement des clients 128 bits (des clients Connexion Bureau à distance, par exemple). Les clients qui ne prennent pas en charge ce niveau de chiffrement ne seront pas en mesure de se connecter.

  • Niveau bas  : cette valeur permet de crypter des données envoyées par le client au serveur à l'aide d'un cryptage 56 bits. Lorsque vous choisissez la valeur Niveau bas, les données envoyées au client par le serveur ne sont pas cryptées.

• Désactivé

• Non défini

Important : si la compatibilité FIPS a déjà été activée par la stratégie de groupe Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature, vous ne pouvez pas changer le niveau de cryptage à l'aide de la stratégie de groupe ou de l'outil TSCC.

Vulnérabilité

Si des clients sont autorisés à se connecter par le biais du chiffrement de niveau bas, un pirate a davantage de chances de décrypter tout trafic réseau transitant par les services Terminal Server qu'il intercepte.

Contre-mesure

Configurez le paramètre Définir le niveau de cryptage de la connexion client sur Niveau haut.

Impact potentiel

Les clients qui ne prennent pas en charge le chiffrement 128 bits ne pourront pas ouvrir de sessions Terminal Server.

Toujours demander au client le mot de passe à la connexion

Le paramètre Toujours demander au client le mot de passe à la connexion indique si les services Terminal Server demandent systématiquement au client de saisir le mot de passe lors de la connexion. Ce paramètre vous permet d'obliger les utilisateurs à saisir un mot de passe lorsqu'ils se connectent aux services Terminal Server, même s'ils ont déjà fourni le mot de passe sur le client Connexion Bureau à distance. Par défaut, les services Terminal Server permettent aux utilisateurs d'ouvrir une session automatiquement une fois qu'ils ont tapé un mot de passe sur le client Connexion Bureau à distance.

L'activation de ce paramètre empêche les utilisateurs d'ouvrir automatiquement des sessions Terminal Server en fournissant un mot de passe sur le client Connexion Bureau à distance. Ils sont alors invités à saisir leur mot de passe pour se connecter. Si ce paramètre est désactivé, les utilisateurs ont la possibilité de se connecter automatiquement aux services Terminal Server en saisissant leur mot de passe sur le client Connexion Bureau à distance. Lorsque ce paramètre n'est pas configuré, l'ouverture de session automatique n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut exiger la saisie d'un mot de passe en utilisant l'outil TSCC.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs ont la possibilité d'enregistrer leurs nom d'utilisateur et mot de passe lors de la création d'un nouveau raccourci de connexion Bureau à distance. Si le serveur qui exécute les services Terminal Server autorise les utilisateurs qui se sont servis de cette fonction à ouvrir une session sur le serveur sans avoir à saisir de mot de passe, il est alors possible qu'un pirate ayant pris le contrôle physique de l'ordinateur d'un utilisateur se connecte à un serveur Terminal Server par le biais du raccourci vers la connexion Bureau à distance, même s'il ignore le mot de passe de l'utilisateur.

Contre-mesure

Configurez le paramètre Toujours demander le mot de passe au client à la connexion sur Activé.

Impact potentiel

Les utilisateurs devront saisir leur mot de passe lors de l'établissement de nouvelles sessions Terminal Server.

Vous pouvez configurer le paramètre de sécurité RPC de Terminal Server à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Cryptage et Sécurité\Sécurité RPC

Sécuriser le serveur (nécessite la sécurité)

Le paramètre Sécuriser le serveur (nécessite la sécurité) indique si Terminal Server requiert des communications de type RPC (Remote Procedure Call, appel de procédure distante) avec l'ensemble de ses clients ou s'il autorise des communications non sécurisées. Ce paramètre vous permet de renforcer la sécurité des communications RPC établies avec les clients en éliminant les requêtes non authentifiées et non cryptées.

L'activation de ce paramètre implique que le serveur Terminal Server accepte uniquement les requêtes émises par des clients RPC prenant en charge les requêtes sécurisées et qu'il interdit les communications non sécurisées avec les clients non approuvés. Si ce paramètre est désactivé, le serveur Terminal Server accepte toutes les requêtes, quel que soit leur niveau de sécurité, sur le trafic RPC. Cependant, des communications non sécurisées sont autorisées pour les clients RPC ne répondant pas à la requête. Lorsque ce paramètre n'est pas configuré, les communications non sécurisées sont autorisées.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : utilisez l'interface d'appel de procédure distante RPC pour administrer et configurer les services Terminal Server.

Vulnérabilité

Autoriser des communications RPC non sécurisées expose le serveur à des attaques par immission et par divulgation de données. Le premier type d'attaque survient lorsqu'un pirate capture des paquets échangés par un client et le serveur et qu'il modifie ces derniers avant la poursuite de l'échange. En général, le pirate modifie les informations contenues dans les paquets dans le but de provoquer la divulgation de données stratégiques par le client ou le serveur.

Contre-mesure

Configurez le paramètre Sécuriser le serveur (nécessite la sécurité) sur Activé.

Impact potentiel

Les clients qui ne prennent pas en charge les appels RPC sécurisés ne pourront pas gérer le serveur à distance.

Vous pouvez configurer des paramètres de sécurité RPC de Terminal Server supplémentaires à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Cryptage et Sécurité\Sécurité RPC\Sessions

Définir le délai d'expiration des sessions déconnectées

Le paramètre Définir le délai d'expiration des sessions déconnectées indique l'échéance des sessions Terminal Server déconnectées. Ce paramètre vous permet de spécifier la période maximale pendant laquelle une session déconnectée reste active sur le serveur. Par défaut, les services Terminal Server autorisent les utilisateurs à se déconnecter d'une session à distance sans fermer ou quitter la session. Lorsqu'une session est déconnectée, les applications restent exécutées même si l'utilisateur n'est plus connecté de manière active. Par défaut, ces sessions déconnectées sont conservées pendant une période indéfinie sur le serveur.

Si ce paramètre est activé, les sessions déconnectées sont supprimées du serveur après un certain délai. Pour conserver le comportement par défaut (sessions déconnectées maintenues pendant un délai indéfini), choisissez Jamais. Lorsque ce paramètre est désactivé ou n'est pas configuré, aucune échéance de déconnexion des sessions n'est définie au niveau de la stratégie de groupe.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options de délai suivantes :

  • Jamais

  • 1 minute

  • 5 minutes

  • 10 minutes

  • 15 minutes

  • 30 minutes

  • 1 heure

  • 2 heures

  • 3 heures

  • 1 jour

  • 2 jours

• Désactivé

• Non défini

Remarque : ce paramètre ne s'applique pas aux sessions de la console du type Bureau à distance avec des ordinateurs exécutant Windows XP Édition Professionnel. Ce paramètre est disponible à la fois sous Configuration ordinateur et sous Configuration utilisateur. Lorsqu'il est configuré aux deux emplacements, la valeur indiquée sous Configuration ordinateur a priorité sur celle définie sous Configuration utilisateur.

Vulnérabilité

Chaque session Terminal Server utilise des ressources système. À moins qu'un terme ne soit mis aux sessions déconnectées depuis un laps de temps important, les serveurs risquent de manquer de ressources tout en maintenant actives de nombreuses sessions déconnectées.

Contre-mesure

Configurez le paramètre Définir le délai d'expiration des sessions déconnectées sur Activé et sélectionnez l'option 1 jour dans la zone de liste Fin d'une session déconnectée.

Impact potentiel

Les utilisateurs qui oublient de fermer leur session Terminal Server verront celle-ci se fermer automatiquement après un délai d'inactivité de 24 heures.

Autoriser la reconnexion à partir du client original uniquement

Le paramètre Autoriser la reconnexion à partir du client original uniquement empêche les utilisateurs des services Terminal Server de rétablir la connexion à une session déconnectée à l'aide d'un autre ordinateur que le client initial à partir duquel ils ont ouvert la session. Par défaut, les services Terminal Server permettent aux utilisateurs de se reconnecter à des sessions déconnectées à partir de n'importe quel ordinateur client.

L'activation de ce paramètre permet aux utilisateurs de se reconnecter à des sessions déconnectées à partir du client d'origine uniquement. Si un utilisateur tente de rétablir la connexion avec une session inactive à partir d'un autre poste client, c'est une nouvelle session qui s'ouvre. Si ce paramètre est désactivé, les utilisateurs ont la possibilité de se connecter en permanence à une session déconnectée à partir de tout ordinateur. Lorsque ce paramètre n'est pas configuré, le mode de reconnexion à la session à partir du client initial n'est pas défini au niveau de la stratégie de groupe.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Important : ce paramètre est uniquement pris en charge par les clients ICA Citrix qui fournissent un numéro de série lors de l'établissement de la connexion. Ce paramètre n'est pas pris en compte lorsque l'utilisateur se connecte à un client Windows. Il est disponible à la fois sous Configuration ordinateur et sous Configuration utilisateur. Lorsqu'il est configuré aux deux emplacements, la valeur du paramètre défini sous Configuration ordinateur a priorité sur celle définie sous Configuration utilisateur.

Vulnérabilité

Par défaut, les utilisateurs peuvent rétablir des sessions Terminal Server déconnectées à partir de n'importe quel ordinateur. L'activation de ce paramètre permet de vous assurer que les utilisateurs peuvent seulement se reconnecter à une session à partir de l'ordinateur qui a servi à établir la connexion. La valeur de cette contre-mesure est diminuée par la fait qu'elle ne concerne que les utilisateurs disposant de clients ICA Citrix.

Contre-mesure

Configurez le paramètre Autoriser la reconnexion à partir du client original uniquement sur Activé.

Impact potentiel

Les utilisateurs se connectant à partir de clients ICA Citrix pourront uniquement rétablir des sessions déconnectées à partir de l'ordinateur utilisé pour ouvrir la session.

Haut de page

Services Internet (IIS)

Microsoft Internet Information Services (IIS) 6.0, le serveur Web intégré de Windows Server 2003, est destiné à faciliter le partage de documents et d'informations transitant par l'intranet de l'entreprise et par Internet. Vous pouvez configurer le paramètre des services IIS à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Internet (IIS)

Empêcher l'installation des services Internet (IIS)

Les services IIS 6.0 ne sont pas installés par défaut dans Windows Server 2003. L'activation du paramètre Empêcher l'installation des services Internet (IIS) évitera que les services IIS ne soient installés sur les ordinateurs de votre environnement.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les versions antérieures des services IIS et des applications qui en dépendent pour bénéficier de l'accès réseau présentaient de dangereuses failles de sécurité susceptibles d'être exploitées à distance. Bien que la sécurité proposée par la version 6.0 des services IIS soit nettement renforcée par rapport à celle des moutures précédentes, il est possible que de nouvelles vulnérabilités soient encore à découvrir et à rendre publiques. Par conséquent, les entreprises préféreront sans doute s'assurer que les services IIS ne puissent pas être installés sur les ordinateurs qui ne jouent pas le rôle de serveurs Web.

Contre-mesure

Configurez le paramètre Empêcher l'installation des services Internet (IIS) sur Activé.

Impact potentiel

Vous ne serez pas en mesure d'installer des applications ou des composants Windows faisant appel aux services IIS. Les utilisateurs qui tenteront de le faire ne seront pas nécessairement avertis par un message d'erreur ou un avertissement que l'installation des services IIS est interdite par ce paramètre de stratégie de groupe. L'activation de ce paramètre n'a aucune incidence sur les services IIS s'ils sont déjà installés sur le système.

Haut de page

Windows Update

Windows Update permet de télécharger divers éléments, notamment des correctifs de sécurité, des mises à jour essentielles, ainsi que les dernières versions des fichiers d'aide, des pilotes et des produits Internet. Vous pouvez configurer les paramètres de Windows Update à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update

Configurer les mises à jour automatiques

Le paramètre Configurer les mises à jour automatiques indique si les ordinateurs de votre environnement recevront les mises à jour de sécurité et autres téléchargements importants disponibles via le service de mise à jour automatique de Windows. Ce paramètre vous permet de spécifier si le service Mises à jour automatiques est activé sur les ordinateurs.

L'activation de ce paramètre permet à Windows d'identifier les ordinateurs qui sont en ligne et d'utiliser leur connexion Internet afin de rechercher sur le site Web de Windows Update les mises à jour à leur appliquer.

Si ce paramètre est désactivé, vous devrez télécharger et installer manuellement les mises à jour disponibles sur le site Web de Windows Update en vous rendant sur : http://windowsupdate.microsoft.com/. Si ce paramètre n'est pas configuré, l'utilisation du service Mises à jour automatiques n'est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours configurer les mises à jour automatiques par le biais du Panneau de configuration.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé : disponible avec les options figurant dans la zone de liste Configuration de la mise à jour automatique  :

  • 2 : Avertir avant de télécharger des mises à jour et de nouveau avant de les installer. Lorsque Windows détecte des mises à jour applicables aux ordinateurs de votre environnement, une icône accompagnée d'un message vous avertissant que des mises à jour sont prêtes à être téléchargées s'affiche dans la zone de notification. Si vous cliquez sur l'icône ou sur le message, vous avez la possibilité de sélectionner les mises à jour qui vous intéressent. Windows télécharge ensuite à l'arrière-plan les mises à jour choisies. Une fois l'opération terminée, l'icône réapparaît dans la zone de notification, vous informant que les mises à jour sont prêtes à être installées. Si vous cliquez sur l'icône ou sur le message, vous pouvez sélectionner celles qui vous intéressent.

  • 3 : Télécharger automatiquement les mises à jour et avertir lorsqu'elles sont prêtes pour l'installation. Il s'agit de l'option par défaut. Windows détecte les mises à jour applicables aux ordinateurs de votre environnement et les télécharge à l'arrière-plan. L'utilisateur ne reçoit aucun message l'en informant et n'est pas interrompu pendant l'opération. Une fois le téléchargement terminé, une icône accompagnée d'un message vous avertissant que des mises à jour sont prêtes à être installées s'affiche dans la zone de notification. Si vous cliquez sur l'icône ou sur le message, vous avez la possibilité de sélectionner les mises à jour qui vous intéressent.

  • 4 : Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous. Définissez la planification à l'aide des options du paramètre Stratégie de groupe. En l'absence de planification, la planification configurée par défaut pour toutes les installations sera activée : tous les jours à 3 h 00. Si une mise à jour nécessite le redémarrage du système pour terminer l'installation, Windows redémarre automatiquement les ordinateurs concernés. Si une session utilisateur est ouverte sur un ordinateur que Windows s'apprête à redémarrer, la personne est informée de l'opération et peut choisir de différer le redémarrage.

• Désactivé

• Non défini

Pour activer ce paramètre, cliquez sur Activé, puis sélectionnez l'une des options ( 2, 3 ou 4 ). Si vous choisissez l'option 4, vous avez la possibilité de définir une planification récurrente. En l'absence de planification, les installations s'effectuent tous les jours à 3 h 00.

Vulnérabilité

Bien que Windows Server 2003 et Windows XP aient été minutieusement testés avant leur commercialisation, il est possible que des problèmes soient détectés ultérieurement. L'activation du service Mises à jour automatiques permet de vous assurer que les ordinateurs de votre environnement bénéficient en permanence des dernières mises à jour essentielles du système d'exploitation et des Service Packs installés.

Contre-mesure

Configurez le paramètre Configurer les mises à jour automatiques sur Activé et sélectionnez l'option 4 = Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous dans la zone de liste Configuration de la mise à jour automatique.

Impact potentiel

Les mises à jour essentielles du système d'exploitation et des Service Packs seront téléchargées et installées automatiquement tous les jours à 3 h 00.

Pas de redémarrage planifié des installations planifiées des mises à jour automatiques

Le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques indique que, pour achever une installation planifiée, le service Mises à jour automatiques patientera jusqu'à ce que les ordinateurs soient redémarrés par les utilisateurs qui y sont connectés au lieu de lancer le redémarrage automatique.

L'activation de ce paramètre permet d'éviter que le service Mises à jour automatiques ne redémarre automatiquement les ordinateurs lors d'installations planifiées, même si les utilisateurs ont ouvert des sessions sur les ordinateurs de votre environnement. Le service Mises à jour automatiques informe les utilisateurs qu'ils doivent redémarrer leur ordinateur afin d'achever les installations en cours. Sachez que le service Mises à jour automatiques ne pourra pas détecter de mises à jour ultérieures tant que les ordinateurs concernés ne sont pas redémarrés. Si ce paramètre est désactivé ou n'est pas configuré, le service Mises à jour automatiques avertit les utilisateurs que leur ordinateur sera automatiquement redémarré au bout de 5 minutes afin d'achever les installations en cours.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : ce paramètre s'applique uniquement lorsque le service Mises à jour automatiques est configuré en vue d'installer des mises à jour planifiées. Si le paramètre Configurer les mises à jour automatiques est désactivé, ce paramètre est sans effet.

Vulnérabilité

Dans certains cas, les mises à jour nécessitent le redémarrage du système d'exploitation du serveur afin d'achever l'installation en cours. Si le système ne redémarre automatiquement, la dernière mise à jour ne sera pas entièrement installée et aucune nouvelle mise à jour ne sera téléchargée sur l'ordinateur tant que le système n'est pas réinitialisé.

Contre-mesure

Configurez le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques sur Désactivé.

Impact potentiel

L'activation de ce paramètre présente un inconvénient majeur : les systèmes d'exploitation installés sur les serveurs de votre environnement redémarreront automatiquement. Dans le cas de serveurs stratégiques, cela risque de provoquer un état de refus de service temporaire inattendu.

Replanifier les installations planifiées des mises à jour automatiques

Le paramètre Replanifier les installations planifiées des mises à jour automatiques indique le laps de temps pendant lequel le service Mises à jour automatiques doit patienter après le démarrage du système pour procéder à une installation planifiée annulée précédemment. L'activation de ce paramètre permet de lancer une installation planifiée qui n'a pas pu être réalisée auparavant après un délai donné (indiqué en minutes) suite au démarrage de l'ordinateur. Si ce paramètre est désactivé ou n'est pas configuré, une installation planifiée non exécutée est réalisée lors de la prochaine installation planifiée.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé : disponible avec une option permettant de définir un délai compris entre 1 et **60 ** minutes.

• Désactivé

• Non défini

Remarque : ce paramètre s'applique uniquement lorsque le service Mises à jour automatiques est configuré en vue d'installer des mises à jour planifiées. Si le paramètre Configurer les mises à jour automatiques est désactivé, ce paramètre est sans effet.

Vulnérabilité

Si vous n'obligez pas le service Mises à jour automatiques à patienter pendant quelques minutes après le redémarrage d'un système, les ordinateurs de votre environnement risquent de ne pas avoir suffisamment de temps pour lancer entièrement les applications et les services exécutés sur leur système. La définition d'un délai adéquat devrait éviter aux installations de mises à jour de créer des conflits avec les procédures de démarrage des ordinateurs.

Contre-mesure

Configurez le paramètre Replanifier les installations planifiées des mises à jour automatiques sur Activé et indiquez un délai de 10 minutes.

Impact potentiel

Le service Mises à jour automatiques sera exécuté uniquement 10 minutes après le redémarrage de l'ordinateur.

Spécifier l'emplacement intranet du service de Mise à jour Microsoft

Le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft indique un serveur d'intranet destiné à héberger les mises à jour provenant du site Web des mises à jour Microsoft. Vous pouvez ensuite employer ce service pour mettre à jour automatiquement les ordinateurs de votre réseau. Ce paramètre permet de spécifier le serveur de votre réseau qui jouera le rôle de service de mises à jour interne. Le client Mises à jour automatiques recherchera ensuite les mises à jour applicables aux ordinateurs du réseau sur ce service.

Pour utiliser ce paramètre, vous devez définir deux valeurs de noms de serveur : le serveur à partir duquel le client Mises à jour automatiques détecte et télécharge les mises à jour et le serveur sur lequel les stations de travail mises à jour téléchargent des statistiques. Vous pouvez définir le même serveur pour les deux valeurs.

L'activation de ce paramètre oblige le client Mises à jour automatiques à se connecter au service de mise à jour Microsoft de l'intranet spécifié (et pas au service Windows Update) afin de détecter et de télécharger les mises à jour disponibles. Cela permet aux utilisateurs finaux de l'entreprise d'éviter de passer au travers d'un pare-feu pour obtenir les mises à jour. De votre côté, vous avez ainsi la possibilité de tester les mises à jour avant de les déployer. Lorsque ce paramètre est désactivé ou n'est pas configuré, le client Mises à jour automatiques se connecte directement au site Windows Update sur Internet si le service Mises à jour automatiques n'est pas désactivé par la stratégie de groupe ou la préférence utilisateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé : une fois cette valeur sélectionnée, indiquez les noms du serveur de mise à jour intranet et du serveur de statistiques dans la boîte de dialogue Propriétés.

• Désactivé

• Non défini

Remarque : si le paramètre Configurer les mises à jour automatiques est désactivé, ce paramètre est sans effet.

Vulnérabilité

Par défaut, le service Mises à jour automatiques tente de télécharger les mises à jour disponibles sur le site Web des mises à jour Windows de Microsoft. Certaines entreprises souhaitent s'assurer que les nouvelles mises à jour sont compatibles avec leur environnement avant de les déployer. Par ailleurs, configurer un serveur SUS (Software Update Services) interne permet de réduire le trafic sur les pare-feu de périmètre, les routeurs et les serveurs proxy ainsi que la charge pesant sur les liaisons réseau externes.

Contre-mesure

Configurez le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft sur Activé. Indiquez ensuite le nom du serveur de mise à jour de l'intranet ainsi que le nom du serveur de statistiques dans la boîte de dialogue Propriétés.

Impact potentiel

Les mises à jour essentielles et les Service Packs devront être gérés de manière proactive par le service informatique de l'entreprise.

Haut de page

Paramètres d'ouverture de session système

Les paramètres de ce nœud de stratégie de groupe ont une incidence sur le mode de connexion des utilisateurs.

Vous pouvez configurer les paramètres d'ouverture de session à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Connexion

Ne pas afficher l'écran de bienvenue Mise en route à l'ouverture de session

Le paramètre Ne pas afficher l'écran de bienvenue Mise en route à l'ouverture de session permet de masquer l'écran de bienvenue affiché par Microsoft Windows 2000 Édition Professionnel et Windows XP Édition Professionnel à chaque ouverture de session utilisateur. Il est toujours possible de visualiser cet écran en le sélectionnant dans le menu Démarrer ou en tapant welcome dans la boîte de dialogue Exécuter.

Ce paramètre s'applique uniquement aux systèmes d'exploitation Windows 2000 Édition Professionnel et Windows XP Édition Professionnel. Il n'a aucune incidence sur le paramètre Configurer votre serveur d'un écran Windows 2000 Server sur Windows 2000 Server ou Windows Server 2003.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : ce paramètre figure à la fois sous Configuration ordinateur et sous Configuration utilisateur. Si les deux paramètres sont configurés, la valeur du paramètre défini sous Configuration ordinateur a priorité sur celle définie sous Configuration utilisateur.

Vulnérabilité

L'écran de bienvenue Mise en route à l'ouverture de session incite les utilisateurs à explorer le Bureau de Windows XP. Certaines entreprises souhaitent offrir à leur personnel une formation centrée sur leur rôle spécifique et les tâches qui leur incombent, et préfèrent détourner leur attention d'autres sources d'information.

Contre-mesure

Configurez le paramètre Ne pas afficher l'écran de bienvenue Mise en route à l'ouverture de session sur Activé.

Impact potentiel

Les utilisateurs ne verront pas l'écran de bienvenue Mise en route lorsqu'ils ouvrent une session sur leur ordinateur.

Haut de page

Assistant Installation personnalisée Microsoft Office XP

L'Assistant Installation personnalisée Microsoft Office XP vous permet de mettre à jour les fonctions installées pour un produit logiciel sur les ordinateurs des utilisateurs. L'Assistant commence par lire le package d'installation Windows Installer (fichier .msi), puis il crée un nouveau fichier de configuration de produit (.cmw). Ensuite, l'Assistant utilise le fichier doté de l'extension .cmw afin de mettre à jour les fonctions du produit installées sur les ordinateurs client. À l'instar d'autres Assistants Office, cet Assistant vous propose une série d'écrans et d'options.

Les fichiers de modèles d'administration (.adm) conçus pour Office XP ne sont pas livrés avec Windows XP ni avec Windows Server 2003. Ils sont fournis dans le kit Office XP Resource Kit Tools, téléchargeable à l'adresse : http://www.microsoft.com/office/ork/xp/appndx/appa18.htm. Une fois le kit téléchargé et installé, les nouveaux modèles d'administration seront disponibles dans le dossier %systemroot%\inf. Les fichiers .adm suivants permettent de gérer Office XP :

• Access10.adm comprend des paramètres conçus pour Access 2002.

• Excel0.adm comprend des paramètres conçus pour Excel 2002.

• FP10.adm comprend des paramètres conçus pour l'outil de création et de gestion de sites Web Microsoft FrontPage® 2002.

• GAL.adm comprend des paramètres pour la Bibliothèque Multimédia d'Office XP.

• Instlr11.adm comprend des paramètres pour Windows Installer.

• Office10.adm comprend des paramètres concernant diverses applications Office XP.

• Outlk10.adm comprend des paramètres conçus pour le client de messagerie et de collaboration Microsoft Outlook® 2002.

• Ppt10.adm comprend des paramètres conçus pour l'application de présentation Microsoft PowerPoint® 2002.

• Pub10.adm comprend des paramètres conçus pour Publisher 2002.

• Word10.adm comprend des paramètres conçus pour Word 2002.

Pour importer des fichiers .adm dans la stratégie de groupe locale, vous devez au préalable démarrer la console MMC (Microsoft Management Console) et charger le composant logiciel enfichable Stratégie de groupe, sans quoi vous ne pourrez pas effectuer les opérations suivantes.

• Pour ajouter un modèle .adm Windows au composant logiciel enfichable Stratégie de groupe

  1. Lancez le logiciel enfichable Stratégie de groupe.

  2. Sélectionnez Modèles d'administration à partir de la ramification Configuration ordinateur ou Configuration utilisateur de la Stratégie de groupe. Ces deux nœuds de l'arborescence de la stratégie de groupe sont définis parallèlement aux profils de stratégie Ordinateur par défaut et Utilisateur par défaut figurant dans l'Éditeur de stratégie système.

  3. Cliquez sur la ramification Modèles d'administration avec le bouton droit de la souris et choisissez Toutes les tâches.

  4. Cliquez sur Ajout/Suppression de modèles.

  5. Cliquez sur Ajouter.

  6. Chargez une partie ou l'intégralité des modèles .adm.

Les nouvelles entrées de la stratégie sont placées sur les ramifications appropriées de l'arborescence de la stratégie de groupe.

Pour charger les fichiers .adm dans une stratégie de groupe reposant sur des domaines, ouvrez l'objet Stratégie de groupe (GPO, Group Policy Object) cible à des fins de modifications, puis effectuez les opérations 2 à 6 ci-dessus.

Vous pouvez configurer le paramètre Assistant Installation personnalisée Microsoft Office XP à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Microsoft Office XP\Assistant Installation personnalisée

Allow CMW files at any location to be applied

Pour les utilisateurs qui ne disposent pas des privilèges d'administrateur sur leur ordinateur, il faut que les fichiers CMW soient situés par défaut dans le dossier .cmw placé à la racine d'emplacements source valides définis dans la liste de sources de Windows Installer pour chaque application. Le paramètre Allow CMW files at any location to be applied vous permet de modifier ce comportement. Pour les utilisateurs dotés des privilèges d'administrateur, l'application des fichiers .cmw peut se faire à partir de tout emplacement.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Un utilisateur malveillant peut personnaliser son dossier CMW et choisir d'y installer des packages logiciels non autorisés qui sembleront être des mises à jour légitimes d'Office XP.

Contre-mesure

Configurez le paramètre Allow CMW files at any location to be applied sur Désactivé.

Impact potentiel

Les utilisateurs pourront uniquement procéder à des installations à partir de la liste d'emplacements source définis dans Windows Installer pour Office XP.

Haut de page

Paramètres de sécurité Microsoft Office XP

Microsoft Office XP offre une palette de fonctions de sécurité destinées à renforcer la protection sans pour autant amoindrir la souplesse et la puissance exigées par la clientèle de Microsoft.

Vous pouvez configurer les paramètres de sécurité de Microsoft Office XP à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration de l'administrateur\Modèles d'administration\Microsoft Office XP\Paramètres de sécurité

Access : Faire confiance à tous les modèles et compléments installés

Dans Microsoft Access, le paramètre Access : Faire confiance à tous les modèles et compléments installés s'applique uniquement aux compléments COM.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous avez la possibilité de faire confiance à tous les modèles et compléments actuellement installés sur un ordinateur de sorte que tous les fichiers installés avec Microsoft Office (ou ajoutés au dossier des modèles Office) soient approuvés bien qu'ils ne soient pas signés. Il est possible qu'un virus, un cheval de Troie ou tout autre code malveillant incorporé dans un document Office utilise l'un des compléments ou des modèles installés dans son système d'attaque.

Contre-mesure

Configurez le paramètre Access : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Impact potentiel

Il n'existe aucun moyen direct de précharger la liste de sources de confiance. Commencez par accepter chaque certificat sur un ordinateur test en ouvrant un document doté d'une macro signée, en exécutant l'applet à partir du Web ou en lançant le fichier exécutable compilé. Utilisez ensuite l'Assistant Profil de Microsoft Office pour capturer le complément et les paramètres du Registre associés. Cette opération peut s'avérer fastidieuse.

Disable VBA for Office applications

Le paramètre Disable VBA for Office applications empêche Excel, FrontPage, Outlook, PowerPoint, Microsoft Publisher et Word d'utiliser Microsoft VBA (Visual Basic® for Applications), que la fonction VBA soit ou non installée sur le système. La modification de ce paramètre n'entraîne ni l'installation ni la suppression de fichiers VBA sur l'ordinateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Certains administrateurs considèrent la fonction VBA comme un facteur de risque pour la sécurité. Ce risque ne concerne pas la fonction VBA proprement dite, mais les problèmes susceptibles de se produire suite à l'utilisation de VBA dans le but de saboter ou d'endommager intentionnellement des données.

Contre-mesure

Configurez le paramètre Disable VBA for Office applications sur Désactivé.

Impact potentiel

La fonction VBA ne sera pas disponible. Les macros, les scripts et autres applications qui y font appel présenteront des dysfonctionnements.

Excel : Niveau de sécurité des macros

La protection antivirus des macros s'applique à tous les paramètres de l'onglet Niveau de sécurité de la boîte de dialogue Sécurité (accessible via le sous-menu Macro du menu Outils ). Elle peut également être gérée par le biais du paramètre Excel : Niveau de sécurité des macros. Pour tous ces paramètres, si le logiciel antivirus qui fonctionne de pair avec Microsoft Office XP est installé et que le fichier contient des macros, le logiciel analyse le fichier à la recherche de virus connus avant de l'ouvrir.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Élevé

    • Macros non signées  : les macros sont désactivées automatiquement et le fichier est ouvert.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. Vous pouvez activer les macros uniquement si l'utilisateur choisit de faire confiance à l'auteur et à l'autorité de certification. Un administrateur réseau peut verrouiller la liste des sources fiables et empêcher l'utilisateur d'ajouter le développeur à la liste et d'activer les macros.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Les macros sont désactivées automatiquement.

  • Moyen

    • Macros non signées : l'utilisateur est invité à activer ou à désactiver les macros.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. L'utilisateur est invité à activer ou à désactiver les macros. L'utilisateur peut choisir de faire confiance au développeur et à l'autorité de certification.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Il est invité à activer ou à désactiver les macros.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Il est invité à activer ou à désactiver les macros.

  • Faible : lorsque le niveau de sécurité est faible, toutes les macros sont traitées de la même manière, quels que soient leur origine ou l'état de leur certificat. Avec un niveau de sécurité faible, vous ne recevez pas d'avertissement ni de validation de signature et les macros sont activées automatiquement. Appliquez seulement ce paramètre lorsque vous êtes certain que les macros contenues dans vos fichiers proviennent de sources dignes de confiance.

• Désactivé

• Non défini

Vulnérabilité

Auparavant, de nombreux virus et vers étaient écrits partiellement ou entièrement sous la forme de macros incorporées dans des documents Office. Un ver est un programme exécuté de manière autonome et qui se transmet d'un ordinateur à un autre par le biais des connexions réseau. Certaines parties d'un ver peuvent être exécutées sur de nombreux ordinateurs différents. Les vers ne modifient pas les autres applications, mais ils peuvent véhiculer du code qui en modifie.

Contre-mesure

Configurez le paramètre Excel : Niveau de sécurité des macros sur Moyen.

Impact potentiel

Les utilisateurs reçoivent des messages d'erreur chaque fois qu'ils chargent des macros non signées ou des macros signées pour lesquelles l'auteur ou le certificat demande l'activation ou la désactivation des macros. Les macros dotées de signatures non valides sont désactivées.

Excel : Faire confiance au projet Visual Basic

Le paramètre Excel : Faire confiance au projet Visual Basic vous permet de choisir si Excel peut accéder au code VBA joint à des documents.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

À l'instar des macros, le code VBA joint aux documents est susceptible d'être exploité par des créateurs de virus et de vers en vue d'attaquer des utilisateurs non avertis.

Contre-mesure

Configurez le paramètre Excel : Faire confiance au projet Visual Basic sur Désactivé.

Impact potentiel

Le code VBA joint aux documents Office ne pourra pas être exécuté.

Excel : Faire confiance à tous les modèles et compléments installés

Selon le paramètre de sécurité défini pour les macros, à l'ouverture d'une macro, vous pouvez recevoir un avertissement vous informant que la macro est désactivée pour les compléments et modèles installés, notamment pour les assistants. Tous les modèles, compléments et macros livrés avec Office XP sont dotés d'une signature numérique Microsoft. Une fois que vous ajoutez Microsoft à votre liste de sources fiables pour l'un de ces fichiers installés et que vous activez le paramètre Excel : Faire confiance à tous les compléments et modèles installés, les manipulations ultérieures de ces fichiers ne généreront plus de messages.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous avez la possibilité de faire confiance à tous les modèles et compléments actuellement installés sur un ordinateur de sorte que tous les fichiers installés avec Microsoft Office (ou ajoutés au dossier des modèles Office) soient approuvés bien qu'ils ne soient pas signés. Il est possible qu'un virus, un cheval de Troie ou tout autre code malveillant incorporé dans un document Office utilise l'un des compléments ou des modèles installés dans son système d'attaque.

Contre-mesure

Configurez le paramètre Excel : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Impact potentiel

Il n'existe aucun moyen direct de précharger la liste de sources de confiance. Commencez par accepter chaque certificat sur un ordinateur test en ouvrant un document doté d'une macro signée, en exécutant l'applet à partir du Web ou en lançant le fichier exécutable compilé. Utilisez ensuite l'Assistant Profil de Microsoft Office pour capturer le complément et les paramètres du Registre associés. Cette opération peut s'avérer fastidieuse.

Outlook : Niveau de sécurité des macros

Les messages électroniques et autres éléments que vous recevez sur votre ordinateur peuvent contenir des macros et des scripts comprenant des virus. Afin de protéger votre ordinateur des virus provenant de ces sources, le niveau de sécurité par défaut défini dans Microsoft Outlook est Élevé. Le paramètre Outlook : Niveau de sécurité des macros vous permet de modifier le niveau de sécurité, à moins que l'administrateur réseau ait déjà mis en place un niveau de sécurité à l'échelle de l'entreprise et désactivé les options de niveau sur les postes des utilisateurs.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Élevé : il s'agit du paramètre par défaut. Vous pouvez uniquement exécuter des macros dotées d'une signature numérique et dont vous confirmez la source comme étant fiable. Avant de faire confiance à une source, il est recommandé de vérifier qu'elle est responsable des macros et qu'elle utilise un programme d'analyse de virus préalablement à la signature des macros. En effet, Outlook ouvrira la macro sans afficher de message d'avertissement une fois la source définie comme fiable. Lorsque vous ouvrez un document ou que vous chargez un complément contenant des macros développées par une source fiable, les macros sont activées automatiquement. Les macros non signées sont désactivées automatiquement.

  • Moyen : Outlook affiche un avertissement lorsqu'il détecte une macro créée par une source qui ne figure pas dans votre liste de sources fiables. Vous êtes alors invité à activer ou à désactiver ce type de macro à l'ouverture de l'élément. Si l'élément risque d'inclure un virus, il est recommandé de désactiver les macros.

  • Faible : si vous êtes certain que tous les éléments et compléments que vous ouvrez sont sûrs, sélectionnez cette option. Elle désactive la protection antivirus des macros dans Outlook. Conséquence : les macros sont toujours activées lorsque vous ouvrez les éléments qui les contiennent.

• Désactivé

• Non défini

Remarque : Outlook ne peut pas analyser vos disquettes, disques durs ou lecteurs réseau afin de détecter et de supprimer des virus macro. Si vous souhaitez définir ce type de protection, vous devez acquérir et installer un logiciel antivirus spécialisé.

Vulnérabilité

Auparavant, de nombreux virus et vers étaient créés partiellement ou entièrement sous forme de macros incorporées dans des documents Office.

Contre-mesure

Configurez le paramètre Outlook : Niveau de sécurité des macros sur Élevé.

Impact potentiel

Seules les macros signées provenant de sources fiables sont autorisées.

PowerPoint : Niveau de sécurité des macros

La protection antivirus des macros s'applique à tous les paramètres de l'onglet Niveau de sécurité de la boîte de dialogue Sécurité (accessible via le sous-menu Macro du menu Outils ). Elle peut également être gérée par le biais du paramètre PowerPoint : Niveau de sécurité des macros. Pour tous ces paramètres, si le logiciel antivirus qui fonctionne de pair avec Microsoft Office XP est installé et que le fichier contient des macros, le logiciel analyse le fichier à la recherche de virus connus avant de l'ouvrir.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Élevé

    • Macros non signées : les macros sont désactivées automatiquement et le fichier est ouvert.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. Vous pouvez activer les macros uniquement si l'utilisateur choisit de faire confiance à l'auteur et à l'autorité de certification. Un administrateur réseau peut verrouiller la liste des sources fiables et empêcher l'utilisateur d'ajouter le développeur à la liste et d'activer les macros.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Les macros sont désactivées automatiquement.

  • Moyen

    • Macros non signées : l'utilisateur est invité à activer ou à désactiver les macros.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. L'utilisateur est invité à activer ou à désactiver les macros. L'utilisateur peut choisir de faire confiance au développeur et à l'autorité de certification.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Il est invité à activer ou à désactiver les macros.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Il est invité à activer ou à désactiver les macros.

  • Faible : lorsque le niveau de sécurité est défini sur Faible, toutes les macros sont traitées de la même manière, quels que soient leur origine ou l'état de leur certificat. Avec un niveau de sécurité faible, vous ne recevez pas d'avertissement ni de validation de signature et les macros sont activées automatiquement. Appliquez seulement ce paramètre lorsque vous êtes certain que les macros contenues dans vos fichiers proviennent de sources dignes de confiance.

• Désactivé

• Non défini

Vulnérabilité

Auparavant, de nombreux virus et vers étaient créés partiellement ou entièrement sous forme de macros incorporées dans des documents Office.

Contre-mesure

Configurez le paramètre PowerPoint : Niveau de sécurité des macros sur Moyen.

Impact potentiel

Les utilisateurs reçoivent des messages d'erreur chaque fois qu'ils chargent des macros non signées ou des macros signées pour lesquelles l'auteur ou le certificat demande l'activation ou la désactivation des macros. Les macros dotées de signatures non valides sont désactivées.

PowerPoint : Faire confiance au projet Visual Basic

Le paramètre PowerPoint : Faire confiance au projet Visual Basic vous permet de choisir si PowerPoint peut accéder au code VBA joint à des documents.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

À l'instar des macros, le code VBA joint aux documents est susceptible d'être exploité par des créateurs de virus et de vers en vue d'attaquer des utilisateurs non avertis.

Contre-mesure

Configurez le paramètre PowerPoint : Faire confiance au projet Visual Basic sur Désactivé.

Impact potentiel

Le code VBA joint aux documents Office ne pourra pas être exécuté.

PowerPoint : Faire confiance à tous les modèles et compléments installés

Selon le paramètre de sécurité défini pour les macros, à l'ouverture d'une macro, vous pouvez recevoir un avertissement vous informant que la macro est désactivée pour les compléments et modèles installés, notamment pour les assistants. Tous les modèles, compléments et macros livrés avec Microsoft Office XP sont dotés d'une signature numérique Microsoft. Une fois que vous ajoutez Microsoft à votre liste de sources fiables pour l'un de ces fichiers installés et que vous activez le paramètre PowerPoint : Faire confiance à tous les compléments et modèles installés, les manipulations ultérieures de ces fichiers ne généreront plus de messages.

Configurez le paramètre PowerPoint : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous avez la possibilité de faire confiance à tous les modèles et compléments actuellement installés sur un ordinateur de sorte que tous les fichiers installés avec Microsoft Office (ou ajoutés au dossier des modèles Office) soient approuvés bien qu'ils ne soient pas signés. Il est possible qu'un virus, un cheval de Troie ou tout autre code malveillant incorporé dans un document Office utilise l'un des compléments ou des modèles installés dans son système d'attaque.

Contre-mesure

Configurez le paramètre PowerPoint : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Impact potentiel

Il n'existe aucun moyen direct de précharger la liste de sources de confiance. Commencez par accepter chaque certificat sur un ordinateur test en ouvrant un document doté d'une macro signée, en exécutant l'applet à partir du Web ou en lançant le fichier exécutable compilé. Utilisez ensuite l'Assistant Profil de Microsoft Office pour capturer le complément et les paramètres du Registre associés. Cette opération peut s'avérer fastidieuse.

Publisher : Niveau de sécurité des macros

La protection antivirus des macros s'applique à tous les paramètres de l'onglet Niveau de sécurité de la boîte de dialogue Sécurité (accessible via le sous-menu Macro du menu Outils ). Elle peut également être gérée par le biais du paramètre Publisher : Niveau de sécurité des macros. Pour tous ces paramètres, si le logiciel antivirus qui fonctionne de pair avec Microsoft Office XP est installé et que le fichier contient des macros, le logiciel analyse le fichier à la recherche de virus connus avant de l'ouvrir.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Élevé

    • Macros non signées : les macros sont désactivées automatiquement et le fichier est ouvert.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. Vous pouvez activer les macros uniquement si l'utilisateur choisit de faire confiance à l'auteur et à l'autorité de certification. Un administrateur réseau peut verrouiller la liste des sources fiables et empêcher l'utilisateur d'ajouter le développeur à la liste et d'activer les macros.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Les macros sont désactivées automatiquement.

  • Moyen

    • Macros non signées : l'utilisateur est invité à activer ou à désactiver les macros.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. L'utilisateur est invité à activer ou à désactiver les macros. L'utilisateur peut choisir de faire confiance au développeur et à l'autorité de certification.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Il est invité à activer ou à désactiver les macros.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Il est invité à activer ou à désactiver les macros.

  • Faible : lorsque le niveau de sécurité est défini sur Faible, toutes les macros sont traitées de la même manière, quels que soient leur origine ou l'état de leur certificat. Avec un niveau de sécurité faible, vous ne recevez pas d'avertissement ni de validation de signature et les macros sont activées automatiquement. Appliquez seulement ce paramètre lorsque vous êtes certain que les macros contenues dans vos fichiers proviennent de sources dignes de confiance.

• Désactivé

• Non défini

Vulnérabilité

Auparavant, de nombreux virus et vers étaient créés partiellement ou entièrement sous forme de macros incorporées dans des documents Office.

Contre-mesure

Configurez le paramètre Publisher : Niveau de sécurité des macros sur Moyen.

Impact potentiel

Les utilisateurs reçoivent des messages d'erreur chaque fois qu'ils chargent des macros non signées ou des macros signées pour lesquelles l'auteur ou le certificat demande l'activation ou la désactivation des macros. Les macros dotées de signatures non valides sont désactivées.

Publisher : Faire confiance à tous les modèles et compléments installés

Selon le paramètre de sécurité défini pour les macros, à l'ouverture d'une macro, vous pouvez recevoir un avertissement vous informant que la macro est désactivée pour les compléments et modèles installés, notamment pour les assistants. Tous les modèles, compléments et macros livrés avec Office XP sont dotés d'une signature numérique Microsoft. Une fois que vous ajoutez Microsoft à votre liste de sources fiables pour l'un de ces fichiers installés et que vous activez le paramètre Publisher : Faire confiance à tous les compléments et modèles installés, les manipulations ultérieures de ces fichiers ne généreront plus de messages.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous avez la possibilité de faire confiance à tous les modèles et compléments actuellement installés sur un ordinateur de sorte que tous les fichiers installés avec Microsoft Office (ou ajoutés au dossier des modèles Office) soient approuvés bien qu'ils ne soient pas signés. Il est possible qu'un virus, un cheval de Troie ou tout autre code malveillant incorporé dans un document Office utilise l'un des compléments ou des modèles installés dans son système d'attaque.

Contre-mesure

Configurez le paramètre Publisher : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Impact potentiel

Il n'existe aucun moyen direct de précharger la liste de sources de confiance. Commencez par accepter chaque certificat sur un ordinateur test en ouvrant un document doté d'une macro signée, en exécutant l'applet à partir du Web ou en lançant le fichier exécutable compilé. Utilisez ensuite l'Assistant Profil de Microsoft Office pour capturer le complément et les paramètres du Registre associés. Cette opération peut s'avérer fastidieuse.

Unsafe ActiveX Initialization

Le paramètre Unsafe ActiveX Initialization vous permet d'indiquer le mode d'activation des contrôles ActiveX® au sein des applications Office XP. Les contrôles ActiveX offrent un large éventail de fonctionnalités pratiques dans Office XP et Internet Explorer. Or, comme il s'agit d'éléments de code exécutables, un développeur mal intentionné a la possibilité d'écrire un contrôle ActiveX chargé de pirater ou d'endommager des informations, ou d'effectuer toute autre opération de nature malveillante.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes présentées dans une liste déroulante :

  • Initialize using control defaults

  • Ask user: persisted data or control defaults

• Désactivé

• Non défini

Vulnérabilité

Pour lutter contre l'utilisation malveillante de contrôles, vous pouvez obliger les utilisateurs d'Office XP à n'employer que des contrôles ActiveX dotés de la signature numérique de leur auteur. Cela devrait garantir leur origine et leur fiabilité.

Contre-mesure

Configurez le paramètre Unsafe ActiveX Initialization sur Activé et sélectionnez l'option Initialize using control defaults dans la zone de liste déroulante.

Impact potentiel

Ce paramètre risque de poser des problèmes lors de la visualisation ou de l'utilisation de documents ou de formulaires contenant des contrôles ActiveX, car il bloque les données stockées par le contrôle et oblige ce dernier à se réinitialiser chaque fois qu'il est activé. Testez les applications et les formulaires utilisés avec des versions antérieures avant de déployer Office XP.

Word : Niveau de sécurité des macros

La protection antivirus des macros s'applique à tous les paramètres de l'onglet Niveau de sécurité de la boîte de dialogue Sécurité (accessible via le sous-menu Macro du menu Outils ). Elle peut également être gérée par le biais du paramètre Word : Niveau de sécurité des macros. Pour tous ces paramètres, si le logiciel antivirus qui fonctionne de pair avec Microsoft Office XP est installé et que le fichier contient des macros, le logiciel analyse le fichier à la recherche de virus connus avant de l'ouvrir.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Élevé

    • Macros non signées : les macros sont désactivées automatiquement et le fichier est ouvert.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. Vous pouvez activer les macros uniquement si l'utilisateur choisit de faire confiance à l'auteur et à l'autorité de certification. Un administrateur réseau peut verrouiller la liste des sources fiables et empêcher l'utilisateur d'ajouter le développeur à la liste et d'activer les macros.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Les macros sont désactivées automatiquement.

  • Moyen

    • Macros non signées : l'utilisateur est invité à activer ou à désactiver les macros.

    • Macros signées : la source de la macro et l'état de la signature déterminent le mode de traitement des macros signées.

    • Source fiable : signature valide : les macros sont activées automatiquement et le fichier est ouvert.

    • Auteur inconnu : signature valide : une boîte de dialogue affiche des informations relatives au certificat. L'utilisateur est invité à activer ou à désactiver les macros. L'utilisateur peut choisir de faire confiance au développeur et à l'autorité de certification.

    • N'importe quel auteur : signature non valide, à cause notamment d'un virus : l'utilisateur est averti de la présence possible d'un virus. Les macros sont désactivées automatiquement.

    • N'importe quel auteur : validation de la signature impossible, car il manque la clé publique ou des méthodes de cryptage incompatibles ont été utilisées : l'utilisateur est averti que la signature ne peut pas être validée. Il est invité à activer ou à désactiver les macros.

    • N'importe quel auteur : la signature a été apposée après l'expiration ou la révocation du certificat : l'utilisateur est averti que la signature est arrivée à échéance ou qu'elle a été révoquée. Il est invité à activer ou à désactiver les macros.

  • Faible : lorsque le niveau de sécurité est défini sur Faible, toutes les macros sont traitées de la même manière, quels que soient leur origine ou l'état de leur certificat. Avec un niveau de sécurité faible, vous ne recevez pas d'avertissement ni de validation de signature et les macros sont activées automatiquement. Appliquez seulement ce paramètre lorsque vous êtes certain que les macros contenues dans vos fichiers proviennent de sources dignes de confiance.

• Désactivé

• Non défini

Vulnérabilité

Auparavant, de nombreux virus et vers étaient créés partiellement ou entièrement sous forme de macros incorporées dans des documents Office.

Contre-mesure

Configurez le paramètre Word : Niveau de sécurité des macros sur Moyen.

Impact potentiel

Les utilisateurs reçoivent des messages d'erreur chaque fois qu'ils chargent des macros non signées ou des macros signées pour lesquelles l'auteur ou le certificat demande l'activation ou la désactivation des macros. Les macros dotées de signatures non valides sont désactivées.

Word : Faire confiance au projet Visual Basic

Le paramètre Word : Faire confiance au projet Visual Basic vous permet de choisir si Word peut accéder au code VBA joint à des documents.

Configurez le paramètre Word : Faire confiance au projet Visual Basic sur Désactivé.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

À l'instar des macros, le code VBA joint aux documents est susceptible d'être exploité par des créateurs de virus et de vers en vue d'attaquer des utilisateurs non avertis.

Contre-mesure

Configurez le paramètre Word : Faire confiance au projet Visual Basic sur Désactivé.

Impact potentiel

Le code VBA joint aux documents Office ne pourra pas être exécuté.

Word : Faire confiance à tous les modèles et compléments installés

Selon le paramètre de sécurité défini pour les macros, à l'ouverture d'une macro, vous pouvez recevoir un avertissement vous informant que la macro est désactivée pour les compléments et modèles installés, notamment pour les assistants. Tous les modèles, compléments et macros livrés avec Office XP sont dotés d'une signature numérique Microsoft. Une fois que vous ajoutez Microsoft à votre liste de sources fiables pour l'un de ces fichiers installés et que vous activez le paramètre Word : Faire confiance à tous les compléments et modèles installés, les manipulations ultérieures de ces fichiers ne généreront plus de messages.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous avez la possibilité de faire confiance à tous les modèles et compléments actuellement installés sur un ordinateur de sorte que tous les fichiers installés avec Microsoft Office (ou ajoutés au dossier des modèles Office) soient approuvés bien qu'ils ne soient pas signés. Il est possible qu'un virus, un cheval de Troie ou tout autre code malveillant incorporé dans un document Office utilise l'un des compléments ou des modèles installés dans son système d'attaque.

Contre-mesure

Configurez le paramètre Word : Faire confiance à tous les modèles et compléments installés sur Désactivé.

Impact potentiel

Il n'existe aucun moyen direct de précharger la liste de sources de confiance. Commencez par accepter chaque certificat sur un ordinateur test en ouvrant un document doté d'une macro signée, en exécutant l'applet à partir du Web ou en lançant le fichier exécutable compilé. Utilisez ensuite l'Assistant Profil de Microsoft Office pour capturer le complément et les paramètres du Registre associés. Cette opération peut s'avérer fastidieuse.

Haut de page

Traitement d'une stratégie de groupe

Vous pouvez modifier le type de traitement de la stratégie de groupe en configurant les paramètres d'ouverture de session à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe

Traitement de la stratégie du Registre

Le paramètre Traitement de la stratégie du Registre détermine le moment auquel les stratégies du Registre sont mises à jour. Ce paramètre s'applique à toutes les stratégies contenues dans le dossier Modèles d'administration et aux stratégies qui enregistrent des valeurs dans le Registre. Il a priorité sur les paramètres personnalisés définis par le programme mettant en œuvre une stratégie de Registre au moment de l'installation.

L'activation de ce paramètre rend disponibles les cases à cocher permettant de modifier la configuration des options. Que ce paramètre soit désactivé ou ne soit pas configuré n'a aucune incidence sur le système.

L'option Ne pas appliquer lors des traitements en tâche de fond périodiques empêche le système de mettre à jour à l'arrière-plan les stratégies concernées pendant que l'ordinateur est en service. Les mises à jour effectuées à l'arrière-plan gênent l'utilisateur dans son travail, provoquent l'arrêt ou le dysfonctionnement d'un programme et, dans de rares cas, endommagent les données. L'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés met à jour et applique à nouveau les stratégies même lorsque ces dernières n'ont pas subi de modifications. De nombreuses implémentations de stratégie de groupe indiquent une mise à jour suite à des modifications uniquement. Cependant, il se peut que vous souhaitiez actualiser des stratégies inchangées, notamment pour appliquer à nouveau un paramètre donné qu'un utilisateur avait modifié.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Ne pas appliquer lors des traitements en tâche de fond périodiques

  • Traiter même si les objets Stratégie de groupe n'ont pas été modifiés

• Désactivé

• Non défini

Vulnérabilité

Si vous activez ce paramètre puis que vous sélectionnez l'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés, vous êtes certain que les stratégies seront retraitées même si aucune d'entre elles n'a subi de modification. De cette manière, toute modification non autorisée configurée localement sera écrasée par les paramètres de stratégie de groupe définis au niveau du domaine.

Contre-mesure

Configurez le paramètre Traitement de la stratégie du Registre sur Activé. Désactivez ensuite la case à cocher Ne pas appliquer lors des traitements en tâche de fond périodiques et activez la case à cocher Traiter même si les objets Stratégie de groupe n'ont pas été modifiés.

Impact potentiel

Les stratégies de groupe seront à nouveau appliquées chaque fois qu'elles seront actualisées, ce qui peut avoir un impact mineur sur les performances.

Traitement de la stratégie de maintenance Internet Explorer

Le paramètre Traitement de la stratégie de maintenance Internet Explorer détermine à quel moment les stratégies de maintenance Internet Explorer sont mises à jour. Ce paramètre concerne toutes les stratégies employant le composant Maintenance Internet Explorer des stratégies de groupe, telles que celles situées sous Paramètres Windows\Maintenance Internet Explorer. Ce paramètre se substitue aux paramètres personnalisés définis par le programme mettant en œuvre la stratégie de maintenance Internet Explorer.

L'activation de ce paramètre vous permet de configurer les cases à cocher disponibles pour les options. Si ce paramètre est désactivé ou n'est pas configuré, il n'a aucune incidence sur le système.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Autoriser le traitement sur une connexion réseau lente : cette option met à jour les stratégies, même si l'opération est transmise par le biais d'une connexion réseau lente, telle qu'une ligne téléphonique. Des délais considérables peuvent être observés lors de mises à jour effectuées à bas débit.

  • Ne pas appliquer lors des traitements en tâche de fond périodiques : cette option empêche le système de mettre à jour des stratégies à l'arrière-plan pendant l'utilisation de l'ordinateur. Les mises à jour effectuées à l'arrière-plan peuvent gêner l'utilisateur, provoquer l'arrêt ou le dysfonctionnement d'un programme, voire, dans de rares cas, endommager des données.

  • Traiter même si les objets Stratégie de groupe n'ont pas été modifiés : cette option met à jour et applique à nouveau les stratégies même si elles n'ont fait l'objet d'aucune modification. La plupart des mises en œuvre de stratégies indiquent que la mise à jour n'a lieu qu'en cas de modification. Cependant, vous souhaiterez peut-être mettre à jour des stratégies inchangées en appliquant à nouveau un paramètre voulu suite à la modification de ce dernier par un utilisateur.

• Désactivé

• Non défini

Vulnérabilité

Si vous activez ce paramètre puis que vous sélectionnez l'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés, vous êtes certain que les stratégies seront retraitées même si aucune d'entre elles n'a subi de modification. De cette manière, toute modification non autorisée configurée localement sera écrasée par les paramètres de stratégie de groupe définies au niveau du domaine.

Contre-mesure

Configurez le paramètre Traitement de la stratégie de maintenance Internet Explorer sur Activé. Désactivez ensuite les deux cases à cocher des options Autoriser le traitement sur une connexion réseau lente et Ne pas appliquer lors des traitements en tâche de fond périodiques. Puis, activez la case à cocher de l'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés.

Impact potentiel

Les stratégies de groupe seront appliquées à nouveau chaque fois qu'elles seront actualisées, ce qui peut avoir un impact mineur sur les performances.

Haut de page

Signalement d'erreurs

L'outil de signalement d'erreurs d'une entreprise intégré dans Windows permet aux administrateurs de gérer les fichiers CAB créés par l'exécutable DW.exe et de rediriger les rapports d'erreurs d'arrêt vers un serveur de fichiers local plutôt que d'envoyer les informations directement via Internet aux serveurs de signalement des erreurs d'arrêt de Microsoft. Lorsque les administrateurs ont recueilli suffisamment d'entrées d'erreurs d'arrêt, ils peuvent revoir les informations répertoriées et transmettre à Microsoft celles qui leur paraissent présenter de l'intérêt.

Grâce à cet outil de signalement d'erreurs, les administrateurs peuvent vérifier les types d'erreurs d'arrêt les plus fréquemment rencontrés. Ces informations permettent ensuite d'apprendre aux utilisateurs à éviter les situations générant ces erreurs.

Vous pouvez configurer les paramètres de signalement d'erreurs à l'emplacement suivant au sein de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Rapport d'erreurs

Affiche les notifications d'erreur

Le paramètre Affiche les notifications d'erreur permet de définir si l'utilisateur a la possibilité de signaler une erreur ou non. Lorsqu'il est activé, l'utilisateur est informé qu'une erreur s'est produite et peut accéder à des informations détaillées concernant l'erreur. Si le paramètre Signaler les erreurs est également activé, l'utilisateur aura aussi la possibilité de signaler l'erreur s'il le souhaite. Si le paramètre Affiche les notifications d'erreur est désactivé, l'utilisateur ne peut pas signaler les erreurs rencontrées. Si le paramètre Signaler les erreurs est activé, les erreurs sont transmises automatiquement, mais l'utilisateur n'est pas averti de leur présence.

Il peut s'avérer utile de désactiver ce paramètre sur les ordinateurs jouant le rôle de serveurs, car ils ne sont pas directement manipulés par des utilisateurs. Si ce paramètre n'est pas configuré, l'utilisateur peut le régler au moyen du Panneau de configuration, qui est défini par défaut sur Activer la notification sur Windows XP et sur Désactiver la notification sur Windows Server 2003.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Si les utilisateurs peuvent décider de signaler des erreurs, ils risquent de ne pas se conformer aux consignes de votre entreprise concernant ce sujet. La désactivation de ce paramètre empêche les utilisateurs de visualiser les messages de signalement d'erreurs.

Contre-mesure

Configurez le paramètre Affiche les notifications d'erreur sur Désactivé.

Impact potentiel

Les utilisateurs ne verront pas les messages de signalement des erreurs lors de leur génération.

Signaler les erreurs

Le paramètre Signaler les erreurs détermine si le signalement d'erreurs est activé. La configuration du paramètre Signaler les erreurs sur Activé donne à l'utilisateur la possibilité de signaler des erreurs lorsqu'elles surviennent. Les erreurs peuvent alors être transmises à Microsoft via Internet ou par le biais d'un système de partage de fichiers de l'entreprise local.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Ne pas afficher les liens aux sites Web « Plus d'informations » fournis par Microsoft : cette option désactive l'affichage des liens renvoyant à des informations complémentaires sur le message d'erreur disponibles sur les sites Web de Microsoft.

  • Ne pas recueillir les fichiers supplémentaires : cette option évite de recueillir des fichiers supplémentaires à ajouter lors du signalement d'erreurs.

  • Ne pas recueillir de données supplémentaires sur l'ordinateur : cette option évite d'inclure des informations supplémentaires sur l'ordinateur sur lequel l'erreur s'est produite dans les rapports de signalement d'erreurs.

  • Forcer le mode file d'attente pour les erreurs d'application : cette option ne donne pas à l'utilisateur la possibilité d'envoyer un rapport lorsqu'une erreur se produit. Au contraire, l'erreur est placée dans un répertoire de file d'attente et le premier administrateur à ouvrir une session sur cet ordinateur par la suite décide de consigner ou pas celle-ci dans le rapport.

  • Chemin d'accès du fichier de téléchargement d'entreprise : cette option indique un chemin d'accès UNC (Universal Naming Convention) à un partage de fichiers vers lequel seront téléchargés les rapports d'erreurs. Elle active également l'outil Signalement d'erreurs d'une entreprise.

  • Remplacer les occurrences du mot « Microsoft » par : cette option permet de personnaliser les boîtes de dialogue de signalement des erreurs en y intégrant le nom de votre entreprise.

• Désactivé

• Non défini

Si ce paramètre n'est pas configuré, l'utilisateur ne pourra pas régler le paramètre au moyen du Panneau de configuration, qui est défini par défaut sur Autoriser le rapport sur Windows XP Édition Professionnel et sur Désactiver le rapport sur Windows Server 2003.

L'activation du paramètre Signaler les erreurs écrase les paramètres associés configurés via le Panneau de configuration et applique les valeurs par défaut à toutes les stratégies de signalement d'erreurs non configurées.

Vulnérabilité

Par défaut, les fonctions de signalement des erreurs d'une entreprise intégrées dans Windows XP, Windows Server 2003 et Office XP envoient à Microsoft des données que certaines sociétés préfèrent maintenir dans la confidentialité. La déclaration de confidentialité de Microsoft au sujet de la fonction de signalement d'erreurs d'une entreprise vous garantit que Microsoft ne fera aucune utilisation abusive des données recueillies par le biais de cette fonction Windows. Toutefois, certaines entreprises souhaiteront peut-être configurer cette fonction de sorte qu'aucune information ne soit transmise à l'extérieur du site sans vérification préalable par un membre approuvé du service informatique.

D'un autre côté, la désactivation totale du signalement d'erreurs n'est peut-être pas à recommander. En effet, Microsoft utilise les informations réunies par ce biais afin d'identifier et de diagnostiquer de nouveaux bogues. Les entreprises qui développent leurs propres applications internes peuvent également tirer profit de la fonction de signalement d'erreurs d'une entreprise intégrée dans Windows afin de localiser l'origine des problèmes rencontrés jusqu'au niveau du code.

Une configuration mesurée qui garantit la confidentialité des données de l'entreprise tout en intégrant de manière efficace la fonction de signalement des erreurs de Windows consiste à définir ses propres serveurs CER (Corporate Error Reporting) internes. Configurez les ordinateurs client de sorte qu'ils transmettent les rapports d'erreurs vers ces serveurs. Un administrateur peut ensuite lire ces rapports sur le serveur CER et générer un compte rendu global dépourvu d'informations confidentielles qu'il transmet à Microsoft.

Contre-mesure

Configurez le paramètre Signaler les erreurs sur Activé, puis sélectionnez l'option Chemin d'accès du fichier de téléchargement d'entreprise de sorte qu'elle renvoie au chemin UNC du serveur CER de votre entreprise.

Remarque : pour plus d'informations sur la création d'un serveur CER au sein de votre entreprise, consultez le site Web Microsoft Office Resource Kit situé à l'adresse : http://www.microsoft.com/office/ork/xp/default.htm.

Impact potentiel

Le signalement d'erreurs est activé et les nouveaux rapports sont envoyés au serveur CER.

Haut de page

Paramètres utilisateur Internet Explorer

Internet Explorer est le navigateur Web livré avec Windows XP et Windows Server 2003. Vous pouvez gérer la plupart de ses fonctions par le biais d'une stratégie de groupe à l'emplacement suivant de l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer

Menus du navigateur : Désactiver l'option Enregistrer ce programme sur le disque

L'activation du paramètre Menus du navigateur : Désactiver l'option Enregistrer ce programme sur le disque empêche les utilisateurs d'enregistrer un programme sur le disque en cliquant sur le bouton Enregistrer le programme sur le disque lorsqu'ils tentent de télécharger un fichier. Le fichier n'est pas téléchargé et un message informe les utilisateurs que cette commande n'est pas disponible. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont autorisés à télécharger des programmes à partir de leur navigateur.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs ont la possibilité de télécharger et d'exécuter du code potentiellement dangereux à partir de sites Web.

Contre-mesure

Configurez le paramètre Menus du navigateur : Désactiver l'option Enregistrer ce programme sur le disque sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas enregistrer de programme sur leur disque en cliquant sur le bouton Enregistrer ce programme sur le disque lorsqu'ils tenteront de télécharger un fichier.

Configurer Outlook Express

Le paramètre Configurer Outlook Express permet aux administrateurs d'autoriser ou d'empêcher les utilisateurs de Microsoft Outlook Express d'enregistrer ou d'ouvrir des pièces jointes susceptibles de contenir un virus. Lorsque la case à cocher Bloquer les pièces jointes qui pourraient contenir un virus est activée, les utilisateurs ne peuvent pas ouvrir ou enregistrer des fichiers joints potentiellement infectés ; les pièces jointes sont bloquées dans le message électronique. D'autre part, lorsque ce paramètre est activé, les utilisateurs ont la possibilité de configurer l'option permettant de bloquer ou d'accepter les pièces jointes aux messages électroniques via la boîte de dialogue Options Internet.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé disponible avec l'option :

  • Bloquer les pièces jointes qui pourraient contenir un virus

• Désactivé

• Non défini

Vulnérabilité

Les personnes qui choisissent d'ouvrir les pièces jointes aux messages qu'ils reçoivent risquent d'exécuter sans le savoir du code malveillant, notamment un virus ou un programme de cheval de Troie, contenu dans le fichier joint.

Contre-mesure

Définissez le paramètre Configurer Outlook Express sur Activé et activez la case à cocher Bloquer les pièces jointes qui pourraient contenir un virus.

Impact potentiel

Les utilisateurs ne pourront pas ouvrir ni exécuter les pièces jointes à des messages Outlook Express.

Désactiver la modification des paramètres de l'onglet Avancés

L'activation du paramètre Désactiver la modification des paramètres de l'onglet Avancés empêche les utilisateurs de modifier des paramètres disponibles via l'onglet Avancé de la boîte de dialogue Options Internet. L'activation de ce paramètre permet d'éviter que les utilisateurs n'apportent des modifications aux paramètres Internet avancés de leur ordinateur, notamment les fonctions de sécurité, d'impression et multimédia. Les utilisateurs n'ont plus la possibilité d'activer ou de désactiver des cases à cocher sur l'onglet Avancé. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent sélectionner ou désélectionner des options sur l'onglet Avancé.

Si vous avez défini le paramètre Désactiver l'onglet Avancés (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), il est inutile de configurer ce paramètre, car Désactiver l'onglet Avancés supprime l'onglet Avancé de l'interface.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d'Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesure

Configurez le paramètre Désactiver la modification des paramètres de l'onglet Avancés sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres disponibles sur l'onglet Avancé de la boîte de dialogue Options Internet.

Désactiver la modification des paramètres de la configuration automatique

Le paramètre Désactiver la modification des paramètres de la configuration automatique empêche les utilisateurs de modifier la configuration automatique, méthode utilisée par certains administrateurs pour mettre à jour les paramètres du navigateur à intervalle régulier. Suite à l'activation de ce paramètre, les options de configuration automatique deviennent grisées et indisponibles. Les paramètres concernés sont situés dans la zone Configuration automatique de la boîte de dialogue Paramètres du réseau local.

• Pour afficher la boîte de dialogue Paramètres du réseau local

  1. Ouvrez la boîte de dialogue Options Internet, puis cliquez sur l'onglet Connexions.

  2. Cliquez sur le bouton Paramètres réseau pour afficher les paramètres. Ce paramètre empêche les utilisateurs de modifier les paramètres définis au moyen d'une stratégie.

Si cette stratégie est désactivée ou n'est pas configurée, les utilisateurs sont autorisés à changer la configuration automatique.

L'activation du paramètre Désactiver l'onglet Connexions (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l'onglet Connexions du panneau de configuration Internet Explorer et a priorité sur le paramètre Désactiver la modification des paramètres de la configuration automatique.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d'Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesure

Configurez le paramètre Désactiver la modification des paramètres de la configuration automatique sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de la configuration automatique.

Désactiver la modification des paramètres des certificats

Le paramètre Désactiver la modification des paramètres des certificats empêche les utilisateurs de modifier les paramètres des certificats disponibles dans Internet Explorer. Les certificats sont destinés à vérifier l'identité des éditeurs de logiciels. Suite à l'activation de cette stratégie, les paramètres disponibles dans la zone Certificats de l'onglet Contenu de la boîte de dialogue Options Internet sont grisés et indisponibles. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont autorisés à importer de nouveaux certificats, à supprimer des éditeurs approuvés et à modifier les paramètres s'appliquant aux certificats acceptés.

Le paramètre Désactiver l'onglet Contenu (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l'onglet Contenu du Panneau de configuration Internet Explorer et a priorité sur le paramètre Désactiver la modification des paramètres des certificats.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Attention : l'activation de cette stratégie n'empêche pas les utilisateurs d'exécuter l'Assistant Importation du Gestionnaire de certificats en double-cliquant sur un fichier certificat d'éditeur de logiciels (doté de l'extension .spc). Cet Assistant permet aux utilisateurs d'importer et de configurer les paramètres issus de certificats émis par des éditeurs de logiciels qui n'ont pas encore été configurés pour Internet Explorer.

Vulnérabilité

Les utilisateurs pourront importer de nouveaux certificats, supprimer des certificats approuvés ou encore modifier les paramètres définis pour des certificats existants. Cela risque d'entraîner le rejet d'applications approuvées ou l'exécution d'applications non approuvées.

Contre-mesure

Configurez le paramètre Désactiver la modification des paramètres des certificats sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres des certificats.

Désactiver la modification des paramètres de connexion

Le paramètre Désactiver la modification des paramètres de connexion empêche les utilisateurs de modifier les paramètres de connexion à distance. Suite à l'activation de cette stratégie, le bouton Paramètres disponible sur l'onglet Connexions de la boîte de dialogue Options Internet devient indisponible. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont autorisés à modifier leurs paramètres de connexion à distance.

L'activation du paramètre Désactiver l'onglet Connexions (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l'onglet Connexions de la boîte de dialogue Options Internet. Dans ce cas, il est inutile de configurer le paramètre Désactiver la modification des paramètres de connexion.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs risquent de modifier des connexions existantes et de ne plus pouvoir utiliser Internet Explorer en vue de parcourir une partie ou la totalité des sites Web.

Contre-mesure

Configurez le paramètre Désactiver la modification des paramètres de connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de connexion.

Désactiver la modification des paramètres de proxy

Le paramètre Désactiver la modification des paramètres de proxy empêche les utilisateurs de changer la configuration du proxy. Suite à l'activation de ce paramètre, les paramètres de proxy deviennent grisés et indisponibles. Ces paramètres sont situés dans la zone Serveur proxy de la boîte de dialogue Paramètres du réseau local. Pour ouvrir cette dernière, cliquez sur l'onglet Connexions, puis sur le bouton Paramètres réseau de la boîte de dialogue Options Internet.

Si le paramètre Désactiver l'onglet Connexions (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) est activé, il est inutile de configurer celui-ci, car ce paramètre supprime l'onglet Connexions de la boîte de dialogue Options Internet.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs risquent de modifier des paramètres de serveur proxy existants et de ne plus pouvoir utiliser Internet Explorer en vue de parcourir une partie ou la totalité des sites Web.

Contre-mesure

Configurez le paramètre Désactiver la modification des paramètres de proxy sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de proxy.

Désactiver l'Assistant Connexion Internet

Le paramètre Désactiver l'Assistant Connexion Internet empêche les utilisateurs d'exécuter l'Assistant Connexion Internet. Lorsqu'il est activé, le bouton Configurer disponible sur l'onglet Connexions de la boîte de dialogue Options Internet devient grisé et indisponible. Les utilisateurs ne pourront plus exécuter l'Assistant en cliquant sur l'icône Connexion à Internet affichée sur leur Bureau ou en choisissant Démarrer, puis Programmes, Accessoires, Communications et en cliquant sur Assistant Connexion Internet. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont autorisés à modifier leurs paramètres de connexion à l'aide de l'Assistant.

Configurez le paramètre Désactiver l'Assistant Connexion Internet sur la valeur Activé.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : cette stratégie recoupe partiellement le paramètre Désactiver l'onglet Connexions (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet). Ce dernier permet de supprimer l'onglet Connexions de la boîte de dialogue Options Internet. Toutefois, l'utilisation de ce paramètre en vue de retirer l'onglet Connexions de l'interface n'empêche pas les utilisateurs d'exécuter l'Assistant Connexion Internet à partir du Bureau ou du menu Démarrer.

Vulnérabilité

Les utilisateurs peuvent se servir de l'Assistant Connexion Internet avec l'intention de créer une nouvelle connexion réseau ou d'accès distant, ce qui permettrait à des utilisateurs non autorisés d'accéder au réseau de l'entreprise par le biais de cette nouvelle connexion non gérée.

Contre-mesure

Configurez le paramètre Désactiver l'Assistant Connexion Internet sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas se servir de l'Assistant Connexion Internet.

Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe

Le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe désactive la saisie automatique des noms d'utilisateur et des mots de passe dans les formulaires des pages Web, ainsi que l'affichage de messages invitant l'utilisateur à enregistrer ses mots de passe.

Suite à l'activation de cette stratégie, les cases à cocher Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe deviennent grisées et indisponibles. Pour afficher ces cases à cocher, les utilisateurs ouvrent la boîte de dialogue Options Internet, cliquent sur l'onglet Contenu, puis sur Saisie semi-automatique. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs ont la possibilité de configurer Internet Explorer pour la saisie semi-automatique des noms d'utilisateur et des mots de passe dans les formulaires, ainsi que d'afficher les invites d'enregistrement des mots de passe.

Le paramètre Désactiver l'onglet Contenu (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l'onglet Contenu du Panneau de configuration Internet Explorer et a priorité sur le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe.

Vulnérabilité

Bien que la fonction de saisie semi-automatique s'avère extrêmement pratique, elle entraîne le chargement des mots de passe dans l'emplacement protégé. Ce mécanisme est parfaitement sécurisé mais, par définition, les informations qui y sont stockées doivent être accessibles à l'utilisateur qui les y a enregistrées. Or, des outils permettant de visualiser le contenu de l'emplacement protégé d'un utilisateur sont disponibles sur Internet.

Ces outils fonctionnent uniquement lorsqu'ils sont exécutés par un utilisateur souhaitant afficher le contenu de son emplacement protégé. Ils ne permettent pas d'accéder à l'emplacement protégé ou au mot de passe d'un tiers. Un utilisateur qui exécute sans le savoir l'un de ces outils risque de dévoiler son mot de passe aux yeux d'un pirate.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Contre-mesure

Configurez le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas utiliser la fonction de saisie semi-automatique afin d'enregistrer leurs mots de passe.

Panneau de configuration Internet : Désactiver l'onglet Avancés

Le paramètre Panneau de configuration Internet : Désactiver l'onglet Avancés supprime l'onglet Avancé de l'interface dans la boîte de dialogue Options Internet. L'activation de ce paramètre empêche les utilisateurs de visualiser et de modifier les paramètres Internet avancés, notamment les fonctions de sécurité, d'impression et multimédia. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont en mesure d'afficher et de changer ces paramètres.

Lorsque ce paramètre est configuré, il est inutile d'activer le paramètre Désactiver la modification des paramètres de l'onglet Avancés (situé dans le dossier \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\), car il supprime l'onglet Avancé de l'interface de la boîte de dialogue Options Internet.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d'Internet Explorer, ce qui pourrait ensuite les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesure

Configurez le paramètre Panneau de configuration Internet : Désactiver l'onglet Avancés sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser l'onglet Avancé de la boîte de dialogue Options Internet.

Panneau de configuration Internet : Désactiver l'onglet Sécurité

Le paramètre Panneau de configuration Internet : Désactiver l'onglet Sécurité supprime l'onglet Sécurité de l'interface dans la boîte de dialogue Options Internet. L'activation de ce paramètre empêche les utilisateurs de visualiser et de modifier les paramètres des zones de sécurité, notamment les fonctions de programmation par script, de téléchargement et d'authentification des utilisateurs. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont en mesure d'afficher et de changer ces paramètres.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Lors de la configuration de ce paramètre, il est inutile de définir les paramètres suivants d'Internet Explorer, car ce paramètre supprime l'onglet Sécurité de l'interface dans la boîte de dialogue Options Internet  :

• Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies

• Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d'Internet Explorer, ce qui pourrait ensuite les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesure

Configurez le paramètre Panneau de configuration Internet : Désactiver l'onglet Sécurité sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser l'onglet Sécurité.

Pages hors connexion : Désactiver l'ajout de chaînes

Le paramètre Pages hors connexion : Désactiver l'ajout de chaînes empêche les utilisateurs d'ajouter des chaînes à Internet Explorer. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur votre ordinateur, selon une planification définie par le fournisseur de la chaîne.

L'activation de ce paramètre entraîne la désactivation du bouton Ajouter la chaîne active permettant aux utilisateurs de s'abonner à des chaînes. Les utilisateurs ne sont pas autorisés à ajouter sur leur Bureau un contenu lié à une chaîne, tel que certains éléments de l'interface Active Desktop® provenant de la galerie Microsoft Active Desktop Gallery. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent ajouter des chaînes à la barre d'outils Chaîne de leur Bureau.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver l'ajout de chaînes sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas ajouter de chaînes.

Pages hors connexion : Désactiver l'ajout de planifications pour les pages hors connexion

Le paramètre Pages hors connexion : Désactiver l'ajout de planifications pour les pages hors connexion empêche les utilisateurs de spécifier les pages Web à télécharger en vue d'une consultation hors connexion. Les pages Web disponibles hors connexion sont des pages téléchargées par l'utilisateur et consultables localement lorsque l'ordinateur n'est pas connecté à Internet.

L'activation de ce paramètre empêche les utilisateurs d'ajouter de nouvelles planifications de téléchargement de contenu hors connexion. La case à cocher Rendre disponible hors connexion devient grisée et indisponible dans la boîte de dialogue Ajout de Favoris. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont autorisés à ajouter de nouvelles planifications de contenu hors connexion. Cette stratégie est destinée aux entreprises soucieuses de l'impact de tels téléchargements sur la charge des serveurs.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver l'ajout de planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas ajouter de planifications pour les pages à consulter hors connexion.

Pages hors connexion : Désactiver toutes les pages hors connexion planifiées

Le paramètre Pages hors connexion : Désactiver toutes les pages hors connexion planifiées désactive les planifications existantes de téléchargement de pages Web à visualiser hors connexion. Lorsque les pages Web sont disponibles pour la consultation hors connexion, cela signifie que les utilisateurs peuvent afficher leur contenu lorsque leur ordinateur n'est pas connecté à Internet.

Lorsque cette stratégie est activée, les options de planification accessibles via l'onglet Planification de la boîte de dialogue Propriétés de la page Web sont désactivées et non disponibles. Pour afficher cet onglet, dans le menu Outils, choisissez Synchroniser, sélectionnez une page Web, cliquez sur Propriétés, puis activez l'onglet Planification. Si ce paramètre est désactivé, les pages Web sont mises à jour selon les planifications indiquées sur l'onglet Planification. Cette stratégie est destinée aux entreprises soucieuses de l'impact du téléchargement de contenu sur la charge des serveurs.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver toutes les pages hors connexion planifiées sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser les pages à consulter hors connexion planifiées.

Pages hors connexion : Désactiver complètement l'interface utilisateur de la chaîne

Le paramètre Pages hors connexion : Désactiver complètement l'interface utilisateur de la chaîne empêche les utilisateurs de visualiser l'interface de la Barre des chaînes. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur l'ordinateur d'un utilisateur selon une planification définie par le fournisseur de la chaîne.

L'activation de ce paramètre entraîne la désactivation de l'interface utilisateur de la Barre des chaînes. Conséquence : les utilisateurs ne peuvent plus activer la case à cocher Barre des chaînes de Internet Explorer via l'onglet Web de la boîte de dialogue Propriétés de Affichage. Lorsque ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent accéder et s'abonner à des chaînes à l'aide de l'interface de la Barre des chaînes.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver complètement l'interface utilisateur de la chaîne sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas accéder à l'interface utilisateur de la Barre des chaînes.

Pages hors connexion : Désactiver le téléchargement du contenu de l'abonnement à un site

Le paramètre Pages hors connexion : Désactiver le téléchargement du contenu de l'abonnement à un site empêche les utilisateurs de télécharger tout contenu issu de sites Web auxquels ils sont abonnés. Lorsque des pages Web sont disponibles pour la consultation hors connexion, les utilisateurs peuvent visualiser leur contenu lorsque leur ordinateur n'est pas connecté à Internet.

L'activation de ce paramètre empêche les utilisateurs de télécharger tout contenu provenant de sites Web auxquels ils sont abonnés. La synchronisation des pages Web se produira néanmoins afin de déterminer si un contenu a subi des modifications depuis la dernière fois que l'utilisateur a synchronisé ou consulté la page. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs sont en mesure de télécharger tout contenu Web.

Les paramètres Désactiver le téléchargement du contenu de l'abonnement à un site et Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) ont priorité sur ce paramètre.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver le téléchargement du contenu de l'abonnement à un site sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas télécharger automatiquement un contenu par le biais d'un abonnement à un site.

Pages hors connexion : Désactiver la modification et la création de groupes de planification

Le paramètre Pages hors connexion : Désactiver la modification et la création de groupes de planification empêche les utilisateurs d'ajouter, de modifier ou de supprimer des planifications de consultation hors connexion de pages Web ou de groupes de pages Web auxquels ils sont abonnés. Une page Web définie dans les Favoris et les pages Web auxquelles elle est liée forment ce que l'on appelle un groupe d'abonnement.

Suite à l'activation de ce paramètre, les boutons Ajouter, Supprimer et Modifier disponibles via l'onglet Planification de la boîte de dialogue Propriétés de la page Web deviennent grisés et indisponibles. Pour afficher cet onglet, dans le menu Outils, choisissez Synchroniser, sélectionnez une page Web, cliquez sur le bouton Propriétés, puis activez l'onglet Planification. Lorsque ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent ajouter, supprimer et modifier des planifications de sites Web et de groupes de sites Web.

Les paramètres Désactiver la modification des planifications pour les pages hors connexion et Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) ont priorité sur cette stratégie.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver la modification et la création de groupes de planification sur Activé.

Impact potentiel

Les utilisateurs ne pourront ni ajouter, ni modifier ni supprimer de planifications de consultation de pages Web hors connexion.

Pages hors connexion : Désactiver la modification des planifications pour les pages hors connexion

Le paramètre Pages hors connexion : Désactiver la modification des planifications pour les pages hors connexion empêche les utilisateurs de modifier une planification existante de téléchargement de pages Web à consulter hors connexion. Lorsque des pages Web sont disponibles pour la consultation hors ligne, les utilisateurs peuvent visualiser leur contenu lorsque leur ordinateur n'est pas connecté à Internet.

L'activation de ce paramètre empêche les utilisateurs d'afficher les propriétés de planification relatives aux pages configurées pour la consultation hors connexion. Dans le menu Outils, lorsque l'utilisateur choisit Synchroniser, puis qu'il sélectionne une page Web et clique sur le bouton Propriétés, aucune information afférente ne s'affiche. Les utilisateurs ne sont pas avertis de l'indisponibilité de cette option. Lorsque ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent modifier une planification existante de téléchargement d'un contenu Web à consulter hors connexion. Ce paramètre est destiné aux entreprises soucieuses de l'impact du téléchargement d'un contenu sur la charge des serveurs.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur cette stratégie.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver la modification des planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier de planifications pour les pages à consulter hors connexion.

Pages hors connexion : Désactiver le comptage des visites hors connexion

Le paramètre Pages hors connexion : Désactiver le comptage des visites hors connexion empêche les fournisseurs de chaînes d'enregistrer la fréquence de consultation hors connexion de leurs pages par les utilisateurs.

L'activation de ce paramètre entraîne la désactivation des paramètres de comptage de consultation des chaînes configurés par les fournisseurs de chaînes dans le fichier enregistré au format de définition de chaîne .cdf (Channel Definition Format). Le fichier .cdf permet d'identifier la planification et d'autres paramètres de téléchargement de contenu Web. Lorsque ce paramètre est désactivé ou n'est pas configuré, les fournisseurs de chaînes ont la possibilité d'enregistrer des informations concernant la fréquence de consultation hors connexion de leurs pages.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver le comptage des visites hors connexion sur Activé.

Impact potentiel

Les utilisateurs accédant à un contenu hors connexion ne verront pas leurs visites transmises au site Web consulté lors de leur prochaine connexion à Internet.

Pages hors connexion : Désactiver la suppression de chaînes

Le paramètre Pages hors connexion : Désactiver la suppression de chaînes empêche les utilisateurs de désactiver la synchronisation des chaînes dans Internet Explorer. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur votre ordinateur, selon une planification définie par le fournisseur de la chaîne.

L'activation de cette stratégie empêche les utilisateurs de modifier la synchronisation des chaînes prédéfinie. Lorsque ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent désactiver la synchronisation des chaînes. Cette stratégie vise à aider les administrateurs dans leurs tâches en leur garantissant que les ordinateurs des utilisateurs sont mis à jour de manière uniforme dans toute l'entreprise.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : cette stratégie n'empêche nullement les utilisateurs de supprimer du contenu actif de l'interface du Bureau.

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver la suppression de chaînes sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas supprimer de chaînes ni bloquer les opérations de synchronisation des chaînes.

Pages hors connexion : Désactiver la suppression des planifications pour les pages hors connexion

Le paramètre Pages hors connexion : Désactiver la suppression des planifications pour les pages hors connexion empêche les utilisateurs d'effacer des restrictions de configuration préétablies concernant le téléchargement de pages Web à consulter hors connexion. Lorsque des pages Web sont disponibles pour la consultation hors ligne, les utilisateurs peuvent visualiser leur contenu lorsque leur ordinateur n'est pas connecté à Internet.

Suite à l'activation de ce paramètre, la case à cocher Rendre disponible hors connexion disponible dans la boîte de dialogue Organiser les Favoris et la case à cocher Rendre cette page disponible hors connexion sont grisées, restent activées et ne sont plus disponibles. Pour afficher l'option Rendre cette page disponible hors connexion, dans le menu Outils, choisissez Synchroniser, puis cliquez sur Propriétés. Lorsque ce paramètre est désactivé ou n'est pas configuré, les utilisateurs peuvent supprimer les restrictions de configuration préétablies concernant les pages à télécharger pour une consultation hors connexion. Ce paramètre est destiné aux entreprises soucieuses de l'impact du téléchargement de contenu sur la charge des serveurs.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Des données sont susceptibles d'être envoyées au navigateur de l'utilisateur sans qu'aucune interaction directe ne soit nécessaire. Autrement dit, le navigateur est en mesure de télécharger un contenu Web qui n'est pas spécifiquement demandé par l'utilisateur.

Contre-mesure

Configurez le paramètre Pages hors connexion : Désactiver la suppression des planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas supprimer de planifications pour les pages à consulter hors connexion.

Haut de page

Paramètres d'écran de veille

Initialement, les écrans de veille ont été conçus en vue de protéger les moniteurs d'ordinateur à tube cathodique contre l'apparition de traces de couleur. Au fil des années, les écrans ont évolué dans une autre direction ; les utilisateurs peuvent personnaliser l'aspect et le comportement du bureau virtuel de leur ordinateur. Les écrans de veille font également partie des outils de sécurité à présent. En effet, avec la venue des écrans de veille qui verrouillent automatiquement l'accès au Bureau, ils constituent un outil précieux pour renforcer les systèmes des utilisateurs finaux lorsque ces derniers oublient de verrouiller leur console avant de quitter leur poste sans surveillance.

Pour configurer les paramètres d'écran de veille, accédez à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Panneau de configuration\Affichage

Un mot de passe protège l'écran de veille

Le paramètre Un mot de passe protège l'écran de veille permet de déterminer si les écrans de veille utilisés sur un ordinateur donné sont protégés par un mot de passe ou non.

L'activation de ce paramètre entraîne la protection par mot de passe de tous les écrans de veille. Lorsque ce paramètre est désactivé, il est impossible de protéger un écran de veille par un mot de passe. Cette configuration désactive également la case à cocher À la reprise, protéger par mot de passe disponible via l'onglet Écran de veille de la boîte de dialogue Propriétés de Affichage dans le Panneau de configuration, qui offre un autre moyen d'empêcher les utilisateurs de modifier la configuration de la protection par mot de passe.

Lorsque ce paramètre n'est pas configuré, les utilisateurs ont la possibilité de choisir s'ils souhaitent protéger par mot de passe les différents écrans de veille installés sur leur ordinateur. Pour vous assurer qu'un ordinateur sera protégé par mot de passe, ce guide vous recommande d'activer le paramètre Écran de veille et de définir un délai à l'aide du paramètre Délai.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Remarque : pour supprimer l'onglet Écran de veille, appliquez le paramètre Masquer l'onglet Écran de veille.

Vulnérabilité

Les écrans de veille non protégés par un mot de passe ne verrouilleront pas la console des utilisateurs qui laissent leur ordinateur sans surveillance.

Contre-mesure

Configurez le paramètre Un mot de passe protège l'écran de veille sur Activé.

Impact potentiel

Les utilisateurs devront déverrouiller leur ordinateur après le lancement de l'écran de veille.

Écran de veille

Le paramètre Écran de veille active les écrans de veille de bureau. Lorsque ce paramètre est désactivé, il est impossible d'exécuter des écrans de veille. De plus, cette configuration du paramètre désactive la section Écran de veille disponible via l'onglet Écran de veille de la boîte de dialogue Propriétés de Affichage dans le Panneau de configuration. Résultat : les utilisateurs ne peuvent pas modifier les options d'écran de veille.

Que ce paramètre ne soit pas configuré n'a aucune incidence sur le système. Lorsqu'il est activé, il est possible d'exécuter des écrans de veille si les deux conditions suivantes sont réunies :

• un écran de veille valide est installé sur le client et défini via le paramètre Nom du fichier exécutable de l'écran de veille ou le Panneau de configuration de l'ordinateur client ;

• le délai d'activation de l'écran de veille est défini sur une valeur différente de zéro par le biais du paramètre de la stratégie ou du Panneau de configuration du client.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Vous devez impérativement activer ce paramètre si vous souhaitez utiliser la fonction d'écran de veille de verrouillage décrite ci-avant.

Contre-mesure

Configurez le paramètre Écran de veille sur Activé.

Impact potentiel

Ce paramètre active l'utilisation d'écrans de veille sur les ordinateurs de votre environnement.

Nom du fichier exécutable de l'écran de veille

Le paramètre Nom du fichier exécutable de l'écran de veille indique l'écran de veille qui s'affiche sur le Bureau de l'utilisateur. Lorsque ce paramètre est activé, le système affiche un écran de veille particulier sur le Bureau de l'utilisateur. Ce paramètre entraîne par ailleurs la désactivation de la liste déroulante des écrans de veille disponible via l'onglet Écran de veille de la boîte de dialogue Propriétés de Affichage dans le Panneau de configuration. Conséquence : les utilisateurs ne peuvent pas changer d'écran de veille. Si ce paramètre est désactivé ou n'est pas configuré, les utilisateurs ont la possibilité de choisir leur écran de veille.

• Pour activer le paramètre Nom du fichier exécutable de l'écran de veille

  1. Tapez le nom du fichier contenant l'écran de veille, sans oublier de spécifier l'extension .scr.

  2. Ensuite, si le fichier de l'écran de veille ne se trouve pas dans le dossier %Systemroot%\System32, saisissez le chemin d'accès complet au fichier.

     Si l'écran de veille indiqué n'est pas installé sur un ordinateur auquel s'applique le paramètre, ce dernier n'est pas pris en compte.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé : une fois cette valeur indiquée, saisissez le nom de l'exécutable de l'écran de veille.

• Désactivé

• Non défini

Remarque : il est possible d'annuler ce paramètre à l'aide du paramètre Écran de veille. Lorsque le paramètre Écran de veille est désactivé, le paramètre Nom du fichier exécutable de l'écran de veille n'est pas pris en compte et les écrans de veille ne seront pas exécutés.

Vulnérabilité

Si vous souhaitez que la fonction d'écran de veille de verrouillage soit mise en place, vous devez indiquer un nom de fichier exécutable d'écran de veille valide.

Contre-mesure

Configurez le paramètre Nom du fichier exécutable de l'écran de veille sur scrnsave.scr (l'écran de veille vide) ou sur un autre nom d'exécutable.

Impact potentiel

L'écran de veille spécifié (qu'il s'agisse de l'écran vide ou d'un autre) sera exécuté dès que le délai d'inactivité indiqué sera atteint.

Délai d'activation de l'écran de veille

Le paramètre Délai d'activation de l'écran de veille indique l'intervalle de temps d'inactivité devant s'écouler avant le lancement de l'écran de veille. Une fois configuré, ce délai d'inactivité peut être compris entre 1 seconde (au minimum) et 86 400 secondes ou 24 heures (au maximum). Lorsque ce paramètre est configuré sur 0, l'exécution de l'écran de veille est désactivée.

Ce paramètre n'a aucune incidence dans l'une quelconque des situations suivantes :

• Le paramètre est désactivé ou n'est pas configuré.

• Le délai d'inactivité est défini sur la valeur 0.

• Le paramètre Aucun écran de veille est activé.

• Ni le paramètre Nom du fichier exécutable de l'écran de veille ni l'onglet Écran de veille disponible dans la boîte de dialogue Propriétés de Affichage de l'ordinateur client n'indique un programme d'écran de veille existant valide installé sur le client.

Lorsque ce paramètre n'est pas configuré, c'est le délai d'inactivité défini sur le client (via l'onglet Écran de veille de la boîte de dialogue Propriétés de Affichage ) qui est utilisé. La valeur configurée par défaut est de 15 minutes.

Ce paramètre de stratégie de groupe admet les valeurs suivantes :

• Activé : avec une valeur de délai d'inactivité comprise entre 1 et 86 400 secondes

• Désactivé

• Non défini

Vulnérabilité

Vous devez configurer un délai d'écran de veille approprié afin d'activer la fonction de verrouillage associée.

Contre-mesure

Configurez le paramètre Délai d'activation de l'écran de veille sur 600 secondes.

Impact potentiel

L'écran de veille démarre après cinq minutes d'inactivité.

Haut de page