Gérer les zones
de sécurité dans Internet Explorer.
Dernière mise à jour : 07/04/2005
- Les zones Internet :
Internet Explorer a défini une sorte de "géographie
du Web" ou, plus exactement, du réseau que constitue
d'une part votre ordinateur et d'autre part le Web, en délimitant
des espaces classés en fonction de leur dangerosité
potentielle. Nous appelons ces espaces des zones de sécurité.
Ainsi, chacune des fonctions dont vous vous servez sera également
mesurée en fonction de la zone à partir de laquelle
elle a été initiée. Notez que ce concept
est complètement absent chez les autres navigateurs comme
Mozilla ou Netscape. Si, d'un côté, la sécurité
globale de votre ordinateur s'en trouve renforcée, cela
provoque également de nombreux désagréments
ou soulève forcément des interrogations. Cette section
va vous aider à mieux comprendre et donc mieux gérer
les zones de sécurité.
- Les zones de sécurité dans Internet Explorer
6 :
Il vous est possible de vous servir de modèles afin de
définir les actions qui seront autorisées ou interdites
quand, par exemple, vous naviguerez sur Internet. Par défaut,
ont été définies cinq zones permettant de
"marquer" à partir de quel espace un processus
ou un programme a été lancé, délimitant
ainsi leur champ d'application respectif. Les zones sont les suivantes
:
Numéro de zone - Nom de la zone
0 Poste de travail
1 Intranet local
2 Sites de confiance
3 Zone Internet
4 Sites sensibles
Pour y accéder, suivez ces étapes :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Sécurité.
Chaque zone se voit définir un ensemble de descripteurs
de sécurité.
Le niveau par défaut défini pour la zone Internet
est sur Moyen.
Il vous est possible de procéder à un changement
général en déplaçant la réglette
ou en cliquant sur le bouton Personnaliser le niveau...
Si, par exemple, vous sélectionnez l'icone Sites de confiance
puis cliquez sur le bouton Sites..., vous pouvez saisir l'URL
des sites que vous considérez comme sans risque pour votre
système. Évidemment, le niveau de sécurité
défini pour cette zone est Faible.
Les paramètres sont stockés dans cette arborescence
du Registre, : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\P3P\History.
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Confidentialité puis sur le bouton
Sites...
3) Dans la zone de texte Adresse du site Web :, saisissez le nom
du site : http://www.microapp.com
4) Cliquez sur les boutons Autoriser puis OK.
Sera créée, dans l'arborescence précédente,
une clé portant le nom de domaine : microapp.com. Une valeur
DWORD nommée (par défaut) contiendra une de ces
deux données de la valeur :
* 1 : toujours autoriser.
* 5 : toujours refuser.
Les paramètres de sécurité d'Internet Explorer
sont stockés à l'intérieur de ces arborescences
:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings.
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings.
Ces trois sous-clés sont importantes :
* TemplatePolicies
* ZoneMap
* Zones
Par défaut, les paramètres de sécurité
sont différents d’un utilisateur à l'autre
et sont donc stockés dans la branche HKEY_CURRENT_USER.
Si, en revanche, vous voulez que soient appliqués les paramètres
contenus dans la branche HKEY_LOCAL_MACHINE (ils écrasent
alors les réglages propres à chaque utilisateur),
vous devez mettre en œuvre la stratégie correspondante.
Même dans ce cas, seuls les paramètres contenus dans
la branche HKEY_CURRENT_USER apparaissent dans les options de
sécurité d'Internet Explorer (alors même qu'ils
sont inopérants).
La clé Template policies détermine le niveau de
sécurité défini par défaut pour chaque
zone de sécurité.
* Élevé : High
* Moyen : Medium
* Moyennement bas : Medium Low
* Faible : Low
Chaque clé contient deux valeurs chaîne nommées
Description et Display Name déterminant le texte qui apparaît
dans la fenêtre Sécurité.
La clé ZoneMap contient les sous-clés suivantes
:
* Domains
* ProtocolDefaults
* Ranges
* Domains
La clé Domains recense les noms de domaine qui ont été
ajoutés afin de modifier le comportement du navigateur
par rapport à sa stratégie par défaut. Prenons
un exemple :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Sécurité puis sur l'icone
Sites de confiance et sur le bouton Sites...
3) Décochez la case Nécessite un serveur sécurisé
(https:) pour tous les sites de cette zone.
4) Dans la zone de texte Ajouter ce site web à la zone
:, saisissez : http://www.hotline-pc.org puis cliquez sur le bouton
Ajouter et validez par OK.
5) Dans le Registre, ouvrez HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
Une clé nommée hotline-pc.org a été
créée contenant comme sous-clé le protocole
autorisé pour ce site : www.
Une valeur DWORD 2 est présente, signifiant que le site
a été autorisé. Si, en revanche, nous ajoutons
ce site dans la liste des sites sensibles, la valeur DWORD sera
modifiée et contiendra, comme données, le chiffre
4.
La clé Zone contient autant de sous-clés qu'il y
a de zones présentes. Chaque sous-clé est définie
par les valeurs DWORD suivantes avec une de ces données
:
* 0 : l'option est activée.
* 1 : il sera demandé si l'action est permise ou refusée.
* 2 : l'option est désactivée.
Le tableau suivant récapitule les options possibles :
Valeur - Action
1001 Télécharger les contrôles ActiveX signés
1004 Télécharger les contrôles ActiveX non
signés
1200 Exécuter les contrôles ActiveX et les plugins
1201 Contrôle d'initialisation et de script ActiveX non
marqués comme sécurisés
1206 Autoriser les scripts de contrôle du navigateur Internet
Explorer
1400 Active scripting
1402 Script des applets Java
1405 Contrôle ActiveX reconnus sûrs pour l'écriture
de scripts
1406 Accès aux sources de données sur plusieurs
domaines
1407 Permettre les opérations de collage via le script
1601 Soumettre les données de formulaires non codées
1604 Téléchargement de polices
1605 Script des applets Java
1606 Permanence des données utilisateur
1607 Navigation des sous-cadres sur différents domaines
1608 Autoriser l'actualisation des métafichiers
1609 Afficher un contenu mixte
1800 Installation des éléments du Bureau
1802 Glisser-déplacer ou copier-coller des fichiers
1803 Téléchargement de fichiers
1804 Lancement des programmes et des fichiers dans un IFRAME
1806 Démarrage des applications et des fichiers non sûrs
1809 Utiliser le Bloqueur de fenêtre publicitaire intempestive
1A00 Connexion
1A10 Paramètres de confidentialité avancés
1C00 Permissions Java
1E05 Autorisations pour les chaînes du logiciel
2000 Comportement des fichiers binaires et des scripts
2001 Exécution des composants signés avec Authenticode
2004 Exécution des composants non signés avec Authenticode
2100 Ouvrir les fichiers en fonction du contenu, pas de l'extension.
2101 Les sites web dans des zones de contenu de moindre privilège
peuvent naviguer dans cette zone
2102 Autoriser les fenêtres initiées par des scripts
sans contrainte de taille ou de position
2200 Demander confirmation pour les téléchargements
de fichiers
2201 Demander confirmation pour les contrôles ActiveX
2300 Autoriser les pages web à utiliser les protocoles
restreints pour le contenu actif
Quelques définitions semblent indispensables :
- Un contrôle ActiveX est un composant spécial qui
permet à des composants logiciels de dialoguer entre eux
au sein d'un environnement réseau. Il est possible de visualiser
les contrôlesX installés sur votre ordinateur en
suivant cette procédure :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur les boutons Paramètres... puis sur Afficher
les objets...
Vous devez normalement avoir un composant ActiveX nommé
Update Class, qui est nécessaire à la fonctionnalité
Windows Update.
- Un script est un programme relativement court qui permet l'exécution
d'une tâche particulière. L'Active scripting est
un terme servant à définir les programmes variés
de script qui peuvent s'exécuter à partir d'une
page HTML. JavaScript et VBScript en sont des exemples.
- Une page HTML (fenêtre) peut être composée
d'un ou plusieurs cadres (frames). Nous pouvons distinguer ainsi
la frame de gauche, qui contient un menu et différents
liens vers d'autres pages du site, et la frame centrale, dans
laquelle le webmaster a placé son éditorial. Une
balise Iframe permet d'inscrire une fenêtre de navigation
indépendante à l'intérieur d'une page HTML.
- Un métafichier est un fichier qui contient des instructions
permettant de reconstruire des données. Les fichiers binaires
désignent tous les fichiers qui ne sont pas du texte (fichiers
permettant le lancement d'une application, par exemple). À
l'inverse, les fichiers ASCII sont tous les fichiers qui comportent
du texte (fichiers .doc, etc.).
- Un contenu mixte est un mélange de données caractères
et d’éléments, sans ordre ni indication d’occurrence,
présent dans un document.
- Un fichier à contenu actif est, par exemple, une page
HTML contenant du JavaScript. Ce dernier s'activera dès
que vous ouvrirez la page.
- La technologie Authenticode permet de vérifier l'identité
d'un programme téléchargé sur Internet et
notamment de savoir s'il provient d'une source réputée
sûre et fiable.
Faisons maintenant quelques remarques :
La commande Exécuter les contrôles ActiveX et les
plugins (1020) comporte une option particulière appelée
Approuvé par l'administrateur. Dans ce cas, les données
de la valeur DWORD sont de 1.
La commande Connexion (1A00) peut avoir les valeurs suivantes
:
* 0 : connexion automatique avec le nom d'utilisateur et le mot
de passe actuel.
* 1 : demander le nom d'utilisateur et le mot de passe.
* 2 : connexion automatique uniquement dans la zone Intranet.
* 3 : ouverture de session anonyme.
La commande Paramètres de confidentialité avancés
(1A10) peut recevoir les valeur suivantes :
* Bloquer tous les cookies : 3
* Haute : 1
* Moyennement haute : 1
* Moyenne : 1
* Basse : 1
* Accepter tous les cookies : 0
Ces deux valeurs binaires placées dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3.
Sont modifiées : {AEBA21FA-782A-4A90-978D-B72164C80120}
et {A8A88C49-5EB2-4990-A1A2-0876022C854F}
Chaque zone contient ces trois valeurs DWORD : CurrentLevel, MinLevel
et RecommendedLevel. Les données de la valeur peuvent être
:
* 10000 : élevé.
* 11000 : moyen.
* 11500 : moyennement bas.
* 12000 : faible.
La valeur DWORD Flags détermine la possibilité qu'a
l'utilisateur de changer les propriétés de la zone
de sécurité concernée.
* 1 : autoriser les utilisateurs à paramétrer le
niveau par défaut.
* 2 : autoriser les utilisateurs à ajouter des sites web
dans cette zone.
* 4 : nécessite un serveur sécurisé (Htpps:)
pour tous les sites de cette zone (Htpps).
* 8 : inclure tous les sites qui n'utilisent pas de serveur proxy.
* 16 : inclure tous les sites locaux (Intranet) non mentionnés
dans d'autres zones.
* 32 : Ne pas montrer cette zone de sécurité dans
les propriétés d'Internet Explorer (c'est le cas
de la zone Poste de travail).
* 64 : Inclure tous les chemins d'accès au réseau
(UNC).
Les valeurs de chacune de ces propriétés sont additionnées
puis converties en une valeur hexadécimale. Par exemple,
l'entrée Flags de la zone 3 (Internet) possède,
comme données de la valeur, la valeur hexadécimale
1.
- Différenciez les sites quand on exporte les clés
du Registre :
Par défaut, les sites de confiance et sensibles sont placés
dans cette même clé du Registre : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains.
Si vous souhaitez exporter cette arborescence en différenciant
les sites de confiance des sites sensibles, vous devez vous servir
d'un logiciel particulier.
ExportZone se télécharge à partir de cette
adresse : http://windowsxp.mvps.org/ExportZone.zip.
1) Une fois l'archive ZIP décompressée, double-cliquez
sur le fichier exécutable ExportZone.exe.
2) Cliquez sur le bouton Trusted Zone Domains.
Un fichier nommé Trusted.reg sera automatiquement généré
à la racine de votre lecteur.
3) Cliquez maintenant sur le bouton Restricted Zone Domains.
Et, là encore, un fichier nommé Restricted.reg sera
créé à la racine de votre lecteur.
- Afficher la zone Poste de travail :
Il est possible d'afficher la zone Poste de travail en suivant
cette astuce :
1) Ouvrez HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0.
2) Éditez une valeur DWORD nommée Flags.
3) Saisissez, comme données, la valeur hexadécimale
47.
La valeur par défaut est 21.
La zone Poste de travail sera ajoutée.
- Changer le niveau par défaut des zones Internet
Explorer :
Si vous tentez de modifier le niveau de sécurité
pour la zone Internet Explorer en dessous du niveau de sécurité
recommandé qui est Moyen, un message d'erreur vous en avertira.
Afin de changer le niveau de sécurité recommandé,
suivez cette astuce :
1) Ouvrez HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\1, 2, 3 ou 4.
2) Éditez une valeur DWORD nommée MinLevel.
3) Saisissez, comme données de la valeur : 10000
La valeur par défaut est de 10500 (Intranet), 10000 (sites
de confiance), 11000 (Internet) ou encore 12000 (sites sensibles).
- Appliquer les paramètres des zones de sécurité
à tous les utilisateurs :
Cette stratégie applique les modifications apportées
par l'utilisateur à une zone de sécurité
à tous les utilisateurs de cet ordinateur, de sorte que
les paramètres des zones de sécurité s'appliquent
uniformément à un même ordinateur et ne varient
pas selon l'utilisateur.
Information : Consultez également la stratégie
Empêcher la modification des paramètres des zones
de sécurité expliquée au paragraphe suivant.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings.
2) Créez une valeur DWORD nommée Security_HKLM_only
3) Éditez cette entrée et inscrivez, comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer : Zones
de sécurité : utiliser seulement les paramètres
machine.
- Empêcher la modification des paramètres
des zones de sécurité :
Cette stratégie empêche les utilisateurs de modifier
les paramètres des zones de sécurité.
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Sécurité puis, par exemple,
sur l'icone Internet.
L'ensemble des boutons et la réglette seront grisés.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings.
2) Créez une valeur DWORD nommée Security_options_edit
3) Éditez cette entrée et inscrivez, comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer : Zones
de sécurité : ne pas autoriser les utilisateurs
à modifier les stratégies.
- Empêcher l'ajout et la suppression des sites :
Cette stratégie empêche les utilisateurs de modifier
les paramètres des zones de sécurité.
1) Dans Internet Explorer cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Sécurité puis, par exemple,
sur l'icone Sites de confiance.
3) Cliquez sur le bouton Sites...
Les boutons Ajouter et Supprimer seront grisés.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings.
2) Créez une valeur DWORD nommée Security_zones_map_edit
3) Éditez cette entrée et inscrivez, comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer : Zones
de sécurité : Ne pas autoriser les utilisateurs
à ajouter/supprimer des sites.
- Liste des attributions de sites aux zones :
Configuration requise : au moins Microsoft Windows XP avec le
Service Pack 2.
Cette stratégie vous permet de définir une liste
des sites que vous souhaitez associer à une zone de sécurité
particulière, en précisant le nom de la valeur puis
le nom de l'hôte d'un site Intranet ou le nom de domaine
pleinement qualifié.
Le nom de la valeur doit également comporter un protocole
spécifié. Par exemple, si vous entrez http://www.microapp.com
comme nom de valeur, les autres protocoles ne seront pas affectés.
Si vous entrez www.microapp.com, tous les protocoles de ce site
seront affectés, par exemple http, https, ftp, etc. Vous
pouvez également entrer le site sous la forme d'une adresse
IP (par exemple, 127.0.0.1) ou d'une plage d'adresses (par exemple,
127.0.0.1-10).
Nous avons vu qu’Internet Explorer gère quatre zones
de sécurité, numérotées de 1 à
4 :
* (1) zone Intranet.
* (2) zone Sites approuvés.
* (3) zone Internet.
* (4) zone Sites sensibles.
Les paramètres de sécurité peuvent être
activés pour chaque zone à l'aide d'autres paramètres
de stratégie, et leurs paramètres par défaut
sont les suivants :
* Zone Sites approuvés (modèle Bas).
* Zone Intranet (modèle Moyennement bas).
* Zone Internet (modèle Moyen).
* Zone Sites sensibles (modèle Élevé).
Prenons un exemple pratique : nous souhaitons ajouter le site
Microapp.com à la liste des sites réputés
approuvés :
1) Dans l'éditeur de stratégie de groupe, ouvrez
Configuration ordinateur/Modèles d'administration/Composants
Windows/Internet Explorer/Panneau de configuration Internet/Onglet
Sécurité.
2) Ouvrez la stratégie Liste des attributions de sites
aux zones.
3) Cochez le bouton radio Activé puis cliquez sur les boutons
Afficher... et Ajouter...
4) Dans la zone de texte Entrez le nom de l'élément
à ajouter :, saisissez : http://www.hotline-pc.org
5) Dans la zone de texte Entrez la valeur de l'élément
à ajouter :, saisissez : 2
Il est bien entendu possible de spécifier autant de sites
que vous désirez.
6) Cliquez deux fois sur OK puis sur le bouton Appliquer.
7) Dans Internet Explorer, saisissez l'adresse de votre site.
La petite icone placée en bas à droite de la fenêtre
indiquera que le site visité fait partie des sites de confiance.
En l'absence de cette stratégie, ce même site sera
indiqué comme faisant partie de la catégorie des
Sites sensibles.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains\hotline-pc.org\www.
2) Créez une valeur DWORD nommée http
3) Éditez cette valeur et saisissez, comme données
de la valeur, le chiffre 2.
4) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMapKey.
5) Créez une valeur chaîne nommée http://www.hotline-pc.org
6) Éditez cette valeur et saisissez, comme données
de la valeur, le chiffre 2.
- Définir les modèles de sites :
Configuration requise : au moins Microsoft Windows XP avec le
Service Pack 2.
Ces stratégies vous permettent de configurer des paramètres
de stratégie dans chaque zone de façon adaptée
au niveau de sécurité sélectionné.
Par exemple : Faible, Moyennement faible, Moyenne ou Haute.
1) Dans l'éditeur de stratégie de groupe, ouvrez
Configuration ordinateur/Modèles d'administration/Composants
Windows/Internet Explorer/Panneau de configuration Internet/Onglet
Sécurité.
2) Ouvrez une de ces stratégies : Modèle de zone
Internet, Intranet, Ordinateur local, Ordinateur local verrouillé,
Sites approuvés et Sites sensibles.
La zone Ordinateur local verrouillé s'applique dès
qu'un processus tente d'accéder à des objets présents
dans la zone locale.
Dans notre exemple, nous allons paramétrer la zone Internet.
3) Double-cliquez sur la branche Modèle de zone Internet.
4) Cochez le bouton radio Activé.
5) Dans la liste déroulante Internet, sélectionnez
le niveau par défaut.
Toutes les valeurs des paramètres individuels de cette
zone seront remplacées par les valeurs par défaut
du modèle standard
Par ailleurs, il est possible de régler, à l'intérieur
de chaque zone définie, les paramètres qui seront
activés, désactivés ou qui nécessiteront
l'approbation des utilisateurs.
6) Toujours en suivant notre exemple, ouvrez cette branche des
stratégies de groupe : Zone Internet.
Toutes les stratégies seront indiquées comme étant
activées.
7) Double-cliquez sur une des stratégies et définissez
le comportement voulu.
Par exemple, ouvrez la stratégie Autoriser le téléchargement
de fichiers puis cliquez, dans la liste déroulante Autoriser
le téléchargement de fichiers, sur l'option Désactiver.
Si vous tentez d'enregistrer un fichier sur le disque, vous aurez
droit à ce message d'erreur : "Les paramètres
de sécurité actuels ne vous permettent pas de télécharger
ce fichier".
Bien évidemment, vous devez empêcher l'accès
à l'onglet Sécurité en utilisant les stratégies
correspondantes.
|
|
