Dernière mise
à jour : 07/07/2005
Pages complémentaires : les restrictions
logicielles.
Astuces
sur la sécurité- Faire un premier diagnostic :
Microsoft Baseline Security Analyzer 1.2.1 se télécharge
à partir de cette adresse : www.microsoft.com/france/technet/securite/Info/info.asp?mar=/france/technet/securite/Info/MBSA.html
1) Double-cliquez sur un fichier nommé MBSASetup-FR.msi
afin de lancer l'installation du programme.
Un raccourci est automatiquement créé sur le Bureau
Windows.
2) Cliquez sur le lien Analyser un ordinateur.
Par défaut, c'est la machine locale qui est sélectionnée...
3) Cliquez sur le lien Démarrer l'analyse.
Remarque : Si vous possédez un pare-feu
il faut créer des règles expertes pour ces deux
fichiers exécutables : Mbsa.exe et Inventory.exe (direction
sortante).
Une fois la page générée certains problèmes
peuvent être trouvés.
4) Cliquez sur les liens Afficher les ressources analysées,
Détails et Comment corriger le problème afin de
savoir comment améliorer les stratégies de sécurité
définies sur votre ordinateur.
En conclusion, on peut dire que cet outil est loin d'être
parfait, mais il peut vous aider à pointer du doigt les
problèmes de sécurité les plus importants.
- Jouer à Big brother :
Ma femme me reproche de passer trop de temps sur mon ordinateur.
Un petit utilitaire "Uptime.exe" téléchargeable
chez Microsoft.fr permet de remettre les pendules à l'heure.
Il vous sera indiqué les dates et les heures auxquelles
vous avez démarré puis éteint votre ordinateur
et ce à partir de la date de votre choix. Lancez en Invite
de commandes : uptime /s ou uptime /? si vous désirez en
savoir un peu plus.
- Activer les autorisations du groupe Tout le monde pour
les utilisateurs anonymes :
La valeur par défaut est Désactivée.
Cette stratégie permet d'ajouter le SID (Security IDentifier)
du groupe Tout le monde au jeton qui est alloué aux utilisateurs
anonymes.
Définition : Un SID est un identifiant
de sécurité utilisé pour identifier des ressources,
des utilisateurs ou des groupes d'utilisateurs sur les systèmes
d'exploitation NT.
Dans ce cas, les utilisateurs qui se sont connectés anonymement
peuvent accéder à toutes les ressources pour lesquelles
le groupe Tout le monde a reçu des autorisations. Lorsque
l'utilisateur tente d'accéder à une ressource, Windows
vérifie le SID dans le jeton d'accès de l'utilisateur.
Si le SID correspond, l'accès à la ressource qui
est spécifiée dans l'ACL est accordé à
l'utilisateur. Si le SID ne correspond pas, l'utilisateur se verra
refuser l'accès à cette ressource.
Information : Une ACL (Access Control List) est
une table qui répertorie l'ensemble des autorisations affectées
aux utilisateurs pour une ressource définie.
Le groupe Ouverture de session anonyme ayant été
supprimé dans Windows XP, l'activation de cette stratégie
peut permettre de résoudre des problèmes de compatibilité
quand un client faisant partie d'une version antérieure
du système d'exploitation essaye d'accéder de manière
anonyme à des partages sur la machine Windows XP.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2) Éditez une valeur DWORD nommée everyoneincludesanonymous
et inscrivez ceci comme données de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité : Accès réseau
: les autorisations Tout le monde s'appliquent aux utilisateurs
anonymes.
- Définir les partages qui sont accessibles de
manière anonyme :
La valeur par défaut est Vide.
Cette stratégie permet de déterminer les partages
réseau qui seront accessibles aux utilisateurs anonymes.
C'est bien évidemment le pendant de la stratégie
précédente.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.
2) Éditez une valeur de chaînes multiples nommée
NullSessionShares et inscrivez, comme données de la valeur,
le ou les noms de partages accessibles de manière anonyme.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité : Accès réseau
: les partages qui sont accessibles de manière anonyme.
- Forcer les utilisateurs à s'authentifier en tant
qu'invité :
La valeur par défaut est Classique.
Cette stratégie permet de déterminer le niveau de
contrôle d'accès aux ressources que posséderont
les utilisateurs. Si tous les utilisateurs s'authentifient en
tant que Invité, ils recevront le même niveau d'accès
à une ressource donnée, qui peut être Lecture
seule ou Modifier. Avec le modèle Classique, vous pouvez
accorder différents types d'accès à différents
utilisateurs pour la même ressource.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.
2) Éditez une valeur DWORD nommée forceguest et
inscrivez ceci comme données de la valeur :
* 1 : les utilisateurs locaux s'authentifient en tant qu'Invité.
* 0 : les utilisateurs locaux s'authentifient eux-mêmes.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité : Accès réseau
: modèle de partage et de sécurité pour les
comptes locaux.
- Effacer le fichier d'échange de la mémoire
virtuelle à l'arrêt :
La valeur par défaut est Désactivée.
Cette stratégie permet d'empêcher que des informations
sensibles se trouvant dans le fichier d'échange ne soient
vues par un utilisateur non autorisé. Quand cette stratégie
est activée, le fichier d'échange système
est effacé. Par ailleurs, le fichier d'hibernation (Hiberfil.sys)
est également remis à zéro quand l'hibernation
est désactivée sur le système d'un ordinateur
portable. En revanche, le processus d'arrêt sera forcément
ralenti.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management.
2) Éditez une valeur DWORD nommée ClearPageFileAtShutdown
et inscrivez, comme données de la valeur, ceci :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité : Arrêt : Effacer
le fichier d'échange de mémoire virtuelle.
- Permettre au système d'être arrêté
sans avoir à se connecter :
La valeur par défaut est Activée.
Si cette stratégie est désactivée, le bouton
permettant d'arrêter l'ordinateur n'apparaît pas sur
l'écran d'ouverture de session de Windows. Dans ce cas,
les utilisateurs doivent pouvoir ouvrir une session avec succès
et disposer du droit utilisateur Arrêter le système
pour effectuer un arrêt du système. Le bouton est
présent par défaut sur une station de travail et
supprimé sur une machine "serveur".
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system.
2) Éditez une valeur DWORD nommée shutdownwithoutlogon
et inscrivez ceci comme données de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité : Arrêt : Permet
au système d'être arrêté sans avoir
à se connecter.
- Désactiver l'enregistrement en ligne :
Configuration requise : au moins Microsoft Windows XP avec le
Service Pack 2.
Cette stratégie empêche les utilisateurs de se connecter
à Microsoft.com pour l'enregistrement en ligne, et les
utilisateurs ne peuvent enregistrer leur copie de Windows en ligne.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Windows\Registration Wizard
Control.
2) Créez une valeur DWORD nommée NoRegistration
3) Éditez cette entrée et inscrivez ceci comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Système/Gestion de la communication Internet/Paramètres
de la communication Internet : Désactiver l'enregistrement
si l'adresse URL de connexion fait référence à
Microsoft.com.
Paramétrer le
Centre de sécurité et la Barre d'informations
- Désactiver les notifications du Centre de sécurité
:
1) Cliquez sur Démarrer/Exécuter puis saisissez
: wscui.cpl
2) Dans la rubrique Pare-feu cliquez sur le bouton fléché
Désactivé
3) Cliquez sur le bouton Recommandations...
4) Cochez la case J'ai une solution pare-feu que je gère
moi-même.
5) Cliquez sur le lien Modifier la façon dont le Centre
de sécurité me prévient
6) Dans la rubrique Paramètres d'alerte décochez
les cases suivantes :
Pare-feu
Mises à jour automatiques
Protection antivirus
Les entrées correspondantes dans le Registre sont les suivantes
:
1) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
2) Éditez les valeurs DWORD suivantes :
FirewallDisableNotify
UpdatesDisableNotify
AntiVirusDisableNotify
3) Affectez-leur comme données de la valeur le chiffre
1.
Si vous souhaitez spécifier que vous possédez un
antivirus ou une solution Pare-feu que vous gérez vous-même
éditez ces deux valeurs DWORD : AntiVirusOverride et FirewallOverride
Affectez-leur comme données de la valeur le chiffre 1.
- Autoriser l'exécution des fichiers dont la signature
n'est pas valide :
Si vous choisissez d'exécuter directement un fichier exécutable
plutôt que de l'enregistrer dans un premier temps sur votre
disque dur vous aurez droit à ce message d'avertissement
:
- "Internet Explorer - Avertissement de sécurité
- L'éditeur n'a pas pu être vérifié.
Voulez-vous vraiment exécuter ce logiciel ?".
Afin de désactiver cette boîte de dialogue, suivez
cette procédure :
1) Dans Internet Explorer cliquez sur Outils/Options Internet...
puis l'onglet Avancé.
2) Décochez la case Vérifie les signatures des programmes
téléchargés.
Cela correspond à cette manipulation dans le Registre :
1) Ouvrez \Software\Microsoft\Internet Explorer\Download.
2) Créez une valeur chaîne nommée CheckExeSignatures
3) Saisissez comme données de la valeur ceci : Yes
- Désactiver les sons ou l'affichage de la barre
d'information concernant les fenêtres publicitaires intempestives
:
Cliquez sur Outils/Bloqueur de fenêtre publicitaire intempestive/Paramètres
du bloqueur de fenêtre publicitaires intempestives
Décochez les cases présentes dans la rubrique Notifications
et niveau de filtre.
- "Pour protéger votre sécurité,
Internet Explorer a bloqué le téléchargement
de fichiers de ce site vers votre ordinateur..." :
Dans Internet Explorer, cliquez sur Outils/Options Internet...
puis l'onglet Sécurité et la zone Internet.
Cliquez sur le bouton Personnaliser le niveau... puis, dans la
rubrique Téléchargement, cochez le bouton radio
Activer en dessous de la sous-rubrique Demander confirmation pour
les téléchargements de fichiers.
- Désactiver le message d'avertissement en cas
de changement entre mode sécurisé et non sécurisé
:
Un avertissement peut apparaître quand vous naviguer entre
un site sécurisé ("https") et non sécurisé
("http") : "La connexion que vous allez utiliser
n'est pas sécurisée. D'autres utilisateurs du Web
pourront dorénavant accéder aux informations que
vous envoyez..." Suivez dans ce cas cette procédure
:
1) Dans Internet Explorer cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Avancé
3) Décochez la case Avertir en cas de changement entre
mode sécurisé et non sécurisé
Si cela ne suffit pas :
1) Cliquez sur Démarrer/Exécuter puis saisissez
regedit
2) Dans l'éditeur du Registre, ouvrez \SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings
3) Créez une valeur DWORD nommée WarnOnHTTPSToHTTPRedirect
4) Éditez cette entrée et affectez-lui comme données
de la valeur ceci :
* 1 : Affiche le message de sécurité
* 0 : N'affiche pas le message de sécurité
- Autoriser les fenêtres publicitaires pour les
sites "https" :
1) Cliquez sur Démarrer/Exécuter puis saisissez
: regedit
2) Dans le Registre Windows ouvrez HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\New Windows
3) Éditez une valeur DWORD nommée AllowHTTPS et
affectez-lui comme données de la valeur le chiffre 1.
Paramétrer
le bloqueur de fenêtres publicitaires intempestives
1) Ouvrez HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New
Windows.
2) Modifiez les entrées suivantes :
PopupMgr : activer ou non le bloqueur de fenêtres publicitaires
intempestives.
Notez que c'est la seule valeur chaîne avec comme données
possibles yes ou no. Les autres entrées sont toutes des
valeurs DWORD.
AllowHTTPS : indique si les popups sont autorisés ou non
sur les sites sécurisés.
PlaySound : jouer un son lorsqu'une fenêtre publicitaire
intempestive est bloquée.
UseSecBand : afficher la barre d'informations lorsqu'une fenêtre
publicitaire est bloquée.
BlockUserInit : indique si l'apparition d'un pop-up initiée
par l'action d'un utilisateur est autorisée ou non. En
règle générale et si vous activez cette restriction
une majorité de liens resteront inactifs.
UseHooks : indique si un pop-up initié par un contrôle
ActiveX est autorisé ou non.
UseTimerMethod : indique si un compteur est utilisé afin
de détecter les pop-up se lançant de manière
asynchrone. Quand, par exemple, un popup apparaît une fois
que vous avez terminé de remplir un formulaire sur le Web.
Voici un récapitulatif des valeurs qui seront modifiées
selon le niveau de filtre sélectionné :
Elevé - Moyen - Bas
BlockUserInit : 1 - 0 - 0
UseTimerMethod : 0 - 0 - 1
UseHooks : 0 - 1 - 1
AllowHTTPS : 0 - 0 - 1
Un niveau de filtre nommé Personnalisé apparaîtra
si vous avez défini d'autres combinaisons en utilisant
directement le Registre Windows.
Mettre en
place des restrictions
- Autoriser le logiciel à s'exécuter ou à
s'installer même si la signature n'est pas valide :
Configuration requise : au moins Internet Explorer 6.0 avec Windows
XP Service Pack 2.
Si vous activez ce paramètre de stratégie, une confirmation
sera demandée aux utilisateurs pour l'installation ou l'exécution
de fichiers comme des contrôles ActiveX ou des fichiers
exécutables dont la signature n'est pas valide.
Si vous désactivez ce paramètre de stratégie,
les utilisateurs ne pourront ni installer ni exécuter de
fichiers dont la signature n'est pas valide.
Procédez au test suivant après avoir configuré
la zone Internet sur le niveau de sécurité par défaut
:
1) Rendez-vous à cette adresse : http://www.secuser.com/antivirus/index.htm.
Cette page web vous permet d'effectuer gratuitement une vérification
des virus éventuellement présents sur votre système.
2) Vous allez voir apparaître une barre d'information vous
informant que ce service d'antivirus en ligne nécessite
l'installation d'un contrôle ActiveX.
Il vous suffit de cliquer dans la barre d'information puis sur
la commande Installer le contrôle ActiveX.
Si la stratégie est désactivée, vous ne pourrez
télécharger le composant ActiveX.
Ce message d'erreur s'affichera : "Code: -1001 - Either your
browser does not support the object element or an error occured
while downloading the object. Unable to load the HouseCall ActiveX
control".
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Download.
2) Créez une valeur DWORD nommée RunInvalidSignatures
3) Éditez cette entrée et inscrivez, comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Il vous est permis de désactiver l'affichage de la barre
d'information de cette manière :
1) Dans la rubrique Contrôles ActiveX et plugins, cochez
le bouton Désactiver sous la commande Demander confirmation
pour les contrôles ActiveX.
2) Sous la commande Télécharger les contrôles
ActiveX et plugins signés ou non signés, cochez
le bouton Activer.
3) Sous la commande Exécuter les contrôles ActiveX
et les plugins, cochez le bouton Activer.
Normalement, cela doit suffire pour la majorité des cas...
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer/Panneau
de configuration d’Internet/Page avancé : Autoriser
le logiciel à s'exécuter ou à s'installer
même si la signature n'est pas valide.
- Autoriser le contenu actif des CD à s'exécuter
sur les ordinateurs des utilisateurs :
Configuration requise : au moins Internet Explorer 6.0 avec Windows
XP Service Pack 2.
Cette stratégie vous permet d'indiquer si les utilisateurs
verront s'afficher une boîte de dialogue demandant l'autorisation
d'exécuter le contenu actif depuis un CD-Rom. Si la stratégie
est activée, le contenu actif d'un CD-Rom s'affichera sans
confirmation de la part de l'utilisateur. Cela correspond à
cette option :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
puis sur l'onglet Avancé.
2) Dans la rubrique Sécurité, cochez la case Autoriser
le contenu actif des CD à s'exécuter sur la zone
Ordinateur local.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings.
2) Créez une valeur DWORD nommée LOCALMACHINE_CD_UNLOCK
3) Éditez cette entrée et inscrivez ceci comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer/Panneau
de configuration d’Internet/Page avancé : Autoriser
le contenu actif des CD à s'exécuter sur les ordinateurs
des utilisateurs.
Gestion des
fonctionnalités de sécurité
- Les fonctionnalités de sécurité
:
Configuration requise : au moins Microsoft Windows XP avec le
Service Pack 2.
Ces stratégies sont accessibles depuis l’éditeur
de stratégie de groupe en parcourant cette arborescence
: Configuration ordinateur/Modèles d'administration/Composants
Windows/Internet Explorer/Panneau de configuration d’Internet/Fonctionnalités
de sécurité ou (Configuration utilisateur/).
Des sous-branches représentent plusieurs fonctionnalités
et risques de vulnérabilité. Chaque branche est
composée de ce type de paramètres :
* Processus Internet Explorer.
* Liste des processus.
* Tous les processus.
* Comportements approuvés par l'Administrateur.
Prenons un exemple simple : Internet Explorer place un jeu de
restrictions à chaque ouverture d'une page web. Un processus
ne sera pas autorisé à accéder à une
zone supérieure (d'une zone Intranet à une zone
Internet réputée moins sûre) à moins
d'y être autorisé explicitement. Si vous souhaitez
autoriser le processus Internet Explorer à charger un événement
d'une zone réputée sûre à une zone
d'accès restreint, il vous faudra suivre cette procédure
:
1) Ouvrez cette branche : \Modèles d'administration\Composants
Windows\Internet Explorer\Fonctionnalités de sécurité\Sécurité
du verrouillage de la zone Ordinateur local.
2) Double-cliquez sur le paramètre Internet Explorer.
3) Cochez le bouton radio Désactivé.
Signalons que la stratégie Liste des processus ne doit
pas forcément être activée.
Si vous souhaitez modifier directement le Registre :
1) Ouvrez \Software\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN.
2) Créez trois valeurs chaîne nommées : (Reserved),
iexplore.exe et explorer.exe
3) Éditez ces entrées puis saisissez, comme données
de la valeur, le chiffre 0.
Si vous souhaitez autoriser tous les processus sauf le processus
Internet Explorer et ceux listés dans le paramètre
Liste des processus, créez une valeur chaîne nommée
* puis saisissez, comme données de la valeur, le chiffre
0.
Un processus en particulier peut être ajouté en créant
une valeur chaîne portant le nom du processus et en lui
affectant, comme données de la valeur, le chiffre 0.
Nous pouvons retrouver ce type de paramètre de cette façon
:
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
2) Cliquez sur l'onglet Avancé puis cherchez la rubrique
Sécurité.
3) Cochez la case Autoriser le contenu actif à s'exécuter
dans les fichiers de la zone Ordinateur local.
Procédons maintenant à un test :
1) Créez une page dans un logiciel de création de
sites web.
2) Activez la visualisation de la page dans Internet Explorer.
Si la stratégie est activée cette barre d'information
apparaîtra : "Pour vous aider à protéger
votre ordinateur, Internet Explorer a restreint l'affichage du
contenu actif de ce fichier, qui pourrait accéder à
votre ordinateur. Cliquez ici pour afficher plus d'options..."
Dans le cas contraire, la barre d'information n'apparaîtra
pas.
- Désactiver la barre d'information :
Cette stratégie vous permet de spécifier si la barre
d'information doit s’afficher lorsque des installations
de fichiers ou de code sont restreintes. Cette stratégie
est indispensable si vous activez les stratégies suivantes.
En désactivant la barre d'information, les utilisateurs
ne pourront pas accéder aux options et donc modifier temporairement
(le temps que le processus correspondant soit lancé) le
comportement du navigateur défini par les stratégies
de sécurité.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SECURITYBAND.
2) Créez les valeurs chaîne comme expliqué
précédemment.
- Restreindre l'installation ActiveX :
Cette stratégie permet de bloquer les demandes d'installation
de contrôles ActiveX.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RESTRICT_ACTIVEXINSTALL.
2) Créez les valeurs chaînes comme expliqué
précédemment.
Procédons à un test après avoir désactivé
cette stratégie :
* Dans Internet explorer, saisissez cette adresse : www.secuser.com/antivirus/index.htm
Vous obtiendrez cette boîte de dialogue : "Internet
Explorer - Avertissement de sécurité - Voulez-vous
installer ce logiciel ?"
Dans le cas contraire, la barre d'information s'affichera en haut
de la fenêtre d'Internet Explorer (à moins que vous
l'ayez désactivée).
- Restreindre le téléchargement de fichiers
:
Cette stratégie empêche tout téléchargement
de fichiers non initiés par l'utilisateur.
Là encore, après avoir activé la stratégie
un petit test s'impose :
Dans Internet Explorer, saisissez cette adresse : www.clubic.com/telechargement-drivers-1246-pilote-applications-pctv-5-01.html.
Le téléchargement automatique du fichier ne démarrera
pas et vous resterez bloqué sur cette annonce : Initialisation
du téléchargement en cours : Patientez 10 secondes
...
De plus, cette barre d'information apparaîtra : "Pour
protéger votre sécurité, Internet Explorer
a bloqué le téléchargement de fichiers de
ce site vers votre ordinateur. Cliquez ici pour afficher plus
d'options..."
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RESTRICT_FILEDOWNLOAD.
2) Créez les valeurs chaîne comme expliqué
précédemment.
- Verrouillage des protocoles réseau :
Internet peut être configuré pour empêcher
des contenus actifs via des protocoles restreints de s'exécuter
de manière non sécurisée. Prenons immédiatement
un exemple pratique en utilisant l'éditeur de stratégie
de groupe :
1) Ouvrez la branche Verrouillage des protocoles réseau.
2) Double-cliquez sur la stratégie Processus Internet Explorer
puis cochez le bouton radio Activé.
3) Ouvrez la branche Protocoles restreints par zone de sécurité.
4) Double-cliquez sur la stratégie Protocoles restreints
de la zone Internet puis cochez le bouton radio Activé.
5) Cliquez sur les boutons Afficher... et Ajouter... puis, dans
la zone de texte Entrez l'élément à ajouter
:, saisissez le nom du protocole que vous allez interdire.
Dans notre exemple, saisissez ceci : http
6) Cliquez deux fois sur OK.
7) Ouvrez votre navigateur puis saisissez l'adresse d'une page
qui ne se trouve pas dans le cache Internet.
La sacro-sainte barre d'information affichera ceci : "Cette
page Web tente de communiquer avec votre ordinateur en utilisant
un protocole que vos paramètres de sécurité
n'autorisent pas. Cliquez ici pour obtenir plus d'option..."
Gestion
des modules complémentaires
Les modules complémentaires sont visibles en cliquant,
dans Internet Explorer, sur Outils/Gérer les modules complémentaires.
Différentes stratégies sont accessibles en ouvrant
la branche Gestion des modules complémentaires.
* Interdire tous les modules complémentaires sauf s'ils
sont explicitement autorisés : si vous activez ce paramètre
de stratégie, Internet Explorer n'autorise que les modules
complémentaires qui sont listés (et autorisés)
dans le paramètre de stratégie Liste des modules
complémentaires. Les rubriques Paramètres et Mettre
à jour seront désactivées.
Vous pouvez aussi modifier le Registre de cette façon :
1) Ouvrez : \Software\Microsoft\Windows\CurrentVersion\Policies\Ext.
2) Créez une valeur DWORD nommée RestrictToList
3) Éditez cette valeur et affectez-lui, comme données
de la valeur, le chiffre 1.
* Liste des modules complémentaires : à utiliser
en fonction de la stratégie précédente. Si
vous activez ce paramètre de stratégie, vous pouvez
saisir une liste de modules complémentaires pouvant être
interdits ou autorisés par Internet Explorer. Pour chaque
entrée que vous ajoutez à la liste, entrez les informations
suivantes :
1) Nom de la valeur : le CLSID (identificateur de classe) du module
complémentaire que vous souhaitez ajouter à la liste.
Le CLSID doit être placé entre accolades : {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
2) Valeur : chiffre indiquant si Internet Explorer doit interdire
ou autoriser le chargement du module complémentaire. Pour
spécifier qu'un module complémentaire doit être
interdit, entrez 0 dans ce champ. Pour spécifier qu'un
module complémentaire doit être autorisé,
saisissez le chiffre 1 dans ce champ. Pour spécifier qu'un
module complémentaire doit être autorisé et
permette à l'utilisateur de gérer les modules complémentaires
via le Gestionnaire, saisissez 2 dans ce champ.
Vous pouvez aussi modifier le Registre de cette façon :
1) Ouvrez : \Software\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID.
2) Créez une valeur chaîne nommée du nom du
CLSID.
3) Saisissez, comme données de la valeur, les chiffres
0,1 ou 2.
4) Ouvrez : \Software\Microsoft\Windows\CurrentVersion\Policies\Ext.
5) Créez une valeur DWORD nommée ListBox_Support_CLSID
6) Saisissez, comme données de la valeur, le chiffre 1.
Prenons un exemple en utilisant l'éditeur de stratégie
de groupe, soit un objet Application d'assistance au navigateur
nommé : AcroIEHlprObj class installé par Adobe.
1) Dans le module de gestion des modules complémentaires,
cliquez avec le bouton droit de la souris sur un des en-têtes
de colonne.
2) Dans le menu contextuel, cliquez sur ID de classe.
Le CLSID du module complémentaire appelé AcroIEHlprObj
est donc : {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
3) Double-cliquez sur la stratégie Interdire tous les modules
complémentaires, sauf s'ils sont explicitement autorisés.
4) Cochez le bouton radio Activé puis cliquez sur le bouton
Appliquer.
5) Double-cliquez sur la stratégie Liste des modules complémentaires.
6) Cochez le bouton radio Activé puis les boutons Afficher...
et Ajouter.
7) Dans la zone de texte Entrez le nom de l'élément
à ajouter:, saisissez le CLSID.
8) Dans la zone de texte Entrez la valeur de l'élément
à ajouter:, saisissez 1.
9) Cliquez sur le bouton Appliquer.
10) Relancez Internet Explorer.
11) Cliquez sur Outils/Gérer les modules complémentaires...
Seul cet objet sera indiqué comme étant activé.
Vous pouvez désactiver un ou plusieurs modules en saisissant
simplement le CLSID et en lui affectant la valeur 0. Dans ce cas,
il est inutile d'activer la première stratégie ;
seul le module ajouté sera indiqué comme étant
désactivé.
- Empêcher l'activation ou la désactivation
des modules complémentaires :
Configuration requise : au moins Internet Explorer 6.0 et Windows
XP Service Pack 2.
Cette stratégie empêche l'activation et la désactivation
des modules complémentaires dans le Gestionnaire de modules
complémentaires.
* Dans Internet Explorer, cliquez sur Outils/Gérer les
modules complémentaires...
Les boutons présents dans les rubriques Paramètres
et Mise à jour seront grisés.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions.
2) Créez une valeur DWORD nommée NoExtensionManagement
3) Éditez cette entrée et inscrivez, comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Composants Windows/Internet Explorer : Ne pas
autoriser les utilisateurs à activer ou désactiver
les modules complémentaires.
- Les préférences des colonnes des modules
complémentaire ne sont pas mémorisées :
Nous avons vu comment ajouter une colonne indiquant l'ID de classe,
mais cette solution n'est que temporaire : à la prochaine
ouverture de la fenêtre, la colonne ID de classe aura disparu.
Voici une astuce qui permet de contourner cette limitation :
1) Ouvrez \Software\Microsoft\Internet Explorer\Main.
2) Créez une valeur DWORD nommée ManageAddonColumns
3) Éditez cette entrée puis saisissez, comme données,
la somme des valeurs hexadécimales correspondant à
chaque colonne :
Nom de la colonne - Valeur hexadécimale
Dernier accès le : 10
Utilisé : 20
Bloqué : 40
ID de classe : 80
Dans le dossier : 200
Version : 400
Il vous suffit d'additionner les valeurs de chaque colonne que
vous souhaitez voir apparaître afin d'obtenir la valeur
hexadécimale correcte.
Par exemple, afin d'activer les colonnes Dernier accès
et ID de classe, saisissez, comme données de la valeur,
le nombre 90 (10 + 80).
- Réinitialiser la liste des modules complémentaires
qui ont été utilisés par Internet Explorer
:
Cette fonctionnalité paramétrable est disponible
en installant le Service Pack 2 pour Windows XP.
1) Dans Internet Explorer, cliquez sur Outils/Gérer les
modules complémentaires...
2) Dans la liste déroulante Afficher:, cliquez sur Modules
complémentaires qui ont été utilisés
par Internet Explorer.
Si vous souhaitez réinitialiser les modules listés,
supprimez simplement cette clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats.
|
|
