Guide de sécurité de Windows XP
Annexe A : Conseils supplémentaires pour Windows XP Service Pack 2
Dernière mise à jour le 16 août 2004
Cette annexe traite des modifications apportées aux conseils de sécurité et basées sur la sortie de Microsoft Windows XP Service Pack 2 (SP2).
Familiarisez-vous avec les sections précédentes du Guide de sécurité de Windows XP avant de consulter cette annexe. Celle-ci a pour but de compléter ces sections et décrit uniquement les modifications de configuration spécifiques au SP2. Cette annexe ne doit pas être considérée comme un document indépendant.
Sur cette page
Présentation de Windows XP SP2
Modifications apportées aux paramètres de sécurité
Modifications apportées aux modèles d'administration
Paramètres de configuration de l'ordinateur
Paramètres de configuration utilisateur
Résumé
Présentation de Windows XP SP2
Windows XP SP2 contient les mises à jour les plus récentes pour Windows XP. Ces mises à jour permettent d'améliorer la sécurité, la fiabilité et la compatibilité du système d'exploitation grâce à l'introduction d'un ensemble de technologies de sécurité aidant les ordinateurs dotés de Windows à résister à diverses attaques de virus et de vers. Ces technologies incluent :
Protection du réseau
Protection de la mémoire
Sécurité améliorée de la messagerie électronique
Navigation plus sûre
Maintenance améliorée de l'ordinateur
SP2 inclut de nombreuses améliorations liées à la gérabilité de services de sécurité. Ces améliorations permettent aux administrateurs de mettre en œuvre des paramètres de sécurité plus spécifiques aux utilisateurs et aux ordinateurs.
La sécurisation améliorée par défaut constitue l'une des modifications majeures apportées par le SP2. La plupart des modifications de sécurité sont mises en œuvre par défaut et ne nécessitent pas de modification de la configuration. Bon nombre de ces améliorations provoquent des problèmes de compatibilité, mais l'amélioration globale de la sécurité du système d'exploitation compense ces problèmes.
Pour plus d'informations sur les modifications importantes apportées par le SP2, reportez-vous à « Nouvelles fonctionnalités de Microsoft Windows XP Service Pack 2 » à l'adresse https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx.
Modifications apportées aux paramètres de sécurité
Les importantes modifications de paramètres et de stratégie apportées par Windows XP SP2 sont limitées, pour la plupart, à la portion Modèles d'administration de la stratégie de groupe. Par conséquent, cette annexe ne contient aucune recommandation de modification pour les paramètres de sécurité.
Modifications apportées aux modèles d'administration
Des modifications importantes ont été apportées aux modèles d'administration dans Windows XP SP2. Des centaines de nouveaux paramètres vous permettent de bénéficier d'un contrôle plus précis de l'expérience utilisateur et de votre environnement de sécurité. La majeure partie de cette annexe détaille les nouveaux paramètres des modèles d'administration qui vous permettront d'améliorer la sécurité de votre environnement.
Remarque : Au moment de la rédaction de ce document, les paramètres décrits dans cette annexe concernaient uniquement le système Windows XP SP2. Ils n'affectent pas Windows XP Service Pack 1 et les versions antérieures.
Nouveaux modèles d'administration
Il existe d'autres paramètres de sécurité, disponibles dans des fichiers Unicode appelés Modèles d'administration. Ces fichiers contiennent des paramètres de registre affectant Windows XP et ses composants. De nouveaux modèles d'administration sont inclus dans Windows XP SP2. Ces nouveaux modèles nécessitent l'utilisation d'un ordinateur doté de Windows XP SP2 pour la gestion des objets GPO.
Les versions plus anciennes de l'Éditeur d'objets de stratégie de groupe (Gpedit.exe) ne prennent pas en charge les nouveaux modèles d'administration. Pour modifier des objets GPO, qu'ils soient nouveaux ou existants, vous devez utiliser un ordinateur doté de Windows XP SP2. Pour plus d'informations sur l'utilisation d'autres systèmes d'exploitation pour la gestion des objets GPO, reportez-vous à l'article 842933 de la Base de connaissances Microsoft à l'adresse https://support.microsoft.com/kb/842933/fr.
Les paramètres des nouveaux modèles d'administration affectent uniquement les ordinateurs dotés de Windows XP SP2 ; Windows XP SP1 et les versions antérieures ignoreront les nouveaux paramètres. Cette approche vous permet de mettre en œuvre des objets GPO en utilisant la structure d'UO décrite dans le Chapitre 2 du Guide de sécurité de Windows XP afin d'améliorer la sécurité de tous les ordinateurs dotés de Windows XP dans votre environnement.
Paramètres de configuration de l'ordinateur
Les sections suivantes décrivent les paramètres de configuration de l'ordinateur dans l'Éditeur d'objet de stratégie de groupe. Configurez ces paramètres à l'emplacement suivant :
Configuration ordinateur\Modèles d’administration
Appliquez ces paramètres via un objet de stratégie de groupe lié à une unité d'organisation contenant les comptes d'ordinateur de votre environnement. Reliez les paramètres de portables de l'objet GPO à l'UO de portable, et les paramètres de bureau de l'objet GPO à l'UO de bureau comme décrit dans le Chapitre 2 du Guide de sécurité de Windows XP.
Internet Explorer
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer
Désactiver la détection d'arrêts intempestifs
Tableau A.1 : Paramètres de détection des pannes
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Activé |
Activé |
Le paramètre Désactiver la détection d'arrêts intempestifs vous permet de gérer la fonction de détection des arrêts intempestifs de la gestion des modules complémentaires dans Internet Explorer. Si vous activez ce paramètre de stratégie, un arrêt intempestif dans Internet Explorer aura les mêmes conséquences qu'un arrêt sur un ordinateur doté de Windows XP Professionnel Service Pack 1 et versions antérieures : le signalement d'erreurs de Windows sera invoqué. Si vous désactivez ce paramètre de stratégie, la fonction de détection des arrêts intempestifs de la gestion des modules complémentaires sera fonctionnelle.
Les informations de rapport de panne d'Internet Explorer pouvant contenir des données sensibles de la mémoire de l'ordinateur, cette annexe vous recommande de configurer cette option sur Activé, sauf si vous rencontrez régulièrement des arrêts intempestifs et que vous voulez les signaler pour un dépannage ultérieur. Dans ce cas, vous avez la possibilité de configurer temporairement ce paramètre sur Désactivé.
Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires
Tableau A.2 : Activation ou désactivation des paramètres liés aux modules complémentaires
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires vous permet d'autoriser ou non les utilisateurs à accepter ou rejeter des modules complémentaires via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Activé, les utilisateurs ne peuvent pas activer ou désactiver des modules complémentaires via Gérer les modules complémentaires, sauf si un module complémentaire a été spécifiquement ajouté à la Liste des modules complémentaires. Dans ce cas, l'utilisateur peut continuer à gérer le module via Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Désactivé, l'utilisateur pourra activer ou désactiver les modules complémentaires.
Remarque : Pour plus d'informations sur la gestion des modules complémentaires Internet Explorer dans Windows XP SP2, reportez-vous à l'article 883256 de la Base de connaissances, « Comment faire pour gérer les modules complémentaires Internet Explorer dans le Service Pack 2 Windows XP » à l'adresse https://support.microsoft.com/kb/883256/fr.
Les utilisateurs décident souvent d'installer des modules complémentaires non autorisés par la stratégie de sécurité de l'organisation. Ces modules complémentaires peuvent présenter des risques importants pour la sécurité et la confidentialité de votre réseau. Cette annexe vous recommande donc de configurer ce paramètre sur Activé.
Remarque : Passez en revue les paramètres GPO dans Internet Explorer\Fonctionnalités de sécurité\Gérer les modules complémentaires pour vérifier que les modules complémentaires appropriés peuvent être exécutés dans votre environnement.
Panneau de configuration Internet\onglet Sécurité
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\onglet Sécurité
SP2 introduit de nouveaux paramètres de stratégie qui vous aident à sécuriser la configuration de la zone Internet Explorer dans votre environnement. SP2 configure les ordinateurs avec des valeurs par défaut pour ces paramètres de sécurité. Vous pouvez cependant passer en revue ces paramètres et configurer ces stratégies de façon à les adapter à votre environnement et à vos besoins en matière d'utilisation et de compatibilité des applications.
SP2 configure par exemple Internet Explorer pour bloquer par défaut les pop-ups de toutes les zones Internet. Vous pouvez faire en sorte que ce paramètre soit mis en œuvre sur tous les ordinateurs de votre environnement afin d'éliminer les fenêtres pop-up et de réduire les risques d'installations malveillantes associées. Il est également possible que votre environnement contienne des applications nécessitant l'utilisation de pop-ups pour fonctionner convenablement. Dans ce cas, configurez par exemple ce paramètre de façon à autoriser les pop-ups des sites Web se trouvant dans votre intranet.
Panneau de configuration Internet\onglet Avancé
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\onglet Avancé
Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide
Tableau A.3 : Autoriser le logiciel à exécuter des paramètres
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Les contrôles ActiveX de Microsoft et les téléchargements de fichiers comportent souvent des signatures numériques prouvant l'intégrité du fichier et l'identité du créateur du logiciel. Ces signatures vous permettent de vous assurer que le logiciel téléchargé n'a pas été modifié et d'identifier le créateur afin de déterminer s'il est fiable ou non.
Le paramètre de stratégie Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide vous permet d'autoriser ou non l'installation ou l'exécution de logiciel par les utilisateurs si les signatures ne sont pas valides. Une signature non valide peut indiquer que quelqu'un a altéré le fichier. Si vous activez ce paramètre de stratégie, une invite s'affichera lorsque les utilisateurs voudront installer ou exécuter des fichiers comportant une signature non valide. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent ni exécuter, ni installer des fichiers comportant une signature non valide.
Les logiciels non signés pouvant créer des vulnérabilités de sécurité, cette annexe vous recommande de les bloquer en configurant ce paramètre sur Désactivé.
Remarque : Certains logiciels et contrôles légitimes peuvent être tout à fait acceptables, malgré une signature non valide. Testez soigneusement les logiciels de ce type avant d'autoriser leur utilisation sur le réseau de votre entreprise.
Fonctionnalités de sécurité\Restriction de sécurité du protocole MK
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Restriction de sécurité du protocole MK
Processus Internet Explorer (Protocole MK)
Tableau A.4 : Paramètres du protocole MK
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre de stratégie Restriction de sécurité du protocole MK permet de réduire la zone exposée aux attaques en bloquant le protocole MK rarement utilisé. Quelques applications Web plus anciennes utilisent le protocole MK pour récupérer des informations dans des fichiers compressés. Si vous configurez ce paramètre sur Activé, le protocole MK est bloqué pour l'Explorateur Windows et Internet Explorer, ce qui empêche les ressources utilisant le protocole MK de fonctionner correctement. Désactivez ce paramètre si vous souhaitez permettre aux applications d'utiliser l'API du protocole MK.
Le protocole MK n'étant pas beaucoup utilisé, bloquez-le si vous n'en avez pas besoin. Cette annexe vous recommande de configurer ce paramètre sur Activé afin de bloquer le protocole MK, sauf si vous en avez spécifiquement besoin dans votre environnement.
Remarque : Avant de déployer ce paramètre, vérifiez qu'aucune de vos applications n'utilise le protocole MK.
Fonctionnalités de sécurité\Gestion MIME cohérente
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Gestion MIME cohérente
Processus Internet Explorer (Gestion MIME cohérente)
Tableau A.5 : Paramètres de gestion MIME cohérente
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Internet Explorer utilise les données MIME (Multipurpose Internet Mail Extensions) pour déterminer les procédures de traitement des fichiers reçus via un serveur Web. Le paramètre Gestion MIME cohérente\Processus Internet Explorer permet de déterminer si Internet Explorer requiert ou non la cohérence de toutes les informations de types de fichiers fournies par les serveurs Web. Par exemple, si le type MIME d'un fichier est texte/brut et que les données MIME indiquent que le fichier est en fait un fichier exécutable, Internet Explorer modifie son extension afin de refléter cet état de fait. Cette fonction permet de s'assurer que du code exécutable ne peut pas être déguisé en données fiables.
Si vous activez ce paramètre de stratégie, Internet Explorer examine tous les fichiers reçus et applique des données MIME cohérentes. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, Internet Explorer ne requiert pas des données MIME cohérentes pour tous les fichiers reçus et utilise les données MIME fournies par le fichier.
L'usurpation de types de fichiers MIME constitue une menace potentielle pour votre organisation. La vérification de la cohérence et du libellé de ces fichiers permet d'éviter les téléchargements de fichiers malveillants. Cette annexe vous recommande donc de configurer ce paramètre sur Activé pour tous les environnements spécifiés dans ce guide.
Remarque : Ce paramètre est lié aux paramètres Fonctionnalités de sécurité de détection MIME, mais ne les remplace pas.
Fonctionnalités de sécurité\Fonctionnalités de sécurité de détection MIME
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Fonctionnalités de sécurité de détection MIME
Processus Internet Explorer (Détection MIME)
Tableau A.6 : Paramètres de détection MIME
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
La détection MIME est le processus consistant à examiner le contenu d'un fichier MIME afin d'en déterminer le contexte (fichier de données, fichier exécutable ou autre type de fichier). Ce paramètre de stratégie permet de déterminer si la détection MIME d'Internet Explorer empêche la transformation d'un fichier d'un certain type en un type plus dangereux. Quand ce paramètre est Activé, la détection MIME ne transforme pas un fichier d'un certain type en un type plus dangereux. Si ce paramètre est désactivé, la détection MIME configure les processus Internet Explorer de façon à autoriser une détection MIME transformant un fichier d'un certain type en un type plus dangereux. Exemple : la transformation d'un fichier texte en fichier exécutable est dangereuse, car tous les codes contenus dans le fichier texte supposé seront exécutés.
L'usurpation de types de fichiers MIME constitue une menace potentielle pour votre organisation. Vérifiez que ces fichiers sont traités de façon cohérente afin d'éviter les téléchargements de fichiers malveillants sur votre réseau. Cette annexe vous recommande donc de configurer ce paramètre sur Activé pour tous les environnements spécifiés dans ce guide.
Remarque : Ce paramètre est lié aux paramètres Gestion MIME cohérente, mais ne les remplace pas.
Fonctionnalités de sécurité\Restrictions de sécurité de scripts de fenêtres
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Restrictions de sécurité de scripts de fenêtres
Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres)
Tableau A.7 : Paramètres de restrictions de sécurité de scripts de fenêtres
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Internet Explorer autorise les scripts à ouvrir, redimensionner et repositionner divers types de fenêtres par programmation. Souvent, les sites Web non fiables redimensionnent les fenêtres afin de masquer d'autres fenêtres ou de vous forcer à interagir avec une fenêtre contenant un code malveillant.
La fonction de sécurité Restrictions de sécurité de scripts de fenêtres restreint les pop-ups et empêche les scripts d'afficher des fenêtres dans lesquelles les barres de titre et d'état ne sont pas visibles ou de masquer les barres de titre et d'état d'autres fenêtres. Si vous activez le paramètre de sécurité Restrictions de sécurité de scripts de fenêtres\Processus Internet Explorer, diverses restrictions sont appliquées aux processus de l'Explorateur Windows et Internet Explorer. Si vous désactivez ce paramètre ou si vous ne le configurez pas, les scripts peuvent continuer à créer des pop-ups et des fenêtres masquant d'autres fenêtres.
Cette annexe vous recommande de configurer ce paramètre sur Activé afin d'empêcher des sites Web malveillants de contrôler vos fenêtres Internet Explorer ou de tromper les utilisateurs en les faisant cliquer sur la mauvaise fenêtre.
Fonctionnalités de sécurité\Protection contre l'élévation de zone
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Protection contre l'élévation de zone
Processus Internet Explorer (Protection contre l'élévation de zone)
Tableau A.8 : Paramètres de protection contre l'élévation de zone
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Internet Explorer place des restrictions sur chaque page Web ouverte ; ces restrictions dépendent de l'emplacement de la page Web (zone Internet, zone Intranet ou zone Ordinateur local). Les pages Web se trouvant sur un ordinateur local connaissent peu de restrictions de sécurité et résident dans la zone Ordinateur local ; cette zone constitue donc une cible de choix pour les pirates.
Si vous activez ce paramètre de stratégie, toutes les zones peuvent être protégées contre l'élévation de zone par les processus Internet Explorer. Cette approche permet d'empêcher que du contenu exécuté dans une zone récupère les privilèges élevés d'une autre zone. Si vous désactivez ce paramètre de stratégie, aucune zone ne reçoit ce type de protection pour les processus Internet Explorer.
Étant donné la gravité et la fréquence des attaques liées à l'élévation de zone, cette annexe vous recommande de configurer ce paramètre sur Activé dans tous les environnements.
Fonctionnalités de sécurité\Restreindre l'installation ActiveX
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Restreindre l'installation ActiveX
Processus Internet Explorer (Restreindre l'installation ActiveX)
Tableau A.9 : Paramètres de restriction de l'installation d'ActiveX
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Le paramètre de stratégie Restreindre l'installation ActiveX\Processus Internet Explorer permet d'activer le blocage des invites d'installation de contrôles ActiveX pour les processus Internet Explorer.
Si vous activez ce paramètre de stratégie, les invites d'installation de contrôles ActiveX seront bloquées pour les processus Internet Explorer. Si vous désactivez ce paramètre de stratégie, les invites d'installation de contrôles ActiveX ne seront pas bloquées.
Les utilisateurs installent souvent des logiciels tels que les contrôles ActiveX qui ne sont pas autorisés par la stratégie de sécurité de la société. Ces logiciels peuvent présenter des risques importants en matière de sécurité et de confidentialité sur votre réseau. Cette annexe vous recommande donc de configurer ce paramètre sur Activé.
Remarque : Ce paramètre empêche également les utilisateurs d'installer des contrôles ActiveX légitimes qui interféreront avec des composants système importants tels que Windows Update. Si vous activez ce paramètre, mettez en place Software Update Services (SUS) ou une autre méthode de déploiement des mises à jour de sécurité.
Pour plus d'informations sur SUS, reportez-vous à la page Software Update Services (qui comprend également des informations concernant Windows Update Services, le successeur de SUS) à l'adresse https://www.microsoft.com/windowsserversystem/sus/default.mspx.
Fonctionnalités de sécurité\Restreindre le téléchargement de fichiers
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Restreindre le téléchargement de fichiers
Processus Internet Explorer (Restreindre le téléchargement de fichiers)
Tableau A.10 : Paramètres de restriction du téléchargement de fichiers
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Il arrive que des sites Web lancent des invites de téléchargement de fichier sans interaction des utilisateurs. Cette technique peut permettre à des sites Web de placer des fichiers non autorisés sur les disques durs des utilisateurs s'ils cliquent sur le mauvais bouton et acceptent le téléchargement.
Si vous configurez le paramètre de stratégie Restreindre le téléchargement de fichier\Processus Internet Explorer sur Activé, les invites de téléchargement qui ne sont pas lancées par les utilisateurs sont bloquées pour les processus Internet Explorer. Si vous configurez ce paramètre de stratégie sur Désactivé, des invites s'afficheront pour les téléchargements de fichiers qui ne sont pas lancés par les utilisateurs pour les processus Internet Explorer.
Remarque : Ce paramètre est configuré sur Activé dans tous les environnements spécifiés dans ce guide afin d'empêcher les utilisateurs malveillants de placer du code arbitraire sur les ordinateurs des utilisateurs.
Fonctionnalités de sécurité\Gestion des modules complémentaires
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer\Fonctionnalités de sécurité\Gestion des modules complémentaires
Refuser tous les modules complémentaires sauf s'ils figurent sur la Liste des modules complémentaires.
Tableau A.11 : Paramètres Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Ce paramètre de stratégie, avec la stratégie de Liste des modules complémentaires, vous permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètre de stratégie Liste des modules complémentaires définit une liste de modules complémentaires pouvant être autorisés ou refusés via la Stratégie de groupe. Le paramètre de stratégie Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires permet de s'assurer que tous les modules complémentaires sont refusés, sauf s'ils sont répertoriés spécifiquement via le paramètre de stratégie Liste des modules complémentaires.
Si vous activez ce paramètre de stratégie, Internet Explorer autorise uniquement les modules complémentaires spécifiquement répertoriés (et autorisés) via le paramètre de stratégie Liste des modules complémentaires. Si vous désactivez ce paramètre de stratégie, les utilisateurs peuvent utiliser le Gestionnaire pour autoriser ou refuser les modules complémentaires.
Nous vous conseillons d'utiliser à la fois Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires qui peuvent être utilisés dans votre environnement. Cette approche vous permettra de vous assurer que seuls les modules complémentaires autorisés seront utilisés.
Liste des modules complémentaires
Tableau A.12 : Paramètres de la liste des modules complémentaires
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Ce paramètre de stratégie, avec le paramètre Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires, vous permet de contrôler les modules complémentaires d'Internet Explorer. Par défaut, le paramètre de stratégie Liste des modules complémentaires définit une liste de modules complémentaires pouvant être autorisés ou refusés via la Stratégie de groupe. Le paramètre de stratégie Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires permet de s'assurer que tous les modules complémentaires sont refusés, sauf s'ils sont répertoriés spécifiquement via le paramètre de stratégie Liste des modules complémentaires.
Si vous activez ce paramètre de stratégie, vous devrez saisir une liste des modules complémentaires autorisés ou refusés par Internet Explorer. Pour chaque entrée que vous ajoutez à la liste, vous devez fournir les informations suivantes :
Nom de la valeur. Le CLSID (identificateur de classe) du module complémentaire que vous souhaitez ajouter à la liste. Le CLSID doit être entre parenthèses ; exemple : {000000000-0000-0000-0000-0000000000000}. Le CLSID correspondant à un module complémentaire est indiqué sur la balise OBJECT d'une page Web sur laquelle le module est référencé.
Valeur. Numéro indiquant si Internet Explorer doit accepter ou refuser le chargement du module complémentaire. Les valeurs suivantes sont valides :
Tableau A.13 : Valeurs pour la liste des modules complémentaires
Valeur
Description
0
Refuser ce module complémentaire
1
Autoriser ce module complémentaire
2
Autoriser ce module complémentaire et permettre à l'utilisateur de le gérer via Gérer les modules complémentaires
Si vous désactivez ce paramètre de stratégie, la liste est effacée.
Nous vous conseillons d'utiliser à la fois Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires qui peuvent être utilisés dans votre environnement. Cette approche vous permettra de vous assurer que seuls les modules complémentaires autorisés seront utilisés.
Terminal Services\Client
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Composants Windows\Terminal Entretient\Client
Ne pas autoriser l'enregistrement des mots de passe
Tableau A.14 : Paramètres Ne pas autoriser l'enregistrement des mots de passe
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Ne pas autoriser l'enregistrement des mots de passe empêche l'enregistrement des mots de passe sur un ordinateur par les clients Terminal Services. Suite à l'activation de ce paramètre, la case à cocher d'enregistrement du mot de passe est désactivée dans les clients Terminal Services ; les utilisateurs ne pourront donc plus enregistrer les mots de passe. L'enregistrement des mots de passe pouvant présenter des risques, ce paramètre est configuré sur Activé pour les environnements définis dans ce guide.
Remarque : Si ce paramètre était précédemment configuré sur Désactivé ou Non configuré, les mots de passe enregistrés au préalable seront effacés lorsqu'un client Terminal Services se déconnectera du serveur, quel qu'il soit.
Windows Update
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Composants Windows\Windows Update
Ne pas afficher l'option « Installer les mises à jour et éteindre » dans la boîte de dialogue Arrêter Windows
Tableau A.15 : Paramètres Ne pas afficher les options Éteindre
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre de stratégie Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows vous permet de gérer l'affichage ou non de l'option Installer les mises à jour et éteindre dans la boîte de dialogue Arrêter Windows.
Si vous désactivez ce paramètre de stratégie, l'option Installer les mises à jour et éteindre s'affiche dans la boîte de dialogue Arrêter Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter l'ordinateur dans le menu Démarrer ou clique sur le bouton Arrêter l'ordinateur dans la fenêtre qui s'affiche après avoir appuyé sur CTRL+ALT+SUPPR. L'installation de mises à jour étant importante pour la sécurité globale de tout ordinateur, ce paramètre est configuré sur Désactivé pour tous les environnements définis dans ce guide. Ce paramètre est lié au paramètre de stratégie suivant, Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows.
Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows
Tableau A.16 : Paramètres Ne pas modifier l'option d'arrêt par défaut
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre de stratégie Ne pas modifier l'option par défaut sur "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêter Windows vous permet de choisir si vous souhaitez ou non que l'option Installer les mises à jour et éteindre constitue la sélection par défaut dans la boîte de dialogue Arrêt de Windows. Si vous désactivez ce paramètre de stratégie, l'option Installer les mises à jour et éteindre constituera l'option par défaut dans la boîte de dialogue Arrêt de Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter l'ordinateur dans le menu Démarrer.
L'installation de mises à jour étant importante pour la sécurité globale de tout ordinateur, ce paramètre est configuré sur Désactivé pour tous les environnements définis dans ce guide.
Remarque : Ce paramètre de stratégie n'a pas d'impact si l'option Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update\Ne pas afficher l'option "Installer les mises à jour et éteindre" de la boîte de dialogue Arrêter Windows est activée.
Système
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration ordinateur\Modèles d’administration\Système
Désactiver l'invite de recherche de pilote de périphérique Windows Update
Tableau A.17 : Paramètres de recherche de pilotes de périphérique Windows Update
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Activé |
Activé |
Le paramètre Désactiver l'invite de recherche de pilote de périphérique Windows Update contrôle l'affichage ou non d'invites de recherche de pilotes de périphérique sur Internet pour l'administrateur. Si ce paramètre est activé, les administrateurs ne reçoivent pas d'invite de recherche. Si ce paramètre est désactivé ou s'il n'est pas configuré et que l'option Désactiver la recherche de pilotes de périphérique Windows Update est désactivée ou qu'elle n'est pas configurée, des invites demandant à l'administrateur de confirmer la recherche de pilotes de périphériques s'affichent.
Le téléchargement de pilotes de périphérique sur Internet présentant des risques, cette annexe vous recommande de configurer ce paramètre sur Activé pour les environnements à haute sécurité et sur Désactivé pour les environnements d'entreprise. En effet, les types d'attaques pouvant exploiter un téléchargement de pilote sont généralement contrés dans le cadre d'une gestion des ressources correcte en entreprise.
Remarque : Ce paramètre n'est effectif que si l'option Désactiver la recherche de pilotes de périphérique Windows Update dans Modèles d'administration/Système/Gestion de la communication Internet/Paramètres de communication Internet est désactivée ou qu'elle n'est pas configurée.
Système\Rapport d'erreurs
Le Chapitre 4 du Guide de sécurité de Windows XP recommande plusieurs paramètres pour la configuration du signalement d'erreurs. Ces paramètres sont les mêmes pour les ordinateurs dotés de Windows XP SP2, mais le nom de l'un de ces paramètres a été modifié. Le paramètre Signaler les erreurs décrit dans le tableau 4.42 s'appelle désormais Configurer le rapport d'erreurs. Les paramètres recommandés sont les mêmes que les paramètres décrits dans le Chapitre 4.
Système\Appel de procédure distante
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Système\Appel de procédure distante
Restrictions pour les clients RPC non authentifiés
Tableau A.18 : Paramètres de restrictions pour les clients RPC non authentifiés
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Si vous activez le paramètre Restrictions pour les clients RPC non authentifiés, l'exécution RPC sur un serveur RPC est configurée pour empêcher les clients RPC non authentifiés de se connecter aux serveurs RPC en cours d'exécution sur un ordinateur. Un client sera considéré comme non authentifié s'il utilise un canal nommé pour communiquer avec le serveur ou s'il utilise la sécurité RPC. Les interfaces RPC ayant demandé spécifiquement à être accessibles aux clients non authentifiés peuvent être exemptées de cette restriction, en fonction de la valeur choisie pour cette stratégie. Après activation, ce paramètre peut prendre les valeurs suivantes :
Aucune. Cette valeur permet à tous les clients RPC de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée.
Authentifié. Cette valeur permet uniquement aux clients RPC authentifiés de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée. Une exception sera faite pour les interfaces ayant demandé à être exemptées de cette restriction.
Authentifié sans exceptions. Cette valeur permet uniquement aux clients RPC authentifiés de se connecter aux serveurs RPC s'exécutant sur l'ordinateur sur lequel la stratégie est appliquée. Aucune exception n'est permise.
Étant donné que la communication RPC non authentifiée peut créer une vulnérabilité de sécurité, cette annexe vous recommande de configurer ce paramètre sur Activé et la valeur Restriction d'exécution du client à distance RPC non authentifié à appliquer sur Authentifié pour tous les environnements définis dans ce guide.
Remarque : Il est possible que les applications RPC n'authentifiant pas les demandes de connexion entrantes et non sollicitées ne fonctionnent pas convenablement si cette configuration est appliquée. Testez les applications avant de déployer ce paramètre à grande échelle. Bien que la valeur Authentifié de ce paramètre ne soit pas complètement sécurisée, elle peut permettre d'obtenir une bonne compatibilité des applications dans votre environnement.
Authentification de client mappeur de point final RPC
Tableau A.19 : Paramètres d'authentification client
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Activé |
Activé |
L'activation du paramètre Authentification de client mappeur de point final RPC force les clients qui communiquent avec cet ordinateur à fournir une authentification avant l'établissement de la communication RPC.
Système\Gestion de la communication Internet\Paramètres de communication Internet
Plusieurs paramètres de configuration sont disponibles dans le groupe Paramètres de communication Internet. Cette annexe vous recommande de restreindre bon nombre de ces paramètres afin d'améliorer la confidentialité des données se trouvant sur vos systèmes informatiques. Si ces paramètres ne sont pas limités, des informations pourraient être interceptées et utilisées par des utilisateurs malveillants. Bien que ce genre d'attaques soit rare de nos jours, une bonne configuration de ces paramètres permet de protéger votre environnement contre les attaques futures.
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Système\Gestion de la communication Internet\Paramètres de communication Internet
Désactiver la tâche Publication sur le Web pour les fichiers et dossiers
Tableau A.20 : Paramètres Désactiver la tâche Publication sur le Web
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Ce paramètre indique si les tâches Publier ce fichier sur le Web, Publier ce dossier sur le Web et Publier les éléments sélectionnés sur le Web sont affichées dans le volet de la Gestion des fichiers dans les dossiers Windows. L'Assistant Publication de pages Web est utilisé pour télécharger une liste de fournisseurs et permettre aux utilisateurs de publier des pages Web. Si vous configurez ce paramètre sur Activé, ces options sont supprimées du volet Gestion des fichiers et des dossiers Windows.
Désactiver le téléchargement Internet pour les assistants de publication Web et de commande en ligne
Tableau A.21 : Paramètres Désactiver le téléchargement Internet
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
La configuration du paramètre Désactiver le téléchargement Internet pour les assistants de publication Web et de commande en ligne permet de contrôler le téléchargement d'une liste de fournisseurs pour les assistants de publication Web et de commande en ligne. L'activation de ce paramètre a pour effet d'empêcher Windows de télécharger les fournisseurs ; seuls les fournisseurs se trouvant dans la mémoire cache du registre local s'affichent.
Désactiver le Programme d'amélioration de la satisfaction client Windows Messenger
Tableau A.22 : Paramètres Désactiver le programme d'amélioration de la satisfaction client Windows Messenger
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Désactiver le Programme d'amélioration de la satisfaction client Windows Messenger indique si Windows Messenger recueille des informations anonymes concernant l'utilisation du logiciel et du service Windows Messenger. Si vous configurez ce paramètre sur Activé, Windows Messenger ne recueille pas d'informations sur l'utilisation. Les paramètres utilisateur d'activation de la collecte d'informations ne s'affichent pas.
Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche
Tableau A.23 : Paramètres Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Désactiver les mises à jour de fichiers de contenu de l'Assistant Recherche détermine si l'Assistant Recherche télécharge automatiquement ou non les mises à jour de contenu pendant les recherches locales et sur Internet. Si vous configurez ce paramètre sur Activé, l'Assistant Recherche ne télécharge pas de mises à jour de contenu lors des recherches.
Remarque : Dans le cas des recherches sur Internet, le texte de la recherche et des informations associées sont envoyées à Microsoft et au fournisseur de recherche choisi. Sélectionnez Recherche classique pour désactiver complètement la fonction d'Assistant Recherche. Pour sélectionnez Recherche classique, cliquez sur Démarrer, Rechercher, Modifier les préférences. Cliquez ensuite sur Modifier le comportement de recherche Internet.
Désactiver l'impression sur HTTP
Tableau A.24 : Paramètres Désactiver l'impression sur HTTP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Ce paramètre vous permet de désactiver l'impression sur HTTP de ce client. L'impression sur HTTP permet à un client d'utiliser des imprimantes sur l'intranet et sur Internet. Si vous activez ce paramètre, le client ne peut pas imprimer sur des imprimantes Internet via HTTP.
Les informations transmises lors d'une impression sur HTTP ne sont pas protégées et peuvent être interceptées par des utilisateurs malveillants. Ce type d'impression est donc rarement utilisé dans les entreprises ou les environnements à haute sécurité. Le fait de désactiver cette fonctionnalité permet d'en empêcher toute utilisation accidentelle qui pourrait présenter des risques de sécurité.
Remarque : Ce paramètre affecte uniquement le côté client de l'impression Internet. Il n'empêche pas un ordinateur de jouer le rôle de serveur d'impression Internet et de rendre ses imprimantes partagées disponibles via HTTP.
Désactiver le téléchargement de pilotes d'impression sur HTTP
Tableau A.25 : Paramètres Désactiver le téléchargement de pilotes d'impression sur HTTP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Désactiver le téléchargement de pilotes d'impression sur HTTP permet de contrôler le téléchargement des packages de pilotes d'imprimante sur HTTP par l'ordinateur. L'ordinateur devra peut-être télécharger via HTTP des pilotes d'imprimante non disponibles dans l'installation standard du système d'exploitation pour configurer l'impression HTTP. Cette annexe vous recommande de configurer ce paramètre sur Activé afin d'empêcher le téléchargement de pilotes d'imprimante sur HTTP.
Remarque : Ce paramètre n'empêche pas le client d'utiliser des imprimantes sur l'intranet ou Internet via HTTP. Il empêche uniquement le téléchargement de pilotes d'imprimante qui ne sont pas déjà installés localement.
Désactiver la recherche de pilotes de périphérique Windows Update
Tableau A.26 : Paramètres Désactiver la recherche de pilotes de périphérique Windows Update
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Activé |
Activé |
Le paramètre Désactiver la recherche de pilotes de périphérique Windows Update indique si Windows recherche des pilotes de périphérique sur Windows Update lorsqu'il n'existe pas de pilotes locaux pour un périphérique.
Le téléchargement de pilotes de périphérique sur Internet présentant des risques, cette annexe vous recommande de configurer ce paramètre sur Activé pour les environnements à haute sécurité et sur Désactivé pour les environnements d'entreprise. En effet, les types d'attaques pouvant exploiter un téléchargement de pilote sont généralement contrés dans le cadre d'une gestion des ressources et de la configuration d'une entreprise correcte.
Remarque : Voir également Désactiver l'invite de recherche de pilote de périphérique Windows Update dans Modèles d'administration/Système ; ce paramètre permet de spécifier l'affichage ou non d'invites pour les administrateurs avant la recherche de pilotes de périphériques sur Windows Update.
Pare-feu Windows\Profil du domaine
Les paramètres de cette section configurent le profil du domaine du pare-feu Windows. Le pare-feu Windows peut déterminer dynamiquement si l'ordinateur se trouve dans un environnement de domaine et, à partir de là, appliquer une configuration de pare-feu spécifique. Cette capacité vous permet de déployer des paramètres de pare-feu distincts sur la base de l'emplacement de l'ordinateur.
Quand un environnement de domaine est détecté, le profil du domaine est utilisé. Vous pouvez choisir de configurer ce profil de façon moins restrictive que le profil standard étant donné qu'un environnement de domaine fournit généralement des couches de protection supplémentaires. Les informations de configuration du profil standard sont fournies plus loin dans cette annexe.
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Réseau\Connexions réseau\Pare-feu Windows\Profil du domaine
Pare-feu Windows : Protéger toutes les connexions réseau (Profil du domaine)
Tableau A.27 : Paramètres Profil du domaine - protéger toutes les connexions réseau
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Pare-feu Windows : Protéger toutes les connexions réseau permet d'activer le pare-feu Windows, qui remplace le pare-feu de connexion Internet sur tous les ordinateurs exécutant Windows XP SP2. Cette annexe vous recommande de configurer ce paramètre sur Activé afin de protéger toutes les connexions réseau pour les ordinateurs dans tous les environnements.
Si ce paramètre est configuré sur Désactivé, le pare-feu Windows est désactivé et tous les autres paramètres concernant le pare-feu Windows sont ignorés.
Remarque : Si vous activez ce paramètre de stratégie, le pare-feu Windows s'exécute et ignore le paramètre de stratégie Configuration ordinateur\Modèles d'administration\Réseau\Connexions réseau\Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS.
Pare-feu Windows : N'autoriser aucune exception (Profil du domaine)
Tableau A.28 : Paramètres Profil du domaine - n'autoriser aucune exception
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
Le paramètre Pare-feu Windows : N'autoriser aucune exception configure le blocage de tous les messages entrants non sollicités par le pare-feu Windows. Ce paramètre de stratégie remplace tous les autres paramètres de stratégie de pare-feu Windows autorisant ce type de messages. Si vous activez ce paramètre de stratégie dans le composant Pare-feu Windows du panneau de configuration, la case N'autoriser aucune exception est cochée et les administrateurs ne peuvent pas la décocher.
Beaucoup d'environnements contiennent des applications et des services qui, dans le cadre de leur fonctionnement normal, doivent être autorisés à recevoir des communications entrantes non sollicitées. Vous devrez peut-être envisager de configurer ce paramètre sur Désactivé afin de permettre une bonne exécution de ces applications et services. Avant de modifier ce paramètre, testez l'environnement afin de déterminer exactement ce que vous devez autoriser et refuser.
Remarque : Ce paramètre permet de bénéficier d'une bonne défense contre les utilsateurs malveillants externes et doit être configuré sur Activé dans les situations pour lesquelles vous avez besoin d'une protection complète (propagation d'un nouveau ver, par exemple). Si vous configurez cette stratégie sur Désactivé, le pare-feu Windows peut appliquer d'autres paramètres de stratégie autorisant les messages entrants non sollicités.
Pare-feu Windows : Définir les exceptions de programmes (Profil du domaine)
Tableau A.29 : Paramètres Profil du domaine - définir les exceptions de programmes
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Quelques applications peuvent avoir besoin d'ouvrir et d'utiliser des ports réseau qui ne sont normalement pas autorisés par le pare-feu Windows. Le paramètre Pare-feu Windows : Définir les exceptions de programmes vous permet de consulter et de modifier la liste des exceptions de programmes définie par la stratégie de groupe.
Configurez cette stratégie sur Activé afin de pouvoir consulter et modifier la liste des exceptions de programmes. Si vous ajoutez un programme à cette liste et que vous configurez son statut sur Activé, le programme en question pourra recevoir des messages entrants non sollicités sur le port qu'il demande au pare-feu Windows d'ouvrir, même si ce port est bloqué par un autre paramètre de stratégie.
Si vous configurez ce paramètre de stratégie sur Désactivé, la liste d'exceptions de programmes définie par la stratégie de groupe est supprimée.
Remarque : Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans vérifier si elle contient des erreurs ou non. L'entrée n'étant pas vérifiée, vous avez la possibilité d'ajouter des programmes que vous n'avez pas encore installés. Vous pouvez également créer accidentellement des exceptions multiples pour le même programme avec des valeurs Portée ou Statut en conflit.
Pare-feu Windows : Autoriser les exceptions de programmes locaux (Profil du domaine)
Tableau A.30 : Paramètres Profil du domaine - autoriser les exceptions de programmes locaux
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser les exceptions de programmes locaux permet aux administrateurs d'utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de programmes. Si vous désactivez ce paramètre de stratégie, les administrateurs ne sont pas autorisés à définir une liste d'exceptions de programmes locaux, et les exceptions de programmes proviennent uniquement de la stratégie de groupe. Si vous configurez ce paramètre sur Activé, les administrateurs locaux ont la possibilité d'utiliser le panneau de configuration pour définir des exceptions de programmes localement.
Pour les ordinateurs Client entreprise, certaines conditions peuvent nécessiter la définition d'exceptions de programmes locaux par le client. Ces conditions peuvent inclure des applications non analysées au moment de la création de la stratégie de pare-feu de l'organisation ou de nouvelles applications qui nécessitent une configuration de port non standard. Dans ces situations, vous pouvez choisir d'activer ce paramètre en gardant à l'esprit que la zone exposée aux attaques des ordinateurs affectés s'en trouve alors augmentée.
Pare-feu Windows : Autoriser l'exception d'administration à distance (Profil du domaine)
Tableau A.31 : Paramètres Profil du domaine - autoriser l'exception d'administration à distance
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Désactivé |
Désactivé |
Beaucoup d'organisations utilisent une administration à distance dans leurs opérations quotidiennes. Cependant, certaines attaques peuvent exploiter des ports généralement utilisés par les programmes d'administration à distance ; le pare-feu Windows peut bloquer ces ports. Le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance permet une administration à distance flexible.
Configurez ce paramètre sur Activé pour permettre à l'ordinateur de recevoir les messages entrants non sollicités associés à l'administration à distance sur les ports TCP 135 et 445. Ce paramètre de stratégie permet également à SVCHOST.EXE et LSASS.EXE de recevoir des messages entrants non sollicités et permet aux services hébergés d'ouvrir des ports supplémentaires affectés de façon dynamique, généralement dans la plage 1024 à 1034 (valeur potentiellement située entre 1024 et 65535). Si vous activez ce paramètre, vous devez spécifier les adresses IP ou sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows n'applique aucune des exceptions décrites.
Cette annexe vous recommande d'activer ce paramètre pour les ordinateurs d'entreprise si nécessaire, et de le désactiver systématiquement pour les ordinateurs situés dans des environnements à haute sécurité. Le nombre de requêtes d'administration à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum. Afin de maximiser la protection fournie par le pare-feu Windows, spécifiez uniquement les adresses IP nécessaires et les sous-réseaux des ordinateurs utilisés pour l'administration à distance.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes (Profil du domaine)
Tableau A.32 : Paramètres Profil du domaine - autoriser l'exception de partage de fichiers et d'imprimantes
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Ce paramètre permet le partage de fichiers et d'imprimantes ; le pare-feu Windows ouvre les ports UDP 137 et 138 et les ports TCP 139 et 445. Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre ces ports pour que l'ordinateur puisse recevoir des travaux d'impression et des requêtes d'accès à des fichiers partagés. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ces ports et empêche l'ordinateur de partager les fichiers et les imprimantes.
Étant donné que les ordinateurs de votre environnement qui exécutent Windows XP ne partagent normalement pas de fichiers ou d'imprimantes, cette annexe vous recommande de configurer ce paramètre sur Désactivé dans tous les environnements.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser les exceptions ICMP (Profil du domaine)
Tableau A.33 : Paramètres Profil du domaine - autoriser les exceptions ICMP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
Le paramètre Pare-feu Windows : Autoriser les exceptions ICMP permet de définir les types de messages ICMP (Internet Control Message Protocol) autorisés par le pare-feu Windows. Les messages ICMP permettent aux utilitaires de déterminer le statut des autres ordinateurs. Ping utilise par exemple le message de requête d'écho.
Si vous configurez ce paramètre de stratégie sur Activé, vous devez spécifier les types de messages ICMP que le pare-feu Windows autorise l'ordinateur à envoyer ou recevoir. Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows bloque tous les types de message ICMP entrants non sollicités et les types de message ICMP sortants répertoriés. Les utilitaires utilisant les messages ICMP bloqués ne pourront donc pas envoyer ces messages à l'ordinateur (ou à partir de l'ordinateur).
Beaucoup d'outils utilisés par les pirates se servent des ordinateurs qui acceptent les types de message ICMP ; c'est à partir de ces messages qu'ils élaborent leurs attaques. Cependant, certaines applications nécessitent des messages ICMP pour fonctionner convenablement. C'est pour cette raison que cette annexe vous recommande de configurer ce paramètre sur Désactivé quand vous le pouvez. Si votre environnement nécessite le passage de certains messages ICMP par le pare-feu Windows, configurez les types de messages appropriés pour le paramètre.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser l'exception du Bureau à distance (Profil du domaine)
Tableau A.34 : Paramètres Profil du domaine - autoriser l'exception du Bureau à distance
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Beaucoup d'entreprises utilisent des connexions Bureau à distance dans le cadre de leurs procédures de dépannage ou de leurs opérations normales. Certaines attaques ont exploité les ports généralement utilisés par le Bureau à distance. Le paramètre Pare-feu Windows : Autoriser l'exception du Bureau à distance permet une administration à distance flexible.
Si vous activez ce paramètre, le pare-feu Windows ouvre le port TCP 3389 pour les connexions entrantes. Vous devez également spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ce port et empêche l'ordinateur de recevoir des requêtes de Bureau à distance. Si un administrateur tente d'ouvrir ce port en l'ajoutant à une liste d'exceptions de ports locaux, le pare-feu Windows n'ouvre pas le port.
Certaines attaques peuvent exploiter un port 3389 ouvert. Pour préserver les capacités de gestion améliorée fournies par le Bureau à distance, configurez ce paramètre sur Activé et spécifiez les adresses IP et les sous-réseaux des ordinateurs utilisés pour l'administration à distance. Le nombre de requêtes de Bureau à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum.
Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP (Profil du domaine)
Tableau A.35 : Paramètres Profil du domaine - autoriser l'exception d'infrastructure UPnP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
Le paramètre Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP permet à un ordinateur de recevoir les messages Plug-and-Play non sollicités envoyés par des périphériques réseau, comme par exemple des routeurs avec pare-feu intégré. Pour recevoir ces messages, le pare-feu Windows ouvre le port TCP 2869 et le port UDP 1900.
Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre ces ports afin que l'ordinateur puisse recevoir les messages Plug-and-Play. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés. Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ces ports et empêche l'ordinateur de recevoir les messages Plug-and-Play.
Le blocage du trafic réseau UPnP permet de réduire efficacement la surface des ordinateurs se trouvant dans votre environnement. Cette annexe vous recommande de configurer ce paramètre sur Désactivé, sauf si vous utilisez des périphériques UPnP sur votre réseau.
Pare-feu Windows : Empêcher les notifications (Profil du domaine)
Tableau A.36 : Paramètres Profil du domaine - empêcher les notifications
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
Le pare-feu Windows peut afficher des notifications destinées aux utilisateurs lorsqu'un programme demande au pare-feu de l'ajouter à la liste des exceptions de programmes. Cette situation survient quand des programmes tentent d'ouvrir un port alors que les règles du pare-feu Windows en vigueur ne les y autorisent pas. Le paramètre Pare-feu Windows : Empêcher les notifications détermine l'affichage ou non de ces paramètres pour les utilisateurs.
Si vous configurez cette stratégie sur Activé, le pare-feu Windows empêche l'affichage de ces notifications. Si vous la configurez sur Désactivé, le pare-feu Windows autorise l'affichage de ces notifications.
Dans les environnements d'entreprise ou haute sécurité, les utilisateurs ne peuvent généralement pas ajouter d'applications ou de ports en réponse à ces messages. Dans ce cas, le message a uniquement un but informatif ; l'utilisateur ne peut pas agir. Dans ces situations, configurez l'option sur Activé. Dans les autres environnements dans lesquels l'utilisateur peut autoriser des exceptions, configurez cette option sur Désactivé.
Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion (Profil du domaine)
Tableau A.37 : Paramètres Profil du domaine - empêcher les réponses monodiffusion
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion empêche un ordinateur de recevoir des réponses monodiffusion à ses messages multidiffusion ou diffusion sortants. Quand ce paramètre de stratégie est activé et que l'ordinateur envoie des messages multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows bloque les réponses monodiffusion envoyées par ces ordinateurs. Quand le paramètre est désactivé et que l'ordinateur envoie un message multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows attend jusqu'à trois secondes les réponses monodiffusion des autres ordinateurs, puis bloque toutes les réponses ultérieures.
Recevoir des réponses monodiffusion à des messages multidiffusion ou diffusion ne présente généralement aucun intérêt. Ces réponses peuvent indiquer une attaque de déni de service ou un utilisateur malveilant tentant de sonder un ordinateur connecté connu. Cette annexe vous recommande de configurer ce paramètre de stratégie sur Activé afin d'empêcher ce type d'attaque.
Remarque : Ce paramètre de stratégie n'a aucun effet si le message monodiffusion constitue une réponse à un message de diffusion DHCP (Dynamic Host Configuration Protocol) envoyé par l'ordinateur. Le pare-feu Windows autorise systématiquement ces réponses monodiffusion DHCP. Cependant, ce paramètre de stratégie peut interférer avec les messages NetBIOS qui détectent les conflits de nom.
Pare-feu Windows : Définir les exceptions de ports (Profil du domaine)
Tableau A.38 : Paramètres Profil du domaine - définir les exceptions de ports
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
La liste des exceptions de ports du pare-feu Windows doit être définie via la stratégie de groupe, qui vous permet de gérer et de déployer vos exceptions de ports de façon centralisée ; elle vous permet également de vous assurer que les administrateurs ne créent pas de paramètres moins sécurisés. Le paramètre de stratégie Pare-feu Windows : Définir les exceptions de ports vous permet de gérer ces paramètres de façon centralisée.
Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste d'exceptions de ports définie par la stratégie de groupe. Pour afficher et modifier la liste des exceptions de ports, configurez le paramètre de stratégie sur Activé, puis cliquez sur le bouton Afficher. Remarque : Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans la vérifier. Cela signifie que vous pouvez créer accidentellement des entrées multiples pour le même port avec des valeurs Portée ou Statut en conflit.
Si vous désactivez ce paramètre de stratégie, la liste d'exceptions de ports définie par la stratégie de groupe est supprimée, mais les autres paramètres de stratégie peuvent continuer à ouvrir ou bloquer des ports. En outre, s'il existe une liste d'exceptions de ports locaux, elle est ignorée sauf si vous activez le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux.
Dans le cas d'environnements comportant des applications non standard qui nécessitent l'ouverture de ports spécifiques, le déploiement d'exceptions de programmes devra être envisagé. Cette annexe vous recommande d'activer ce paramètre et de spécifier une liste d'exceptions de ports uniquement lorsqu'il n'est pas possible de définir des exceptions de programmes. Les exceptions de programmes permettent au pare-feu Windows de n'accepter le trafic réseau non sollicité que lorsque le programme spécifié est en cours d'exécution et lorsque les exceptions de ports maintiennent les ports spécifiés ouverts en continu.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser les exceptions de ports locaux (Profil du domaine)
Tableau A.39 : Paramètres Profil du domaine - autoriser les exceptions de ports locaux
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux permet aux administrateurs d'utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de ports locaux. Le pare-feu Windows peut utiliser deux listes d'exceptions de ports ; la deuxième est définie par le paramètre de stratégie Pare-feu Windows : Définir les exceptions de ports.
Si vous activez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration autorise les administrateurs à définir une liste d'exceptions de ports locaux. Si vous désactivez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration n'autorise pas les administrateurs à définir cette liste.
Généralement, les administrateurs locaux ne sont pas autorisés à ignorer la stratégie de l'entreprise pour établir leurs propres exceptions de ports dans les environnements d'entreprise ou haute sécurité. C'est pour cette raison que cette annexe vous recommande de configurer cette option sur Désactivé.
Pare-feu Windows\Profil standard
Les paramètres de cette section permettent de configurer le profil standard du pare-feu Windows. Le pare-feu Windows peut déterminer dynamiquement si l'ordinateur se trouve dans un environnement de domaine et, à partir de là, appliquer une configuration de pare-feu spécifique. Cette capacité vous permet de déployer des paramètres de pare-feu distincts sur la base de l'emplacement de l'ordinateur.
Quand un environnement hors domaine est détecté, le Profil standard est utilisé. Ce profil est souvent plus restrictif que le profil de domaine, qui part du principe qu'un environnement de domaine offre un niveau de sécurité de base. Le profil standard doit être utilisé lorsqu'un ordinateur se trouve sur un réseau non fiable (réseau d'un hôtel, par exemple, ou point d'accès sans fil public). Les environnements de ce type présentent des menaces inconnues et nécessitent des précautions supplémentaires en matière de sécurité.
Pour plus d'informations sur l'utilisation faite par Windows XP de NLA (Network Location Awareness) pour déterminer le réseau auquel il est connecté, reportez-vous à l'article « Network Determination Behavior for Network-Related Group Policy Settings » sur le site Web de Microsoft à l'adresse https://www.microsoft.com/technet/community/columns/cableguy/cg0504.mspx.
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Modèles d'administration\Réseau\Connexions réseau\Pare-feu Windows\Profil standard
Pare-feu Windows : Protéger toutes les connexions réseau (Profil standard)
Tableau A.40 : Paramètres Profil standard - protéger toutes les connexions réseau
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Pare-feu Windows : Protéger toutes les connexions réseau permet d'activer le pare-feu Windows, qui remplace le pare-feu de connexion Internet sur tous ordinateurs exécutant Windows XP SP2. Étant donné que toutes les connexions réseau doivent être protégées par un pare-feu dans tous les environnements, ce paramètre doit être configuré sur Activé.
Si ce paramètre est configuré sur Désactivé, le pare-feu Windows est désactivé et tous les autres paramètres concernant le pare-feu Windows sont ignorés.
Remarque : Si vous activez ce paramètre de stratégie, le pare-feu Windows s'exécute et ignore le paramètre de stratégie Configuration ordinateur\Modèles d'administration\Réseau\Connexions réseau\Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS.
Pare-feu Windows : N'autoriser aucune exception (Profil standard)
Tableau A.41 : Paramètres Profil standard - n'autoriser aucune exception
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Le paramètre Pare-feu Windows : N'autoriser aucune exception configure le blocage de tous les messages entrants non sollicités par le pare-feu Windows. Ce paramètre de stratégie remplace tous les autres paramètres de stratégie de pare-feu Windows autorisant ce type de messages. Si vous activez ce paramètre de stratégie dans le composant Pare-feu Windows du panneau de configuration, la case N'autoriser aucune exception est cochée et les administrateurs ne peuvent pas la décocher.
Remarque : Ce paramètre constitue une défense efficace contre les utilisateurs malveillants externes et doit être configuré sur Activé, sauf si vous définissez des exceptions dans d'autres paramètres de stratégie. Si vous configurez cette stratégie sur Désactivé, le pare-feu Windows peut appliquer d'autres paramètres de stratégie autorisant les messages entrants non sollicités.
Pare-feu Windows : Définir les exceptions de programmes (Profil standard)
Tableau A.42 : Paramètres Profil standard - définir les exceptions de programmes
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Recommandé |
Recommandé |
Recommandé |
Recommandé |
Quelques applications peuvent avoir besoin d'ouvrir et d'utiliser des ports réseau qui ne sont normalement pas autorisés par le pare-feu Windows. Le paramètre Pare-feu Windows : Définir les exceptions de programmes vous permet de consulter et de modifier la liste des exceptions de programmes définie par la stratégie de groupe.
Configurez cette stratégie sur Activé afin de pouvoir consulter et modifier la liste des exceptions de programmes. Si vous ajoutez un programme à cette liste et que vous configurez son statut sur Activé, le programme en question pourra recevoir des messages entrants non sollicités sur le port qu'il demande au pare-feu Windows d'ouvrir, même si ce port est bloqué par un autre paramètre de stratégie.
Si vous configurez ce paramètre de stratégie sur Désactivé, la liste d'exceptions de programmes définie par la stratégie de groupe est supprimée.
Remarque : Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans vérifier si elle contient des erreurs ou non. Cette capacité vous permet d'ajouter des programmes que vous n'avez pas encore installés, mais n'oubliez pas que vous pouvez créer accidentellement des entrées multiples pour un même programme avec des valeurs Portée ou Statut en conflit.
Pare-feu Windows : Autoriser les exceptions de programmes locaux (Profil standard)
Tableau A.43 : Paramètres Profil standard - autoriser les exceptions de programmes locaux
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser les exceptions de programmes locaux permet aux administrateurs d'utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de programmes. Si vous désactivez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration n'autorise pas les administrateurs à définir une liste de ce type. Les exceptions de programmes proviennent uniquement de la stratégie de groupe. Si vous configurez ce paramètre sur Activé, les administrateurs locaux ont la possibilité d'utiliser le panneau de configuration pour définir des exceptions de programmes localement.
Pare-feu Windows : Autoriser l'exception d'administration à distance (Profil standard)
Tableau A.44 : Paramètres Profil standard - autoriser l'exception d'administration à distance
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Beaucoup d'organisations utilisent une administration à distance dans leurs opérations quotidiennes. Certaines attaques ont exploité les ports généralement utilisés par les programmes d'administration à distance. Le pare-feu Windows peut bloquer ces ports. Le paramètre Pare-feu Windows : Autoriser l'exception d'administration à distance permet une administration à distance flexible.
Configurez ce paramètre sur Activé pour permettre à l'ordinateur de recevoir les messages entrants non sollicités associés à l'administration à distance sur les ports TCP 135 et 445. Ce paramètre de stratégie permet également à SVCHOST.EXE et LSASS.EXE de recevoir des messages entrants non sollicités et permet aux services hébergés d'ouvrir des ports supplémentaires affectés de façon dynamique, généralement dans la plage 1024 à 1034 (valeur potentiellement située entre 1024 et 65535). Si vous activez ce paramètre, vous devez spécifier les adresses IP ou sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows n'applique aucune des exceptions décrites.
Cette annexe vous recommande de désactiver ce paramètre pour tous les ordinateurs du Profil standard afin d'éviter les attaques connues qui exploitent spécifiquement les ports TCP 135 et 445.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes (Profil standard)
Tableau A.45 : Paramètres Profil standard - autoriser l'exception de partage de fichiers et d'imprimantes
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Ce paramètre permet le partage de fichiers et d'imprimantes ; le Pare-feu Windows ouvre les ports UDP 137 et 138 et les ports TCP 139 et 445. Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre ces ports pour que l'ordinateur puisse recevoir des travaux d'impression et des requêtes d'accès à des fichiers partagés. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ces ports et empêche l'ordinateur de partager les fichiers et les imprimantes.
Étant donné que les ordinateurs de votre environnement qui exécutent Windows XP ne partagent normalement pas de fichiers ou d'imprimantes, cette annexe vous recommande de configurer ce paramètre sur Désactivé dans tous les environnements.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser les exceptions ICMP (Profil standard)
Tableau A.46 : Paramètres Profil standard - autoriser les exceptions ICMP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser les exceptions ICMP permet de définir les types de messages ICMP (Internet Control Message Protocol) autorisés par le pare-feu Windows. Les messages ICMP permettent aux utilitaires de déterminer le statut des autres ordinateurs. Ping utilise par exemple le message de requête d'écho.
Si vous configurez ce paramètre de stratégie sur Activé, vous devez spécifier les types de messages ICMP que le pare-feu Windows autorise l'ordinateur à envoyer ou recevoir. Si vous configurez ce paramètre de stratégie sur Désactivé, le pare-feu Windows bloque tous les types de message ICMP entrants non sollicités et les types de message ICMP sortants répertoriés. Les utilitaires utilisant les messages ICMP bloqués ne pourront donc pas envoyer ces messages à l'ordinateur (ou à partir de l'ordinateur).
Beaucoup d'outils utilisés par les pirates se servent des ordinateurs qui acceptent les types de message ICMP ; c'est à partir de ces messages qu'ils élaborent leurs attaques. Cependant, certaines applications nécessitent des messages ICMP pour fonctionner convenablement. C'est pour cette raison que cette annexe vous recommande de configurer ce paramètre sur Désactivé quand vous le pouvez. Ce paramètre doit être Désactivé lorsque l'ordinateur se trouve sur un réseau douteux.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser l'exception du Bureau à distance (Profil standard)
Tableau A.47 : Paramètres Profil standard - autoriser l'exception du Bureau à distance
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Beaucoup d'entreprises utilisent des connexions Bureau à distance dans le cadre de leurs procédures de dépannage ou de leurs opérations normales. Certaines attaques ont exploité les ports généralement utilisés par le Bureau à distance. Le paramètre Pare-feu Windows : Autoriser l'exception du Bureau à distance permet une administration à distance flexible.
Si vous activez ce paramètre, le pare-feu Windows ouvre le port TCP 3389 pour les connexions entrantes. Vous devez également spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés.
Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ce port et empêche l'ordinateur de recevoir des requêtes de Bureau à distance. Si un administrateur tente d'ouvrir ce port en l'ajoutant à une liste d'exceptions de ports locaux, le pare-feu Windows n'ouvre pas le port.
Certaines attaques peuvent exploiter un port 3389 ouvert. Pour préserver les capacités de gestion améliorée fournies par le Bureau à distance, configurez ce paramètre sur Activé et spécifiez les adresses IP et les sous-réseaux des ordinateurs utilisés pour l'administration à distance. Le nombre de requêtes de Bureau à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum.
Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP (Profil standard)
Tableau A.48 : Paramètres Profil standard - autoriser l'exception d'infrastructure UPnP
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser l'exception d'infrastructure UPnP permet à un ordinateur de recevoir les messages Plug-and-Play non sollicités envoyés par des périphériques réseau, comme par exemple des routeurs avec pare-feu intégré. Pour recevoir ces messages, le pare-feu Windows ouvre le port TCP 2869 et le port UDP 1900.
Si vous activez ce paramètre de stratégie, le pare-feu Windows ouvre ces ports afin que l'ordinateur puisse recevoir les messages Plug-and-Play. Vous devez spécifier les adresses IP ou les sous-réseaux à partir desquels ces messages entrants sont autorisés. Si vous désactivez ce paramètre de stratégie, le pare-feu Windows bloque ces ports et empêche l'ordinateur de recevoir les messages Plug-and-Play.
Le blocage du trafic réseau UPnP permet de réduire la zone exposée aux attaques d'un ordinateur. Ce paramètre doit toujours être configuré sur Désactivé sur les réseaux douteux.
Pare-feu Windows : Empêcher les notifications (Profil standard)
Tableau A.49 : Paramètres Profil standard - empêcher les notifications
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
Le pare-feu Windows peut afficher des notifications destinées aux utilisateurs lorsqu'un programme demande au pare-feu de l'ajouter à la liste des exceptions de programmes. Cette situation survient quand des programmes tentent d'ouvrir un port alors que les règles du pare-feu Windows en vigueur ne les y autorisent pas. Le paramètre Pare-feu Windows : Empêcher les notifications détermine l'affichage ou non de ces paramètres pour les utilisateurs.
Si vous configurez cette stratégie sur Activé, le pare-feu Windows empêche l'affichage de ces notifications. Si vous la configurez sur Désactivé, le pare-feu Windows autorise l'affichage de ces notifications.
Dans les environnements d'entreprise ou haute sécurité, les utilisateurs ne peuvent généralement pas ajouter d'applications ou de ports en réponse à ces messages. Dans ce cas, le message a uniquement un but informatif ; l'utilisateur ne peut pas agir. Dans ces situations, configurez l'option sur Activé. Dans les autres environnements dans lesquels l'utilisateur peut autoriser des exceptions, configurez cette option sur Désactivé.
Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion (Profil standard)
Tableau A.50 : Paramètres Profil standard - empêcher les réponses monodiffusion
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Activé |
Activé |
Activé |
Activé |
Le paramètre Pare-feu Windows : Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion empêche un ordinateur de recevoir des réponses monodiffusion à ses messages multidiffusion ou diffusion sortants. Quand ce paramètre de stratégie est activé et que l'ordinateur envoie des messages multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows bloque les réponses monodiffusion envoyées par ces ordinateurs. Quand le paramètre est désactivé et que l'ordinateur envoie un message multidiffusion ou diffusion à d'autres ordinateurs, le pare-feu Windows attend jusqu'à trois secondes les réponses monodiffusion des autres ordinateurs, puis bloque toutes les réponses ultérieures.
Recevoir des réponses monodiffusion à des messages multidiffusion ou diffusion ne présente généralement aucun intérêt. Ces réponses peuvent indiquer une attaque de déni de service ou un utilisateur malveillant tentant de sonder un ordinateur connecté connu. Cette annexe vous recommande de configurer ce paramètre de stratégie sur Activé afin d'empêcher ce type d'attaque.
Remarque : Ce paramètre de stratégie n'a aucun effet si le message monodiffusion constitue une réponse à un message de diffusion DHCP (Dynamic Host Configuration Protocol) envoyé par l'ordinateur. Le pare-feu Windows autorise systématiquement ces réponses monodiffusion DHCP. Cependant, ce paramètre de stratégie peut interférer avec les messages NetBIOS qui détectent les conflits de nom.
Pare-feu Windows : Définir les exceptions de ports (Profil standard)
Tableau A.51 : Paramètres Profil standard - définir les exceptions de ports
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Non recommandé |
Non recommandé |
Non recommandé |
Non recommandé |
La liste des exceptions de ports du pare-feu Windows doit être définie via la stratégie de groupe, qui vous permet de gérer et de déployer vos exceptions de ports de façon centralisée ; elle vous permet également de vous assurer que les administrateurs ne créent pas de paramètres moins sécurisés. Le paramètre de stratégie Pare-feu Windows : Définir les exceptions de ports vous permet de gérer ces paramètres de façon centralisée.
Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste d'exceptions de ports définie par la stratégie de groupe. Pour afficher et modifier la liste des exceptions de ports, configurez le paramètre de stratégie sur Activé, puis cliquez sur le bouton Afficher. Remarque : Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans la vérifier. Cela signifie que vous pouvez créer accidentellement des entrées multiples pour le même port avec des valeurs Portée ou Statut en conflit.
Si vous désactivez ce paramètre de stratégie, la liste d'exceptions de ports définie par la stratégie de groupe est supprimée, mais les autres paramètres de stratégie peuvent continuer à ouvrir ou bloquer des ports. En outre, s'il existe une liste d'exceptions de ports locaux, elle est ignorée sauf si vous activez le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux.
Dans le cas d'environnements comportant des applications non standard qui nécessitent l'ouverture de ports spécifiques, le déploiement d'exceptions de programmes devra être envisagé. Cette annexe vous recommande d'activer ce paramètre et de spécifier une liste d'exceptions de ports uniquement lorsqu'il n'est pas possible de définir des exceptions de programmes. Les exceptions de programmes permettent au pare-feu Windows de n'accepter le trafic réseau non sollicité que lorsque le programme spécifié est en cours d'exécution et lorsque les exceptions de ports maintiennent les ports spécifiés ouverts en continu.
Remarque : Si un paramètre de stratégie ouvre le port TCP 445, le pare-feu Windows autorise les messages de requête d'écho ICMP entrants (tels que ceux qui sont envoyés par l'utilitaire Ping), même si le paramètre de stratégie Pare-feu Windows : Autoriser les exceptions ICMP devait les bloquer. Les paramètres de stratégie pouvant ouvrir le port TCP 445 comprennent Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes, Pare-feu Windows : Autoriser l'exception d'administration à distance et Pare-feu Windows : Définir les exceptions de ports.
Pare-feu Windows : Autoriser les exceptions de ports locaux (Profil standard)
Tableau A.52 : Paramètres Profil standard - autoriser les exceptions de ports locaux
Ordinateur de bureau Client Entreprise |
Ordinateur portable Client Entreprise |
Ordinateur de bureau Haute sécurité |
Ordinateur portable Haute sécurité |
|---|---|---|---|
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Le paramètre Pare-feu Windows : Autoriser les exceptions de ports locaux permet aux administrateurs d'utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de ports locaux. Le pare-feu Windows peut utiliser deux listes d'exceptions de ports ; la deuxième est définie par le paramètre de stratégie Pare-feu Windows : Définir les exceptions de ports.
Si vous activez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration autorise les administrateurs à définir une liste d'exceptions de ports locaux. Si vous désactivez ce paramètre de stratégie, le composant Pare-feu Windows du panneau de configuration n'autorise pas les administrateurs à définir cette liste.
Généralement, les administrateurs locaux ne sont pas autorisés à ignorer la stratégie de l'entreprise pour établir leurs propres exceptions de ports dans les environnements d'entreprise ou haute sécurité. C'est pour cette raison que cette annexe vous recommande de configurer cette option sur Désactivé.
Paramètres de configuration utilisateur
Les sections restantes de cette annexe abordent les paramètres de configuration utilisateur. Appliquez ces paramètres via un objet de stratégie de groupe lié à une unité d'organisation contenant des comptes utilisateur.
Remarque : Les paramètres de configuration utilisateur sont appliqués à tous les clients sur lesquels les utilisateurs ouvrent une session dans un domaine de services d'annuaire Active Directory. Les paramètres de configuration ordinateur s'appliquent à tous les clients gouvernés par un objet GPO dans Active Directory, quelle que soit l'identité de l'utilisateur ouvrant une session sur le client. C'est pourquoi les tableaux de cette section ne comportent que les paramètres recommandés pour les environnements Client Entreprise et Haute sécurité définis dans ce guide. Ces paramètres peuvent s'appliquer à tous les ordinateurs.
Gestionnaire de pièces jointes
Utilisez l'Éditeur d'objets de stratégie de groupe pour configurer le modèle d'administration correct. Les paramètres recommandés se trouvent à l'emplacement suivant :
Configuration utilisateur\Modèles d'administration\Composants Windows\Gestionnaire de pièces jointes
Ne pas conserver les informations de zones dans les pièces jointes de fichiers
Tableau A.53 : Paramètres Ne pas conserver les informations de zones
Client Entreprise |
Haute sécurité |
|---|---|
Désactivé |
Désactivé |
Le paramètre de stratégie Ne pas conserver les informations de zone vous permet de choisir si vous souhaitez ou non que Windows indique la zone d'origine des pièces jointes Internet Explorer ou Outlook Express (restreinte, Internet, intranet ou locale). Ce paramètre nécessite que les fichiers soient téléchargés dans des partitions de disque NTFS pour fonctionner correctement. Si les informations de zone ne sont pas conservées, Windows ne peut pas établir d'évaluations correctes des risques sur la base de la zone d'origine de la pièce jointe.
Si vous configurez cette stratégie sur Activé, les informations de zone ne sont pas indiquées sur les pièces jointes. Si vous le configurez sur Désactivé, Windows stocke les pièces jointes avec les informations de zone correspondantes. Étant donné que des pièces jointes dangereuses sont souvent téléchargées à partir de zones Internet Explorer douteuses telles que la zone Internet, cette annexe vous recommande de configurer ce paramètre sur Désactivé afin de préserver un maximum d'informations de sécurité.
Masquer les mécanismes de suppression d'informations de zone
Tableau A.54 : Paramètres des mécanismes de suppression d'informations de zone
Client Entreprise |
Haute sécurité |
|---|---|
Activé |
Activé |
Le paramètre de stratégie Masquer les mécanismes de suppression d'informations de zone vous permet de définir si vous souhaitez que les utilisateurs aient la possibilité de retirer manuellement les informations de zone des pièces jointes en cliquant sur le bouton Déverrouillage dans la section Propriété du fichier ou en sélectionnant une case à cocher dans la boîte de dialogue Avertissement de sécurité. Si les informations de zone sont supprimées, les utilisateurs ont la possibilité d'ouvrir des pièces jointes potentiellement dangereuses dont Windows avait interdit l'ouverture.
Windows masque la case à cocher et le bouton Déverrouillage lorsque ce paramètre de stratégie est configuré sur Activé. Quand le paramètre est Désactivé, Windows affiche la case à cocher et le bouton Déverrouillage. Étant donné que des pièces jointes dangereuses sont souvent téléchargées à partir de zones Internet Explorer douteuses telles que la zone Internet, cette annexe vous recommande de configurer ce paramètre sur Activé afin de préserver un maximum d'informations de sécurité.
Remarque : Reportez-vous au paramètre Ne pas conserver les informations de zone dans les pièces jointes de fichiers (voir plus haut) pour l'enregistrement des informations de zone.
Avertir les programmes antivirus lors de l'ouverture des pièces jointes
Tableau A.55 : Paramètres Avertir les programmes antivirus
Client Entreprise |
Haute sécurité |
|---|---|
Activé |
Activé |
Les programmes antivirus sont devenus obligatoires dans la plupart des environnements et constituent une ligne de défense importante contre les attaques. Le paramètre de stratégie Avertir les programmes antivirus lors de l'ouverture des pièces jointes vous permet de gérer le comportement de notification des programmes antivirus enregistrés.
Quand ce paramètre est Activé, Windows demande au programme antivirus enregistré d'analyser les pièces jointes à l'ouverture de celles-ci. Si l'analyse antivirus échoue, les pièces jointes sont bloquées et ne peuvent pas être ouvertes. Si ce paramètre de stratégie est Désactivé, Windows ne notifie pas le programme antivirus à l'ouverture de pièces jointes.
Cette annexe vous recommande de configurer cette stratégie sur Activé dans tous les environnements de façon à ce que tous les fichiers soient analysés avant ouverture.
Remarque : Pour que ce paramètre fonctionne correctement, il faut qu'un programme antivirus mis à jour soit installé. Bon nombre de programmes antivirus mis à jour utilisent de nouvelles API incluses dans SP2.
Résumé
Les diverses améliorations liées à la gérabilité des services de sécurité de Windows XP SP2 permettent aux administrateurs de mettre en œuvre des paramètres de sécurité plus spécifiques pour les ordinateurs et les utilisateurs. Cette annexe a illustré les paramètres les plus importants, ceux que vous devez utiliser pour améliorer la sécurité d'un environnement SP2. Tous les paramètres possibles ne sont pas décrits dans l'annexe ; ceux qui s'y trouvent sont ceux qui peuvent avoir un impact direct et important sur votre environnement.
Gardez à l'esprit que le SP2 est très différent des versions antérieures de Windows, et que des problèmes de compatibilité des applications se présenteront probablement dans votre environnement. Testez tous les paramètres recommandés avant de les mettre en œuvre. Ces paramètres ont été testés de façon exhaustive pour les environnements indiqués, mais nous vous conseillons de les tester dans votre environnement spécifique.