Comment faire pour renforcer les paramètres de sécurité pour la zone Ordinateur local dans Internet Explorer

Numéro d'article: 833633 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986
(http://support.microsoft.com/kb/256986/ )
Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Avertissement Si vous choisissez d'effectuer les modifications décrites dans cet article, vous pouvez perdre certaines fonctionnalités de programmes et de composants Windows. Nous vous recommandons donc de tester ces modifications manière intensive avant de les appliquer à un environnement de production afin de vérifier que les programmes fondamentaux continuent de fonctionner correctement pour tous les utilisateurs.

Cet article explique comment un administrateur peut renforcer les paramètres de sécurité pour la zone Ordinateur local dans Microsoft Internet Explorer. La zone Ordinateur local est également appelée zone Poste de travail. Les informations contenues dans cet article s'appliquent aux configurations suivantes :
  • Versions 32 bits d'Internet Explorer sur les versions 32 bits de Microsoft Windows
  • Versions 64 bits d'Internet Explorer sur les versions 64 bits de Microsoft Windows XP
  • Versions 64 bits d'Internet Explorer sur les versions 64 bits de Microsoft Windows Server 2003
Remarque Microsoft Windows XP Service Pack 2 (SP2) pose des restrictions sur la zone Ordinateur local. Par conséquent, si vous avez installé Windows XP SP2, il n'est peut-être pas nécessaire d'exécuter l'une des procédures décrites dans cet article. Pour plus d'informations, reportez-vous aux sites Web de Microsoft aux adresses suivantes :
http://www.microsoft.com/france/windows/xp/sp2/technologiesoverview.mspx
(http://www.microsoft.com/france/windows/xp/sp2/technologiesoverview.mspx)

http://www.microsoft.com/france/windows/xp/sp2/ieoeoverview.mspx
(http://www.microsoft.com/france/windows/xp/sp2/ieoeoverview.mspx)

Retour au début | Envoyer des commentaires

Plus d'informations

À propos des zones de sécurité

L'interface utilisateur Internet Explorer vous permet de configurer quatre zones de sécurité :
  • Internet
  • Intranet local
  • Sites de confiance
  • Sites sensibles
Une cinquième zone, la zone Ordinateur local est une zone implicite destinée au contenu existant sur votre ordinateur local. Vous ne pouvez pas configurer les paramètres de sécurité pour cette zone dans Internet Explorer. Vous ne pouvez pas non plus configurer les paramètres de sécurité en utilisant le panneau de configuration des Options Internet. Toutefois, si vous possédez des autorisations d'administrateur, vous pouvez configurer les paramètres de sécurité pour la zone Ordinateur local en modifiant un paramètre du Registre.

Internet Explorer vous permet d'assigner un site Web à une zone de sécurité. Un site Web appartenant à la zone Internet a un niveau de sécurité plus élevé qu'un site Web de la zone Sites de confiance ou de la zone Intranet local. En assignant un site Web à une zone de sécurité, vous pouvez contrôler la manière dont un site Web exécute des opérations sur votre ordinateur. Par exemple, vous pouvez empêcher un site Web d'exécuter des opérations potentiellement dangereuses sur votre ordinateur en l'assignant à une zone de sécurité ayant un niveau de sécurité très restrictif.

Un site Web de la zone Ordinateur local a un paramètre de sécurité moins restrictif qu'un site Web appartenant à l'une des autres zones. L'exception à cette règle est le contenu qu'Internet Explorer met en cache sur votre ordinateur local. Un utilisateur malveillant peut essayer d'exécuter un code arbitraire sur votre ordinateur en tirant parti des paramètres de sécurité moins restrictifs de la zone Ordinateur local.

Avant le renforcement des paramètres de sécurité de la zone Ordinateur local

Lorsque vous renforcez les paramètres de sécurité pour la zone Ordinateur local, les utilisateurs peuvent rencontrer l'un ou plusieurs des comportements suivants :
  • Les utilisateurs reçoivent une invite avant de pouvoir ouvrir une source de données sur un autre domaine.
  • Les utilisateurs reçoivent une invite avant de pouvoir exécuter un script sur une page.
  • Les contrôles ActiveX et les programmes Java ne fonctionnent pas.
  • La page Web que les utilisateurs essaient d'ouvrir peut ne pas s'afficher correctement.

Emplacement de stockage des paramètres de sécurité pour la zone Ordinateur local dans le Registre

Les paramètres de sécurité pour la zone Ordinateur local sont stockés dans les sous-clés de Registre suivantes, selon les conditions suivantes :
  • Si vous laissez les utilisateurs définir leurs propres paramètres de sécurité Internet Explorer, les paramètres de sécurité pour la zone Ordinateur local sont stockés dans la sous-clé :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Si vous imposez à tous les utilisateurs les mêmes paramètres de sécurité Internet Explorer, les paramètres de sécurité pour la zone Ordinateur local sont stockés dans la sous-clé :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Par défaut, les paramètres de zone de sécurité sont stockés dans la sous-arborescence du Registre suivante :
HKEY_CURRENT_USER
Dans la mesure où cette sous-arborescence est chargée dynamiquement pour chaque utilisateur, les paramètres d'un utilisateur n'affectent pas les paramètres d'un autre utilisateur. Pour déterminer si tous les utilisateurs possèdent les mêmes paramètres de sécurité, recherchez l'une des conditions suivantes :
  • L'option Zones de sécurité : utiliser seulement des paramètres machine est activée dans la stratégie de groupe.
  • La valeur DWORD Security_HKLM_only est présente et a la valeur de 1.
La valeur DWORD Security_HKLM_only est stockée dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Les paramètres ordinateur et les paramètres utilisateur sont utilisés lorsque l'une des conditions suivantes est remplie :
  • L'option Zones de sécurité : utiliser seulement des paramètres machine n'est pas activée dans la stratégie de groupe.
  • La valeur DWORD Security_HKLM_only n'existe pas.
  • La valeur DWORD Security_HKLM_only est définie sur 0.

Si la valeur DWORD Security_HKLM_only n'existe pas, ou si la valeur DWORD Security_HKLM_only est définie sur 0, Internet Explorer lit la clé de Registre HKEY_LOCAL_MACHINE et la clé de Registre HKEY_CURRENT_USER, respectivement. Toutefois, seuls les paramètres HKEY_CURRENT_USER apparaissent dans le panneau de configuration des Options Internet.

Les paramètres de sécurité affichés dans le panneau de configuration des Options Internet ont des valeurs numériques correspondantes dans le Registre. Le tableau suivant présente les valeurs par défaut de chaque paramètre de sécurité. Il affiche également les valeurs recommandées que vous pouvez utiliser pour renforcer chaque paramètre de sécurité de la zone Ordinateur local.
Réduire ce tableauAgrandir ce tableau
Nom du paramètre de sécurité dans l'interface utilisateurNom de valeur numérique de Registre (type)Données de valeur de Registre par défautDonnées de valeur de Registre recommandées
Exécuter les contrôles ActiveX et les plug-ins1200 (DWORD)03
Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés1201 (DWORD)13
Active scripting1400 (DWORD)01
Accès aux sources de données sur plusieurs domaines1406 (DWORD)01
Autorisations Java1C00 (Binaire)00 00 02 0000 00 00 00
Dans le tableau ci-dessus, les paramètres des valeurs DWORD ont les significations suivantes :
  • 0 indique que l'action est activée. Il s'agit du paramètre par défaut.
  • 1 indique qu'une invite s'affiche.
  • 3 indique que l'action est désactivée.
Le paramètre par défaut 00 00 02 00 pour la valeur Binary indique un niveau moyen de sécurité. Le paramètre 00 00 00 00 désactive Java

Remarque Pour Active Scripting, un paramètre 1 peut provoquer l'affichage de trop d'invites. Par conséquent, vous souhaiterez peut-être autoriser les scripts. Pour cela, définissez la valeur Active Scripting sur 0. Si vous ne souhaitez pas configurer les invites Active Scripting, modifiez la ligne qui démarre avec 1400 dans la section suivante, « Comment faire pour modifier les paramètres de sécurité de la zone Ordinateur local ».

Comment faire pour modifier les paramètres de sécurité de la zone Ordinateur local


Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour modifier les paramètres de sécurité pour la zone Ordinateur local, modifiez la valeur DWORD ou la valeur Binary. Utilisez la méthode correspondant à votre environnement.

Environnements de service d'annuaire Active Directory

Renforcement des paramètres par défaut pour la zone Ordinateur local
Dans un environnement Active Directory, utilisez l'Éditeur d'objets de stratégie de groupe de l'utilisation, auparavant appelé Éditeur de stratégie de groupe. Pour renforcer les paramètres de sécurité pour la zone Ordinateur local, procédez comme suit :
  1. Copiez le texte ci-dessous, puis collez-le dans un éditeur de texte (tel que le Bloc-notes) :

    Si les utilisateurs peuvent configurer leurs propres paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
    Si tous les utilisateurs doivent posséder les mêmes paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
  2. Enregistrez le fichier sous ADHardenLMZ.reg.
  3. Sur l'ordinateur où doit s'exécuter l'Éditeur d'objets de stratégie de groupe, exécutez le fichier ADHardenLMZ.reg pour importer les paramètres de Registre dans le Registre.
  4. Ouvrez l'Éditeur d'objets de stratégie de groupe pour l'objet Active Directory à modifier.
  5. Vous pouvez être invité à effectuer les actions suivantes :
    • Autoriser l'exécution de scripts
    • Confirmer que vous souhaitez continuer à exécuter des scripts
    Cliquez sur Oui si vous recevez cette invite. Si un message indiquant que vos paramètres actuels n'autorisent pas l'exécution pas des contrôles ActiveX s'affiche , cliquez sur OK.

    Remarque Après avoir renforcé les paramètres de sécurité pour la zone Ordinateur local, le volet d'Aide n'apparaîtra plus dans l'Éditeur d'objets de stratégie de groupe.
  6. Développez Configuration utilisateur, Paramètres Windows, Maintenance Internet Explorer, puis Sécurité. Double-cliquez sur Zones de sécurité et contrôle d'accès au contenu.
  7. Cliquez sur Importer les paramètres actuels des zones de sécurité et de confidentialité, puis sur OK.
Restauration des paramètres par défaut pour la zone Ordinateur local
Pour restaurer les paramètres par défaut pour la zone Ordinateur local, procédez comme suit :
  1. Copiez le texte ci-dessous, puis collez-le dans un éditeur de texte (tel que le Bloc-notes) :

    Si les utilisateurs peuvent configurer leurs propres paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
    Si tous les utilisateurs doivent posséder les mêmes paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
  2. Enregistrez le fichier sous ADDefaultLMZ.reg.
  3. Sur l'ordinateur où doit s'exécuter l'Éditeur d'objets de stratégie de groupe, exécutez le fichier ADDefaultLMZ.reg pour importer les paramètres par défaut dans le Registre.
  4. Ouvrez l'Éditeur d'objets de stratégie de groupe pour l'objet Active Directory à modifier.
  5. Vous pouvez être invité à effectuer les actions suivantes :
    • Autoriser l'exécution de scripts
    • Confirmer que vous souhaitez continuer à exécuter des scripts
    Cliquez sur Oui si vous recevez cette invite. Si un message indiquant que vos paramètres actuels n'autorisent pas l'exécution pas des contrôles ActiveX s'affiche , cliquez sur OK.

    Remarque Après avoir renforcé les paramètres de sécurité pour la zone Ordinateur local, le volet d'Aide n'apparaîtra plus dans l'Éditeur d'objets de stratégie de groupe.
  6. Développez Configuration utilisateur, Paramètres Windows, Maintenance Internet Explorer, puis Sécurité. Double-cliquez sur Zones de sécurité et contrôle d'accès au contenu.
  7. Cliquez sur Importer les paramètres actuels des zones de sécurité et de confidentialité, puis sur OK.

Environnements sans le service d'annuaire Active Directory

Renforcement des paramètres par défaut pour la zone Ordinateur local
Pour renforcer les paramètres de sécurité pour la zone Ordinateur local, importez les paramètres de sécurité mis à jour dans le Registre. Pour cela, procédez comme suit :
  1. Copiez le texte ci-dessous, puis collez-le dans un éditeur de texte (tel que le Bloc-notes) :

    Si les utilisateurs peuvent configurer leurs propres paramètres de sécurité Internet Explorer, utilisez le texte suivant :
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
    Si tous les utilisateurs ont les mêmes paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

"Security_HKLM_only"=dword:00000001
  2. Enregistrez le fichier sous HardenLMZ.reg.
  3. Exécutez le fichier HardenLMZ.reg sur tous les ordinateurs clients pour importer ces paramètres dans le Registre.
Restauration des paramètres par défaut pour la zone Ordinateur local
Pour restaurer les paramètres par défaut pour la zone Ordinateur local, procédez comme suit :
  1. Copiez le texte ci-dessous, puis collez-le dans un éditeur de texte (tel que le Bloc-notes) :

    Si les utilisateurs peuvent configurer leurs propres paramètres de sécurité d'Internet Explorer, utilisez le texte suivant :
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
    Si tous les utilisateurs ont les mêmes paramètres de sécurité, utilisez le texte suivant :
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

"Security_HKLM_only"=dword:00000001
  2. Enregistrez le fichier sous DefaultLMZ.reg.
  3. Exécutez le fichier DefaultLMZ.reg sur tous les ordinateurs clients pour importer les paramètres dans le Registre.

Comment faire pour assigner un fichier HTML situé dans la zone Ordinateur local à la zone Internet

Après avoir renforcé les paramètres de sécurité pour la zone Ordinateur local, vous pouvez assigner un fichier HTML local contenant des scripts, des contrôles ActiveX ou des programmes Java à la zone Internet. Lorsque Internet Explorer ouvre ce fichier HTML, il cherche le commentaire « enregistré de l'URL ». Si Internet Explorer trouve ce commentaire, il utilise les paramètres de sécurité pour la zone Internet au lieu des paramètres pour la zone Ordinateur local. Si la zone Internet est configurée pour exécuter des scripts, des contrôles ActiveX ou des programmes Java, ces éléments s'exécuteront et vous ne rencontrerez pas les comportements décrits dans la section « Avant le renforcement des paramètres de sécurité de la zone Ordinateur local ».

Pour assigner un fichier HTML local à la zone Internet, vous pouvez ajouter un commentaire « enregistré de l'URL » au fichier HTML local. Ce commentaire ordonne à Internet Explorer d'appliquer les paramètres de sécurité pour la zone Internet au fichier HTML enregistré sur votre disque dur. Ce commentaire doit ressembler à ceci :

 <!-- saved from url=(0023)http://www.contoso.com/ -->


La valeur entre parenthèses représente le nombre de caractères suivant le signe égal dans l'URL. Dans cet exemple, cette valeur est 0023. Contoso représente le nom d'un site Web Internet.

Retour au début | Envoyer des commentaires

Références

Pour plus d'informations sur la façon de distribuer des modifications du Registre sur plusieurs ordinateurs à l'aide d'un fichier .reg, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
310516
(http://support.microsoft.com/kb/310516/ )
COMMENT FAIRE : Distribution de modifications du registre sur des ordinateurs Windows XP
Pour plus d'informations sur les entrées de Registre des zones de sécurité d'Internet Explorer, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
182569
(http://support.microsoft.com/kb/182569/ )
Description des entrées du Registre relatives aux zones de sécurité de Microsoft Internet Explorer
Pour plus d'informations sur les Modèles Zones de sécurité d'URL, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais):
http://go.microsoft.com/fwlink/?LinkID=12658
(http://go.microsoft.com/fwlink/?LinkID=12658)
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 833633 - Dernière mise à jour: mercredi 26 octobre 2005 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Mots-clés : 
KB833633
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début