Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin

Sécurité de navigation accrue

De nouvelles technologies seront intégrées à Internet Explorer ; elles apporteront une protection accrue contre les contenus malveillants diffusés sur le Web. L'une de ces améliorations concerne le verrouillage de la zone Ordinateur local, qui permet d'éviter l'exécution de scripts malveillants et d'assurer une protection contre les téléchargements préjudiciables sur le Web. Une autre amélioration concerne l'ajout d'un gestionnaire de fenÍtres contextuelles. Par ailleurs, Microsoft ajoutera des commandes et des interfaces utilisateur optimisées qui empÍcheront l'exécution de contrŰles ActiveX et de logiciels espions sur les systèmes des clients sans le consentement de ces derniers.

Verrouillage de la zone Ordinateur local

Lorsque Internet Explorer ouvre une page Web, il place des restrictions sur ce que la page peut faire, en fonction de la provenance de la page. Par exemple, les pages Web se trouvant sur Internet peuvent ne pas Ítre autorisées à effectuer certaines opérations, telles qu'accéder à des informations se trouvant sur le disque dur local (en raison des restrictions appliquées par la configuration de la zone Internet correspondante).

Au contraire, les pages Web sur l'ordinateur local sont dans la zone Ordinateur local, où elles sont soumises à un nombre minimal de restrictions de sécurité. La zone Ordinateur local est une zone de sécurité Internet Explorer, mais elle n'est pas affichée dans les paramètres Internet Explorer. Dans les versions précédentes du Service Pack 2, la zone Ordinateur local permettait au contenu Web de s'exécuter en respectant un niveau plus faible de restrictions, car le contenu local était considéré comme étant sécurisé. Mais des personnes mal intentionnées peuvent également tenter de tirer avantage de la zone Ordinateur local en élevant leurs privilèges pour compromettre un ordinateur.

Dans Windows XP Service Pack 2, des mesures de sécurité supplémentaires s'appliquent au contenu et aux fichiers locaux traités par Internet Explorer (via la zone Ordinateur local).

Cette fonctionnalité restreint de manière importante le code HTML dans la zone Ordinateur local et le code HTML interprété par Internet Explorer. Cela permet d'atténuer les attaques pour lesquelles la zone Ordinateur local est utilisée comme vecteur d'attaque pour charger du code HTML malveillant.

Lorsque Internet Explorer est exécuté dans la zone Ordinateur local, les paramètres de sécurité par défaut des zones de sécurité (URLActions) sont remplacés par les paramètres encore plus restrictifs de la zone Internet. Ces paramètres sont les suivants :

  • URLACTION_ACTIVEX_ RUN correspond à Interdire.
  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY correspond à Interdire.
  • URLACTION_SCRIPT_ RUN correspond à Demander.
  • URLACTION_CROSS_DOMAIN_ DATA correspond à Demander.
  • URLACTION_BINARY_BEHAVIORS_BLOCK correspond à Interdire.
  • URLACTION_JAVA_PERMISSIONS correspond à Interdire.

Cette modification empÍche le code HTML malveillant d'élever les privilèges. Si un code parvenait à élever ces privilèges, il pourrait ensuite exécuter tout code via ActiveX ou via la lecture de scripts.

Il résulte de cette modification que les contrŰles ActiveX, contenus dans les pages HTML locales et affichés dans Internet Explorer, ne seront pas exécutés et que les scripts figurant dans les pages HTML locales et affichés dans Internet Explorer seront exécutés sous réserve d'autorisation fournie par l'utilisateur.

Les paramètres du tableau 6 ci-dessous sont ajoutés ou modifiés lors de la navigation dans Windows XP Service Pack 2.

 

Nom de paramètre Emplacement Valeur par défaut Valeurs possibles
IExplore.exe HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main\FeatureControl\FEATURE_LocalMachine_Lockdown

HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer \main \FeatureControl\FEATURE_LocalMachine_Lockdown
1 1 - Applique des paramètres restreints à Iexplore.exe et à Explorer.exe
Toute autre valeur supprime cette restriction pour Iexplore.exe et Explorer.exe
Si ce paramètre est manquant pour Iexplore.exe, il sera ignoré.
Si ce paramètre est défini à la fois dans HKEY_LOCAL_MACHINE et dans HKEY_CURRENT_USER, le paramètre le plus sécurisé est utilisé.
ApplicationName.exe HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown

HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown
Aucune 1 - Applique des paramètres restreints à ApplicationName.exe. Toute autre valeur supprime cette restriction pour ApplicationName.exe
Si ce paramètre est manquant pour ApplicationName.exe, il sera ignoré. Si ce paramètre est défini à la fois pour HKEY_LOCAL_MACHINE et pour HKEY_CURRENT_USER, le paramètre le plus sécurisé est utilisé.


Tableau 6 : Ajouts et/ou modifications effectués lors de la navigation dans Windows XP Service Pack 2

L'exécution d'applications non compatibles avec ces règles et paramètres risque d'avoir un impact pour les utilisateurs.

Gestionnaire de fenÍtres contextuelles Internet Explorer

Dans de nombreux cas, les fenÍtres contextuelles sont mal utilisées. Gr‚ce au blocage de ces fenÍtres, le Web est plus sŻr pour les utilisateurs finaux et le client a davantage de contrŰle sur sa navigation.

Le gestionnaire de fenÍtres contextuelles bloque l'affichage de la plupart des fenÍtres contextuelles. En revanche, les fenÍtres qui s'affichent lorsque l'utilisateur final clique sur un lien ne sont pas bloquées.

Les utilisateurs finaux et les administrateurs peuvent laisser des domaines spécifiques ouvrir des fenÍtres via une programmation. Les développeurs pourront utiliser ou étendre les fonctions des fenÍtres contextuelles d'Internet Explorer dans le cadre de leurs applications.

Pour les utilisateurs finaux, la navigation sur le Web sera plus sécurisée et plus agréable en l'absence d'affichage de fenÍtres contextuelles.

Fonctionnalités du gestionnaire de fenÍtres contextuelles

Le gestionnaire de fenÍtres contextuelles est désactivé par défaut. Lorsque cette fonction est activée, les fenÍtres contextuelles qui s'ouvrent automatiquement sont bloquées dans la zone Internet, mais celles qui s'ouvrent lorsque l'utilisateur clique sur un lien continuent de s'ouvrir normalement (bien que vous puissiez configurer cela également). Il est à noter que sur les sites des zones Sites de confiance et Intranet local, les fenÍtres contextuelles ne peuvent pas Ítre bloquées, car elles sont considérées comme sécurisées. Ces options peuvent Ítre configurées dans l'onglet Sécurité des Options Internet.

Pour activer le gestionnaire de fenÍtres contextuelles, vous disposez de trois méthodes.

  1. Invite à la première occurrence. Une invite apparaÓt avant l'affichage de la première fenÍtre contextuelle. Elle demande au client d'activer le gestionnaire de fenÍtres contextuelles.
  2. Menu Outils. Dans Internet Explorer, vous pouvez cliquer sur Outils, sélectionner Gestionnaire de fenÍtres contextuelles, puis cliquer sur Bloquer les fenÍtres contextuelles.
  3. Options Internet. Dans Internet Explorer, vous pouvez cliquer sur Outils, sur Options Internet, puis sur l'onglet Confidentialité et enfin sur Bloquer les fenÍtres contextuelles. Vous pouvez ensuite cliquer sur Options pour configurer le gestionnaire de fenÍtres contextuelles, comme l'illustre la figure 14.

Copie d'écran
Figure 14 : BoÓte de dialogue Gestion des fenÍtres contextuelles

Si un site affiche une fenÍtre contextuelle bloquée par Internet Explorer, une notification accompagnée d'un son apparaÓt dans la barre d'état. Si un utilisateur clique sur cette notification dans la barre d'état, un menu contenant les options suivantes s'affiche :

  • Afficher la fenÍtre contextuelle bloquée. Permet de recharger la fenÍtre contextuelle.
  • Autoriser les fenÍtres contextuelles de ce site. Permet d'ajouter le site actuel à la liste des sites autorisés. L'administrateur peut ajouter des sites à cette liste au sein d'une application de configuration.
  • Bloquer les fenÍtres contextuelles. Permet d'activer ou de désactiver le gestionnaire de fenÍtres contextuelles.
  • Options des fenÍtres contextuelles. Permet d'ouvrir la fenÍtre Gestion des fenÍtres contextuelles.

Il est à noter que de nouvelles restrictions s'appliquent dans Internet Explorer pour la taille et le positionnement des fenÍtres contextuelles, quel que soit le paramétrage du gestionnaire de fenÍtres contextuelles : Les fenÍtres contextuelles ne peuvent pas Ítre ouvertes hors de la zone visible du bureau.

Internet Explorer présente également une configuration avancée des paramètres du gestionnaire de fenÍtres contextuelles.

Ces paramètres peuvent Ítre utilisés comme suit :

Liste des sites Web autorisés. Vous pouvez ajouter des sites Web à la liste Autoriser. Tous les sites de la liste Autoriser peuvent afficher des fenÍtres contextuelles.

Bloquer toutes les fenÍtres contextuelles. Le gestionnaire de fenÍtres contextuelles permet à certains sites d'ouvrir une fenÍtre lorsque l'utilisateur clique sur un lien. Ce paramètre modifie ce comportement en bloquant aussi les fenÍtres ouvertes à partir d'un lien. Si ce paramètre est activé, vous pouvez autoriser l'affichage de fenÍtres en appuyant sur la touche ALT tout en cliquant sur le lien.

Remplacement de la clé. Si l'option Bloquer toutes les fenÍtres contextuelles est activée, vous pouvez autoriser l'affichage de fenÍtres en appuyant sur la touche ALT tout en cliquant sur le lien.

Configuration du son. Vous pouvez configurer la diffusion d'un son au moment du blocage d'une fenÍtre contextuelle dans la zone Avancé des Options Internet. Vous pouvez également modifier le son diffusé. Pour cela, cliquez sur Démarrer, sur Panneau de configuration, puis cliquez deux fois sur l'icŰne Sons et périphériques audio.

Zones. Les clients peuvent étendre les fonctions du gestionnaire de fenÍtres contextuelles afin d'inclure les zones Intranet local et Sites de confiance dans l'onglet Sécurité des Options Internet.

Des fenÍtres contextuelles continueront de s'afficher dans les cas suivants :

  • La fenÍtre s'affiche lorsque l'utilisateur clique sur un lien.
  • La fenÍtre s'affiche via un logiciel exécuté sur l'ordinateur.
  • La fenÍtre s'affiche via des contrŰles ActiveX exécutés à partir d'un site Web.
  • La fenÍtre s'affiche à partir des zones Sites de confiance et Intranet local.
1 2 3 4 5
Page Up Updated 11 juin, 2004 Hervé Chaudret
C.N.R.S.

 -   Home   -  News   -   Conseils   -  Sécurité   -  Mise à jour   -   Liens   -  Accès   -

C.N.R.S.