Hotline pc one faq windows  
Hotline pc line
Hotline PC - contact Hotline PC - Vista Hotline PC - Windows XP Hotline PC - dossiers Hotline PC - registre Hotline PC - reseaux Hotline PC - applications Hotline PC - ms-dos Hotline PC - gravure Hotline PC - autres
Google
 
Forum
Fonds d'écran
Sonneries
Sonneries
Jeux





Le mode protégé

Un dossier sur le fonctionnement du mode protégé d'Internet Explorer 7.

Dernière mise à jour : 07/01/2007

Internet Explorer 7 et le mode protégé

Avant d'expliquer le fonctionnement de cette technologie voyons comment paramétrer le mode protégé dans Internet Explorer 7 :

  1. Cliquez sur Outils/Options Internet.
  2. Cliquez sur l'onglet Sécurité.
  3. Cochez ou décochez la case Activer le mode protégé (redémarrage d'Internet Explorer requis).

La barre d'état d'Internet Explorer située en bas de la fenêtre du navigateur vous indique le statut de cette protection.
L'interface utilisateur d'isolation des privilèges ("User Interface Privilege Isolation" ou "UIPI") empêche les processus d'utiliser les APIs utilisateur en mode d'intégrité élevée. Cette infrastructure de sécurité permet à Internet Explorer de fonctionner apparemment normalement tout en bloquant l'installation silencieuse de programmes ou la modification de données sensibles. En effet, l'interface d'Internet Explorer peut exposer votre système à recevoir une multitude de données provenant de sources non fiables. Exécuter ce même programme en mode d'utilisateur restreint (moins de permission et à un niveau d'intégrité faible) permet de réduire les risques d'exploitation de failles du navigateur.
Ce mécanisme d'intégrité se décompose de cette façon :
Les objets sécurisables que sont les fichiers et les entrées du Registre possèdent chacun un descripteur de sécurité qui définit un niveau de privilège permettant l'accès en écriture. Ce niveau d'intégrité est défini par une entrée de contrôle d'accès appelée ACE dans la liste de contrôle d'accès (SACL). Ce niveau d'intégrité est défini par défaut sur "Moyen".
Les processus ont un niveau d'intégrité définis par le jeton d'accès de sécurité. En mode protégé, le processus Internet Explorer possède un niveau d'intégrité faible.

  • Les applications exécutés à partir du menu Démarrer se voient assigné un niveau d'intégrité moyen.
  • Les applications qui sont exécutées en tant qu'administrateur possèdent quant à elles un niveau d'intégrité élevé.

Les processus possédant un niveau d'intégrité faible ne peuvent modifier des objets au niveau d'intégrité élevé à moins que le SID de l'utilisateur possède un doit d'écriture dans la liste DACL de l'objet. En conclusion, vous recevrez un message d'erreur quand un processus de niveau faible comme Internet Explorer essayera de modifier en écriture un objet protégé par un niveau d'intégrité élevé.
Ce ne sera bien entendu pas le cas si ce même processus passe des opérations d'écriture dans des dossiers possédant un niveau d'intégrité faible comme par exemple le répertoire des fichiers temporaires d'Internet Explorer.
Les mécanismes de sécurité propres à Windows Vista font qu'un niveau d'intégrité faible est assigné à un objet créé par un processus de même niveau d'intégrité. Tous les objets (comme des fichiers) qui sont créés par Internet Explorer recevront donc un niveau d'intégrité faible. En conséquence, il est permit de penser que leur niveau d'intégrité empêchant d'accéder à des objets de niveau d'intégrité supérieur cela réduit du même coup leur capacité de nuisance…
Ces différents niveaux d'intégrité sont appelés " Integrity access levels" ou "IL". Voici une liste expliquant les privilèges qu'ils confèrent aux processus :

  • Élevé : les processus peuvent créer des fichiers dans le répertoire Program Files et procéder à des modifications dans le Registre notamment dans l'arborescence HKEY_LOCAL_MACHINE.
  • Moyen : les processus peuvent procéder à des écritures dans le répertoire Documents et procéder à des modifications dans les portions réservés à l'utilisateur présentes dans le Registre (comme la branche HKEY_CURRENT_USER).
  • Faible : les processus ne pourront modifier que les zones de moindre confiance comme les répertoires temporaires ou les branches du Registre temporaires (HKEY_CURRENT_USER\Software\AppDataLow, par exemple).

Fonctionnement du mode protégé sous IE 7

Internet Explorer possédant en mode protégé un niveau d'intégrité faible, ce processus peut simplement écrire dans les emplacements suivants :

  • Documents and Settings\%USER PROFILE%;
  • \Local Settings\Temporary Internet Files;
  • \Local Settings\Temp;
  • \Local Settings\History;
  • \%USER PROFILE%\Favorites;
  • \%USER PROFILE%\Cookies.

Les extensions que vous aurez installées (comme une barre d'outils supplémentaire) peuvent quant à elles procéder à des écritures dans ces emplacements réservés :

  • \Documents and Settings\%USER PROFILE%;
  • \Local Settings\Temporary Internet Files;
  • \Local Settings\Temp;
  • \Local Settings\History;
  • \%USER PROFILE%\Favorites;
  • \%USER PROFILE%\Cookies.

Nous pouvons donc tracer le schéma suivant :

  • Internet Explorer 7 se lance en mode protégé. Le mécanisme d'intégrité (UIPI) se met en place.
  • Le processus IEInstall.exe (Niveau d'intégrité élevé) requiert des privilèges d'administrateur.
  • Le processus IEUser.exe (Niveau d'intégrité moyen) nécessite quant à lui des privilèges d'utilisateur.
  • Enfin, la couche de compatibilité des applications ("Compatibility Layer") fournie des privilèges d'utilisateur faible permettant de faire fonctionner votre navigateur.

Cette couche de compatibilité permet d'intercepter les tentatives d'écriture dans les objets possédant un niveau d'intégrité moyen et les redirige vers ces emplacements de niveau d'intégrité faible :

  • Documents and Settings\%userprofile%\LocalSettings\TemporaryInternet Files\Virtualized;
  • HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\InternetRegistry.

Les deux processus (IEInstall et IEUser) permettent l'apparition de la boîte de dialogue d'élévation des privilèges dans les scénarios suivants :

  • IEUser.exe vous permet par exemple d'enregistrer des fichiers dans des emplacements de niveau d'intégrité plus élevé. Notez que ce processus est virtualisé…
  • IEInstal.exe permet de procéder à l'installation de Contrôle Active X ou autres modules complémentaires.

Ces trois fichiers exécutables (avec Iexplore.exe) sont visibles dans cette arborescence de l'Explorateur Windows : \Program Files\Internet Explorer.
L'impossibilité d'écrire dans certaines arborescences de l'Explorateur Windows provoque des comportements inattendus :

  1. Ouvrez une page Internet.
  2. Enregistrez la page dans \Program Files.
  3. Dans l'Explorateur Windows ouvrez ce répertoire.

Votre page MHT sera invisible !
En fait le fichier a été virtuellement enregistré dans ce type d'arborescence : C:\Users\Nom_Utilisateur\AppData\Local\Temp\Low\lri97BF\Google.mht.
Si vous désactivez le mode protégé et refaites la même manipulation ce même fichier sera cette fois-ci enregistré à cet emplacement : C:\Users\Nom_Utilisateur\AppData\Local\VirtualStore\Program Files\Google.mht.
Je me suis contenté dans cet exemple d'enregistrer la page d'accueil de Google. La seule différence tangible réside dans le fait que c'est seulement dans le second cas que le fichier sera conservé.
Notez que vous ne rencontrerez pas ce type de problème si vous exécutez le processus Iexplore.exe en tant qu'administrateur.
Nous pouvons vérifier l'intégrité de chacun des deux derniers fichiers puisque l'un a été créé en utilisant un processus avec un niveau d'intégrité faible et l'autre avec un niveau d'intégrité élevé en utilisant la commande Icacls.
Vous aurez dans un premier cas ces mentions :

Ordinateur1\Jean:(F)
AUTORITE NT\SYSTEM:(F)
BUILTIN\Administrateurs:(F)
Étiquette obligatoire\Niveau obligatoire faible:(I)(NW)

Dans le second cas aucune mention d'intégrité ne sera indiquée :

Ordinateur1\Jean:(I)(F)
AUTORITE NT\SYSTEM:(I)(F)
BUILTIN\Administrateurs:(I)(F)

Gérer les processus en mode protégé

Il y a un exemple simple :
Quand vous installez Windows Live Messenger sous Windows Vista vous pouvez choisir d'installer un Plug-in pour Internet Explorer appelé Windows Live Login. Une fois ce préalable effectué vous aurez lors du premier lancement de votre navigateur une boîte de dialogue vous avertissant qu'un site Web veut ouvrir du contenu Web en utilisant ce programme sur cet ordinateur.
Cochez alors la case Ne plus afficher d'avertissement pour ce programme puis cliquez sur Autoriser.
Prenons maintenant un autre exemple :
Avec le bouton droit de la souris cliquez sur une fenêtre Web puis sur la commande Afficher la source.
En fonction de votre configuration cela aura pour effet d'afficher le code HTM de la page que vous visualiser dans le Bloc-notes Windows.
Si là encore vous cochez la case Ne plus afficher d'avertissement pour ce programme une clé CLSID appelée par exemple {62B83081-BC4D-4D35-8728-629385BC1E9B} sera créée dans cette arborescence du Registre : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy.
Notez que différentes applications autorisées sont listées dans cette branche du Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy.
Elles comportent :

  • La clé CLSID qui possèdera un GUID unique et qui permet de définir l'application;
  • Deux valeurs chaînes qui indiquent le nom du fichier exécutable et son emplacement;
  • Une valeur DWORD dont les données de la valeur seront celle-ci :
  • 3 : le mode protégé exécutera silencieusement le processus en mode d'intégrité moyen.
  • 2 : il sera demandé à l'utilisateur la permission de lancer le processus.
  • 1 : le mode protégé exécutera silencieusement le processus en mode d'intégrité faible.
  • 0 : le mode protégé empêchera le processus de se lancer.

Remarquerez que la même boîte de dialogue apparaît quand vous faites un Glisser-déplacer à partir d'Internet Explorer :

  1. Ouvrez deux fenêtres (Internet Explorer puis une application de traitement de texte).
  2. Sélectionnez une portion de la page Web puis glissez-la dans la fenêtre de votre traitement de texte.

La même boîte de dialogue vous demandant de continuer en tant qu'administrateur apparaîtra.
De la même façon que précédemment une entrée sera créée dans cette arborescence du Registre : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\DragDrop.
Voyons maintenant le comportement d'Internet Explorer quand le mode protégé n'est pas activé.
Comme expliqué précédemment décochez la case afin de désactiver le mode protégé d'Internet Explorer.
Procédez de nouveau à un glisser-déposer d'une sélection faite dans une page d'Internet Explorer.
Notez que la barre d'information vous informe que votre ordinateur court un risque.
Aucun message ne viendra interrompre l'opération.



blog, bookmark, newsletter


catalogue interactif - abc-blagues - infopage - les societes - entrepreneurs de france - flashmeat topsitefr - radioduweb
c-rigolo - woopami - rire-et-sourire - pubstv - widouf - planete-nokia - streaming-fr - photo numérique - Vins Fromaget - Maisons en bois

© 2001-2008 Hotline-PC.org. Tous droits réservés. Ce site fait régulièrement l'objet d'un marquage IDDN.IDDN Certification
Un site du réseau : 

Contact - Plan du site - Notice légale
Blog Bookmark Newsletter