Menaces et contre-mesures

Chapitre 9 : Modèles d'administration Windows XP et Windows Server 2003

Dernière mise à jour le 27 décembre 2005

Les paramètres basés sur le Registre régissant le comportement et l’aspect des ordinateurs au sein de votre environnement font partie des sections des modèles d’administration d’une stratégie de groupe. Ils contrôlent par ailleurs le comportement des applications et composants du système d’exploitation. Vous disposez de centaines de paramètres configurables de ce type et pouvez en obtenir d'autres en important des fichiers .adm supplémentaires.

Ce chapitre répertorie les paramètres des modèles d’administration contenus dans le nœud Configuration ordinateur de la stratégie de groupe définie dans ce guide, ainsi que ceux contenus dans le nœud Configuration utilisateur. Ce chapitre n’examine pas en détail tous les paramètres proposés dans les modèles d’administration Microsoft® Windows® XP et Microsoft Windows Server™ 2003. Cependant, il traite de tous les paramètres liés à la sécurité des ordinateurs exécutant ces systèmes d’exploitation. Certains paramètres non mentionnés concernent les applications et utilitaires suivants : Application Compatibility, le Planificateur de tâches, Windows Installer, Windows Messenger et le Lecteur Windows Media®.

Les versions précédentes de ce guide contenaient des informations sur les modèles d'administration pour Office XP. Microsoft Office 2003 contient un grand nombre de nouvelles fonctionnalités et modifications apportées aux modèles d'administration fournies avec le produit. Pour plus d'informations sur ces modifications, reportez-vous à la section « Informations complémentaires » à la fin de ce chapitre.

Sur cette page

Paramètres de configuration de l'ordinateur
Paramètres de configuration utilisateur
Informations complémentaires

Paramètres de configuration de l'ordinateur

Les paramètres de configuration suivants s'appliquent aux ordinateurs qui sont membres d'un domaine de service d'annuaire Active Directory®. Les informations relatives aux paramètres de configuration utilisateur sont fournies ultérieurement dans ce chapitre.

NetMeeting

Microsoft NetMeeting® permet de diriger des réunions virtuelles entre utilisateurs du réseau de votre entreprise. Vous pouvez configurer les paramètres de stratégie de groupe de Netmeeting à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
NetMeeting

Désactiver le partage de Bureaux distants

Ce paramètre de stratégie permet de désactiver la fonction de partage de bureaux distants de NetMeeting. Vous pouvez activer ce paramètre de stratégie de sorte que les utilisateurs ne puissent pas configurer NetMeeting pour qu'il réponde automatiquement aux appels entrants et qu'il autorise le contrôle à distance du bureau local.

Le paramètre Désactiver le partage de Bureaux distants peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Si ce paramètre de stratégie est activé, les utilisateurs ne peuvent pas utiliser la fonction de partage de bureaux distants de NetMeeting.

Contre-mesures

Configurez le paramètre Désactiver le partage de Bureaux distants sur Activé.

Impact potentiel

Les utilisateurs seront incapables de configurer le partage de bureaux distants via NetMeeting, bien qu'ils soient toujours en mesure d'utiliser les fonctions Windows Assistance à distance et Bureau à distance, si vous ne les avez pas désactivées.

Paramètres de l’ordinateur Internet Explorer

Microsoft Internet Explorer est le navigateur Web livré avec Windows XP et Windows Server 2003. Vous pouvez gérer la plupart de ses fonctions par le biais d'une stratégie de groupe Vous pouvez configurer les paramètres de stratégie de groupe de l'ordinateur Internet Explorer à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Internet Explorer

Désactiver l'installation automatique de composants Internet Explorer

Ce paramètre de stratégie permet d'empêcher le téléchargement automatique de composants par Internet Explorer pendant que les utilisateurs parcourent des sites Web nécessitant ces composants pour fonctionner pleinement. Si ce paramètre de stratégie est désactivé ou n’est pas configuré, les utilisateurs sont invités à télécharger et à installer des composants chaque fois qu’ils consultent des sites Web qui les utilisent. Ce paramètre de stratégie permet à l’administrateur de mieux contrôler les composants que les utilisateurs sont autorisés à installer.

Le paramètre Désactiver l'installation automatique de composants Internet Explorer peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Il arrive que des opérateurs de sites Web malveillants hébergent des composants contenant du code dangereux. Des utilisateurs de votre entreprise peuvent télécharger ce code et l'exécuter sur les ordinateurs de votre environnement en toute innocence, mais cela risque d'exposer des données sensibles, d’entraîner la perte de données ou de rendre les systèmes instables.

Contre-mesures

Configurez le paramètre Désactiver l'installation automatique de composants Internet Explorer sur Activé.

Impact potentiel

Internet Explorer ne sera pas en mesure de télécharger automatiquement des composants lorsque les utilisateurs navigueront sur des sites Web qui en ont besoin.

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer

Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas déterminer si une version de navigateur plus récente est disponible et en informer les utilisateurs. Si ce paramètre de stratégie est désactivé ou n’est pas configuré, Internet Explorer vérifie la présence de mises à jour tous les 30 jours (par défaut) et avertit les utilisateurs lorsqu’une nouvelle version est disponible. Ce paramètre de stratégie permet aux administrateurs de garder le contrôle des versions d’Internet Explorer utilisées, car il empêche les utilisateurs d'être informés des nouvelles versions.

Le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Bien que Microsoft teste tous les correctifs et Service Packs avant de les publier, certaines entreprises souhaitent vérifier soigneusement l’ensemble des logiciels installés sur les ordinateurs administrés. Vous pouvez activer le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer pour garantir qu’aucune mise à jour d’Internet Explorer ne sera téléchargée et installée automatiquement sur les ordinateurs.

Contre-mesures

Configurez le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer sur Activé.

Impact potentiel

Internet Explorer ne sera pas en mesure de télécharger et d’installer automatiquement des correctifs et Service Packs. Par conséquent, les administrateurs devront mettre en place une autre procédure visant à distribuer automatiquement les mises à jour des logiciels sur les ordinateurs administrés.

Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme

Ce paramètre de stratégie vous permet d'empêcher les utilisateurs d'être avertis lorsque des programmes qui utilisent la chaîne de distribution de logiciels installent de nouveaux composants. La chaîne de distribution de logiciels constitue une méthode dynamique de mise à jour de logiciels sur les ordinateurs des utilisateurs ; elle fait appel aux technologies OSD (Open Software Distribution).

Si vous activez ce paramètre de stratégie, les utilisateurs ne seront pas avertis lors de la mise à jour de leurs programmes à l'aide de chaînes de distribution de logiciels. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs seront avertis au préalable de la mise à jour de leurs applications. Ce paramètre de stratégie est destiné aux administrateurs qui souhaitent utiliser les chaînes de distribution de logiciels afin de mettre à jour les applications des utilisateurs sans nécessiter leur intervention.

Le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les entreprises qui utilisent des outils et technologies OSD peuvent parfois préférer que les utilisateurs n’aient pas connaissance des correctifs et Service Packs installés sur leurs ordinateurs, car ils pourraient être tentés d’arrêter une installation en cours avant son terme.

Contre-mesures

Configurez le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l’interface intégrée, lors du lancement du programme sur Activé.

Impact potentiel

Les utilisateurs ne seront pas avertis lorsque des mises à jour de logiciels seront disponibles par le biais de technologies OSD.

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)

Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas modifier les paramètres proxy personnalisés. Ils devront alors se servir des zones créées pour l’ensemble des utilisateurs des ordinateurs auxquels ils ont accès.

Le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs du même ordinateur pourront définir leurs propres paramètres de proxy. Ce paramètre de stratégie est destiné à garantir l’application de paramètres proxy identiques sur un ordinateur donné, quel que soit l’utilisateur.

Contre-mesures

Configurez le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) sur Activé.

Impact potentiel

Tous les utilisateurs seront obligés de se conformer aux paramètres proxy définis pour l’ordinateur.

Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites

Ce paramètre de stratégie vous permet de désactiver les paramètres de gestion des sites pour les zones de sécurité. (Pour consulter ces paramètres, sélectionnez Outils et Options Internet dans la barre de menu d'Internet Explorer. Cliquez sur l'onglet Sécurité, puis sur Sites.) Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ont la possibilité d’ajouter ou de supprimer des sites Web dans les zones Sites de confiance et Sites sensibles, et de modifier les paramètres de la zone Intranet local. Ils peuvent également modifier les paramètres de la zone Intranet local.

Le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Si vous activez le paramètre Désactiver l’onglet Sécurité, qui est situé dans
\Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet
, l'onglet Sécurité est supprimé de l'interface. Quand il est activé, ce paramètre de stratégie a priorité sur le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites.

Vulnérabilité

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ont la possibilité d’ajouter ou de supprimer des sites à leur gré dans les zones Sites de confiance et Sites sensibles, et de modifier les paramètres de la zone Intranet local. Cette configuration risque d’introduire dans ces zones des sites hébergeant du code mobile malveillant que les utilisateurs pourraient exécuter.

Contre-mesures

Configurez le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de gestion des sites pour les zones de sécurité définies par l’administrateur. Si un utilisateur a besoin d’ajouter ou de supprimer des sites dans ces zones de sécurité Internet Explorer, il doit demander à l’administrateur de configurer ces sites.

Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies

Ce paramètre de stratégie vous permet de désactiver le bouton Niveau personnalisé et le niveau de sécurité du curseur de zone dans l'onglet Sécurité de la boîte de dialogue Options Internet. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs pourront modifier les paramètres de zone de sécurité. Ce paramètre de stratégie peut être appliqué pour empêcher toute modification des paramètres de stratégie des zones de sécurité définis par l’administrateur.

Le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Si vous activez le paramètre Désactiver l’onglet Sécurité, qui est situé dans
\Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet
, l'onglet Sécurité est supprimé de l'interface. Quand il est activé, ce paramètre de stratégie a priorité sur le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies.

Vulnérabilité

Les utilisateurs qui modifient la configuration des paramètres de sécurité d'Internet Explorer risquent d'activer l'exécution de types de code dangereux à partir d'Internet et de sites Web indiqués dans la zone Sites sensibles du navigateur.

Contre-mesures

Configurez le paramètre Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas configurer les paramètres de sécurité des zones d'Internet Explorer.

Zones de sécurité : Utiliser seulement les paramètres ordinateur

Ce paramètre de stratégie permet d’appliquer des modifications apportées par un utilisateur à une zone de sécurité à l’ensemble des personnes ayant accès à cet ordinateur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs du même ordinateur pourront définir leurs propres paramètres de zone de sécurité. Ce paramètre de stratégie est destiné à garantir l’application de paramètres de zone de sécurité identiques sur un ordinateur donné, quel que soit l’utilisateur.

Le paramètre Zones de sécurité : Utiliser seulement les paramètres ordinateur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs qui modifient la configuration des paramètres de sécurité d'Internet Explorer risquent d'activer l'exécution de types de code dangereux à partir d'Internet et de sites Web indiqués dans la zone Sites sensibles du navigateur.

Contre-mesures

Configurez le paramètre Zones de sécurité : Utiliser seulement les paramètres ordinateur sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas configurer les paramètres de sécurité des zones d'Internet Explorer.

Désactiver la détection des pannes

Ce paramètre de stratégie vous permet de gérer la fonction de détection des pannes de la gestion des modules complémentaires d'Internet Explorer. Si vous activez ce paramètre de stratégie, une panne dans Internet Explorer sera similaire à une panne sur un ordinateur qui exécute Windows XP Professionnel avec Service Pack 1 (SP1) et les versions antérieures : le signalement d'erreurs de Windows intervient. Si vous désactivez ce paramètre de stratégie, la fonction de détection des pannes sera fonctionnelle (gestion des modules complémentaires).

Le paramètre Désactiver la détection des pannes peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Un signalement de panne peut contenir des informations sensibles issues de la mémoire de l'ordinateur.

Contre-mesures

Configurez le paramètre de stratégie Désactiver la détection des pannes sur Activé.

Impact potentiel

Les informations relatives aux pannes occasionnées par les modules complémentaires d'Internet Explorer ne sont pas signalées à Microsoft. Si vous rencontrez fréquemment des pannes et que vous avez besoin de les signaler pour résoudre le problème, le paramètre doit être temporairement modifié sur Désactivé.

Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires

Ce paramètre de stratégie vous permet de vérifier si les utilisateurs peuvent accepter ou refuser des modules complémentaires via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Activé, les utilisateurs ne peuvent pas activer ou désactiver des modules complémentaires par le biais de Gérer les modules complémentaires. Il existe une seule exception à cette règle : si un module complémentaire a été entré dans le paramètre de stratégie Liste des modules complémentaires de façon à permettre aux utilisateurs de continuer à le gérer via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Désactivé, l'utilisateur pourra activer ou désactiver des modules complémentaires.

Remarque : Pour plus d'informations sur la gestion des modules complémentaires d'Internet Explorer dans Windows XP SP2, reportez-vous à l'article de la Base de connaissances 883256 « Comment faire pour gérer les modules complémentaires Internet Explorer dans le Service Pack 2 Windows XP » disponible à l'adresse https://support.microsoft.com/kb/883256/fr.

Le paramètre Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs installent souvent des modules complémentaires qui ne sont pas autorisés par la stratégie de sécurité de l'organisation. Ces modules complémentaires peuvent présenter des risques importants en matière de sécurité et de confidentialité de votre réseau.

Contre-mesures

Configurez la valeur du paramètre Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires sur Activé.

Impact potentiel

Lorsque le paramètre Ne pas permettre aux utilisateurs d'activer ou de désactiver des modules complémentaires est activé, les utilisateurs ne pourront pas activer ou désactiver leurs propres modules complémentaires d'Internet Explorer. Si votre entreprise utilise des modules complémentaires, cette configuration peut modifier leur fonctionnement.

Internet Explorer\Panneau de configuration Internet\onglet Sécurité

Vous pouvez configurer les paramètres de stratégie de groupe de l'onglet Sécurité d'Internet Explorer à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Internet Explorer\Panneau de configuration Internet\onglet Sécurité

Les paramètres de stratégie individuels de l'onglet Sécurité sont détaillés dans les systèmes d'aide de Windows XP et Windows Server 2003, ainsi que sur le site Web de Microsoft. Ces informations ne sont donc pas reprises dans ce guide. Vous devez tenir compte des instructions générales qui suivent.

Vulnérabilité

Si vous laissez les utilisateurs configurer leurs propres paramètres de sécurité dans Internet Explorer, ils peuvent accroître la vulnérabilité de leurs ordinateurs face à un logiciel malveillant. Ils pourront également éviter les stratégies de sécurité standard mises en œuvre dans l'entreprise.

Contre-mesures

Utilisez les paramètres du nœud Internet Explorer\Panneau de configuration Internet\onglet Sécurité de la stratégie de groupe pour configurer des valeurs appropriées pour les zones de sécurité et le comportement associé à la zone de sécurité.

Impact potentiel

Windows XP SP2 et Windows Server 2003 SP1 intègrent plusieurs nouveaux paramètres de stratégie pour vous aider à sécuriser la configuration des zones Internet Explorer dans votre environnement. Les valeurs par défaut de ces paramètres de stratégie renforcent la sécurité par rapport aux versions précédentes de Windows. Cependant, vous pouvez avoir besoin de personnaliser ces paramètres de stratégie pour votre environnement local. Par exemple, vous pouvez vouloir ajouter vos partenaires commerciaux ou vos fournisseurs à la zone Sites de confiance et empêcher les utilisateurs d'apporter des modifications aux listes de zone.

Internet Explorer\Panneau de configuration Internet\onglet Avancé

Les paramètres de cette partie du modèle d'administration correspondent aux paramètres disponibles dans l'onglet Avancé de la boîte de dialogue Options Internet d'Internet Explorer.

Les deux paramètres de stratégie suivants sont disponibles dans Windows Server 2003 avec SP1 et Windows XP avec SP2.

Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide

Ce paramètre de stratégie vous permet de gérer l'installation ou l'exécution du logiciel téléchargé par les utilisateurs si la signature n'est pas valide. Une signature non valide pourrait indiquer que quelqu'un a altéré le fichier. Si vous activez ce paramètre de stratégie, les utilisateurs pourront installer ou exécuter des fichiers portant une signature non valide. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne pourront pas exécuter ou installer des fichiers portant une signature non valide.

Le paramètre Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les contrôles Microsoft ActiveX® et les téléchargements de fichier disposent souvent de signatures numériques associées qui certifient l'intégrité du fichier et l'identité du signataire (créateur) du logiciel. Ces signatures permettent de garantir que le logiciel téléchargé n'est pas altéré et que vous pouvez identifier la personne ayant signé le fichier afin de déterminer si vous lui faites suffisamment confiance pour exécuter le logiciel. La validité du code non signé ne peut pas être vérifiée.

Contre-mesures

Configurez le paramètre Permettre au logiciel de procéder à l'exécution ou l'installation même si la signature n'est pas valide sur Désactivé pour que les utilisateurs ne puissent pas exécuter des composants d'ActiveX non signés.

Impact potentiel

Certains logiciels et contrôles légitimes peuvent présenter une signature non valide. Vous devez tester soigneusement et indépendamment ces logiciels avant de pouvoir les utiliser sur le réseau de l'entreprise.

Permettre l'exécution du contenu actif des CD sur les machines utilisateur

Ce paramètre de stratégie permet de déterminer si le contenu actif des CD peut être exécuté sur les ordinateurs des utilisateurs. Les entreprises soucieuses de sécurité peuvent souhaiter empêcher l'exécution de contrôles ActiveX ou d'un autre contenu actif fourni sur CD.

Le paramètre Permettre l'exécution du contenu actif des CD sur les machines utilisateur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs peuvent contourner accidentellement la stratégie de sécurité d'une entreprise s'ils exécutent le contenu qui a été fourni sur CD plutôt que sur le réseau.

Contre-mesures

Vous pouvez configurer le paramètre Permettre l'exécution du contenu actif des CD sur les machines utilisateur sur Désactivé. Cette configuration empêchera l'exécution de contenu actif stocké sur CD.

Impact potentiel

Lorsque ce paramètre de stratégie est activé, les applications conçues pour être installées à partir de CD peuvent ne pas fonctionner correctement sans l'intervention de l'utilisateur.

Autoriser les extensions de navigateur tierces

(Ce paramètre de stratégie est seulement disponible dans Windows Server 2003.)

Les utilisateurs peuvent installer des extensions de navigateur tierces connues sous le nom de BHO (Browser Helper Object). Le paramètre Autoriser les extensions de navigateur tierces contrôle le chargement des BHO installés au démarrage d'Internet Explorer.

Le paramètre Autoriser les extensions de navigateur tierces peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les extensions de navigateur tierces sont potentiellement dangereuses, car elles peuvent contenir des vulnérabilités ou même du code malveillant. Leur installation peut donc violer les stratégies de sécurité de l'entreprise.

Contre-mesures

Configurez le paramètre Autoriser les extensions de navigateur tierces sur Désactivé.

Impact potentiel

Lorsque vous configurez le paramètre Autoriser les extensions de navigateur tierces sur Désactivé, les utilisateurs peuvent installer des extensions de navigateur tierces, mais elles ne seront pas chargées au démarrage d'Internet Explorer. Cette configuration peut empêcher les utilisateurs de travailler ou générer des appels passés au support technique.

Contrôler la révocation du certificat de serveur

(Ce paramètre de stratégie est seulement disponible dans Windows Server 2003.)

Quand une connexion Secure Sockets Layer (SSL) est établie entre le navigateur et un serveur à distance, le serveur présente un certificat à l'ordinateur client pour l'utiliser dans la négociation de sécurité initiale. Si le paramètre Contrôler la révocation du certificat de serveur est activé, Internet Explorer détermine si le certificat présenté se trouve sur la liste de révocation de certificats de l'autorité émettrice.

Le paramètre Contrôler la révocation du certificat de serveur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs peuvent communiquer accidentellement avec un serveur dont le certificat a expiré ou a été révoqué par l'autorité émettrice. Ce type d'événement peut mener à la divulgation d'informations ou même à des attaques actives si le serveur à distance a été compromis.

Contre-mesures

Configurez le paramètre Contrôler la révocation du certificat de serveur sur Activé.

Impact potentiel

Si le paramètre Contrôler la révocation du certificat de serveur est activé, les utilisateurs peuvent recevoir des avertissements pour les sites qu'ils pensaient dignes de confiance. Il est nécessaire de les informer afin de les aider à prendre les bonnes décisions d'approbation lorsqu'ils naviguent sur Internet.

Contrôler les signatures des programmes téléchargés

(Ce paramètre de stratégie est seulement disponible dans Windows Server 2003.)

Les programmes téléchargés peuvent être signés avec la technologie Microsoft Authenticode®, qui associe une signature numérique à des objets exécutables tels que des programmes et des contrôles ActiveX. Lorsque le paramètre Contrôler les signatures des programmes téléchargés est activé, Internet Explorer vérifie la signature numérique des programmes exécutables et affiche leurs identités avant leur téléchargement.

Le paramètre Contrôler les signatures des programmes téléchargés peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs pourraient télécharger un contenu inapproprié ou malveillant sans s'en rendre compte.

Contre-mesures

Configurez le paramètre Contrôler les signatures des programmes téléchargés sur Activé.

Impact potentiel

Si le paramètre Contrôler les signatures des programmes téléchargés est activé, les utilisateurs verront les informations relatives à l'identité des programmes exécutables signés.

Ne pas enregistrer de pages cryptées sur le disque

(Ce paramètre de stratégie est seulement disponible dans Windows Server 2003.)

Si Internet Explorer récupère des pages d'un serveur à distance, il les stocke dans son cache de fichier temporaire. Cette capacité améliore les performances et fournit la possibilité d'avancer ou de revenir en arrière dans l'historique de navigation sans se reconnecter à l'hôte.

Le paramètre Ne pas enregistrer de pages cryptées sur le disque peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les pages mises en cache suite à des connexions sécurisées SSL peuvent contenir des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit.

Contre-mesures

Configurez le paramètre Ne pas enregistrer de pages cryptées sur le disque sur Activé.

Impact potentiel

Les pages qui sont récupérées via des connexions SSL ne seront pas mises en cache. Cette configuration peut augmenter l'utilisation de la bande passante du réseau dans la mesure où les navigateurs des utilisateurs téléchargent de nouveau les pages qui auraient été mises en cache si ce paramètre de stratégie n'était pas en vigueur.

Vider le dossier Temporary Internet Files à la fermeture du navigateur

(Ce paramètre de stratégie est seulement disponible dans Windows Server 2003.)

Les pages récupérées par Internet Explorer sont stockées dans son cache de fichier temporaire. Internet Explorer gère ce cache selon les paramètres de la boîte de dialogue Paramètres Temporary Internet Files. Après le téléchargement d'un fichier ou d'un objet, ce dernier reste dans le cache jusqu'à ce qu'Internet Explorer le supprime.

Le paramètre Vider le dossier Temporary Internet Files à la fermeture du navigateur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des informations sensibles peuvent rester dans le dossier \Temporary Internet Files après qu'un utilisateur a quitté Internet Explorer et fermé la session. Un autre utilisateur sur le même ordinateur peut accéder à ces fichiers.

Contre-mesures

Configurez le paramètre Vider le dossier Temporary Internet Files à la fermeture du navigateur sur Activé.

Impact potentiel

Internet Explorer utilise le dossier \Temporary Internet Files comme cache pour améliorer les performances du navigateur. Si vous désactivez cette fonction, les utilisateurs auront peut-être besoin de plus de temps et de bande passante pour naviguer sur le Web.

Internet Explorer\Fonctions de sécurité

La partie Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctions de sécurité des modèles d'administration de Windows inclut plusieurs paramètres de stratégie qui contrôlent diverses fonctions de sécurité qui ont été ajoutées à Internet Explorer 6.0 dans Windows Server 2003 SP1 et Windows XP SP2. Chacun de ces paramètres de stratégie contiennent trois paramètres subordonnés :

• Processus Internet Explorer. Ce paramètre a trois valeurs possibles : Activé, Désactivé, et Non configuré. Lorsque ce paramètre est Activé, le comportement indiqué est désactivé pour les processus d'Internet Explorer et Explorateur Windows. Si vous configurez le paramètre sur Désactivé ou Non configuré, le comportement par défaut (décrit séparément pour chaque paramètre) demeure en vigueur.

• Liste de processus. Ce paramètre permet de spécifier des processus individuels pour lesquels la fonction de sécurité sera activée ou désactivée. La liste des processus contrôle les processus auxquels la commande de la fonction s'applique. Une valeur de paramètre égale à 1 désactive la fonction pour ces processus et une valeur égale à 0 l'active.

• Tous les processus. Ce paramètre a trois valeurs possibles : Activé, Désactivé, et Non configuré. Lorsque ce paramètre est Activé, le comportement indiqué est désactivé pour les processus d'Internet Explorer et Explorateur Windows. Si vous configurez le paramètre sur Désactivé ou Non configuré, le comportement par défaut (décrit séparément pour chaque paramètre) demeure en vigueur.

Restriction de sécurité de comportement binaire

Internet Explorer contient des comportements binaires dynamiques, qui sont des composants encapsulant la fonctionnalité spécifique aux éléments HTML auxquels ils sont joints. Ces comportements ne sont pas contrôlés par des paramètres de sécurité Internet Explorer, ce qui signifie qu'ils traitent des pages Web dans la zone Sites sensibles.

Dans Windows XP SP2 et Windows Server 2003 SP1, un nouveau paramètre de sécurité Internet Explorer pour les comportements binaires a été créé. Ce nouveau paramètre désactive des comportements binaires dans la zone Sites sensibles par défaut et réduit, dans l'ensemble, les vulnérabilités des comportements binaires Internet Explorer.

Outre les paramètres Processus Internet Explorer, Liste des processus et Tous les processus décrits précédemment, le paramètre Restriction de sécurité de comportement binaire permet d'autoriser des comportements individuels avec le paramètre Comportements approuvés par l'administrateur. Pour contrôler ces comportements binaires et de scripts, vous pouvez définir maintenant les zones appropriées au paramètre Approuvés par l'administrateur et utiliser ce paramètre pour indiquer les comportements individuels qui peuvent être exécutés dans chaque zone.

Vulnérabilité

Des comportements mal écrits ou malveillants peuvent être appelés par des pages Web et entraîner une instabilité ou une éventuelle compromission.

Contre-mesures

Désactivez complètement l'utilisation de comportements binaires. Comme alternative, vous pouvez indiquer une série de comportements permis avec le paramètre Comportements approuvés par l'administrateur.

Impact potentiel

Les applications qui reposent sur les comportements binaires ne peuvent pas fonctionner correctement si vous désactivez les comportements dont ils dépendent.

Restriction de sécurité du protocole MK

Ce paramètre de stratégie bloque le protocole MK (rarement utilisé) pour réduire la surface d'attaque d'un ordinateur. Certaines applications Web assez anciennes se servent du protocole MK pour la récupération d'informations dans des fichiers compressés.

Vulnérabilité

Des vulnérabilités peuvent exister dans le gestionnaire de protocole MK ou dans les applications qui l'appellent.

Contre-mesures

Le protocole MK n'étant pas largement utilisé, nous vous recommandons de le bloquer si vous n'en avez pas besoin. Désactivez l'accès au protocole MK pour tous les processus.

Impact potentiel

Les ressources qui utilisent le protocole MK échoueront lorsque vous déploierez ce paramètre. Pour cette raison, vous devez vous assurer qu'aucune de vos applications n'utilise le protocole MK.

Verrou de sécurité de la zone Ordinateur local

Lorsqu'Internet Explorer ouvre une page Web, il place des restrictions sur les actions éventuelles de la page basées sur la zone de sécurité Internet Explorer à laquelle elle appartient. Il existe plusieurs zones de sécurité possibles et chaque zone présente des ensembles différents de restrictions. La zone de sécurité d'une page est déterminée par son emplacement. Par exemple, les pages sur Internet se trouvent généralement dans la zone de sécurité Internet la plus restrictive. Elles ne peuvent pas exécuter certaines opérations, telles que l'accès au disque dur local. Les pages situées sur le réseau de l'entreprise se trouvent normalement dans la zone de sécurité Intranet et présentent moins de restrictions. Les restrictions précises associées à la plupart de ces zones peuvent être configurées par l'utilisateur via Options Internet dans le menu Outils d'Internet Explorer.

Sur les versions antérieures à Windows XP SP2 et Windows Server 2003 SP1, le contenu du système de fichiers local était considéré comme protégé et était attribué à la zone de sécurité Ordinateur local (sauf le contenu mis en cache par Internet Explorer). Cette zone de sécurité autorisait généralement l'exécution du contenu dans Internet Explorer avec relativement peu de restrictions. Avec cette version des Service Packs, la configuration par défaut d'Internet Explorer fournit maintenant une protection supplémentaire à l'utilisateur, car elle verrouille la zone Ordinateur local.

Vulnérabilité

Les utilisateurs malveillants essaient souvent de profiter de la zone Ordinateur local pour élever le privilège et compromettre un ordinateur. Un grand nombre des menaces impliquant la zone Ordinateur local ont été minimisées par d'autres modifications apportées à Internet Explorer dans Windows XP SP2. Ces modifications ont été incorporées à Internet Explorer dans Windows Server 2003 SP1. Cependant, les utilisateurs malveillants peuvent toujours imaginer d'autres scénarios pour exploiter la zone Ordinateur local.

Contre-mesures

Configurez le paramètre Verrou de sécurité de la zone Ordinateur local sur Activé.

Impact potentiel

Les applications basées sur Internet Explorer qui utilisent le HTML local ne peuvent pas fonctionner correctement si vous configurez le paramètre Verrou de sécurité de la zone Ordinateur local sur Activé. Le HTML local hébergé dans d'autres applications s'exécutera selon les paramètres les moins restrictifs de la zone Ordinateur local utilisés dans la version précédente d'Internet Explorer, à moins que l'application utilise le verrouillage de cette zone.

Gestion MIME cohérente

Internet Explorer utilise les données MIME (Multipurpose Internet Mail Extensions) pour déterminer la gestion des fichiers téléchargés à partir d'un serveur Web. Le paramètre Gestion MIME cohérente détermine si Internet Explorer nécessite que toutes les informations de type fichier fournies par les serveurs Web soient cohérentes. Par exemple, si le type MIME d'un fichier est texte brut mais que les données MIME indiquent que le fichier est en fait un fichier exécutable, Internet Explorer modifie son extension afin de refléter cet état de fait. Cette fonction permet de s'assurer que le code exécutable ne peut pas se faire passer pour d'autres types de données fiables.

Si vous activez ce paramètre de stratégie, Internet Explorer examine tous les fichiers reçus et leur applique des données MIME homogènes. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Internet Explorer ne nécessite pas que les données MIME soient cohérentes pour tous les fichiers reçus et utilisera les données MIME fournies par le fichier.

Remarque : Ce paramètre fonctionne en association avec les paramètres Fonctionnalité de sécurité de détection MIME, mais ne les remplace pas.

Vulnérabilité

Un serveur Web malveillant pourrait fournir un contenu exécutable en utilisant un type MIME non exécutable et un utilisateur ayant ouvert ce contenu pourrait l'exécuter à son insu.

Contre-mesures

Configurez le paramètre Gestion MIME cohérente sur Activé.

Impact potentiel

Lorsque ce paramètre est activé, les applications qui reposent sur le serveur pour définir correctement le type MIME des objets téléchargés peut échouer si le serveur fournit des informations MIME inexactes.

Fonctionnalité de sécurité de détection MIME

L'espionnage MIME est un terme utilisé pour le processus qui examine le contenu d'un fichier MIME pour déterminer son contexte, à savoir, s'il s'agit d'un fichier de données, d'un fichier exécutable ou d'un fichier de tout autre type. Ce paramètre de stratégie détermine si l'espionnage MIME d'Internet Explorer permet d'empêcher la promotion d'un fichier vers un type de fichier plus dangereux. Quand ce paramètre de stratégie est activé, l'espionnage MIME ne permet pas de promouvoir un fichier vers un type plus dangereux. Si vous configurez ce paramètre de stratégie sur Désactivé, les processus d'Internet Explorer permettront à un espion MIME de promouvoir un fichier vers un type plus dangereux. Il est par exemple dangereux de promouvoir un fichier texte en fichier exécutable, car tout code présent dans le fichier texte prétendu serait exécuté.

Vulnérabilité

Un site Web malveillant peut fournir le contenu d'un type avec une étiquette MIME indiquant qu'il est sûr.

Contre-mesures

Configurez le paramètre Fonctionnalité de sécurité de détection MIME de Tous les processus sur Activé.

Impact potentiel

Les applications qui reposent sur des types MIME mal étiquetés pour la fonction correcte s'interrompent si ce paramètre de stratégie est activé.

Protection de mise en cache des objets

Dans les versions précédentes d'Internet Explorer, une page Web pouvait faire référence à un objet mis en cache dans un autre site Web. Le paramètre Protection de mise en cache des objets permet d'empêcher ces références à des objets mis en cache.

Vulnérabilité

Un serveur malveillant pourrait télécharger un objet sur un ordinateur d'utilisateur et l'activer ensuite par le code sur un autre site, peut-être dans une autre zone d'Internet Explorer. Par exemple, un pirate pourrait utiliser cette méthode pour créer des scripts qui écoutent les événements ou le contenu d'un autre paquet, comme les numéros de carte de crédit ou d'autres données sensibles saisies dans l'autre paquet.

Contre-mesures

Configurez le paramètre Protection de mise en cache des objets des Processus Internet Explorer sur Activé.

Impact potentiel

Les applications correctement écrites ne doivent pas compter sur l'accès aux objets interdomaines. Les applications qui le font ne fonctionneront pas si ce paramètre de stratégie est activé.

Restrictions de sécurité de scripts de fenêtres

Internet Explorer permet aux scripts d'ouvrir, redimensionner et repositionner par programmation divers types de fenêtres. Le paramètre Restrictions de sécurité de scripts de fenêtres limite les fenêtres contextuelles et interdit l'affichage de fenêtres dans lesquelles les barres d'état et de titre ne sont pas visibles à l'utilisateur ou qui masquent d'autres barres d'état ou de titres d'autres fenêtres. Si vous activez ce paramètre de stratégie, Windows appliquera ces restrictions aux processus de l'Explorateur Windows et d'Internet Explorer. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les scripts peuvent continuer à créer des fenêtres contextuelles et des fenêtres qui masquent d'autres fenêtres.

Il est à noter qu'il existe beaucoup d'outils tiers qui tentent de contrôler les fenêtres contextuelles d'Internet Explorer. Un grand nombre de ces outils limite les fenêtres contextuelles d'une manière similaire à ce paramètre. Les bloqueurs de pop-ups tiers n'interfèrent généralement pas avec ce paramètre, et réciproquement.

Vulnérabilité

Les sites Web non fiables redimensionnent les fenêtres afin de masquer d'autres fenêtres ou de forcer les utilisateurs à interagir avec une fenêtre contenant un code malveillant.

Contre-mesures

Configurez le paramètre Restrictions de sécurité de scripts de fenêtres de Processus Internet Explorer sur Activé.

Impact potentiel

Les applications Web qui ont besoin de redimensionner ou de repositionner les fenêtres ne peuvent pas fonctionner correctement si ce paramètre est en vigueur.

Protection contre l'élévation de zone

Internet Explorer définit des restrictions sur chaque page Web qu'il ouvre. Ces restrictions dépendent de l'emplacement de cette page (comme la zone Internet, Intranet ou Ordinateur local). Les pages Web sur un ordinateur local ont des restrictions de sécurité très limitées et résident dans la zone Ordinateur local, ce qui fait de cette zone de sécurité une cible de choix pour les utilisateurs malveillants.

Si vous activez le paramètre Processus Internet Explorer – Protection contre l'élévation de zone, toute zone peut être protégée contre l'élévation par les processus Internet Explorer. Cette approche empêche le contenu qui s'exécute dans une zone d'obtenir les privilèges élevés d'une autre zone.

Vulnérabilité

Les pages Web malveillantes peuvent tenter de s'élever de leur zone actuelle dans une autre zone avec des privilèges plus importants.

Contre-mesures

Configurez le paramètre Protection contre l'élévation de zone de Processus Internet Explorer sur Activé.

Impact potentiel

Aucune.

Restreindre l'installation ActiveX

Ce paramètre permet de bloquer les invites d'installation de contrôle ActiveX pour les processus Internet Explorer. Si vous activez ce paramètre de stratégie, les utilisateurs ne verront pas d'invite lors de l'affichage d'une page incluant un contrôle ActiveX qui doit être installé manuellement. Ils ne pourront pas installer le contrôle à partir de la page Web. Si vous désactivez ce paramètre de stratégie, les invites d'installation de contrôle ActiveX ne seront pas bloquées.

Vulnérabilité

Les utilisateurs choisissent souvent d'installer des logiciels tels que les contrôles ActiveX qui ne sont pas autorisés par la stratégie de sécurité de leur entreprise. Ces logiciels peuvent présenter des risques importants en matière de sécurité et de confidentialité des réseaux.

Contre-mesures

Configurez le paramètre Restreindre l'installation ActiveX de Processus Internet Explorer sur Activé.

Impact potentiel

Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas installer de contrôles ActiveX légitimes autorisés, tels que ceux utilisés par Windows Update. Dans ce cas, assurez-vous de mettre en œuvre quelques alternatives pour déployer des mises à jour de sécurité, telles que Windows Server Update Services (WSUS). Pour plus d'informations sur WSUS, consultez la page Windows Server Update Services Product Overview à l'adresse www.microsoft.com/france/technet/produits/win2003/WSUS.mspx.

Restreindre le téléchargement de fichiers

Si le paramètre Restreindre le téléchargement de fichiers est activé, les invites au téléchargement de fichiers, qui ne sont pas initiées par l'utilisateur, sont interdites aux processus Internet Explorer.

Vulnérabilité

Il arrive que des sites Web lancent des invites de téléchargement de fichier sans interaction des utilisateurs. Cette technique peut permettre à des sites Web de placer des fichiers non autorisés sur les ordinateurs des utilisateurs s'ils cliquent sur le mauvais bouton et acceptent le téléchargement.

Contre-mesures

Configurez le paramètre Restreindre le téléchargement de fichiers de Processus Internet Explorer sur Activé.

Impact potentiel

Aucune. Il n'y a pas de raison légitime pour qu'un site Web commence à transférer un fichier vers le poste de travail d'un utilisateur sans que ce dernier ait exprimé ce souhait.

Gestion des modules complémentaires

Ce paramètre de stratégie, avec le paramètre Liste des modules complémentaires, vous permet de contrôler les modules complémentaires d'Internet Explorer. Par défaut, le paramètre Liste des modules complémentaires définit une liste de modules complémentaires pouvant être autorisés ou refusés via la stratégie de groupe. Le paramètre Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires permet de garantir que tous les modules complémentaires sont refusés, sauf s'ils sont répertoriés spécifiquement via le paramètre de stratégie Liste des modules complémentaires.

Si vous activez ce paramètre de stratégie, Internet Explorer autorise uniquement les modules complémentaires spécifiquement répertoriés (et permis) dans la Liste des modules complémentaires. Si vous désactivez ce paramètre, les utilisateurs peuvent utiliser le gestionnaire pour autoriser ou refuser les modules complémentaires.

Nous vous conseillons d'utiliser à la fois Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires qui peuvent être utilisés dans votre environnement. Cette approche vous permettra de vous assurer que seuls les modules complémentaires autorisés seront utilisés.

Vulnérabilité

Les modules complémentaires mal écrits ou malveillants peuvent déstabiliser ou compromettre les ordinateurs des utilisateurs.

Contre-mesures

Configurez le paramètre Liste des modules complémentaires dans la liste des modules complémentaires Internet Explorer approuvés auxquels vos utilisateurs doivent avoir accès. Configurez ensuite le paramètre Refuser tous les modules complémentaires sauf s'ils figurent sur la liste des modules complémentaires sur Activé.

Impact potentiel

Si vous configurez le paramètre Refuser tous les modules complémentaires sauf s'ils figurent sur la liste des modules complémentaires sur Activé, les utilisateurs ne pourront pas installer ou configurer leurs propres modules complémentaires.

Verrouillage de protocole réseau

Windows Server 2003 SP1 et Windows XP SP2 permettent aux administrateurs d'empêcher l'exécution de contenu actif téléchargé via des protocoles réseaux spécifiques. Les administrateurs peuvent indiquer des protocoles individuels (y compris HTTP et HTTPS) dans le paramètre Verrouillage de protocole réseau pour contrôler les protocoles à utiliser pour obtenir le contenu actif.

Vulnérabilité

Les utilisateurs peuvent télécharger et exécuter le contenu malveillant de sources douteuses.

Contre-mesures

Utilisez le paramètre Protocoles restreints par zone de sécurité pour définir les protocoles à utiliser pour télécharger du contenu dans chaque zone. Configurez ensuite le paramètre Verrouillage de protocole réseau de Processus Internet Explorer sur Activé.

Impact potentiel

Les utilisateurs peuvent ne pas pouvoir exécuter des applications ou utiliser des pages incluant du contenu actif si les contrôles par zone sont définis. Vous devez tester soigneusement les applications dans chaque zone pour vérifier qu'elles fonctionnent correctement lorsque le verrouillage de protocole est utilisé.

Services Internet (IIS)

Microsoft Internet Information Services (IIS) 6.0, le serveur Web intégré à Windows Server 2003, facilite le partage des documents et des informations sur un Intranet d'entreprise et Internet. Vous pouvez configurer le paramètre des services IIS à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Services Internet (IIS)

Empêcher l'installation des services Internet (IIS)

Les services Internet IIS 6.0 ne sont pas installés par défaut dans Windows Server 2003. Vous pouvez activer le paramètre Empêcher l'installation des services Internet (IIS) pour empêcher l'installation des services IIS sur les ordinateurs de votre environnement.

Le paramètre Empêcher l'installation des services Internet (IIS) peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les versions antérieures des services IIS et des applications qui en dépendent pour bénéficier de l’accès réseau présentaient de dangereuses failles de sécurité susceptibles d’être exploitées à distance. Bien que la sécurité proposée par la version 6.0 des services IIS soit nettement renforcée par rapport à celle des moutures précédentes, il est possible que de nouvelles vulnérabilités soient encore à découvrir et à rendre publiques. Par conséquent, les entreprises préféreront sans doute s’assurer que les services IIS ne puissent pas être installés sur les ordinateurs qui ne jouent pas le rôle de serveurs Web.

Contre-mesures

Configurez le paramètre Empêcher l'installation des services Internet (IIS) sur Activé.

Impact potentiel

Vous ne serez pas en mesure d’installer des applications ou des composants Windows faisant appel aux services IIS. Les utilisateurs qui tenteront de le faire ne seront pas nécessairement avertis par un message d’erreur ou un avertissement que l’installation des services IIS est interdite par ce paramètre de stratégie de groupe. Ce paramètre de stratégie n'aura pas d'effet s'il est activé sur un ordinateur sur lequel IIS est déjà installé.

Services Terminal Server

Le composant Terminal Services de Windows Server 2003 repose sur les solides fondations du mode Serveur d’applications des services Terminal Server Windows 2000. De plus, il comprend à présent les nouvelles fonctions client et protocole sur Windows XP. Les services Terminal Server vous permettent de disposer d’applications Windows ou du Bureau Windows lui-même sur quasiment tout périphérique informatique, notamment les appareils incompatibles avec Windows.

Les services Terminal Server disponibles sur Windows Server 2003 peuvent augmenter les capacités de déploiement de logiciels d’une entreprise dans de multiples cas de figure, car ils assouplissent considérablement l’infrastructure des applications et les tâches de gestion. Lorsqu’un utilisateur exécute une application sur Terminal Server, l’application est lancée sur le serveur et seules les informations concernant le clavier, la souris et l’affichage sont transmises par le biais du réseau. Chaque personne visualise exclusivement sa propre session, qui est gérée en toute transparence par le système d’exploitation serveur et est totalement autonome par rapport aux autres sessions client.

Vous pouvez configurer les paramètres de stratégie de groupe de Terminal Server à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Services Terminal Server

Refuser la déconnexion d'un administrateur connecté à la session de la console

Ce paramètre de stratégie indique si un administrateur qui tente de se connecter à la console d’un serveur est autorisé à fermer la session déjà ouverte par un autre administrateur. La session de la console est également appelée Session 0. L’accès à la console est possible via l’option /console disponible en tapant Connexion Bureau à distance dans le champ du nom de l’ordinateur ou à partir de la ligne de commande.

Le paramètre Refuser la déconnexion d'un administrateur connecté à la session de la console peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Si vous activez le paramètre Refuser la déconnexion d'un administrateur connecté à la session de la console, personne ne pourra fermer la session d'un administrateur déjà connecté à l'ordinateur. Si vous désactivez ce paramètre de stratégie, un administrateur pourra fermer la session d'un autre administrateur. Si vous ne configurez pas ce paramètre de stratégie, un administrateur peut fermer la session d'un autre administrateur, mais cette autorisation peut être révoquée au niveau de la stratégie de l'ordinateur local.

Cette stratégie s’avère utile lorsque l’administrateur connecté ne souhaite pas voir sa session fermée par un autre administrateur. La fermeture de session de l'administrateur connecté entraîne la perte des données non enregistrées.

Vulnérabilité

Un utilisateur malveillant étant parvenu à ouvrir une session Terminal Server et bénéficiant des privilèges d’administrateur, a la possibilité de rendre extrêmement difficile la reprise du contrôle de l’ordinateur s’il déconnecte un administrateur tentant d’ouvrir une session sur le serveur à partir de la console Session 0. La valeur de cette contre-mesure est diminuée par le fait qu'un utilisateur malveillant ayant acquis assez de privilèges pour déconnecter d’autres utilisateurs a déjà pris le contrôle quasiment total de l’ordinateur.

Contre-mesures

Configurez le paramètre Refuser la déconnexion d'un administrateur connecté à la session de la console sur Activé.

Impact potentiel

Un administrateur ne sera pas en mesure de forcer la fermeture d’une session en cours sur la console Session 0.

Ne pas autoriser les administrateurs locaux à personnaliser les autorisations

Ce paramètre de stratégie permet de contrôler si l'administrateur est habilité à personnaliser les autorisations de sécurité dans l'outil Configuration des services Terminal Server (TSCC). Si vous activez ce paramètre de stratégie, les administrateurs ne pourront pas apporter de modifications aux descripteurs de sécurité des groupes d’utilisateurs via l’onglet Autorisations TSCC. Dans la configuration par défaut, les administrateurs sont habilités à effectuer ce type de changement.

Si vous activez le paramètre Ne pas autoriser les administrateurs locaux à personnaliser les autorisations, l'onglet Autorisations TSCC ne peut pas être utilisé en vue de personnaliser les descripteurs de sécurité par connexion ou de modifier les descripteurs de sécurité par défaut d’un groupe existant. L’attribut Lecture seule est appliqué à l’ensemble des descripteurs de sécurité. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les administrateurs de serveurs bénéficient des privilèges de lecture et d’écriture complets sur les descripteurs de sécurité des utilisateurs figurant sous l’onglet Autorisations TSCC.

Le paramètre Ne pas autoriser les administrateurs locaux à personnaliser les autorisations peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : La méthode recommandée de gestion des accès des utilisateurs consiste à ajouter les utilisateurs au groupe Utilisateurs du Bureau à distance.

Vulnérabilité

Un utilisateur malveillant ayant acquis des privilèges d’administrateur sur un serveur exécutant les services Terminal Server peut modifier les autorisations en utilisant l'outil TSCC pour empêcher d'autres utilisateurs de se connecter au serveur et créer ainsi une condition de déni de service.

La valeur de cette contre-mesure est diminuée par le fait qu’un pirate ayant acquis des privilèges d’administrateur a déjà pris le contrôle total de l’ordinateur.

Contre-mesures

Configurez le paramètre Ne pas autoriser les administrateurs locaux à personnaliser les autorisations sur Activé.

Impact potentiel

L'onglet Autorisations TSCC ne peut pas être utilisé en vue de personnaliser les descripteurs de sécurité par connexion ou de modifier les descripteurs de sécurité par défaut d’un groupe existant.

Définit les règles de contrôle à distance des sessions utilisateur des services Terminal Server

Ce paramètre de stratégie indique le niveau de contrôle à distance autorisé au cours d’une session Terminal Server. Il est possible de définir la prise de contrôle à distance avec ou sans l’autorisation de l’utilisateur de la session. Ce paramètre de stratégie permet de sélectionner l'un ou l'autre de ces niveaux de contrôle à distance : Afficher la session permet à l'utilisateur du contrôle à distance d'observer une session, tandis que Contrôle total lui donne la possibilité de participer à la session.

Si vous activez le paramètre Définit les règles de contrôle à distance des sessions utilisateur des services Terminal Server, les administrateurs peuvent interagir à distance avec la session de services Terminal Server d’un utilisateur selon les règles spécifiées. Pour définir ces règles, choisissez le niveau de contrôle et d’autorisation souhaité dans la liste Options. Pour désactiver le contrôle à distance, sélectionnez Aucun contrôle à distance autorisé. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l'administrateur des serveurs peut définir les règles du contrôle à distance à l’aide de l’outil TSCC. Par défaut, les utilisateurs du contrôle à distance peuvent bénéficier d’un contrôle total avec l’autorisation de l’hôte de la session.

Le paramètre Définit les règles de contrôle à distance des sessions utilisateur des services Terminal Server peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Aucun contrôle à distance autorisé

  • Contrôle total avec l’autorisation de l’utilisateur

  • Contrôle total sans l’autorisation de l’utilisateur

  • Afficher la session avec l’autorisation de l’utilisateur

  • Afficher la session sans l’autorisation de l’utilisateur

• Désactivé

• Non configuré

Remarque : Ce paramètre existe dans les nœuds Configuration ordinateur et Configuration utilisateur. Quand il est configuré dans les deux emplacements, le paramètre de configuration de l'ordinateur possède la priorité sur le même paramètre dans Configuration utilisateur.

Vulnérabilité

Un utilisateur malveillant qui acquiert des privilèges d’administrateur sur le serveur a la possibilité d’utiliser la fonction de contrôle à distance des services Terminal Server afin d’observer les actions des autres utilisateurs. Ce type de situation pourrait entraîner la violation d’informations confidentielles. La valeur de cette contre-mesure est diminuée par le fait qu'un utilisateur malveillant ayant obtenu des privilèges d’administrateur a déjà pris le contrôle total de l’ordinateur.

Contre-mesures

Configurez le paramètre Définit les règles de contrôle à distance des sessions utilisateurs des services Terminal Server sur Activé et sélectionnez l'option Aucun contrôle à distance autorisé.

Impact potentiel

Les administrateurs ne pourront pas utiliser la fonction de contrôle à distance pour assister d’autres utilisateurs des services Terminal Server.

Redirection de données client/serveur

Les services Terminal Server permettent de rediriger les données et ressources du client et du serveur. Par exemple, les données imprimées à partir d'une application serveur peuvent être redirigées vers le client ou le Presse-papiers client peut être utilisé dans les applications serveur. Les paramètres de la section « Redirection de données client/serveur » de la stratégie de groupe permet de personnaliser les types de redirection autorisés.

Il est possible de configurer les paramètres de Redirection de données de Terminal Server à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Services Terminal Server\Redirection de données client/serveur

Autoriser la redirection du fuseau horaire

Ce paramètre de stratégie indique si l’ordinateur client est autorisé à rediriger ses paramètres de fuseau horaire vers la session Terminal Server. Par défaut, le fuseau horaire de la session est identique à celui du serveur et l’ordinateur client ne peut pas rediriger ce type d’information.

Si vous activez le paramètre Autoriser la redirection du fuseau horaire, les clients reconnaissant la fonction de redirection d’un fuseau horaire peuvent envoyer au serveur les informations horaires provenant de leur machine. L’heure de base du serveur sert ensuite à calculer l’heure de la session en cours. Cette dernière correspond à l’heure de base du serveur plus le fuseau horaire du client. Pour l’instant, les applications Connexion Bureau à distance et Windows CE 5.1 sont les seuls clients pouvant rediriger des fuseaux horaires. La session 0 (la session de la console) utilise toujours le fuseau horaire et les paramètres du serveur. Pour modifier l’heure et le fuseau horaire de l'ordinateur, connectez-vous à la session 0.

Si vous désactivez le paramètre Autoriser la redirection du fuseau horaire, la redirection du fuseau horaire est impossible. Si vous ne configurez pas ce paramètre de stratégie, la redirection du fuseau horaire n’est pas définie au niveau de la stratégie de groupe et sa configuration par défaut est désactivée. Lorsqu'un administrateur modifie ce paramètre de stratégie, seules les nouvelles connexions affichent le comportement déterminé par la nouvelle valeur du paramètre. Les sessions ouvertes avant cette modification doivent être fermées puis rouvertes pour prendre en compte ce changement. Microsoft recommande à tous les utilisateurs de se déconnecter du serveur après la modification de ce paramètre de stratégie.

Le paramètre Autoriser la redirection du fuseau horaire peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : La redirection de fuseau horaire est possible uniquement pour les connexions établies avec Terminal Server de la famille Windows Server.

Vulnérabilité

Des données de fuseau horaire pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Autoriser la redirection du fuseau horaire sur Désactivé.

Impact potentiel

La redirection de fuseau horaire sera impossible.

Ne pas autoriser la redirection du Presse-papiers

Ce paramètre de stratégie contrôle le partage du contenu du Presse-papiers (redirection du Presse-papiers) entre un ordinateur distant et un ordinateur client au cours d’une session Terminal Server. Ce paramètre vous permet d’éviter que les données du Presse-papiers soient redirigées entre l'ordinateur distant et l'ordinateur local. Par défaut, les services Terminal Server autorisent la redirection du Presse-papiers.

Si vous activez le paramètre Ne pas autoriser la redirection du Presse-papiers, les utilisateurs ne peuvent pas rediriger le contenu du Presse-papiers. Si vous désactivez ce paramètre de stratégie, les services Terminal Server autorisent en permanence la redirection de ces données. Si vous ne configurez pas ce paramètre de stratégie, la redirection du contenu du Presse-papiers n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver la redirection du Presse-papiers à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Ne pas autoriser la redirection du Presse-papiers peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server d'un utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Ne pas autoriser la redirection du Presse-papiers sur Activé.

Impact potentiel

La redirection du contenu du Presse-papiers sera impossible.

Autoriser la redirection audio

Ce paramètre de stratégie indique si les utilisateurs ont la possibilité de choisir l’emplacement de lecture de la sortie audio de l’ordinateur distant au cours d’une session Terminal Server. Les utilisateurs peuvent cliquer sur le bouton d'option Son de l'ordinateur distant de l'onglet Ressources locales dans l'application Connexion Bureau à distance afin de déterminer si le fichier audio doit être exécuté sur l’ordinateur distant ou local. Il est également possible de désactiver le son. Par défaut, les utilisateurs ne sont pas habilités à appliquer la redirection audio lorsqu'ils se connectent à un serveur exécutant Windows Server 2003 via les services Terminal Server. En revanche, les utilisateurs qui se connectent à un ordinateur exécutant Windows XP Professionnel peuvent utiliser la redirection audio par défaut.

Si vous activez le paramètre Autoriser la redirection audio, les utilisateurs peuvent appliquer la redirection audio. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas habilités à appliquer la redirection audio. Si vous ne configurez pas ce paramètre de stratégie, la redirection audio n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité d'activer ou de désactiver cette redirection à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Autoriser la redirection audio peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Autoriser la redirection audio sur Désactivé.

Impact potentiel

La redirection audio sera impossible.

Ne pas autoriser la redirection de port COM

Ce paramètre de stratégie peut être utilisé pour empêcher la redirection de données vers les ports de communication client à partir de l'ordinateur distant au cours d'une session Terminal Server. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas rediriger de données vers des périphériques de port COM ou mapper des ports COM locaux pendant qu’ils ont ouvert une session Terminal Server Par défaut, les services Terminal Server autorisent la redirection de port COM.

Si vous activez le paramètre Ne pas autoriser la redirection de port COM, les utilisateurs ne pourront pas rediriger les données serveur vers le port COM local. Si vous désactivez ce paramètre de stratégie, la redirection de port COM des services Terminal Server est autorisée en permanence. Si vous ne configurez pas ce paramètre de stratégie, la redirection de port COM n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver la redirection du port COM à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Ne pas autoriser la redirection de port COM peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Ne pas autoriser la redirection de port COM sur Activé.

Impact potentiel

La redirection de port COM sera impossible.

Ne pas autoriser la redirection de l’imprimante client

Ce paramètre de stratégie indique si les imprimantes client peuvent être mappées au cours de sessions Terminal Server. Vous pouvez utiliser ce paramètre de stratégie pour empêcher la redirection de travaux d'impression vers les ordinateurs locaux (clients) d'utilisateurs à partir de l'ordinateur distant. Par défaut, les services Terminal Server autorisent le mappage d’imprimantes client.

Si vous activez le paramètre Ne pas autoriser la redirection de l’imprimante client, les utilisateurs ne peuvent pas rediriger de travaux d'impression lancés sur l’ordinateur distant vers une imprimante client locale au cours de sessions Terminal Server. Si vous désactivez ce paramètre de stratégie, les utilisateurs ont la possibilité de rediriger leurs travaux d’impression au moyen du mappage d’imprimante client. Si vous ne configurez pas ce paramètre de stratégie, le mappage d'imprimantes client n'est pas indiqué au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver ce mappage à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Ne pas autoriser la redirection de l’imprimante client peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Ne pas autoriser la redirection de l’imprimante client sur Activé.

Impact potentiel

La redirection d’imprimante sera impossible.

Ne pas autoriser la redirection de port LPT

Ce paramètre de stratégie indique s’il est possible de rediriger les données vers les ports parallèles (LPT) du client au cours d’une session Terminal Server. Ce paramètre empêche les utilisateurs de mapper les ports LPT locaux en vue de rediriger des données à partir de l’ordinateur distant vers des périphériques reliés au port LPT local. Par défaut, les services Terminal Server autorisent la redirection de port LPT.

Si vous activez le paramètre Ne pas autoriser la redirection de port LPT, les utilisateurs ne pourront pas rediriger des données stockées sur le serveur vers le port LPT local au cours d’une session Terminal Server. Si vous désactivez ce paramètre de stratégie, la redirection de port LPT est autorisée en permanence. Si vous ne configurez pas ce paramètre, la redirection de port LPT n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver la redirection du port LPT local à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Ne pas autoriser la redirection de port LPT peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Ne pas autoriser la redirection de port LPT sur Activé.

Impact potentiel

La redirection de port LPT sera impossible.

Ne pas autoriser la redirection de lecteur

Par défaut, les services Terminal Server mappent automatiquement les lecteurs client lors de l’établissement de la connexion. Dans l'Explorateur Windows ou dans le Poste de travail, l'arborescence des dossiers de sessions comporte les lecteurs mappés sous le format suivant : <lettre_lecteur> sur <nom_ordinateur>. Vous pouvez utiliser le paramètre Ne pas autoriser la redirection de lecteur pour remplacer ce comportement.

Vous pouvez activer le paramètre Ne pas autoriser la redirection de lecteur pour empêcher la redirection de lecteur client au cours de sessions Terminal Server. Si vous désactivez ce paramètre de stratégie, la redirection de lecteur client est autorisée en permanence. Si vous ne configurez pas ce paramètre de stratégie, la redirection de lecteur client n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité de désactiver cette redirection à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Ne pas autoriser la redirection de lecteur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez le paramètre Ne pas autoriser la redirection de lecteur sur Activé.

Impact potentiel

La redirection de lecteur sera impossible.

Ne pas définir l’imprimante par défaut du client pour être l’imprimante par défaut dans une session

Ce paramètre de stratégie indique aux services Terminal Server de ne pas spécifier l’imprimante client par défaut comme imprimante par défaut lors de sessions Terminal Server. Par défaut, les services Terminal Server désignent automatiquement l’imprimante client par défaut comme périphérique d’impression par défaut. Ce paramètre a priorité sur la configuration par défaut.

Si vous activez le paramètre Ne pas définir l’imprimante par défaut du client pour être l’imprimante par défaut dans une session, les services Terminal Server ne peuvent pas définir l’imprimante client par défaut comme imprimante par défaut de la session. Au contraire, le périphérique par défaut est configuré sur le serveur même. Si vous désactivez ce paramètre de stratégie, l’imprimante par défaut fera également office d’imprimante client par défaut. Si vous ne configurez pas ce paramètre, la sélection de l’imprimante par défaut n’est pas définie au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours configurer l’imprimante par défaut à utiliser lors des sessions client à l’aide de l’outil TSCC.

Le paramètre Ne pas définir l’imprimante par défaut du client pour être l’imprimante par défaut dans une session peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Des données pourraient être transmises à partir de la session Terminal Server de l’utilisateur vers l’ordinateur local sans interaction directe avec la personne.

Contre-mesures

Configurez ce paramètre de stratégie sur Activé.

Impact potentiel

L’imprimante par défaut d’un ordinateur client donné ne sera pas utilisée comme imprimante par défaut lors des sessions Terminal Server dudit ordinateur.

Cryptage et sécurité

Vous pouvez configurer les paramètres de cryptage et de sécurité des services Terminal Server à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Services Terminal Server\Cryptage et sécurité

Définir le niveau de cryptage de la connexion client

Ce paramètre de stratégie indique si un niveau de cryptage est appliqué à toutes les données échangées entre le client et l’ordinateur distant au cours d’une session Terminal Server.

Si vous activez le paramètre Définir le niveau de cryptage de la connexion client, vous pouvez spécifier le niveau de cryptage s’appliquant à toutes les connexions établies avec le serveur. Par défaut, le cryptage est défini sur la valeur Niveau haut. Si ce paramètre est désactivé ou n’est pas configuré, aucun niveau de cryptage n’est appliqué via la stratégie de groupe. Cependant, les administrateurs ont la possibilité de définir un niveau de cryptage sur le serveur à l’aide de l’outil TSCC.

Le paramètre Définir le niveau de cryptage de la connexion client peut prendre les valeurs suivantes :

• Activé disponible avec les options de cryptage suivantes :

  • Compatible avec le client. Cette valeur crypte les données transmises entre le client et le serveur à la puissance maximale de clé prise en charge par le client. Choisissez ce niveau lorsque l’ordinateur distant s'exécute dans un environnement contenant des clients hétérogènes ou hérités.

  • Niveau haut. Cette valeur permet de crypter les données échangées entre le client et le serveur à l’aide d’un niveau de cryptage sûr de 128 bits. Choisissez ce niveau lorsque l’ordinateur distant s'exécute dans un environnement contenant uniquement des clients 128 bits (des clients Connexion Bureau à distance, par exemple). Les clients qui ne prennent pas en charge ce niveau de cryptage ne peuvent pas se connecter.

  • Niveau bas. Cette valeur crypte les données qui sont envoyées du client vers le serveur avec un cryptage de 56 bits. Lorsque vous choisissez la valeur Niveau bas, les données envoyées au client par le serveur ne sont pas cryptées.

• Désactivé

• Non configuré

Important : Si la compatibilité FIPS a déjà été activée par le paramètre Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage, et la signature, vous ne pouvez pas changer le niveau de cryptage à l’aide de ce paramètre de stratégie ou de l’outil TSCC.

Vulnérabilité

Si les connexions client des services Terminal Server sont autorisées à utiliser ce cryptage de bas niveau, il est probable qu'un utilisateur malveillant puisse décrypter tout trafic réseau transitant par les services Terminal Server qu’il intercepte.

Contre-mesures

Configurez le paramètre Définir le niveau de cryptage de la connexion client sur Niveau haut.

Impact potentiel

Les clients qui ne prennent pas en charge le chiffrement 128 bits ne pourront pas ouvrir de sessions Terminal Server.

Toujours demander au client le mot de passe à la connexion

Ce paramètre de stratégie indique si les services Terminal Server demandent systématiquement au client de saisir le mot de passe lors de la connexion. Ce paramètre de stratégie vous permet d’obliger les utilisateurs à saisir un mot de passe lorsqu’ils se connectent aux services Terminal Server, même s’ils ont déjà fourni le mot de passe sur le client Connexion Bureau à distance. Par défaut, les services Terminal Server permettent aux utilisateurs d’ouvrir une session automatiquement s'ils ont saisi un mot de passe sur le client Connexion Bureau à distance.

Si vous activez le paramètre Toujours demander au client le mot de passe à la connexion, les utilisateurs ne pourront pas ouvrir automatiquement une session Terminal Server, même s'ils ont fourni leurs mots de passe sur le client Connexion Bureau à distance. Ils seront invités à saisir leur mot de passe pour se connecter. Si vous désactivez ce paramètre de stratégie, les utilisateurs ont toujours la possibilité de se connecter automatiquement aux services Terminal Server en saisissant leur mot de passe sur le client Connexion Bureau à distance. Si vous ne configurez pas ce paramètre de stratégie, la connexion automatique n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur a toujours la possibilité d'exiger la saisie d'un mot de passe à l’aide de l’outil Configuration des services Terminal Server (TSCC).

Le paramètre Toujours demander au client le mot de passe à la connexion peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs ont la possibilité d’enregistrer leur nom d’utilisateur et mot de passe lors de la création d’un nouveau raccourci de connexion Bureau à distance. Si le serveur qui exécute les services Terminal Server autorise les utilisateurs qui se sont servis de cette fonction à ouvrir une session sur le serveur sans saisir de mot de passe, il est alors possible qu’un pirate ayant pris le contrôle physique de l’ordinateur d’un utilisateur se connecte à un serveur Terminal Server par le biais du raccourci vers la connexion Bureau à distance, même s’il ignore le mot de passe de l’utilisateur.

Contre-mesures

Configurez le paramètre Toujours demander le mot de passe au client à la connexion sur Activé.

Impact potentiel

Les utilisateurs devront saisir leur mot de passe lors de l’établissement de nouvelles sessions Terminal Server.

Stratégie de sécurité RPC

Vous pouvez configurer le paramètre de sécurité RPC de Terminal Server à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Cryptage et sécurité\Stratégie de sécurité RPC

Sécuriser le serveur (nécessite la sécurité)

Ce paramètre de stratégie indique si Terminal Server requiert des communications de type RPC (Remote Procedure Call, appel de procédure distante) avec l’ensemble de ses clients ou s’il autorise des communications non sécurisées. Ce paramètre vous permet de renforcer la sécurité des communications RPC établies avec les clients en éliminant les requêtes non authentifiées et non cryptées.

Si vous activez le paramètre Sécuriser le serveur (nécessite la sécurité), le serveur Terminal Server accepte uniquement les requêtes émises par des clients RPC prenant en charge les requêtes sécurisées. Il interdit les communications non sécurisées avec les clients non approuvés. Si vous désactivez ce paramètre de stratégie, le serveur Terminal Server accepte toutes les requêtes, quel que soit leur niveau de sécurité, sur le trafic RPC. Cependant, des communications non sécurisées sont autorisées pour les clients RPC ne répondant pas à la requête. Si vous ne configurez pas ce paramètre de stratégie, les communications non sécurisées sont autorisées.

Le paramètre Sécuriser le serveur (nécessite la sécurité) peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Utilisez l’interface d’appel de procédure distante RPC pour administrer et configurer les services Terminal Server.

Vulnérabilité

Les communications RPC non sécurisées exposent le serveur à des attaques de type « man-in-the-middle » (attaque de l'intercepteur) et par divulgation de données. Le premier type d’attaque survient lorsqu’un intrus capture des paquets échangés entre un client et un serveur, qu’il les modifie, puis autorise l’échange des paquets. En général, l'utilisateur malveillant modifie les informations contenues dans les paquets dans le but de provoquer la divulgation de données stratégiques par le client ou le serveur.

Contre-mesures

Configurez le paramètre Sécuriser le serveur (nécessite la sécurité) sur Activé.

Impact potentiel

Les clients qui ne prennent pas en charge les appels RPC sécurisés ne pourront pas gérer le serveur à distance.

Sessions

Vous pouvez configurer des paramètres de sécurité RPC de Terminal Server supplémentaires à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Services Terminal Server\Cryptage et Sécurité\Sessions

Définir le délai d'expiration des sessions déconnectées

Ce paramètre de stratégie indique l’échéance des sessions Terminal Server déconnectées. Ce paramètre vous permet de spécifier la période maximale pendant laquelle une session déconnectée reste active sur le serveur. Par défaut, les services Terminal Server autorisent les utilisateurs à se déconnecter d’une session à distance, mais sans fermer et quitter la session. Lorsqu’une session est déconnectée, les applications continuent à s'exécuter même si l’utilisateur n’est plus connecté de manière active. Par défaut, ces sessions déconnectées sont conservées pendant une période indéfinie sur le serveur.

Vous pouvez activer le paramètre Définir le délai d'expiration des sessions déconnectées pour supprimer les sessions déconnectées du serveur après un certain délai. Pour conserver le comportement par défaut (sessions déconnectées maintenues pendant un délai indéfini), choisissez Jamais. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, aucune échéance de déconnexion des sessions n’est définie au niveau de la stratégie de groupe.

Le paramètre Définir le délai d'expiration des sessions déconnectées peut prendre les valeurs suivantes :

• Activé disponible avec les options de délai suivantes :

  • Jamais

  • 1 minute

  • 5 minutes

  • 10 minutes

  • 15 minutes

  • 30 minutes

  • 1 heure

  • 2 heures

  • 3 heures

  • 1 jour

  • 2 jours

• Désactivé

• Non configuré

Remarque : Ce paramètre de stratégie ne s’applique pas aux sessions de la console du type Bureau à distance avec des ordinateurs exécutant Windows XP Professionnel. Ce paramètre de stratégie existe dans les nœuds Configuration ordinateur et Configuration utilisateur. Quand il est configuré dans les deux emplacements, le paramètre de configuration de l'ordinateur possède la priorité sur le même paramètre dans le nœud Configuration utilisateur.

Vulnérabilité

Chaque session Terminal Server utilise des ressources système. À moins qu’un terme ne soit mis aux sessions déconnectées depuis un laps de temps important, les serveurs risquent de manquer de ressources.

Contre-mesures

Configurez le paramètre Définir le délai d'expiration des sessions déconnectées sur Activé et sélectionnez l'option 1 jour dans la zone de liste Fin d’une session déconnectée.

Impact potentiel

Les utilisateurs qui oublient de fermer leur session Terminal Server verront celle-ci se fermer automatiquement après un délai d’inactivité de 24 heures.

Autoriser la reconnexion à partir du client original uniquement

Ce paramètre de stratégie empêche les utilisateurs des services Terminal Server de rétablir la connexion à une session déconnectée à l’aide d’un autre ordinateur que l'ordinateur client initial à partir duquel ils ont ouvert la session. Par défaut, les services Terminal Server permettent aux utilisateurs de se reconnecter à des sessions déconnectées à partir de n’importe quel ordinateur client.

Si vous activez le paramètre Autoriser la reconnexion à partir du client original uniquement, les utilisateurs pourront se reconnecter à des sessions déconnectées à partir de l'ordinateur client d’origine uniquement. Si un utilisateur tente de rétablir la connexion avec une session inactive à partir d’un autre poste client, c’est une nouvelle session qui s’ouvre. Si vous désactivez ce paramètre, les utilisateurs ont la possibilité de se connecter en permanence à une session déconnectée à partir de n'importe quel ordinateur. Si vous ne configurez pas ce paramètre, le mode de reconnexion à la session n’est pas défini au niveau de la stratégie de groupe.

Le paramètre Autoriser la reconnexion à partir du client original uniquement peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Important : Ce paramètre est uniquement pris en charge par les clients ICA Citrix qui fournissent un numéro de série lors de l’établissement de la connexion. Ce paramètre n’est pas pris en compte si l’utilisateur se connecte à un client Windows. Ce paramètre existe dans les nœuds Configuration ordinateur et Configuration utilisateur. Quand il est configuré dans les deux emplacements, le paramètre de configuration de l'ordinateur possède la priorité sur le même paramètre dans le nœud Configuration utilisateur.

Vulnérabilité

Par défaut, les utilisateurs peuvent rétablir des sessions Terminal Server déconnectées à partir de n’importe quel ordinateur. L’activation de ce paramètre permet de vous assurer que les utilisateurs peuvent se reconnecter à une session uniquement à partir de l’ordinateur qui a servi à établir la connexion. La valeur de cette contre-mesure est diminuée par le fait qu’elle ne concerne que les utilisateurs qui se connectent avec des clients ICA Citrix.

Contre-mesures

Configurez le paramètre Autoriser la reconnexion à partir du client original uniquement sur Activé.

Impact potentiel

Les utilisateurs qui se connectent à partir de clients ICA Citrix pourront rétablir des sessions déconnectées uniquement à partir de l’ordinateur utilisé pour ouvrir la session.

Explorateur Windows

Vous pouvez configurer le paramètre Explorateur Windows ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Explorateur Windows

Désactiver le mode protégé du protocole Shell

Ce paramètre de stratégie vous permet de configurer le nombre de fonctionnalités du protocole Shell. Une fonctionnalité complète de ce protocole permet aux applications d'ouvrir des dossiers et d'exécuter des fichiers. Le mode protégé réduit la fonctionnalité et permet seulement aux applications d'ouvrir un ensemble limité de dossiers. Les applications ne sont pas capables d'ouvrir des fichiers si ce protocole est en mode protégé.

Microsoft recommande de laisser ce protocole en mode protégé pour renforcer la sécurité de Windows. Si vous activez le paramètre Désactiver le mode protégé du protocole Shell, le protocole permet à toute application d'ouvrir tout dossier ou fichier. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le protocole est en mode protégé et les applications ne peuvent ouvrir qu'un ensemble limité de dossiers.

Le paramètre Désactiver le mode protégé du protocole Shell peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

La fonctionnalité complète du protocole Shell permet aux applications d'ouvrir des fichiers et des dossiers. Cette capacité peut avoir pour résultat l'appel accidentel de logiciels malveillants ou destructeurs, ainsi que la divulgation non autorisée d'informations. Une condition de déni de service peut également se produire.

Contre-mesures

Configurez le paramètre Désactiver le mode protégé du protocole Shell sur Activé.

Impact potentiel

Si vous activez le paramètre Désactiver le mode protégé du protocole Shell, les pages Web qui dépendent de l'utilisation du protocole Shell ne fonctionneront pas correctement.

Windows Messenger

Windows Messenger permet d'envoyer des messages instantanés à d'autres utilisateurs d'un réseau. Les messages peuvent contenir des fichiers et autres pièces jointes.

Vous pouvez configurer le paramètre Windows Messenger recommandé à l'emplacement suivant dans l'éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Windows Messenger

Ne pas autoriser l'exécution de Windows Messenger

Le paramètre Ne pas autoriser l’exécution de Windows Messenger permet de désactiver Windows Messenger. Vous pouvez configurer ce paramètre sur Activé pour empêcher l'utilisation de Windows Messenger.

Remarque : Si vous configurez ce paramètre sur Activé, l'Assistance à distance ne peut pas utiliser Windows Messenger, de même que les utilisateurs avec MSN® Messenger.

Windows Update

Windows Update permet de télécharger divers éléments, notamment des correctifs de sécurité, des mises à jour essentielles, ainsi que les dernières versions des fichiers d’aide, des pilotes et des produits Internet. Vous pouvez configurer les paramètres de Windows Update à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\

Configurer les mises à jour automatiques

Ce paramètre de stratégie indique si les ordinateurs de votre environnement recevront les mises à jour de sécurité et autres téléchargements importants disponibles via le service de mise à jour automatique de Windows.

Si vous activez le paramètre Configurer les mises à jour automatiques, Windows identifie les ordinateurs en ligne et utilise leur connexion Internet afin de rechercher sur le site Web de Windows Update les mises à jour à leur appliquer. Si vous désactivez ce paramètre de stratégie, les mises à jour doivent être téléchargées manuellement et installées à partir du site Web Windows Update à l'adresse https://windowsupdate.microsoft.com. Si vous ne configurez pas ce paramètre, l'utilisation du service Mises à jour automatiques n'est pas indiquée au niveau de la stratégie de groupe. Cependant, un administrateur peut toujours configurer les mises à jour automatiques par le biais du panneau de configuration.

Le paramètre Configurer les mises à jour automatiques peut prendre les valeurs suivantes :

• Activé, disponible avec les options figurant dans la zone de liste **Configuration de la mise à jour automatique **:

  • 2.Avertir avant de télécharger des mises à jour et de nouveau avant de les installer .

    Lorsque Windows détecte des mises à jour applicables aux ordinateurs de votre environnement, une icône accompagnée d’un message vous avertissant que des mises à jour sont prêtes à être téléchargées s’affiche dans la zone de notification. Si vous cliquez sur l’icône ou sur le message, vous avez la possibilité de sélectionner les mises à jour qui vous intéressent. Windows télécharge ensuite à l’arrière-plan les mises à jour choisies. Après le téléchargement, l'icône réapparaît dans la zone de notification en indiquant que les mises à jour peuvent être installées. Si vous cliquez sur l’icône ou sur le message, vous avez la possibilité de sélectionner les mises à jour à installer.

  • Télécharger automatiquement les mises à jour et avertir lorsqu’elles sont prêtes pour l’installation. 

    Cette valeur correspond à la configuration par défaut. Windows détecte les mises à jour applicables aux ordinateurs de votre environnement et les télécharge à l’arrière-plan. L’utilisateur ne reçoit aucun message l’en informant et n’est pas interrompu pendant l’opération. Après le téléchargement, une icône apparaît dans la zone de notification en indiquant que les mises à jour peuvent être installées. Cliquez sur l'icône ou le message pour sélectionner les mises à jour à installer.

  • Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous.

    Définissez la planification à l’aide des options du paramètre Stratégie de groupe. En l’absence de planification, la planification configurée par défaut pour toutes les installations sera activée tous les jours à 3 h 00. Si une mise à jour nécessite le redémarrage du système pour terminer l’installation, Windows redémarre automatiquement les ordinateurs concernés. Si une session utilisateur est ouverte sur un ordinateur que Windows s’apprête à redémarrer, la personne est informée de l’opération et peut choisir de différer le redémarrage.

• Désactivé

• Non configuré

Pour activer ce paramètre, cliquez sur Activé, puis sélectionnez l’une des options (2, 3 ou 4). Si vous choisissez l’option 4, vous avez la possibilité de définir une planification récurrente. En l’absence de planification, les installations s’effectuent tous les jours à 3 h 00.

Vulnérabilité

Bien que Windows Server 2003 et Windows XP aient été minutieusement testés avant leur commercialisation, il est possible que des problèmes soient détectés ultérieurement. Le paramètre Configurer les mises à jour automatiques permet de vous assurer que les ordinateurs de votre environnement bénéficient en permanence des dernières mises à jour essentielles du système d’exploitation et des Service Packs installés.

Contre-mesures

Définissez le paramètre Configurer les mises à jour automatiques sur Activé et choisissez 4. Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous dans la zone de liste Configuration de la mise à jour automatique.

Impact potentiel

Les mises à jour essentielles du système d’exploitation et des Service Packs seront téléchargées et installées automatiquement à 3 h 00 tous les jours.

Pas de redémarrage planifié des installations planifiées des mises à jour automatiques

Ce paramètre de stratégie indique que le service Mises à jour automatiques patientera jusqu’à ce que les ordinateurs soient redémarrés par les utilisateurs qui y sont connectés pour terminer une installation planifiée.

Si vous activez le paramètre Pas de redémarrage automatique pour les installations de mises à jour automatiques planifiées, le service Mises à jour automatiques ne redémarre pas les ordinateurs automatiquement lors d’installations planifiées. Il informe au contraire les utilisateurs qu’ils doivent redémarrer leur ordinateur afin d’achever les installations en cours. Vous devez noter que le service Mises à jour automatiques ne pourra pas détecter de mises à jour ultérieures tant que les ordinateurs concernés ne sont pas redémarrés. Si vous désactivez ou ne configurez pas ce paramètre, le service Mises à jour automatiques avertit les utilisateurs que leur ordinateur sera automatiquement redémarré au bout de 5 minutes afin d’achever les installations en cours.

Le paramètre Pas de redémarrage automatique pour les installations de mises à jour automatiques planifiées peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Ce paramètre s'applique uniquement lorsque le service Mises à jour automatiques est configuré en vue d'installer des mises à jour planifiées. Si vous réglez le paramètre Configurer les mises à jour automatiques sur Désactivé, ce paramètre n'a pas d'effet.

Vulnérabilité

Dans certains cas, les mises à jour nécessitent le redémarrage des ordinateurs mis à jour afin d’achever l’installation en cours. Si l'ordinateur ne redémarre automatiquement, la dernière mise à jour ne sera pas entièrement installée et aucune nouvelle mise à jour ne sera téléchargée sur l’ordinateur tant qu'il ne sera pas réinitialisé.

Contre-mesures

Configurez le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques sur Désactivé.

Impact potentiel

Si vous activez ce paramètre de stratégie, les systèmes d’exploitation installés sur les serveurs de votre environnement redémarreront automatiquement. Dans le cas de serveurs stratégiques, cela risque de provoquer des conditions de déni de service temporaires, mais inattendues.

Replanifier les installations planifiées des mises à jour automatiques

Ce paramètre de stratégie indique le laps de temps pendant lequel le service Mises à jour automatiques doit patienter (après démarrage) pour procéder à une installation planifiée mais précédemment annulée. Si vous activez ce paramètre, l'installation qui n’a pas pu être réalisée auparavant démarrera après un délai donné (indiqué en minutes) suite au démarrage de l’ordinateur. Si vous désactivez ou ne configurez pas ce paramètre, les installations planifiées non exécutées sont réalisées lors de la prochaine installation planifiée.

Le paramètre Replanifier les installations planifiées des mises à jour automatiques peut prendre les valeurs suivantes :

• Activé, disponible avec une option permettant de définir un délai compris entre 1 et 60 minutes.

• Désactivé

• Non configuré

Remarque : Ce paramètre s'applique uniquement lorsque le service Mises à jour automatiques est configuré en vue d'installer des mises à jour planifiées. Si vous réglez le paramètre Configurer les mises à jour automatiques sur Désactivé, ce paramètre n'a pas d'effet.

Vulnérabilité

Si vous n’obligez pas le service Mises à jour automatiques à patienter quelques minutes après un redémarrage, les ordinateurs de votre environnement risquent de ne pas avoir suffisamment de temps pour lancer entièrement les applications et les services. Si vous indiquez un délai adéquat, les installations de mises à jour ne devraient pas entrer en conflit avec les procédures de démarrage des ordinateurs.

Contre-mesures

Configurez le paramètre Replanifier les installations planifiées des mises à jour automatiques sur Activé et indiquez un délai de 10 minutes.

Impact potentiel

Le service Mises à jour automatiques ne s'exécutera que 10 minutes après le redémarrage de l’ordinateur.

Spécifier l'emplacement intranet du service de Mise à jour Microsoft

Ce paramètre de stratégie vous permet d'indiquer un serveur intranet destiné à héberger les mises à jour provenant du site Web des mises à jour Microsoft. Vous pouvez ensuite utiliser cet emplacement pour mettre à jour automatiquement les ordinateurs de votre réseau. Le client Mises à jour automatiques recherchera ensuite les mises à jour applicables aux ordinateurs du réseau sur ce service.

Pour utiliser le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft, vous devez définir deux valeurs de noms de serveur : le serveur à partir duquel le client Mises à jour automatiques détecte et télécharge les mises à jour et le serveur sur lequel les stations de travail mises à jour téléchargent des statistiques. Vous pouvez définir le même serveur pour les deux valeurs.

Si vous activez le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft, le client Mises à jour automatiques se connectera au service de mises à jour Microsoft de l’intranet spécifié (et pas au service Windows Update) afin de détecter et de télécharger les mises à jour disponibles. Cette configuration permet aux utilisateurs finaux de l’entreprise d’éviter des problèmes liés au pare-feu et de votre côté, vous avez la possibilité de tester les mises à jour avant de les déployer. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Mises à jour automatiques se connecte directement au site Windows Update sur Internet (si le service Mises à jour automatiques n’est pas désactivé par la stratégie de groupe ou la préférence utilisateur).

Le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft peut prendre les valeurs suivantes :

• Activé. Une fois cette valeur sélectionnée, indiquez les noms du serveur de mise à jour intranet et du serveur de statistiques dans la boîte de dialogue Propriétés.

• Désactivé

• Non configuré

Remarque : Si vous réglez le paramètre Configurer les mises à jour automatiques sur Désactivé, ce paramètre de stratégie n'a pas d'effet.

Vulnérabilité

Par défaut, le service Mises à jour automatiques tente de télécharger les mises à jour disponibles sur le site Web des mises à jour Windows de Microsoft. Certaines entreprises souhaitent s’assurer que les nouvelles mises à jour sont compatibles avec leur environnement avant de les déployer. Par ailleurs, si vous configurez un serveur SUS (Software Update Services) interne, vous pourrez réduire le trafic sur les pare-feu de périmètre, les routeurs et les serveurs proxy, ainsi que la charge pesant sur les liaisons réseau externes.

Contre-mesures

Configurez le paramètre Spécifier l'emplacement intranet du service de Mise à jour Microsoft sur Activé. Indiquez ensuite les noms du serveur de mise à jour intranet et du serveur de statistiques dans la boîte de dialogue Propriétés.

Impact potentiel

Les mises à jour essentielles et les Service Packs devront être gérés de manière proactive par le service informatique de l’entreprise.

Système

Vous pouvez configurer le paramètre Système recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Système

Désactiver le lecteur automatique

Le lecteur automatique lit le média dès qu'il est inséré dans l'unité, ce qui démarre immédiatement le fichier d'installation ou le média audio. Vous pouvez activer le paramètre Désactiver le lecteur automatique pour empêcher la fonctionnalité Exécution automatique. Exécution automatique est désactivée par défaut sur les lecteurs amovibles, tels que les lecteurs de disquette et les lecteurs réseau, mais est activée par défaut sur les lecteurs de CD-ROM.

Remarque : Le paramètre Exécution automatique ne peut pas être utilisé avec des lecteurs (lecteurs de disquette ou lecteurs réseau) désactivés par défaut.

Vulnérabilité

Un utilisateur malveillant peut exploiter cette fonctionnalité pour lancer un programme et endommager un ordinateur client ou les données qu'il contient.

Contre-mesures

Configurez le paramètre Désactiver le lecteur automatique sur Activé.

Impact potentiel

Les utilisateurs devront lancer manuellement l'installation ou les programmes d'installation fournis sur les supports amovibles.

Ouverture de session

Vous pouvez configurer les paramètres Ouverture de session recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Connexion

Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session

Ce paramètre de stratégie masque l'écran de bienvenue affiché par Microsoft Windows 2000 Professionnel et Windows XP Professionnel à chaque ouverture de session utilisateur. Les utilisateurs peuvent toujours visualiser cet écran en le sélectionnant dans le menu Démarrer.

Le paramètre Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session s'applique seulement à Windows 2000 Professionnel et Windows XP Professionnel. Il n'a aucune incidence sur le paramètre Configurer votre serveur de Windows 2000 Server ou Windows Server 2003.

Le paramètre Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Ce paramètre de stratégie apparaît dans les nœuds Configuration ordinateur et Configuration utilisateur. Si les deux paramètres sont configurés, la valeur du paramètre définie sous Configuration ordinateur a priorité sur celle définie sous Configuration utilisateur.

Vulnérabilité

L’écran de bienvenue Mise en route à l’ouverture de session incite les utilisateurs à explorer le Bureau de Windows XP. Certaines entreprises souhaitent offrir à leur personnel une formation centrée sur leur rôle spécifique et les tâches qui leur incombent, et préfèrent détourner leur attention d’autres sources d’information.

Contre-mesures

Configurez le paramètre Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session sur Activé.

Impact potentiel

Les utilisateurs ne voient pas l’écran de bienvenue Mise en route lorsqu’ils ouvrent une session sur leur ordinateur.

Ne pas traiter la liste d'exécution héritée

Le paramètre Ne pas traiter la liste d’exécution héritée a pour effet d'ignorer la liste d'exécution (liste de programmes que Windows XP exécute lors de son démarrage). Les listes d'exécution personnalisées de Windows XP sont stockées dans le registre aux emplacements suivants :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Le paramètre Ne pas traiter la liste d'exécution héritée peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Un utilisateur mal intentionné pourrait configurer un programme pour qu'il s'exécute à chaque démarrage de Windows et compromette les données de l'ordinateur ou exerce toute autre action néfaste.

Contre-mesures

Configurez le paramètre Ne pas traiter la liste d'exécution héritée sur Activé.

Impact potentiel

Si vous activez ce paramètre, certains programmes informatiques, tels que les antivirus, la distribution de logiciels et les logiciels de surveillance, ne pourront pas s'exécuter non plus. Avant d'opter pour une stratégie d'utilisation de ce paramètre, vous devez évaluer le niveau de menace contre lequel il est censé protéger votre environnement.

Ne pas traiter la liste d'exécution unique

Ce paramètre de stratégie a pour effet d'ignorer la liste d'exécution unique (liste de programmes exécutés automatiquement par Windows XP lors de son démarrage). Il diffère du paramètre Ne pas traiter la liste d’exécution héritée, car cette liste répertorie les programmes à exécution unique lors du redémarrage du client. Cette liste est parfois mise à jour avec des programmes de configuration et d'installation destinés à s'exécuter pendant le redémarrage d'un client. Si vous activez ce paramètre de stratégie, les utilisateurs malveillants ne peuvent pas utiliser la liste d'exécution unique pour lancer des applications néfastes, ce qui constituait une méthode d'attaque courante par le passé.

Remarque : Les listes d'exécution unique sont stockées dans le registre, à l'emplacement suivant :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Le paramètre Ne pas traiter la liste d'exécution unique peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

À l'aide de la liste d'exécution unique, un utilisateur malintentionné peut installer un programme susceptible de compromettre la sécurité de clients Windows XP.

Contre-mesures

Configurez le paramètre Ne pas traiter la liste d'exécution unique sur Activé.

Impact potentiel

Si vous activez le paramètre Ne pas traiter la liste d'exécution unique, la perte de fonctionnalités doit être minime pour les utilisateurs de votre environnement, en particulier si tous les logiciels des clients ont été configurés avant la mise en œuvre de ce paramètre via la stratégie de groupe. Cependant, cette configuration peut empêcher certains programmes de configuration et d'installation, tels qu'Internet Explorer, de fonctionner correctement.

Stratégie de groupe

Pour modifier le traitement de la stratégie de groupe, vous pouvez configurer des paramètres dans l'emplacement suivant de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe

Traitement de la stratégie de maintenance Internet Explorer

Ce paramètre de stratégie détermine à quel moment les stratégies de maintenance Internet Explorer sont mises à jour. Il concerne toutes les stratégies employant le composant Maintenance Internet Explorer des stratégies de groupe, telles que celles qui se trouvent dans Paramètres Windows\Maintenance Internet Explorer. Ce paramètre se substitue aux paramètres personnalisés que le programme Maintenance de Internet Explorer a mis en œuvre lors de son installation.

Si vous activez le paramètre Traitement de la stratégie de maintenance Internet Explorer, les cases à cocher permettant de modifier des options sont disponibles. Il n'y a aucun impact sur l'ordinateur si vous désactivez ou ne configurez pas ce paramètre de stratégie.

Le paramètre Traitement de la stratégie de maintenance Internet Explorer peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Autoriser le traitement sur une connexion réseau lente. Cette option met à jour les stratégies, même si l’opération est transmise par le biais d’une connexion réseau lente, telle qu’une ligne téléphonique. Des délais considérables peuvent être observés lors de mises à jour effectuées à bas débit.

  • Ne pas appliquer lors des traitements en tâche de fond périodiques. Cette option ne permet pas à l'ordinateur de mettre à jour des stratégies en arrière-plan pendant son utilisation. Les mises à jour d'arrière-plan peuvent gêner l'utilisateur, interrompre un programme, entraîner des dysfonctionnements, voire (dans de rares cas) endommager des données.

  • Traiter même si les objets de stratégie de groupe n’ont pas été modifiés. Cette option met à jour et applique à nouveau les stratégies, même si elles n’ont fait l’objet d’aucune modification. La plupart des implémentations de stratégie indiquent que la mise à jour n'a lieu qu'après modifications. Cependant, vous souhaiterez peut-être mettre à jour des stratégies inchangées en appliquant à nouveau un paramètre voulu suite à la modification de ce dernier par un utilisateur.

• Désactivé

• Non configuré

Vulnérabilité

Vous pouvez activer ce paramètre et choisir l'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés pour vous assurer que les stratégies seront retraitées même si elles n'ont subi aucune modification. Cette approche appliquera les stratégies basées sur les domaines, même si des modifications non autorisées sont effectuées localement.

Contre-mesures

Configurez le paramètre Traitement de la stratégie de maintenance Internet Explorer sur Activé. Désactivez ensuite les deux des cases à cocher des options Autoriser le traitement sur une connexion réseau lente et Ne pas appliquer lors des traitements en tâche de fond périodiques, puis activez la case à cocher de l'option Traiter même si les objets de stratégie de groupe n’ont pas été modifiés.

Impact potentiel

Les stratégies de groupe seront à nouveau appliquées chaque fois qu'elles seront actualisées, ce qui peut avoir un impact mineur sur les performances.

Traitement de stratégie de sécurité IP

Ce paramètre de stratégie identifie les mises à jour des stratégies de sécurité IP (IPSec). Il concerne toutes les stratégies qui utilisent le composant IPSec de la stratégie de groupe. Ce paramètre de stratégie se substitue aux paramètres personnalisés que le programme mis en œuvre a définis lors de son installation.

Si vous activez le paramètre Traitement de stratégie de sécurité IP, les cases à cocher sont disponibles pour vous permettre de modifier les options. Il n'y a aucun impact sur l'ordinateur si vous désactivez ou ne configurez pas ce paramètre.

Le paramètre Traitement de stratégie de sécurité IP peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Autoriser le traitement sur une connexion réseau lente

  • Ne pas appliquer lors des traitements en tâche de fond périodiques

  • Traiter même si les objets Stratégie de groupe n’ont pas été modifiés

• Désactivé

• Non configuré

Le paramètre Autoriser le traitement sur une connexion réseau lente met à jour les stratégies, même si l’opération est transmise par le biais d’une connexion réseau lente, telle qu’une ligne téléphonique ou une liaison réseau étendu à faible bande passante. Des délais considérables peuvent être observés lors de mises à jour effectuées à bas débit. Le paramètre Ne pas appliquer lors des traitements en tâche de fond périodiques empêche le système de mettre à jour des stratégies en arrière-plan pendant l'utilisation de l'ordinateur. Les mises à jour effectuées à l’arrière-plan peuvent gêner l’utilisateur, provoquer l’arrêt ou le dysfonctionnement d’un programme, voire, dans de rares cas, endommager des données. Le paramètre Traiter même si les objets de stratégie de groupe n'ont pas été modifiés met à jour et applique à nouveau les stratégies, même si celles-ci n'ont pas été modifiées. La plupart des implémentations de stratégie indiquent que la mise à jour n'a lieu qu'après modifications. Cependant, vous pourriez vouloir mettre à jour périodiquement des stratégies inchangées pour appliquer à nouveau des paramètres susceptibles d'avoir été modifiés par les utilisateurs.

Vulnérabilité

Vous pouvez activer ce paramètre et choisir ensuite l'option Traiter même si les objets de stratégie de groupe n'ont pas été modifiés pour vous assurer que les stratégies seront retraitées même si aucune d'entre elles n'a subi de modification. De cette manière, toute modification non autorisée configurée localement sera écrasée par les paramètres de stratégie de groupe définis au niveau du domaine.

Contre-mesures

Configurez le paramètre Traitement de stratégie de sécurité IP sur Activé. Désactivez ensuite la case à cocher Ne pas appliquer lors des traitements en tâche de fond périodiques et activez la case à cocher Traiter même si les objets Stratégie de groupe n'ont pas été modifiés.

Impact potentiel

Les stratégies de groupe de sécurité IP seront appliquées à nouveau à chaque actualisation, ce qui pourrait avoir un impact mineur sur les performances et interférer avec la connectivité réseau existante.

Traitement de la stratégie du Registre

Ce paramètre de stratégie détermine à quel moment les stratégies du registre sont mises à jour. Il concerne l'ensemble des stratégies du dossier Modèles d'administration, ainsi que toute stratégie dont les valeurs sont stockées dans le registre. Ce paramètre de stratégie se substitue aux paramètres personnalisés que le programme de stratégie de registre mis en œuvre a défini lors de son installation.

Si vous activez le paramètre Traitement de la stratégie du Registre, les cases à cocher permettant de modifier des options sont disponibles. Il n'y a aucun impact sur l'ordinateur si vous désactivez ou ne configurez pas ce paramètre.

L'option Ne pas appliquer lors des traitements en tâche de fond périodiques peut être utilisée pour s'assurer que l'ordinateur ne met pas à jour des stratégies concernées en arrière-plan pendant son utilisation. Les mises à jour d'arrière-plan peuvent gêner l'utilisateur, interrompre un programme, entraîner des dysfonctionnements, voire, dans de rares cas, endommager des données. L'option Traiter même si les objets Stratégie de groupe n'ont pas été modifiés met à jour et applique à nouveau les stratégies même si celles-ci n'ont pas été modifiées. La plupart des implémentations de stratégie de groupe indiquent que la mise à jour n'a lieu qu'après modification. Cependant, vous souhaiterez peut-être mettre à jour des stratégies inchangées et appliquer à nouveau un paramètre modifié par un utilisateur.

Le paramètre Traitement de la stratégie du Registre peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Ne pas appliquer lors des traitements en tâche de fond périodiques

  • Traiter même si les objets de stratégie de groupe n’ont pas été modifiés

• Désactivé

• Non configuré

Vulnérabilité

Vous pouvez activer ce paramètre et choisir ensuite l'option Traiter même si les objets de stratégie de groupe n'ont pas été modifiés pour vous assurer que les stratégies seront à nouveau traitées même si aucune d'entre elles n'a subi de modification. De cette manière, toute modification non autorisée configurée localement sera écrasée par les paramètres de stratégie de groupe définies au niveau du domaine.

Contre-mesures

Configurez le paramètre Traitement de la stratégie du Registre sur Activé. Désactivez ensuite la case à cocher Ne pas appliquer lors des traitements en tâche de fond périodiques et activez la case à cocher Traiter même si les objets Stratégie de groupe n'ont pas été modifiés.

Impact potentiel

Les stratégies de groupe seront à nouveau appliquées chaque fois qu'elles seront actualisées, ce qui peut avoir un impact mineur sur les performances.

Traitement de la stratégie de sécurité

Ce paramètre de stratégie détermine à quel moment les stratégies de sécurité sont mises à jour. Il a priorité sur les paramètres personnalisés définis par le programme de stratégie de sécurité au moment de l’installation.

Si vous activez le paramètre Traitement de la stratégie de sécurité, les cases à cocher permettant de modifier des options sont disponibles. Il n'y a aucun impact sur l'ordinateur si vous désactivez ou ne configurez pas ce paramètre.

L'option Ne pas appliquer lors des traitements en tâche de fond périodiques peut être utilisée pour s'assurer que l'ordinateur ne met pas à jour des stratégies concernées en arrière-plan pendant son utilisation. Les mises à jour d'arrière-plan peuvent gêner l'utilisateur, interrompre un programme, entraîner des dysfonctionnements, voire, dans de rares cas, endommager des données. L'option Traiter même si les objets de stratégie de groupe n'ont pas été modifiés met à jour et applique à nouveau les stratégies même si celles-ci n'ont pas été modifiées. La plupart des implémentations de stratégie de groupe indiquent que la mise à jour n'a lieu qu'après modification. Cependant, vous souhaiterez peut-être mettre à jour des stratégies inchangées et appliquer à nouveau un paramètre modifié par un utilisateur.

Le paramètre Traitement de la stratégie de sécurité peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Ne pas appliquer lors des traitements en tâche de fond périodiques

  • Traiter même si les objets de stratégie de groupe n’ont pas été modifiés

• Désactivé

• Non configuré

Vulnérabilité

Vous pouvez activer ce paramètre et choisir ensuite l'option Traiter même si les objets de stratégie de groupe n'ont pas été modifiés pour vous assurer que les stratégies seront à nouveau traitées même si aucune d'entre elles n'a subi de modification. De cette manière, toute modification non autorisée configurée localement sera écrasée par les paramètres de stratégie de groupe définies au niveau du domaine.

Contre-mesures

Configurez le paramètre Traitement de la stratégie de sécurité sur Activé. Désactivez ensuite la case à cocher Ne pas appliquer lors des traitements en tâche de fond périodiques et activez la case à cocher Traiter même si les objets de stratégie de groupe n'ont pas été modifiés.

Impact potentiel

Les stratégies de groupe seront à nouveau appliquées chaque fois qu'elles seront actualisées, ce qui peut avoir un impact mineur sur les performances.

Assistance à distance

Configurez les paramètres Assistance à distance recommandés à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Assistance à distance

Proposer l'Assistance à distance

Ce paramètre de stratégie détermine si un membre du support technique ou un administrateur chevronné en informatique peut proposer une assistance à distance aux utilisateurs de votre environnement avant que ceux-ci aient demandé explicitement de l'aide par l'intermédiaire d'un autre canal (courrier électronique ou messagerie instantanée, par exemple).

Remarque : L'expert ne se connecte pas à l'ordinateur à l'insu de son utilisateur et sans sa permission explicite. L'utilisateur peut refuser les demandes de connexion émanant de l'assistance technique et ne fournir que des privilèges d'accès au poste de travail en lecture seule. L'utilisateur doit cliquer sur le bouton Oui pour autoriser l'expert technique à prendre à distance le contrôle du poste de travail une fois que le paramètre Proposer l'Assistance à distance est configuré sur Activé.

Si vous activez le paramètre Proposer l'Assistance à distance, les options suivantes sont disponibles :

• Ne permettre aux conseillers de ne voir que l'ordinateur

• Permettre aux conseillers de contrôler l'ordinateur à distance

En configurant ce paramètre, vous pouvez également définir une liste d'utilisateurs ou de groupes d'utilisateurs, désignés sous le nom de « conseillers » et autorisés à proposer leur assistance à distance.

Pour configurer la liste de conseillers

1. Dans la fenêtre de configuration du paramètre Proposer l'Assistance à distance, cliquez sur Afficher. Une nouvelle fenêtre s'ouvre dans laquelle vous pouvez entrer les noms des conseillers.

2. Dans la liste Conseiller, entrez le nom de chaque utilisateur ou groupe d'utilisateurs dans l'un des formats suivants :

   • <Nom_de_domaine>\<Nom_d'utilisateur>

   • <Nom_de_domaine>\<Nom_de_groupe>

Si vous désactivez ou ne configurez pas le paramètre Proposer l'Assistance à distance, les utilisateurs ou les groupes ne pourront pas proposer l'assistance à distance non sollicitée aux utilisateurs de votre environnement.

Vulnérabilité

Un utilisateur pourrait être trompé et accepter une offre d'Assistance à distance non sollicitée d'un utilisateur malveillant.

Contre-mesures

Configurez le paramètre Proposer l'Assistance à distance sur Désactivé.

Impact potentiel

Le personnel du support technique et du service d'assistance ne pourra pas proposer d'assistance de manière proactive, bien qu'ils soient toujours en mesure de répondre aux requêtes d'assistance des utilisateurs.

Demander l'Assistance à distance

Ce paramètre de stratégie détermine si l'assistance à distance peut être sollicitée à partir des ordinateurs Windows XP de votre environnement. Si vous activez ce paramètre, les utilisateurs peuvent demander l'assistance technique à distance d'administrateurs chevronnés.

Remarque : L'expert ne se connecte pas à l'ordinateur à l'insu de son utilisateur et sans sa permission explicite. L'utilisateur peut refuser les demandes de connexion émanant de l'assistance technique et ne fournir à l'expert que des privilèges d'accès au poste de travail en lecture seule. L'utilisateur doit cliquer sur Oui pour autoriser l'expert technique à prendre à distance le contrôle du poste de travail.

Si vous activez le paramètre Demander l'Assistance à distance, les options suivantes de contrôle à distance de l'ordinateur de l'utilisateur sont disponibles :

• Permettre aux conseillers de contrôler l'ordinateur à distance

• Ne permettre aux conseillers de ne voir que l'ordinateur

En outre, les options suivantes permettent de configurer la durée de validité d'une demande d'assistance émanant d'un utilisateur :

• Durée maximale du ticket (valeur) :

• Durée maximale du ticket (unités) : heures, minutes ou jours

Lorsque le ticket (c'est-à-dire la demande d'aide) expire, l'utilisateur doit envoyer une autre demande pour qu'un expert puisse se connecter à l'ordinateur. Si vous désactivez le paramètre Demander l'Assistance à distance, les utilisateurs ne peuvent pas envoyer de demandes d'assistance et les experts ne peuvent pas se connecter à leurs ordinateurs.

Quand le paramètre Demander l'Assistance à distance n'est pas configuré, les utilisateurs peuvent configurer dans le panneau de configuration l'assistance à distance sollicitée. Les paramètres suivants sont activés par défaut dans le panneau de configuration : Assistance à distance sollicitée, Support d'un ami et Contrôle à distance. La valeur de Durée maximale du ticket est fixée à 30 jours. Si vous désactivez ce paramètre, personne ne pourra accéder aux clients Windows XP sur le réseau.

Vulnérabilité

Quand le paramètre Demander l'Assistance à distance est activé, les utilisateurs peuvent envoyer les requêtes d'assistance à distance à du personnel non autorisé.

Contre-mesures

Configurez le paramètre Demander l'Assistance à distance sur Désactivé.

Impact potentiel

Si vous configurez le paramètre Demander l'Assistance à distance sur Désactivé, les utilisateurs ne peuvent pas demander l'assistance à distance du personnel du support technique ou de l'assistance.

Signalement d’erreurs

L’outil de signalement d’erreurs d’une entreprise intégré dans Windows permet aux administrateurs de gérer les fichiers CAB créés par l’exécutable DW.exe et de rediriger les rapports d’erreurs d’arrêt vers un serveur de fichiers local. Cette possibilité fournit une alternative à l'envoi direct d'informations à Microsoft par Internet. Lorsque les administrateurs ont recueilli suffisamment d’entrées d’erreur d’arrêt, ils peuvent revoir les informations répertoriées et transmettre à Microsoft celles qui leur paraissent présenter de l’intérêt.

Grâce à cet outil de signalement d’erreurs, les administrateurs peuvent vérifier les types d’erreur d’arrêt les plus fréquemment rencontrés. Ces informations permettent ensuite d’apprendre aux utilisateurs à éviter les situations générant ces erreurs.

Vous pouvez configurer les paramètres de signalement d’erreurs à l’emplacement suivant au sein de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Rapport d'erreurs

Affiche les notifications d'erreur

Vous pouvez utiliser ce paramètre de stratégie pour contrôler si un utilisateur a la possibilité de signaler une erreur. Quand ce paramètre de stratégie est activé, l’utilisateur est informé qu’une erreur s’est produite et peut accéder à des informations détaillées concernant l’erreur. Si le paramètre Signaler les erreurs est également activé, l’utilisateur aura également la possibilité de signaler l’erreur s’il le souhaite.

Si vous n'activez pas le paramètre Affiche les notifications d’erreur, l’utilisateur ne peut pas signaler les erreurs rencontrées. Si vous activez le paramètre Signaler les erreurs, les erreurs sont transmises automatiquement, mais l’utilisateur n’en est pas averti.

Il est utile de désactiver ce paramètre sur les serveurs qui ne sont pas directement manipulés par des utilisateurs. Si vous ne configurez pas ce paramètre, les utilisateurs peuvent l'ajuster au moyen du panneau de configuration, qui est défini par défaut sur Activer la notification sur Windows XP et sur Désactiver la notification sur Windows Server 2003.

Le paramètre Affiche les notifications d'erreur peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Si les utilisateurs peuvent décider de signaler des erreurs ou non, ils risquent de ne pas se conformer aux consignes de votre entreprise concernant ce sujet. Si vous configurez ce paramètre de stratégie sur Désactivé, les utilisateurs ne verront pas les messages de signalement des erreurs.

Contre-mesures

Configurez le paramètre Affiche les notifications d’erreur sur Désactivé.

Impact potentiel

Les utilisateurs ne verront pas les messages de signalement des erreurs lors de leur génération.

Signaler les erreurs

Ce paramètre de stratégie détermine si le signalement d'erreurs est activé. Si vous configurez le paramètre Signaler les erreurs sur Activé, les utilisateurs ont la possibilité de signaler les erreurs quand elles se produisent. Les erreurs peuvent être signalées à Microsoft par Internet ou à des partages de fichiers locaux de l'entreprise.

Le paramètre Signaler les erreurs peut prendre les valeurs suivantes :

• Activé disponible avec les options suivantes :

  • Ne pas afficher les liens vers les sites Web « Plus d’informations » fournis par Microsoft. Si vous choisissez cette option, aucun lien n'est affiché vers les sites Web de Microsoft susceptibles de fournir un complément d'informations sur le message d'erreur.

  • Ne pas recueillir les fichiers supplémentaires. Si vous choisissez cette option, aucun fichier supplémentaire n'est recueilli pour être inclus dans les rapports d'erreur.

  • Ne pas recueillir de données supplémentaires sur l’ordinateur. Si vous choisissez cette option, aucune donnée supplémentaire sur l'ordinateur ayant fait l'objet de l'erreur ne sera incluse dans les rapports d'erreurs.

  • Forcer le mode file d’attente pour les erreurs d’application. Si vous choisissez cette option, les utilisateurs n'ont pas la possibilité d'envoyer un rapport d'erreur. En fait, l'erreur est placée dans un répertoire de files d'attente. Le premier administrateur qui se connecte à l'ordinateur après cette erreur décide si le rapport doit être envoyé.

  • Chemin d’accès du fichier de téléchargement d’entreprise. Vous pouvez sélectionner cette option pour indiquer un chemin d’accès UNC (Universal Naming Convention) à un partage de fichiers vers lequel seront téléchargés les rapports d’erreurs. Cette option active également l'outil Signalement d'erreurs d'une entreprise.

  • Remplacer les occurrences du mot « Microsoft ». Si vous choisissez cette option, vous pouvez personnaliser les boîtes de dialogue de signalement d'erreurs avec le nom de votre entreprise.

• Désactivé

• Non configuré

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ne peuvent pas ajuster le paramètre dans le panneau de configuration. La configuration par défaut est définie sur Activé dans Windows XP Professionnel et Désactivé dans Windows Server 2003.

Si le paramètre Signaler les erreurs est activé, il écrase les paramètres associés configurés via le panneau de configuration. Cette configuration applique également les valeurs par défaut à toutes les stratégies de signalement d’erreurs non configurées.

Vulnérabilité

Dans leur configuration par défaut, les fonctions de signalement des erreurs d’une entreprise intégrées dans Windows XP. Windows Server 2003 et Office envoient à Microsoft des données que certaines entreprises préfèrent garder confidentielles. La déclaration de confidentialité de Microsoft au sujet de la fonction de signalement d’erreurs d’une entreprise vous garantit que Microsoft ne fera aucune utilisation abusive des données recueillies par le biais de cette fonction Windows. Cependant, certaines entreprises souhaiteront peut-être configurer cette fonction de sorte qu’aucune information ne soit transmise à l’extérieur du site sans vérification préalable par un membre approuvé du service informatique.

Inversement, si le signalement d'erreurs est complètement désactivé, il est plus difficile pour Microsoft d'identifier et de diagnostiquer de nouveaux bogues. Les entreprises qui développent leurs propres applications internes peuvent également tirer profit de la fonction de signalement d’erreurs d’une entreprise intégrée dans Windows afin de localiser l’origine des problèmes rencontrés jusqu’au niveau du code.

Une configuration mesurée qui garantit la confidentialité des données de l’entreprise tout en utilisant de manière efficace la fonction de signalement des erreurs de Windows consiste à définir ses propres serveurs CER (Corporate Error Reporting) internes. Configurez les ordinateurs clients de sorte qu’ils transmettent les rapports d’erreurs vers ces serveurs. Un administrateur peut ensuite lire ces rapports sur le serveur CER et générer un compte rendu global dépourvu d’informations confidentielles qu’il transmet à Microsoft.

Contre-mesures

Configurez le paramètre Signaler les erreurs sur Activé, puis sélectionnez l’option Chemin d’accès du fichier de téléchargement d’entreprise de sorte qu’elle renvoie au chemin UNC du serveur CER de votre entreprise.

Remarque : Pour plus d'informations sur la création d'un serveur CER au sein de votre entreprise, consultez le site Web Windows Corporate Error Reporting à l'adresse www.microsoft.com/resources/satech/cer/.

Impact potentiel

Le signalement d’erreurs est activé et les nouveaux rapports sont envoyés au serveur CER.

Gestion des communications Internet

Les produits des familles Windows Server 2003 et Windows XP incluent une variété de technologies qui communiquent avec Internet pour simplifier davantage l'utilisation. Les technologies de navigateur et de messagerie électronique sont des exemples évidents, mais il existe aussi des technologies, telles que les mises à jour automatiques qui permettent d'obtenir les dernières informations sur un logiciel ou un produit, ainsi que les correctifs de bogue et les correctifs de sécurité. Ces technologies fournissent beaucoup d'avantages, mais ils impliquent également une communication avec des sites Internet que les administrateurs pourraient vouloir contrôler.

Vous pouvez contrôler cette communication par l'intermédiaire d'une palette d'options intégrées dans des composants individuels, dans le système d'exploitation et dans les composants serveur qui sont conçus pour gérer les configurations de votre entreprise. En tant qu'administrateur, vous pouvez, par exemple, utiliser la stratégie de groupe pour contrôler le mode de communication de certains composants. Pour d'autres, vous pouvez diriger toutes les communications vers le site Web interne de l'entreprise au lieu d'un site externe sur Internet. De même, dans Windows Server 2003 avec Service Pack 1 (SP1), vous pouvez utiliser le pare-feu Windows et l'Assistant Configuration de la sécurité (SCW) pour vous aider à contrôler des aspects de la configuration, tels que les services en cours d'exécution et les ports ouverts.

Microsoft a élaboré deux guides détaillés relatifs à la gestion des communications Internet :

• Introduction to Controlling Communication with the Internet for Windows Server 2003 with SP1 à l'adresse technet2.microsoft.com/WindowsServer/en/Library/
  9b22059a-b325-4e1b-9501-bdc4bef0f2951033.mspx décrit comment contrôler les communications Internet sur les ordinateurs qui exécutent Windows Server 2003 avec SP1.

• Le guide Using Windows XP Service Pack 2 In a Managed Environment* *disponible à l'adresse technet.microsoft.com/fr-fr/library/bb457158.aspx décrit comment contrôler les communications Internet sur les ordinateurs qui exécutent Windows XP avec SP2.

Distributed COM

COM fournit des listes de contrôle d'accès informatique (ACL) qui régissent l'accès à tout appel, activation ou lancement de requêtes sur l'ordinateur. La représentation la plus simple de ces contrôles d'accès est un appel de vérification d'accès supplémentaire effectué par rapport à une liste de contrôle d'accès informatique (ACL) sur chaque appel, activation ou lancement de tout serveur COM sur l'ordinateur. Cette vérification est effectuée en plus des vérifications d'accès exécutées par rapport aux listes ACL spécifiques aux serveurs. Si cette vérification d'accès échoue, la demande d'appel, d'activation ou de lancement est refusée. Elle fournit en effet une norme minimale d'autorisation qui doit être satisfaite pour pouvoir accéder à un serveur COM de l'ordinateur. Pour plus d'informations sur DCOM, reportez-vous à la section « Component Object Model » à l'adresse https://go.microsoft.com/fwlink/?LinkId=20922. Pour plus d'informations sur les nouvelles fonctionnalités de sécurité DCOM, reportez-vous à la section « DCOM : Restrictions d'accès machine en SDDL (Security Descriptor Definition Language) » du chapitre 5 « Options de Sécurité » de ce guide.

Vous pouvez gérer ces nouvelles fonctionnalités DCOM dans Windows XP SP2 et Windows Server 2003 SP1 à l'emplacement suivant de l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
Système\Distributed COM\Paramètres de compatibilité d'application

Problèmes courants

Les deux paramètres de cette section partagent les informations relatives à la vulnérabilité, la contre-mesure et l'impact potentiel.

Vulnérabilité

Les composants COM mal écrits peuvent être attaqués sur le réseau. Cela peut avoir pour résultat la divulgation d'informations, le déni de service ou des attaques basées sur l'élévation des privilèges.

Contre-mesures

Utilisez les paramètres Autoriser les exemptions de contrôle de sécurité d'activation locale et Définir des exemptions de contrôle de sécurité d'activation conjointement aux mécanismes de contrôle d'accès DCOM décrits dans le chapitre 5 pour imposer des contrôles d'accès et d'exécution sur les composants DCOM.

Impact potentiel

Si vous ajoutez des contrôles d'accès DCOM aux applications existantes, ces dernières ne peuvent pas s'exécuter correctement.

Autoriser les exemptions de contrôle de sécurité d'activation locale

Ce paramètre de stratégie permet d'indiquer que les administrateurs informatiques locaux peuvent compléter la liste Définir des exemptions de contrôle de sécurité d'activation (voir le paramètre suivant) avec des contrôles de sécurité d'activation qui ont lieu sur l'ordinateur local. Si vous activez ce paramètre de stratégie et que DCOM ne trouve pas d'entrée explicite pour une ID d'application serveur DCOM (AppID) dans la stratégie Définir des exemptions de contrôle de sécurité d'activation, DCOM recherche une entrée dans la liste configurée en local.

Définir des exemptions de contrôle de sécurité d'activation

Ce paramètre de stratégie permet d'afficher et de modifier une liste d'ID d'applications serveur DCOM (AppID) exemptées du contrôle de sécurité d'activation DCOM. (Pour plus d'informations sur COM et la clé AppID, consultez la page « COM Registry Entries » de la documentation du SDK COM sur MSDN® à l'adresse https://go.microsoft.com/fwlink/?LinkId=32831.)

DCOM utilise deux listes d'AppID de serveurs DCOM pour prendre des décisions en matière de sécurité. Une liste est configurée par l'intermédiaire du paramètre Définir des exemptions de contrôle de sécurité d'activation et l'autre est créée par les administrateurs informatiques locaux. La clé AppID correspond à l'une des clés de registre utilisées par COM. Elle regroupe les options de configuration d'au moins un objet Distributed COM dans un emplacement centralisé du registre. Cette clé inclut la valeur nommée de l'AppID, qui identifie l'AppID GUID correspondant à l'exécutable cité.

Si vous configurez le paramètre Définir des exemptions de contrôle de sécurité d'activation, DCOM ignore la deuxième liste sauf si le paramètre associé Autoriser les exemptions de contrôle de sécurité d'activation locale est également activé. Vous devez placer tout AppID de serveur DCOM ajouté à la liste correspondante entre parenthèses courbes : par exemple, {b5dcb061-cefb-42e0-a1be-e6a6438133fe}. (Ce numéro AppID est indiqué à titre d'exemple uniquement.) Si vous saisissez un AppID inexistant ou à un format incorrect, DCOM l'ajoute à la liste, mais ne contrôle pas la présence d'erreurs.

Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des exemptions de contrôle de sécurité d'activation DCOM définie par les paramètres de la stratégie de groupe.

Vous pouvez utiliser l'une des valeurs suivantes :

• Si vous ajoutez un AppID à cette liste et définissez sa valeur sur 1, DCOM n'applique pas le contrôle de sécurité d'activation pour ce serveur DCOM

• Si vous ajoutez un AppID à cette liste et définissez sa valeur sur 0, DCOM applique systématiquement le contrôle de sécurité d'activation pour ce serveur DCOM, quels que soient les paramètres locaux.

Remarque : Les serveurs DCOM ajoutés à cette liste sont exemptés uniquement si leurs autorisations de lancement personnalisées ne contiennent pas d'autorisations spécifiques, telles que Lancement local, Lancement à distance, Activation locale ou Activation à distance, définies sur Autoriser ou Refuser pour certains utilisateurs ou groupes. Les exemptions d'AppID de serveurs DCOM ajoutés à cette liste s'appliquent à la version 32 bits et (si présente) à la version 64 bits de Windows Server 2003.

Paramètres de configuration utilisateur

Les paramètres abordés précédemment dans ce chapitre s'appliquent aux ordinateurs membres d'un domaine Active Directory. Les paramètres des sections suivantes s'appliquent aux utilisateurs individuels.

Paramètres utilisateur Internet Explorer

Internet Explorer est le navigateur Web livré avec Windows XP et Windows Server 2003. Vous pouvez gérer la plupart de ses fonctions par le biais d'une stratégie de groupe à l'emplacement suivant de l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer

Configurer Outlook Express

Ce paramètre de stratégie permet aux administrateurs d'autoriser ou d'empêcher les utilisateurs Microsoft Outlook® Express d'enregistrer ou d'ouvrir des pièces jointes susceptibles de contenir des virus. Si vous activez la case à cocher Bloquer les pièces jointes qui pourraient contenir un virus, les utilisateurs ne pourront pas ouvrir, ni enregistrer de pièces jointes susceptibles de contenir des virus. En outre, si vous activez ce paramètre de stratégie, les utilisateurs peuvent indiquer s'ils souhaitent bloquer ou accepter les pièces jointes d'un message dans la boîte de dialogue Options Internet.

Le paramètre Configurer Outlook Express peut prendre les valeurs suivantes :

• Activé disponible avec l’option :

  • Bloquer les pièces jointes qui pourraient contenir un virus

• Désactivé

• Non configuré

Vulnérabilité

Les personnes qui choisissent d’ouvrir les pièces jointes aux messages qu’ils reçoivent risquent d’exécuter sans le savoir du code malveillant, notamment un virus ou un programme de cheval de Troie, contenu dans le fichier joint.

Contre-mesures

Définissez le paramètre Configurer Outlook Express sur Activé et cochez la case Bloquer les pièces jointes qui pourraient contenir un virus.

Impact potentiel

Les utilisateurs seront incapables d'ouvrir ou d'exécuter certains types de pièces jointes dans Outlook Express.

Désactiver la modification des paramètres de l'onglet Avancé

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de l'onglet Avancé dans la boîte de dialogue Options Internet. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas modifier les paramètres Internet avancés, notamment les options de sécurité, d’impression et multimédia et n’ont plus la possibilité d’activer ou de désactiver les cases à cocher de l’onglet Avancé. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs pourront activer ou désactiver les options de l'onglet Avancé.

Si vous configurez le paramètre Désactiver l’onglet Avancé, vous n'avez pas besoin de définir ce paramètre de stratégie, car il supprime l'onglet Avancé de l'interface.

Le paramètre Désactiver la modification des paramètres de l'onglet Avancé peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d’Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesures

Configurez Désactiver la modification des paramètres de l'onglet Avancé sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de l'onglet Avancé dans la boîte de dialogue Options Internet.

Param. de configuration automatique non modifiable

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de la configuration automatique. La configuration automatique est une méthode utilisée par certains administrateurs pour mettre à jour les paramètres du navigateur à intervalle régulier. Si vous activez ce paramètre de stratégie, les paramètres de configuration automatique deviennent grisés et indisponibles. Les paramètres concernés sont situés dans la zone Configuration automatique de la boîte de dialogue Paramètres du réseau local. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs sont autorisés à changer la configuration automatique.

Si vous activez le paramètre Désactiver l'onglet Connexions, l'onglet Connexions est supprimé d'Internet Explorer au niveau du panneau de configuration et ses paramètres remplacent ce paramètre de stratégie (Param. de configuration automatique non modifiable).

Le paramètre Param. de configuration automatique non modifiable peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d’Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesures

Configurez Param. de configuration automatique non modifiable sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de la configuration automatique.

Désactiver la modif. des param. des certificats

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres des certificats dans Internet Explorer. Les certificats sont destinés à vérifier l'identité des éditeurs de logiciels. Si vous activez ce paramètre de stratégie, les paramètres de la zone Certificats dans l'onglet Contenu de la boîte de dialogue Options Internet deviennent grisés et indisponibles. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs sont autorisés à importer de nouveaux certificats, à supprimer des éditeurs approuvés et à modifier les paramètres s’appliquant aux certificats acceptés.

Le paramètre Désactiver l’onglet Contenu (situé dans Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l'onglet Contenu d'Internet Explorer au niveau du panneau de configuration et ses paramètres remplacent ce paramètre de stratégie (Désactiver la modif. des param. des certificats).

Le paramètre Désactiver la modif. des param. des certificats peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Attention : Si vous activez ce paramètre de stratégie, les utilisateurs peuvent toujours cliquer deux fois sur un fichier de certificat d'éditeur de logiciels (.spc) et exécuter l'Assistant Importation du Gestionnaire de certificats. Cet assistant permet aux utilisateurs d'importer et de configurer des paramètres de certificats émanant d'éditeurs de logiciels qui n'ont pas encore été configurés pour Internet Explorer.

Vulnérabilité

Les utilisateurs pourront importer de nouveaux certificats, supprimer des certificats approuvés ou encore modifier les paramètres définis pour des certificats existants. Cela risque d’entraîner le rejet d’applications approuvées ou l’exécution d’applications non approuvées.

Contre-mesures

Configurez Désactiver la modif. des param. des certificats sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres des certificats.

Désactiver la modif. des param. de connexion

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de connexion à distance. Si vous activez ce paramètre de stratégie, le bouton Paramètres de l'onglet Connexions dans la boîte de dialogue Options Internet est indisponible. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs sont autorisés à modifier leurs paramètres de connexion à distance.

Si vous activez le paramètre Désactiver l'onglet Connexions (situé dans Configuration utilisateur\
Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'onglet Connexions est supprimé de la boîte de dialogue Options Internet et il n'est pas nécessaire de configurer ce paramètre de stratégie (Désactiver la modif. des param. de connexion).

Le paramètre Désactiver la modif. des param. de connexion peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs risquent de modifier des connexions existantes et de ne plus pouvoir utiliser Internet Explorer en vue de parcourir une partie ou la totalité des sites Web.

Contre-mesures

Configurez Désactiver la modif. des param. de connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de connexion.

Désactiver la modification des paramètres de proxy

Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de proxy. Si vous activez ce paramètre de stratégie, les paramètres de configuration de proxy deviennent grisés et indisponibles. Ces paramètres figurent dans la zone Serveur proxy de la boîte de dialogue Paramètres du réseau local, qui s'affiche quand l'utilisateur clique sur l'onglet Connexions, puis sur Paramètres réseau dans la boîte de dialogue Options Internet.

Si vous activez le paramètre Désactiver l'onglet Connexions (situé dans Configuration utilisateur\
Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), vous n'avez pas besoin de configurer ce paramètre de stratégie (Désactiver la modification des paramètres de proxy), car le paramètre Désactiver l'onglet Connexions supprime l'onglet Connexions de la boîte de dialogue Options Internet.

Le paramètre Désactiver la modification des paramètres de proxy peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs risquent de modifier des paramètres de serveur proxy existants et de ne plus pouvoir utiliser Internet Explorer en vue de parcourir une partie ou la totalité des sites Web.

Contre-mesures

Configurez Désactiver la modification des paramètres de proxy sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres de proxy.

Désactiver l'Assistant Connexion Internet

Ce paramètre de stratégie détermine si les utilisateurs peuvent exécuter l'Assistant Connexion Internet. Si vous activez ce paramètre, le bouton Configurer de l'onglet Connexions dans la boîte de dialogue Options Internet est grisé et indisponible. Ce paramètre de stratégie empêche également l'exécution de l'assistant de diverses façons ; par exemple, en empêchant les utilisateurs de cliquer sur l'icône Connexion à Internet du bureau ou sur Démarrer, Programmes, Accessoires, Communications et enfin Assistant de Connexion Internet. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent modifier leurs paramètres de connexion au moyen de l'Assistant Connexion Internet.

Le paramètre Désactiver l'Assistant Connexion Internet peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Ce paramètre de stratégie recoupe partiellement le paramètre Désactiver l'onglet Connexions (situé dans Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), qui supprime l'onglet Connexions de la boîte de dialogue Options Internet. Cependant, si vous utilisez ce paramètre, les utilisateurs peuvent toujours exécuter l'Assistant Connexion Internet du Bureau ou du menu Démarrer.

Vulnérabilité

Les utilisateurs peuvent exécuter l’Assistant Connexion Internet et créer une nouvelle connexion réseau ou d’accès distant. Cela permettrait à des utilisateurs non autorisés d’accéder au réseau de l’entreprise par le biais de cette nouvelle connexion non gérée.

Contre-mesures

Configurez le paramètre Désactiver l’Assistant Connexion Internet sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas exécuter l’Assistant Connexion Internet.

Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe

Ce paramètre de stratégie désactive la saisie automatique de noms et de mots de passe d'utilisateur dans les formulaires Web, ainsi que l'affichage d'invites d'enregistrement des mots de passe. Si vous activez ce paramètre de stratégie, les cases à cocher Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe sont grisées et indisponibles. (Pour afficher ces cases à cocher, les utilisateurs ouvrent la boîte de dialogue Options Internet, cliquent sur l'onglet Contenu, puis sur Saisie semi-automatique.) Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ont la possibilité de configurer Internet Explorer pour la saisie semi-automatique des noms d’utilisateur et des mots de passe dans les formulaires, ainsi que d’afficher les invites d’enregistrement des mots de passe.

Le paramètre Désactiver l’onglet Contenu (situé dans le dossier \Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet) supprime l’onglet Contenu du panneau de configuration Internet Explorer et a alors priorité sur ce paramètre (Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe).

Le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Bien que la fonction de saisie semi-automatique s’avère extrêmement pratique, elle entraîne le chargement des mots de passe dans l’emplacement protégé. Ce mécanisme est parfaitement sécurisé, mais les informations qui y sont stockées doivent être accessibles à l’utilisateur qui les y a enregistrées. Des outils permettant de visualiser le contenu de l’emplacement protégé d’un utilisateur sont disponibles sur Internet. Ces outils fonctionnent uniquement lorsqu’ils sont exécutés par un utilisateur souhaitant afficher le contenu de son emplacement protégé. Ils ne permettent pas d’accéder à l’emplacement protégé ou au mot de passe d’un tiers. Un utilisateur qui exécute sans le savoir l’un de ces outils risque de dévoiler son mot de passe à un utilisateur malveillant.

Contre-mesures

Configurez le paramètre Ne pas autoriser la saisie semi-automatique à enregistrer des mots de passe sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas utiliser la fonction de saisie semi-automatique afin d’enregistrer leurs mots de passe.

Panneau de configuration Internet

Vous pouvez gérer des paramètres Internet par l'applet du panneau de configuration Internet. La disponibilité des fonctions de l'applet peut être contrôlée par le nœud Panneau de configuration Internet de la stratégie de groupe. Ces paramètres de stratégie peuvent être configurés à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer\Panneau de configuration Internet

Désactiver l’onglet Avancé

Ce paramètre de stratégie fait disparaître l'onglet Avancé de la boîte de dialogue Options Internet. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas afficher ou modifier les paramètres Internet avancés, notamment les options de sécurité, d’impression et multimédia. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent afficher et modifier ces paramètres.

Lorsque ce paramètre de stratégie est activé, vous n'avez pas besoin de configurer le paramètre Désactiver la modification des paramètres de l'onglet Avancé (situé dans Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer), car l'onglet Avancé est supprimé de la boîte de dialogue Options Internet.

Le paramètre Désactiver l’onglet Avancé peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d’Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesures

Configurez le paramètre Désactiver l’onglet Avancé sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser l'onglet Avancé de la boîte de dialogue Options Internet.

Désactiver l’onglet Sécurité

Ce paramètre de stratégie fait disparaître l'onglet Sécurité de la boîte de dialogue Options Internet. Si vous activez ce paramètre, les utilisateurs ne peuvent pas afficher, ni modifier les paramètres des zones de sécurité, notamment les fonctions de programmation par script, de téléchargement et d’authentification des utilisateurs. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs peuvent afficher et modifier ces paramètres.

Le paramètre Désactiver l’onglet Sécurité peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Quand vous configurez ce paramètre, vous n'avez pas besoin de définir les paramètres Internet Explorer suivants (parce que l'onglet Sécurité est supprimé de la boîte de dialogue Options Internet) :

• Zones de sécurité : Ne pas autoriser les utilisateurs à modifier les stratégies

• Zones de sécurité : Ne pas autoriser les utilisateurs à ajouter/supprimer des sites

Vulnérabilité

Les utilisateurs sont susceptibles de modifier certains paramètres de sécurité d’Internet Explorer, ce qui pourrait les amener à consulter un site Web malveillant et à télécharger ou à exécuter du code dangereux.

Contre-mesures

Configurez le paramètre Désactiver l’onglet Sécurité sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser l’onglet Sécurité.

Pages hors connexion

Internet Explorer peut télécharger et mettre en cache des pages afin de les mettre à disposition pour une utilisation hors connexion. Cette fonction peut être contrôlée par le nœud Pages hors connexion de la stratégie de groupe. Ces paramètres de stratégie peuvent être configurés à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Pages hors connexion

Désactiver l’ajout de chaînes

Ce paramètre de stratégie peut empêcher les utilisateurs d'ajouter des chaînes à Internet Explorer. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur votre ordinateur à l'aide d'une planification définie par le fournisseur de la chaîne.

Si vous activez ce paramètre de stratégie, le bouton Ajouter la chaîne active sur lequel les utilisateurs cliquent pour s'abonner aux chaînes est désactivé. Les utilisateurs ne sont pas autorisés à ajouter sur leur Bureau un contenu lié à une chaîne, comme certains éléments de l’interface Active Desktop® provenant de la galerie Microsoft Active Desktop Gallery. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs peuvent ajouter des chaînes à la barre d’outils Chaîne de leur Bureau.

Les valeurs possibles pour le paramètre Désactiver l'ajout de chaînes sont :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver l’ajout de chaînes sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas ajouter de chaînes.

Désactiver l’ajout de planifications pour les pages hors connexion

Cette stratégie est destinée aux entreprises soucieuses de l'impact de tels téléchargements sur la charge des serveurs. Vous pouvez l'utiliser pour déterminer si les utilisateurs peuvent indiquer que les pages Web peuvent être téléchargées et affichées hors connexion lorsque leur ordinateur n'est pas connecté à Internet.

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas ajouter de nouvelles planifications de téléchargement de contenu hors connexion. La case à cocher Rendre disponible hors connexion devient grisée et indisponible dans la boîte de dialogue Ajout de Favoris. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent ajouter de nouvelles planifications de contenu hors connexion. Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre de stratégie.

Les valeurs possibles pour le paramètre Désactiver l'ajout de chaînes sont :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver l’ajout de planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas ajouter de planifications pour les pages à consulter hors connexion.

Désactiver toutes les pages hors connexion planifiées

Cette stratégie est destinée aux entreprises soucieuses de l'impact de tels téléchargements sur la charge des serveurs. Vous pouvez l'utiliser pour désactiver les planifications existantes de téléchargement de pages Web, de façon à ce qu'elles soient visibles hors connexion. Les pages Web hors connexion sont des pages téléchargées par l'utilisateur et consultables localement quand l'ordinateur n'est pas connecté à Internet.

Si vous activez ce paramètre de stratégie, les cases à cocher pour les planifications de l'onglet Planification dans la boîte de dialogue Propriétés de la page Web sont désactivées et les utilisateurs ne peuvent pas les sélectionner. (Pour afficher cet onglet, les utilisateurs doivent cliquer sur Outils, puis Synchroniser, sélectionner une page Web, cliquer sur Propriétés, puis sur l'onglet Planification.) Si vous désactivez ce paramètre de stratégie, les pages Web peuvent être mises à jour selon les planifications indiquées sur l'onglet Planification. Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre.

Les valeurs possibles pour le paramètre Désactiver l'ajout de chaînes sont :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver toutes les pages hors connexion planifiées sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas visualiser les pages à consulter hors connexion planifiées.

Désactiver complètement l’interface utilisateur de la chaîne

Ce paramètre de stratégie détermine si les utilisateurs peuvent visualiser l'interface de la barre des chaînes. Les chaînes sont des sites Web qui sont mis à jour automatiquement sur l’ordinateur d’un utilisateur à l'aide d'une planification définie par le fournisseur de la chaîne.

Si vous activez ce paramètre de stratégie, l'interface utilisateur de la barre des chaînes est désactivée et les utilisateurs ne peuvent plus activer la case à cocher Barre des chaînes de Internet Explorer via l'onglet Web de la boîte de dialogue Propriétés d'affichage. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs peuvent accéder et s’abonner à des chaînes à l’aide de l’interface de la barre des chaînes.

Le paramètre Désactiver complètement l’interface utilisateur de la chaîne peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver complètement l'interface utilisateur de la chaîne sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas accéder à l’interface utilisateur de la Barre des chaînes.

Désactiver le téléchargement du contenu de l’abonnement à un site

Ce paramètre de stratégie contrôle si les utilisateurs peuvent télécharger du contenu à partir des sites Web auxquels ils s'abonnent. Cette possibilité permet aux utilisateurs de visualiser des pages Web hors connexion (lorsque leur ordinateur n'est pas connecté à Internet).

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas télécharger de contenu issu de sites Web auxquels ils sont abonnés. La synchronisation des pages Web se produira néanmoins afin de déterminer si un contenu a subi des modifications depuis la dernière fois que l’utilisateur a synchronisé ou consulté la page. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent télécharger le contenu.

Les paramètres Désactiver le téléchargement du contenu de l’abonnement à un site et Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d’administration\Composants Windows\
Internet Explorer) ont priorité sur ce paramètre de stratégie.

Le paramètre Désactiver le téléchargement du contenu de l’abonnement à un site peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver le téléchargement du contenu de l’abonnement à un site sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas télécharger automatiquement un contenu par le biais d’un abonnement à un site.

Désactiver la modification et la création de groupes de planification

Ce paramètre de stratégie contrôle si les utilisateurs peuvent ajouter, modifier ou supprimer des planifications de téléchargement de contenus, de façon à ce que les pages Web et les groupes de pages Web auxquels les utilisateurs s'abonnent puissent être affichés hors connexion. Une page Web définie dans les Favoris et les pages Web auxquelles elle est liée forment ce que l’on appelle un groupe d’abonnement.

Si vous activez cette stratégie, les boutons Ajouter, Supprimer et Modifier de l'onglet Planification dans la boîte de dialogue Propriétés de la page Web deviennent grisés et indisponibles. (Pour afficher cet onglet, les utilisateurs doivent cliquer sur Outils, Synchroniser, sélectionner une page Web, cliquer sur le bouton Propriétés, puis l'onglet Planification.) Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs peuvent ajouter, supprimer et modifier des planifications pour les sites ou groupes de sites Web.

Les paramètres Désactiver la modification des planifications pour les pages hors connexion et Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer) ont priorité sur cette stratégie.

Le paramètre Désactiver la modification et la création de groupes de planification peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver la modification et la création de groupes de planification sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas ajouter, modifier ou supprimer de planifications de téléchargement de contenu de page Web afin de pouvoir visualiser ce dernier hors connexion.

Désactiver la modification des planifications pour les pages hors connexion

Cette stratégie est destinée aux entreprises soucieuses de l'impact de tels téléchargements sur la charge des serveurs. Elle contrôle si les utilisateurs peuvent modifier des planifications existantes de téléchargement de pages Web afin de pouvoir afficher ces dernières hors connexion (lorsque leur ordinateur n'est pas connecté à Internet).

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas afficher les propriétés de planification des pages qui sont configurées pour être consultées hors connexion. Si les utilisateurs cliquent sur Outils, puis Synchroniser, sélectionnent une page Web, puis cliquent sur le bouton Propriétés, aucune propriété ne s'affiche. Les utilisateurs ne sont pas avertis de l’indisponibilité de cette option. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent modifier des planifications existantes de téléchargement de contenu Web à consulter hors connexion.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre de stratégie.

Le paramètre Désactiver la modification des planifications pour les pages hors connexion peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver la modification des planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier de planifications contrôlant le moment du téléchargement du contenu de page Web à des fins de consultation hors connexion.

Désactiver le comptage des visites hors connexion

Ce paramètre de stratégie détermine si les fournisseurs de chaînes peuvent enregistrer la fréquence de consultation hors connexion de leurs pages par les utilisateurs.

Si vous activez ce paramètre de stratégie, les paramètres de comptage de consultation des chaînes configurés par les fournisseurs de chaînes dans le fichier enregistré au format de définition de chaîne .cdf (Channel Definition Format) sont désactivés. Le fichier .cdf permet d’identifier la planification et d’autres paramètres de téléchargement de contenu Web. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les fournisseurs de chaînes ont la possibilité d’enregistrer des informations concernant la fréquence de consultation hors connexion de leurs pages

Le paramètre Désactiver le comptage des visites hors connexion peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver le comptage des visites hors connexion sur Activé.

Impact potentiel

Les utilisateurs qui accèdent à un contenu hors connexion ne verront pas leurs visites transmises au site Web consulté lors de leur prochaine connexion à Internet.

Désactiver la suppression de chaînes

Ce paramètre de stratégie vise à aider les administrateurs dans leurs tâches en leur garantissant que les ordinateurs des utilisateurs sont mis à jour de manière uniforme dans toute l’entreprise. Il contrôle si les utilisateurs peuvent désactiver la synchronisation des chaînes dans Internet Explorer. Les chaînes sont des sites Web mis à jour automatiquement sur votre ordinateur selon une planification définie par le fournisseur de la chaîne.

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas modifier la synchronisation des chaînes prédéfinie. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent désactiver la synchronisation des chaînes.

Le paramètre Désactiver la suppression de chaînes peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Ce paramètre de stratégie n’empêche nullement les utilisateurs de supprimer du contenu actif de l’interface du Bureau.

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver la suppression de chaînes sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas supprimer de chaînes ni bloquer les opérations de synchronisation des chaînes.

Désactiver la suppression des planifications pour les pages hors connexion

Cette stratégie est destinée aux entreprises soucieuses de l'impact de tels téléchargements sur la charge des serveurs. Elle contrôle si les utilisateurs peuvent désactiver des restrictions de configuration préétablies pour les téléchargements de page Web à consulter hors connexion (lorsque leur ordinateur n'est pas connecté à Internet).

Si vous activez ce paramètre de stratégie, la case à cocher Rendre disponible hors connexion de la boîte de dialogue Organiser les Favoris et la case à cocher Rendre cette page disponible hors connexion sont grisées et indisponibles (bien que toujours activées). (Pour afficher la case à cocher Rendre disponible hors connexion, les utilisateurs doivent cliquer sur Outils, Synchroniser, puis Propriétés.) Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent supprimer les restrictions de configuration préétablies sur les pages à télécharger à des fins de consultation hors connexion.

Le paramètre Masquer le menu Favoris (situé dans le dossier Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer) a priorité sur ce paramètre.

Le paramètre Désactiver la suppression des planifications pour les pages hors connexion peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les données pourraient être envoyées au navigateur d'un utilisateur sans l'interaction directe de l'utilisateur, ce qui signifie que le navigateur pourrait télécharger du contenu Web qui n'est pas directement demandé par l'utilisateur.

Contre-mesures

Configurez le paramètre Désactiver la suppression des planifications pour les pages hors connexion sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas supprimer de planifications pour les pages à consulter hors connexion.

Menus du navigateur

Les fonctions individuelles du système de menus d'Internet Explorer peuvent être activées et désactivées via le nœud Menus du navigateur de la stratégie de groupe. Ces paramètres de stratégie peuvent être configurés à l'emplacement suivant dans l'Éditeur d'objets stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer\Menus du navigateur

Désactiver l’option Enregistrer ce programme sur le disque

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas cliquer sur le bouton Enregistrer ce programme sur le disque pour télécharger des fichiers programmes. Les utilisateurs sont informés que la commande n'est pas disponible. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs peuvent télécharger des programmes à partir de leurs navigateurs.

Le paramètre menus Menus du navigateur : Désactiver l'option Enregistrer ce programme sur le disque peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs ont la possibilité de télécharger et d’exécuter du code potentiellement dangereux à partir de sites Web.

Contre-mesures

Configurez le paramètre Désactiver l’option Enregistrer ce programme sur le disque sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas cliquer sur le bouton Enregistrer ce programme sur le disque pour télécharger des fichiers programmes.

Persistance

Internet Explorer permet aux objets HTML dynamiques (DHTML) d'enregistrer leurs paramètres ou données sur le disque ; la condition associée à cette possibilité est la persistance. Les données de forme, les styles, l'état et les variables de script peuvent être persistants dans le flux de mémoire de la session actuelle, la liste des favoris, en HTML ou XML. Les quatre comportements de persistance DHTML sont saveFavorite, saveHistory, saveSnapshot et userData. Internet Explorer permet d'appliquer des contrôles, par l'intermédiaire de la zone de sécurité, à l'ensemble des données que les applications peuvent enregistrer en utilisant ce mécanisme.

Le paramètre Comportement de persistance peut prendre les valeurs suivantes :

• Activé

  • Par domaine (en kilo-octets). Cette configuration contrôle la quantité de données que les scripts associés à un domaine donné peuvent enregistrer.

  • Par document (en kilo-octets). Cette configuration contrôle la quantité de données que les constructions DHTML peuvent enregistrer dans une page Web spécifique.

• Désactivé

• Non configuré

Vulnérabilité

Une page Web malveillante peut enregistrer secrètement des données néfastes ou des quantités excessives de données sur un ordinateur de cible.

Contre-mesures

Activez les limites de taille par zone de sécurité pour Internet et les zones Sites sensibles.

Impact potentiel

Aucune.

Gestionnaire de pièces jointes

Dans Windows Server 2003 SP1 et Windows XP SP2, un nouveau service, le Gestionnaire de pièces jointes, fournit un ensemble cohérent de comportements pour les fichiers joints dans les messages électroniques et les pages Web. Le service Gestionnaire de pièces jointes met en œuvre une série uniforme d'invites qui sont utilisées pour les téléchargements de fichiers, les pièces jointes au courrier électronique, l'exécution de processus Shell et l'installation de programmes. Ces invites ont été modifiées pour plus de clarté et de cohérence par rapport aux versions précédentes de Windows. De même, les informations relatives à l'éditeur s'afficheront avant l'ouverture d'un fichier de type signable et potentiellement nuisible à l'ordinateur de l'utilisateur. (Les exemples classiques de ce type de fichiers correspondent aux extensions .exe, .dll, .ocx, .msi et .cab.) Le service Gestionnaire de pièces jointes inclut une nouvelle interface de programmation d'applications (API) exploitable par les développeurs.

Le service Gestionnaire de pièces jointes classe les fichiers reçus ou téléchargés selon le type et l'extension. Il classe les fichiers selon le niveau de risque : élevé, moyen et faible. Lorsque vous enregistrez des fichiers sur le disque dur d'un programme utilisant le service Gestionnaire de pièces jointes, les informations de la zone de contenu Web du fichier sont également enregistrées avec le fichier. Par exemple, si vous enregistrez un fichier compressé (.zip) joint à un message électronique, les informations de la zone de contenu Web sont également enregistrées et vous ne pouvez pas extraire le contenu du fichier compressé.

Remarque : Les informations de la zone de contenu Web sont enregistrées avec les fichiers uniquement si l'ordinateur utilise le système de fichiers NTFS.

Le service Gestionnaire de pièces jointes répertorie les fichiers en trois classes :

• Risque élevé. Si la pièce jointe se trouve dans la liste des types de fichiers à risque élevé et provient de la zone restreinte, Windows bloque l'accès utilisateur au fichier. Si le fichier vient de la zone Internet, Windows invite l'utilisateur avant de lui donner accès au fichier.  

• Risque modéré. Si la pièce jointe est dans la liste de types de fichiers à risque modéré et provient de la zone restreinte ou Internet, Windows invite l'utilisateur avant de lui donner accès au fichier.  

• Risque faible. Si la pièce jointe est dans la liste de types de fichiers à risque faible, Windows n'invitera pas l'utilisateur avant de lui donner accès au fichier, quelles que soient les informations de zone du fichier.

Ces paramètres de stratégie peuvent être configurés à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Gestionnaire de pièces jointes

Niveau de risque par défaut des fichiers joints

Ce paramètre de stratégie permet de gérer le niveau de risque par défaut des types de fichier. Pour personnaliser totalement le niveau de risque des fichiers joints, vous pouvez avoir besoin de configurer la logique de confiance de ces fichiers. Si vous activez ce paramètre de stratégie, vous pouvez indiquer le niveau de risque par défaut des types de fichier qui ne sont pas explicitement inclus dans les listes de type de risque élevé, modéré ou faible.  Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows définit le niveau de risque par défaut sur modéré.

Le paramètre Niveau de risque par défaut des fichiers joints peut prendre les valeurs suivantes :

• Activé, disponible avec les options de configuration du niveau de risque par défaut suivantes :

  • Risque élevé

  • Risque modéré

  • Risque faible

• Désactivé

• Non configuré

Vulnérabilité

Un pirate pourrait déguiser du code malveillant pour tromper les utilisateurs et les obliger à l'exécuter.

Contre-mesures

Configurez le paramètre Niveau de risque par défaut des fichiers joints sur Activé : Risque modéré.

Impact potentiel

Les utilisateurs devront répondre à des invites de sécurité avant de pouvoir accéder à des fichiers dont les types ne sont pas explicitement inclus à la liste relative au risque faible.

Liste d'intégration pour les types de fichiers à risque élevé

Ce paramètre de stratégie permet de configurer la liste des types de fichiers à risque élevé. Si la pièce jointe se trouve dans la liste des types de fichiers à risque élevé et provient de la zone restreinte, Windows bloque l'accès utilisateur au fichier. Si le fichier vient de la zone Internet, Windows invite l'utilisateur avant de lui donner accès au fichier. Cette liste d'intégration est prioritaire sur les listes d'intégration de risque Modéré et Faible lorsqu'une extension est indiquée dans plusieurs listes. Si vous activez ce paramètre de stratégie, vous pouvez créer une liste personnalisée de types de fichiers à risque élevé. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows utilise sa liste intégrée de types de fichiers à risque élevé.

Le paramètre Liste d'intégration des types de fichiers à risque élevé peut prendre les valeurs suivantes :

• Activé (vous permet d'indiquer une liste d'extensions de fichier séparée par des virgules)

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs pourraient ouvrir accidentellement un fichier à haut risque, ce qui pourrait compromettre leurs ordinateurs et probablement d'autres ordinateurs sur le réseau.

Contre-mesures

Réglez le paramètre Liste d'intégration pour les types de fichier à risque élevé sur Activé et indiquez les types de fichiers supplémentaires que vous voulez contrôler.

Impact potentiel

Si un type de fichier est indiqué sur plus d'une liste d'intégration, la liste la plus restrictive s'appliquera. Lorsque vous définissez une valeur pour ce paramètre, elle remplace la liste d'intégration des types de fichier à risque élevé intégrée à Windows.

Liste d'intégration pour les types de fichiers à risque modéré

Ce paramètre de stratégie permet de configurer la liste des types de fichiers à risque modéré. Si la pièce jointe est dans la liste de types de fichiers à risque modéré et provient de la zone restreinte ou Internet, Windows invite l'utilisateur avant de lui donner accès au fichier. Cette liste d'intégration remplace la liste intégrée des types de fichier à risque élevé potentiels et est prioritaire par rapport à la liste d'intégration de risque faible. Cependant, sa priorité est moindre par rapport à la liste d'intégration de risque élevé. Si vous activez ce paramètre de stratégie, vous pouvez indiquer des types de fichier présentant un risque modéré. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows utilise sa logique de confiance par défaut.

Le paramètre Liste d'intégration pour les types de fichiers à risque modéré peut prendre les valeurs suivantes :

• Activé (vous permet d'indiquer une liste d'extensions de fichier séparée par des virgules)

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs pourraient ouvrir accidentellement un fichier à haut risque, ce qui pourrait compromettre leurs ordinateurs et probablement d'autres ordinateurs sur le réseau.

Contre-mesures

Réglez le paramètre Liste d'intégration pour les types de fichier à risque modéré sur Activé et indiquez les types de fichiers supplémentaires que vous voulez contrôler.

Impact potentiel

Si un type de fichier est indiqué sur plus d'une liste d'intégration, la liste la plus restrictive s'appliquera. Lorsque vous définissez une valeur pour ce paramètre de stratégie, elle remplace la liste d'intégration des types de fichiers à risque modéré intégrée à Windows. Soyez prudent lorsque vous déplacez des types de fichier à risque élevé, tels que des fichiers .EXE, dans la liste d'intégration de risque modéré, car il sera ensuite plus facile pour les utilisateurs d'exécuter des fichiers potentiellement à risque.

Liste d'intégration pour les types de fichier à risque faible

Ce paramètre de stratégie permet de configurer la liste des types de fichier à risque faible. Si la pièce jointe est dans la liste de types de fichiers à risque faible, Windows n'invitera pas l'utilisateur avant de lui donner accès au fichier, quelles que soient les informations de zone du fichier. Cette liste d'intégration remplace la liste intégrée à Windows des types de fichier à risque élevé et a une priorité moindre par rapport aux listes d'intégration de risque élevé ou modéré. Si vous activez ce paramètre de stratégie, vous pouvez indiquer des types de fichier présentant un risque faible. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows utilise sa logique de confiance par défaut.

Le paramètre Liste d'intégration pour les types de fichier à risque faible peut prendre les valeurs suivantes :

• Activé (vous permet d'indiquer une liste d'extensions de fichier séparée par des virgules)

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs pourraient ouvrir accidentellement un fichier à risque élevé, ce qui pourrait compromettre leurs ordinateurs et probablement d'autres ordinateurs sur le réseau.

Contre-mesures

Réglez le paramètre Liste d'intégration pour les types de fichier à risque modéré sur Activé et indiquez les types de fichiers supplémentaires que vous voulez contrôler.

Impact potentiel

Si un type de fichier est indiqué sur plus d'une liste d'intégration, la liste la plus restrictive s'appliquera. Lorsque vous définissez une valeur pour ce paramètre de stratégie, elle remplace la liste d'intégration des types de fichier à risque faible intégrée à Windows. Soyez prudent lorsque vous déplacez des types de fichier à risque élevé, tels que des fichiers .EXE, dans la liste d'intégration de risque faible, car il sera ensuite plus facile pour les utilisateurs d'exécuter des fichiers potentiellement à risque.

Logique de confiance pour les fichiers joints

Ce paramètre de stratégie vous permet de configurer la logique utilisée par Windows pour évaluer le risque des fichiers joints. Si vous activez ce paramètre de stratégie, vous pouvez choisir l'ordre dans lequel Windows traite les données d'évaluation des risques.  Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows utilise sa logique de confiance par défaut, qui fera davantage appel au gestionnaire de fichiers qu'au type de fichier.

Le paramètre Logique de confiance pour les fichiers joints peut prendre les valeurs suivantes :

• Activé, avec les options suivantes :

  • Examen du gestionnaire et du type de fichier. Lorsque cette option est sélectionnée, Windows utilise les données du gestionnaire de fichier ou les données du type de fichier (le plus restrictif des deux).

  • Préférence au gestionnaire de fichier. Lorsque cette option est sélectionnée, Windows fait systématiquement confiance au gestionnaire de fichier (par exemple, notepad.exe), quel que soit le type de fichier.

  • Préférence au type de fichier. Lorsque cette option est sélectionnée, Windows fait systématiquement confiance au type de fichier, quel que soit le gestionnaire de fichier.

• Désactivé

• Non configuré

Vulnérabilité

Un utilisateur malveillant pourrait créer un fichier pour exploiter la vulnérabilité d'un gestionnaire de fichier spécifique.  

Contre-mesures

Configurez le paramètre Logique de confiance pour les fichiers joints sur Activé : Examen du gestionnaire et du type de fichier.

Impact potentiel

Lorsque vous configurez le paramètre Logique de confiance pour les fichiers joints pour utiliser le gestionnaire et le type de fichier, les utilisateurs verront davantage d'invites de sécurité relatives aux pièces jointes, car Windows utilisera systématiquement la portée la plus restrictive pour prendre une décision quant à la sécurité de la pièce jointe.

Ne pas conserver les informations de zones dans les pièces jointes de fichiers

Ce paramètre de stratégie permet de définir si Windows doit repérer les fichiers joints avec des informations sur leur zone d'origine (restreinte, Internet, Intranet, local). Il nécessite que le système NTFS fonctionne correctement. Ce paramètre échouera sans notification sur un système de fichiers FAT32. Si les informations de zone ne sont pas conservées, Windows ne peut évaluer correctement les risques. Si vous activez ce paramètre de stratégie, Windows n'identifie pas les fichiers joints avec leurs informations de zone. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows repère les fichiers joints avec leurs informations de zone.

Le paramètre Ne pas conserver les informations de zone dans les pièces jointes de fichiers peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Un fichier téléchargé d'un ordinateur situé dans la zone Internet ou Sites sensibles peut être transféré vers un emplacement qui le fait apparaître comme étant sûr, tel qu'un partage de fichiers d'intranet. Un utilisateur peu soupçonneux peut donc l'exécuter.

Contre-mesures

Configurez le paramètre Ne pas conserver les informations de zone dans les pièces jointes de fichiers sur Activé.

Impact potentiel

Aucune.

Masquer les mécanismes de suppression d'informations de zones

Ce paramètre de stratégie permet de gérer si les utilisateurs peuvent supprimer manuellement les informations de zone des fichiers joints enregistrés. Généralement, ils peuvent cliquer sur le bouton Débloquer de la feuille Propriétés du fichier ou activer une case à cocher dans la boîte de dialogue Avertissement de sécurité. S'ils peuvent supprimer les informations de zone, les utilisateurs peuvent ouvrir des fichiers joints potentiellement dangereux que Windows aurait bloqués précédemment. Si vous activez ce paramètre de stratégie, Windows masque la case à cocher et le bouton Débloquer. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows affiche la case à cocher et le bouton Débloquer.

Le paramètre Masquer les mécanismes de suppression d'informations de zone peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Un utilisateur pourrait supprimer les informations indiquant qu'un fichier provient d'un emplacement peu fiable.

Contre-mesures

Configurez le paramètre Masquer les mécanismes de suppression d'informations de zone sur Activé.

Impact potentiel

Les utilisateurs qui doivent légitimement supprimer les informations de zone des fichiers ne pourront pas le faire.

Avertir les programmes antivirus lors de l'ouverture des pièces jointes

Ce paramètre de stratégie permet de gérer le mode de notification des programmes antivirus enregistrés lors de l'ouverture de pièces jointes. Si plusieurs programmes sont enregistrés, ils seront tous avertis. Si le programme antivirus enregistré exécute déjà des contrôles d'accès ou des analyses de fichiers à leur arrivée sur le serveur de messagerie de l'ordinateur, des appels supplémentaires seraient redondants. Si vous activez ce paramètre de stratégie, Windows appelle les programmes antivirus enregistrés pour qu'ils puissent analyser tout fichier joint ouvert par l'utilisateur. Si le programme antivirus échoue, la pièce jointe est bloquée et ne peut pas être ouverte. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows n'appelle pas les programmes antivirus enregistrés à l'ouverture des fichiers joints.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les programmes antivirus qui n'exécutent pas de contrôles d'accès ne peuvent pas analyser les fichiers téléchargés.

Contre-mesures

Configurez le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes sur Activé.

Impact potentiel

Lorsque le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes est défini sur Activé, chaque fichier ou pièce jointe téléchargé et ouvert par l'utilisateur est analysé.

Explorateur Windows

L'Explorateur Windows permet de parcourir le système de fichiers de clients qui exécutent Windows XP Professionnel.

Vous pouvez configurer les paramètres utilisateur Explorateur Windows recommandés à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Explorateur Windows

Supprimer les fonctionnalités de gravure de CD

Ce paramètre de stratégie supprime les fonctionnalités de gravure des CD disponibles dans Windows XP. Windows XP permet de créer et de modifier des CD réinscriptibles si un lecteur de CD-RW est connecté à votre ordinateur. Cette fonction peut être utilisée pour copier de grandes quantités de données d'un disque dur sur un CD, qui peuvent ensuite être supprimées de l'ordinateur.

Remarque : Ce paramètre de stratégie n'empêche pas de créer ou de modifier des CD à l'aide d'applications tierces. Ce guide recommande d'utiliser des stratégies de restriction logicielle pour refuser des applications tierces capables de créer ou modifier des CD. Pour plus d'informations, reportez-vous au chapitre 6, « Stratégie de restriction logicielle pour les clients Windows XP 175.

Un autre moyen d'empêcher les utilisateurs de graver des CD est de démonter les graveurs de CD des ordinateurs clients de votre environnement pour les remplacer ou non par des lecteurs de CD.

Vulnérabilité

La fonctionnalité de gravure de CD incorporée peut être utilisée en cachette pour copier des informations qui résident sur l'ordinateur ou le réseau.

Contre-mesures

Configurez le paramètre Supprimer les fonctionnalités de gravure de CD sur Activé.

Impact potentiel

Lorsque le paramètre Supprimer les fonctionnalités de gravure de CD est Activé, aucun CD ne peut être écrit sans recourir à des applications tierces.

Supprimer l'onglet Sécurité

Ce paramètre de stratégie désactive l'onglet Sécurité sur le fichier et les boîtes de dialogue de propriétés de dossier dans l'Explorateur Windows. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas accéder à l'onglet Sécurité (après avoir ouvert la boîte de dialogue Propriétés) pour l'ensemble des objets du système de fichiers, comme les dossiers, les fichiers, les raccourcis et les lecteurs. Les utilisateurs ne pourront pas modifier les paramètres de l'onglet Sécurité ou afficher la liste des utilisateurs.

Vulnérabilité

Les utilisateurs peuvent accéder à l'onglet Sécurité pour déterminer les comptes disposant d'autorisations pour tout objet du système de fichiers. Les utilisateurs malveillants peuvent cibler ces comptes pour obtenir un accès plus important.

Contre-mesures

Configurez le paramètre Supprimer l'onglet Sécurité sur Activé.

Impact potentiel

Lorsque le paramètre Supprimer l'onglet Sécurité est défini sur Activé, les utilisateurs ne peuvent pas visualiser l'onglet Sécurité pour les objets du système de fichiers, examiner les autorisations ou modifier des autorisations via l'Explorateur Windows.

Système

Vous pouvez configurer le paramètre utilisateur Système recommandé à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système

Empêche l'accès aux outils de modifications du Registre

Ce paramètre de stratégie désactive les éditeurs du Registre Regedit.exe et Regedit32.exe. Si vous activez ce paramètre de stratégie, un message qui interdit à l'utilisateur d'employer les éditeurs du Registre s'affichera lorsqu'il essaiera de lancer l'un ou l'autre des éditeurs précités. Ce paramètre de stratégie refuse l'accès au registre avec ces outils aux utilisateurs ou intrus, mais n'empêche pas l'accès au registre lui-même.

Vulnérabilité

Les utilisateurs peuvent essayer d'utiliser des outils de modification de registre pour contourner d'autres restrictions et stratégies. Bien qu'un grand nombre de paramètres appliqués par la stratégie de groupe ne puissent pas être contournés de cette manière, les paramètres qui sont appliqués directement au registre peuvent être modifiés ainsi.

Contre-mesures

Configurez le paramètre Empêche l'accès aux outils de modifications du Registre sur Activé.

Impact potentiel

Lorsque le paramètre Empêche l'accès aux outils de modifications du Registre est défini sur Activé, les utilisateurs ne peuvent pas lancer Regedit.exe ou Regedt32.exe pour modifier le registre.

Système\Gestion de l'alimentation

Vous pouvez configurer le paramètre utilisateur Système\Gestion de l'alimentation recommandé à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système\Gestion de l'alimentation

Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée / suspension

Ce paramètre de stratégie détermine si les clients de votre environnement sont verrouillés lors d'une reprise après mise en veille prolongée ou suspension. Si vous activez ce paramètre, les ordinateurs clients sont verrouillés à la reprise et les utilisateurs doivent saisir leurs mots de passe pour les débloquer. Si vous désactivez ou ne configurez pas ce paramètre, il existe un risque de brèche de sécurité importante, car les ordinateurs clients deviennent accessibles par n'importe qui après la reprise.

Paramètres d’écran de veille

Initialement, les écrans de veille ont été conçus en vue de protéger les moniteurs d’ordinateur à tube cathodique contre l’apparition de traces de couleur sur les écrans. Au fil des années, les écrans ont évolué dans une autre direction. Les utilisateurs peuvent personnaliser l’aspect et le comportement du bureau virtuel de leur ordinateur. Les écrans de veille font également partie des outils de sécurité à présent. En effet, avec l'arrivée des écrans de veille qui verrouillent automatiquement l’accès au Bureau, ils constituent un outil précieux pour renforcer automatiquement la sécurité des ordinateurs des utilisateurs finaux lorsque ces derniers oublient de verrouiller leur console.

Vous pouvez configurer les paramètres Ecran de veille recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d’administration\Panneau de configuration\Affichage

Masquer l'onglet Ecran de veille

Ce paramètre de stratégie détermine si les utilisateurs peuvent ajouter, configurer ou modifier l'écran de veille sur l'ordinateur.

Si vous activez ce paramètre de stratégie, l'onglet Ecran de veille est supprimé de Propriétés d'affichage dans le panneau de configuration et les utilisateurs ne peuvent pas modifier les paramètres d'écran de veille. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs auront accès à cet onglet.

Le paramètre Masquer l’onglet Écran de veille peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Les utilisateurs peuvent modifier les paramètres sur leurs écrans de veille pour supprimer des mots de passe ou allonger le délai avant qu'un écran de veille ne verrouille l'ordinateur.

Contre-mesures

Configurez le paramètre Masquer l’onglet Ecran de veille sur Activé.

Impact potentiel

Les utilisateurs ne pourront pas modifier les paramètres d'écran de veille.

Un mot de passe protège l’écran de veille

Ce paramètre de stratégie détermine si les écrans de veille utilisés sur un ordinateur donné sont protégés par un mot de passe ou non.

Si vous activez ce paramètre de stratégie, tous les écrans de veille sont protégés par mot de passe. Si vous désactivez ce paramètre de stratégie, il est impossible de protéger un écran de veille par un mot de passe. Cette configuration désactive également la case à cocher Protégé par mot de passe de l'onglet Écran de veille dans la boîte de dialogue Affichage dans le Panneau de configuration, qui offre un autre moyen d’empêcher les utilisateurs de modifier la configuration de la protection par mot de passe.

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ont la possibilité de choisir s’ils souhaitent protéger par mot de passe les différents écrans de veille installés sur leur ordinateur. Pour vous assurer qu'un ordinateur sera protégé par mot de passe, ce guide vous recommande d'activer le paramètre Écran de veille et de définir un délai à l'aide du paramètre Délai d’activation de l’écran de veille.

Le paramètre Un mot de passe protège l’écran de veille peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Remarque : Pour supprimer l’onglet Écran de veille, appliquez le paramètre Masquer l’onglet Écran de veille.

Vulnérabilité

Les écrans de veille non protégés par un mot de passe ne verrouilleront pas la console des utilisateurs qui laissent leur ordinateur sans surveillance.

Contre-mesures

Configurez le paramètre Un mot de passe protège l’écran de veille sur Activé.

Impact potentiel

Les utilisateurs devront déverrouiller leur ordinateur après le lancement de l’écran de veille.

Écran de veille

Ce paramètre de stratégie active les écrans de veille de bureau. Si vous désactivez ce paramètre de stratégie, les écrans de veille ne peuvent pas s'exécuter.

Si vous ne configurez pas ce paramètre de stratégie, cela n'a aucune incidence sur l'ordinateur. Si vous activez ce paramètre de stratégie, les écrans de veille peuvent s'exécuter si les deux conditions suivantes sont remplies :

• un écran de veille valide est installé sur le client et défini via le paramètre Nom du fichier exécutable de l’écran de veille ou dans le panneau de configuration de l’ordinateur client ;

• le délai d’activation de l’écran de veille est défini sur une valeur différente de zéro par le biais du paramètre de la stratégie ou dans le panneau de configuration du client.

Le paramètre Écran de veille peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non configuré

Vulnérabilité

Vous devez impérativement activer ce paramètre de stratégie si vous souhaitez utiliser la fonction d’écran de veille de verrouillage décrite précédemment.

Contre-mesures

Configurez le paramètre Écran de veille sur Activé.

Impact potentiel

Ce paramètre de stratégie active l’utilisation d’écrans de veille sur les ordinateurs de votre environnement.

Nom du fichier exécutable de l’écran de veille

Ce paramètre de stratégie indique l'écran de veille qui s'affiche sur le Bureau de l'utilisateur. Si vous activez ce paramètre de stratégie, l'ordinateur affiche l'écran de veille indiqué sur le Bureau de l'utilisateur et désactive la liste déroulante des écrans de veille de l'onglet Écran de veille dans la boîte de dialogue Affichage dans le Panneau de configuration (pour empêcher les utilisateurs d'apporter des modifications). Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent sélectionner un écran de veille.

Pour activer le paramètre Nom du fichier exécutable de l’écran de veille

1. Entrez le nom du fichier contenant l'écran de veille. N'oubliez pas l'extension .scr.

2. Si le fichier de l’écran de veille ne se trouve pas dans le dossier %Systemroot%\System32, saisissez le chemin d’accès complet au fichier.

   Si l’écran de veille indiqué n’est pas installé sur un ordinateur auquel s’applique le paramètre, ce dernier n’est pas pris en compte.

Le paramètre Nom du fichier exécutable de l’écran de veille peut prendre les valeurs suivantes :

• Activé. Une fois cette valeur indiquée, saisissez le nom de l’exécutable de l’écran de veille.

• Désactivé

• Non configuré

Remarque : Il est possible d’annuler ce paramètre à l’aide du paramètre Écran de veille. Si vous désactivez le paramètre Écran de veille, le paramètre Nom du fichier exécutable de l’écran de veille n’est pas pris en compte et les écrans de veille ne sont pas exécutés.

Vulnérabilité

Si vous souhaitez que la fonction d’écran de veille de verrouillage soit mise en place, vous devez indiquer un nom de fichier exécutable d’écran de veille valide.

Contre-mesures

Configurez le paramètre Nom du fichier exécutable de l’écran de veille sur Scrnsave.scr (écran de veille vide) ou sur un autre nom d’exécutable.

Impact potentiel

L’écran de veille spécifié (qu’il s’agisse de l’écran vide ou d’un autre) sera exécuté dès que le délai d’inactivité indiqué sera atteint.

Délai d’activation de l’écran de veille

Ce paramètre de stratégie indique l’intervalle de temps d’inactivité devant s’écouler avant le lancement de l’écran de veille. Une fois configuré, ce délai d’inactivité peut être compris entre 1 seconde (au minimum) et 86 400 secondes ou 24 heures (au maximum). Si vous configurez ce paramètre sur 0, l'écran de veille ne démarre pas.

Ce paramètre de stratégie n’a aucune incidence dans l’une des situations suivantes :

• Si le paramètre de stratégie est défini sur Désactivé ou Non configuré.

• Si le délai d’inactivité est défini sur la valeur 0.

• Si le paramètre Aucun écran de veille est activé.

• Si ni le paramètre Nom du fichier exécutable de l’écran de veille, ni l’onglet Écran de veille disponible dans la boîte de dialogue Propriétés de Affichage de l’ordinateur client n’indiquent un programme d’écran de veille existant valide installé sur l'ordinateur client.

Lorsque ce paramètre n’est pas configuré, c’est le délai d’inactivité défini sur le client (via l’onglet Écran de veille de la boîte de dialogue Propriétés de Affichage) qui est utilisé. La valeur configurée par défaut est de 15 minutes.

Le paramètre Délai d’activation de l’écran de veille peut prendre les valeurs suivantes :

• Activé, avec une valeur de délai d’inactivité comprise entre 1 et 86 400 secondes.

• Désactivé

• Non configuré

Vulnérabilité

Vous devez configurer un délai d’écran de veille approprié afin d’activer la fonction de verrouillage associée.

Contre-mesures

Configurez le paramètre Délai d’activation de l’écran de veille sur une valeur appropriée aux exigences de sécurité de votre entreprise.

Impact potentiel

L’écran de veille démarre après une période d’inactivité.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur les modèles d'administration de Windows XP Professionnel et Windows Server 2003 :

• La liste complète de tous les paramètres de stratégie de groupe des modèles d'administration de Windows XP et Windows Server 2003 peut être téléchargée : feuille de calcul « Group Policy Settings Reference for Windows Server 2003 with Service Pack 1 » à l'adresse

  www.microsoft.com/downloads/details.aspx?FamilyId=
  7821C32F-DA15-438D-8E48-45915CD2BC14.

• Pour plus d'informations sur l'emplacement des fichiers .adm, voir l'article de la Base de connaissances Microsoft « Location of ADM (Administrative Template) Files in Windows » à l'adresse https://support.microsoft.com/kb/228460/fr.

• Pour plus d'informations sur la manière de créer des fichiers modèle d'administration personnalisés dans Windows, voir l'article de la Base de connaissances Microsoft "How to: Create Custom Administrative Templates in Windows 2000" à l'adresse https://support.microsoft.com/kb/323639/fr.

• Pour obtenir des informations sur la création de modèles d'administration personnalisés, reportez-vous au Livre blanc « Implementing Registry–Based Group Policy » à l'adresse

  www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.

• Pour obtenir des informations sur le signalement d'erreurs, consultez le site Web Windows Corporate Error Reporting (Signalement des erreurs d'une entreprise) à l'adresse www.microsoft.com/resources/satech/cer/.

• Pour des informations générales sur Windows Server Update Service (WSUS), consultez la page Windows Server Update Services Product Overview (Présentation du produit des services WSUS) à l'adresse

  www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx.

• Pour obtenir des informations sur le déploiement de WSUS, consultez la page Deploying Microsoft Windows Server Update Services (Déploiement des services WSUS) à l'adresse

  http://technet2.microsoft.com/windowsserver/en/library/
  ace052df-74e7-4d6a-b5d4-f7911bb06b401033.mspx?mfr=true.

• Pour plus d'informations sur la gestion des stratégies de groupe, reportez-vous à Enterprise Management with the Group Policy Management Console (Gestion d'entreprise avec la console de gestion de la stratégie de groupe) à l'adresse

  www.microsoft.com/windowsserver2003/gpmc/.

• Le site principal Office 2003 Security présente des liens vers des articles qui expliquent comment utiliser les paramètres et les fonctionnalités de sécurité dans Office 2003,

  https://office.microsoft.com/en-us/ork2003/HA011403061033.aspx.

• Le téléchargement de « Office 2003 Policy Template Files and Deployment Planning Tools » inclut les feuilles de calcul et les fichiers des modèles d'administration de la stratégie de groupe Office qui résument tous les paramètres disponibles,

  https://www.microsoft.com/downloads/details.aspx?FamilyID=ba8bc720-edc2-479b-b115-5abb70b3f490.

• L'ensemble « Office 2003 Resource Kit toolset » inclut les outils et fichiers « Office 2003 Policy Template Files and Deployment Planning Tools 2003 », ainsi qu'un certain nombre d'autres outils utiles pour déployer et gérer Office 2003 ; il est disponible à l'adresse

  https://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe.

• L'article MSDN en deux parties « Naviguer sur Internet et lire ses e-mails de manière sécurisée en tant qu’administrateur » explique comment configurer des navigateurs Web et des clients de messagerie afin qu'ils s'exécutent à des niveaux de privilèges plus bas lorsque vous vous connectez à votre ordinateur avec un compte doté de droits d'administrateur. Les deux parties sont disponibles en ligne aux adresses

  https://msdn2.microsoft.com/en-us/library/ms972827.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Mettre à jour les notifications

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions