Liste des paramètres de sécurité de stratégie de l'utilisateur
Paru le 11 novembre 2007
Les paramètres de cette section sont classés par ordre alphabétique.
Sur cette page
Informations relatives aux paramètres de stratégie de l'utilisateur
Chaque paramètre est décrit de manière détaillée, avec des informations sur les applications auxquelles il se rapporte, sur la vulnérabilité qu'il permet de corriger, sur la méthode de correction de la vulnérabilité, ainsi que d'autres informations. Pour chaque paramètre, un tableau présente l'emplacement du paramètre dans la Stratégie de groupe, le fichier ADM qui contient le paramètre, la configuration recommandée pour les environnements EC et SSLF.
Lire le courrier électronique au format Texte brut
Applicable à : Outlook
Ce paramètre permet de définir si Outlook 2007 doit afficher tous les messages électroniques au format Texte brut.
Vulnérabilité
Outlook 2007 peut afficher des messages électroniques et d'autres éléments dans les trois formats suivants : texte brut, RTF et HTML. Par défaut, Outlook affiche les messages électroniques dans leur format de réception.
Contre-mesure
Si ce paramètre est Activé, la case à cocher Lire tous les messages standard au format texte brut est activée dans la section Sécurité de messagerie électronique du Centre de gestion de la confidentialité et les utilisateurs ne peuvent pas la désactiver. Cette option modifie uniquement l'affichage des messages. Le message d'origine n'est pas converti au format Texte brut.
Ce paramètre peut permettre d'éviter les attaques éventuelles de type « zero-day » qui prennent pour cible les formats RTF ou HTML.
Tableau 1.192. Lire le courrier électronique au format Texte brut
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\E-mail Options |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-791 |
##### Impact
Lorsque ce paramètre est activé, Outlook 2007 affiche tous les messages au format Texte brut, ce qui est susceptible de gêner les utilisateurs qui reçoivent des messages au format HTML ou RTF. Les graphiques associés au message ne s'affichent pas et le texte des messages formatés risque d'être déformé ou illisible.
#### Lire le courrier électronique signé au format Texte brut
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit afficher au format Texte brut tous les messages électroniques signés numériquement.
##### Vulnérabilité
Outlook 2007 peut afficher des messages électroniques et d'autres éléments dans les trois formats suivants : texte brut, RTF et HTML. Par défaut, Outlook affiche dans leur format de réception les messages électroniques signés numériquement.
##### Contre-mesure
Si ce paramètre est **Activé**, la case à cocher **Lire tous les messages standard au format texte brut** est activée dans la section **Sécurité de messagerie électronique** du Centre de gestion de la confidentialité et les utilisateurs ne peuvent pas la désactiver. Cette option modifie uniquement l'affichage des messages. Le message d'origine n'est pas converti au format Texte brut.
Ce paramètre peut permettre d'éviter les attaques éventuelles de type « zero-day » qui prennent pour cible les formats RTF ou HTML.
**Tableau 1.193. Lire le courrier électronique signé au format Texte brut**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\E-mail Options |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1456 |
##### Impact
Lorsque ce paramètre est activé, Outlook 2007 affiche tous les messages signés au format Texte brut, ce qui est susceptible de gêner les utilisateurs qui reçoivent des messages signés au format HTML ou RTF. Les graphiques associés au message ne s'affichent pas et le texte des messages formatés risque d'être déformé ou illisible.
#### Reconnaître les balises actives dans Excel
Applicable à : **Office System 2007**
Ce paramètre permet de définir si Excel 2007 doit étiqueter certains types de données avec des balises actives dans les classeurs.
> [!IMPORTANT]
> Le paramètre « Reconnaître les balises actives » dans User Configuration\\Administrative Templates\\Classic Administrative Templates (ADM)\\Microsoft Office Excel 2007\\Miscellaneous ne fonctionne pas comme prévu et interfèrera avec la configuration « Reconnaître les balises actives dans Excel » si activé. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103492).
##### Vulnérabilité
Excel 2007 peut reconnaître certains types de données dans les classeurs et les étiqueter automatiquement avec des balises actives qui rendent accessibles des informations ou des actions supplémentaires. Pour configurer Excel de sorte que les balises actives soient reconnues, les utilisateurs doivent cliquer sur le bouton **Microsoft Office**, sur **Options Excel**, **Vérification**, **Options de correction automatique**, puis activer la case à cocher **Attacher des balises actives aux données** et choisir les modules de reconnaissance à activer. Si la reconnaissance des balises actives est activée, Excel peut reconnaître les dates, les symboles de calendrier, les noms de personne et les en-têtes géographiques, et proposer des actions que les utilisateurs peuvent réaliser dans des applications externes, telles qu'Outlook et Microsoft MapPoint 2006.
Dans certains cas, autoriser Excel à reconnaître les balises actives peut entraîner la divulgation d'informations confidentielles à des personnes non autorisées.
##### Contre-mesure
Si ce paramètre est **Désactivé**, les utilisateurs ne peuvent pas configurer Excel 2007 afin qu'il reconnaisse les balises actives.
**Tableau 1.194. Reconnaître les balises actives dans Excel**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Tools | AutoCorrect Options... (Excel, Word, PowerPoint et Access)\Balises actives |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1074 |
##### Impact
Désactiver ce paramètre risque de gêner les utilisateurs habitués à utiliser les balises actives dans les classeurs Excel. Par défaut, dans Excel 2007, la reconnaissance des balises actives n'est pas activée. Par conséquent, pour la plupart des utilisateurs, ce paramètre ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Se fier à VML pour afficher des graphismes dans les navigateurs
Applicable à : **Office System 2007**
Ce paramètre permet de définir si les applications Office 2007 peuvent enregistrer des copies GIF ou PNG de graphiques VLM lorsque les documents sont enregistrés en tant que pages Web.
##### Vulnérabilité
Lors de l'enregistrement de documents en tant que pages Web, Excel 2007, PowerPoint 2007 et Word 2007 peuvent enregistrer des graphiques vectoriels en VML (Vector Markup Language). Les graphiques peuvent ainsi s'afficher correctement dans Internet Explorer quelle que soit la résolution.
Par défaut, lors de l'enregistrement de graphiques VML, les applications Office 2007 enregistrent également des copies de ces graphiques dans un format de fichier raster standard (GIF ou PNG), de sorte qu'ils puissent s'afficher dans les navigateurs qui n'affichent pas le VML. Si dans la boîte de dialogue **Options Web**, la case à cocher **Se fier à VML pour afficher les graphismes dans les navigateurs** est activée, les applications n'enregistrent pas de copies raster des graphiques VML, ce qui signifie que ces graphiques ne pourront pas s'afficher dans les navigateurs non Microsoft.
##### Contre-mesure
Si ce paramètre est **Désactivé**, la case à cocher **Se fier à VML pour afficher les graphismes dans les navigateurs** n'est pas activée dans la boîte de dialogue **Options Web** d'Excel 2007, de PowerPoint 2007 et de Word 2007, et les utilisateurs ne peuvent pas l'activer.
> [!NOTE]
> Si ce paramètre est **Activé**, les applications Office 2007 ne génèrent pas de copies des graphiques VML lorsque les documents sont enregistrés en tant que pages Web. Les lecteurs de pages Web risquent alors de rencontrer des difficultés pour afficher ces graphiques.
**Tableau 1.195. Se fier à VML pour afficher les graphismes dans les navigateurs**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Tools | Options | General | Web Options…\Browsers |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1438 |
##### Impact
Pour les environnements EC et SSLF, il est recommandé de définir le paramètre sur **Désactivé**. Les documents enregistrés en tant que pages Web risquent alors d'occuper davantage d'espace sur le disque à cause de l'enregistrement des graphiques VML et des graphiques raster. Ce point excepté, les paramètres recommandés ne devraient pas avoir d'incidence sur l'utilisation du système.
#### Supprimer des extensions de fichiers bloquées au niveau 1
Applicable à : **Outlook**
Ce paramètre permet aux administrateurs de supprimer des types de pièces jointes (répertoriés par extension de fichier) de la liste de blocage de niveau 1.
##### Vulnérabilité
Les codes malveillants sont généralement diffusés via la messagerie électronique. Certains virus peuvent envoyer des copies d'eux-mêmes à d'autres personnes figurant dans le carnet d'adresses ou dans la liste de contacts de la victime. Ces fichiers potentiellement dangereux risquent d'affecter les ordinateurs de destinataires peu vigilants.
##### Contre-mesure
Outlook 2007 met en œuvre une sécurité à deux niveaux afin de restreindre l'accès des utilisateurs aux fichiers joints aux messages ou à d'autres éléments. Les fichiers qui possèdent une extension spécifique peuvent être classés dans le niveau 1 (les utilisateurs ne peuvent pas voir le fichier) ou dans le niveau 2 (les utilisateurs peuvent ouvrir le fichier après l'avoir enregistré sur le disque). Les utilisateurs peuvent ouvrir librement les types de fichiers qui ne sont pas classés dans le niveau 1 ni dans le niveau 2.
Par défaut, Outlook classe certains types de fichiers potentiellement dangereux (tels que les .exe, .reg et .vbs) dans le niveau 1 et empêche les utilisateurs de recevoir les fichiers possédant ces extensions. Pour consulter la liste complète, reportez-vous à l'article relatif aux [types de pièces jointes restreints par Outlook 2007](http://technet.microsoft.com/en-us/library/cc179163.aspx) sur le site Web Microsoft TechNet.
Si ce paramètre est **Activé**, les administrateurs peuvent supprimer une ou plusieurs extensions de la liste par défaut en saisissant dans la zone de texte qui s'affiche les extensions à supprimer. Les extensions spécifiées sont supprimées de la liste. Séparez les extensions par des points-virgules.
> [!IMPORTANT]
> Le fait de supprimer des extensions de la liste niveau 1 par défaut autorise les utilisateurs à ouvrir des fichiers potentiellement dangereux. Le niveau de sécurité est alors réduit de façon non négligeable.
**Tableau 1.196. Supprimer des extensions de fichiers bloquées au niveau 1**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Security Form Settings\Attachment Security |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1631 |
##### Impact
Pour les environnements EC et SSLF, il est recommandé de définir ce paramètre sur **Désactivé**. Toute extension déjà répertoriée dans la liste est ignorée, ce qui signifie qu'Outlook 2007 bloquera à nouveau l'accès à ces fichiers. Cette configuration risque de poser des problèmes aux utilisateurs habitués à envoyer et à recevoir ces types de fichiers.
> [!NOTE]
> Vous pouvez également configurer les paramètres du formulaire de sécurité Exchange en activant le paramètre « Mode de sécurité Outlook » dans User Configuration\\Administrative Templates\\Classic Administrative Templates (ADM)\\Microsoft Office Outlook 2007\\Security\\Security Form Settings\\Microsoft Office Outlook 2007 Security et en sélectionnant **Utiliser la stratégie du groupe de sécurité Outlook** dans la liste déroulante.
#### Supprimer des extensions de fichiers bloquées au niveau 2
Applicable à : **Outlook**
Ce paramètre permet aux administrateurs de supprimer des types de pièces jointes (répertoriés par extension de fichier) de la liste de blocage de niveau 2.
##### Vulnérabilité
Les codes malveillants sont généralement diffusés via la messagerie électronique. Certains virus peuvent envoyer des copies d'eux-mêmes à d'autres personnes figurant dans le carnet d'adresses ou dans la liste de contacts de la victime. Ces fichiers potentiellement dangereux risquent d'affecter les ordinateurs de destinataires peu vigilants.
Outlook 2007 met en œuvre une sécurité à deux niveaux afin de restreindre l'accès des utilisateurs aux fichiers joints aux messages ou à d'autres éléments. Les fichiers qui possèdent une extension spécifique peuvent être classés dans le niveau 1 (les utilisateurs ne peuvent pas voir le fichier) ou dans le niveau 2 (les utilisateurs peuvent ouvrir le fichier après l'avoir enregistré sur le disque). Les utilisateurs peuvent ouvrir librement les types de fichiers qui ne sont pas classés dans le niveau 1 ni dans le niveau 2.
Par défaut, Outlook classe certains types de fichiers potentiellement dangereux dans le niveau 1. Pour consulter la liste complète, reportez-vous à l'article relatif aux [types de pièces jointes restreints par Outlook 2007](http://technet.microsoft.com/en-us/library/cc179163.aspx). Par défaut, Outlook ne classe aucun type de fichier dans le niveau 2, c'est pourquoi ce paramètre n'est pas très utile en matière d'isolation. En général, lorsque des extensions sont répertoriées dans le niveau 2, cela signifie qu'elles ont été ajoutées via le paramètre « Ajouter des extensions de fichiers à bloquer dans le niveau 2 ». C'est également via ce paramètre qu'elles peuvent être supprimées.
Les listes d'extensions de fichiers bloquées et restreintes utilisées par Outlook reposent en réalité sur l'association de plusieurs stratégies. Si une stratégie d'ordinateur classe une extension dans le niveau 2, ce paramètre peut être utilisé pour supprimer l'extension de la liste dans certaines situations. Comme pour les extensions du niveau 1, supprimer des restrictions associées à des extensions de fichiers potentiellement dangereuses peut conduire les utilisateurs à ouvrir des fichiers dangereux et réduire ainsi le niveau de sécurité de façon non négligeable.
##### Contre-mesure
Si ce paramètre est **Désactivé**, aucune extension n'est supprimée de la liste Niveau 2, et ce quelle que soit la méthode utilisée pour l'ajout de ces extensions à la liste.
**Tableau 1.197. Supprimer des extensions de fichiers bloquées au niveau 2**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Security Form Settings\Attachment Security |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1556 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Demander un accusé S/MIME pour tous les messages signés S/MIME
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit envoyer des demandes d'accusé S/MIME avec les messages signés S/MIME.
##### Vulnérabilité
Lorsque les utilisateurs envoient des messages électroniques signés numériquement, ils peuvent également envoyer des demandes d'accusé S/MIME. Les accusés S/MIME permettent de confirmer que les messages reçus n'ont pas été altérés. Ils peuvent également inclure des informations sur la personne qui a ouvert le message et sur la date d'ouverture du message.
Par défaut, Outlook 2007 n'envoie pas de demandes d'accusé S/MIME avec les messages signés, sauf si l'utilisateur a activé cette option dans la section **Sécurité de messagerie électronique** du Centre de gestion de la confidentialité ou dans la boîte de dialogue **Propriétés de sécurité** pour chaque message.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 demande des accusés S/MIME lorsqu'il envoie des messages signés S/MIME et les utilisateurs ne peuvent pas modifier ce paramètre.
> [!NOTE]
> Si ce paramètre est **Désactivé**, Outlook ne demande pas automatiquement d'accusés S/MIME lorsqu'il envoie des messages signés, mais les utilisateurs peuvent quand même inclure des demandes d'accusé pour chaque message.
**Tableau 1.198. Demander un accusé S/MIME pour tous les messages signés S/MIME**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-153 |
##### Impact
Lorsqu'un utilisateur envoie un message qui comporte une demande d'accusé S/MIME, l'accusé est renvoyé dans la boîte de réception de l'utilisateur sous la forme d'un message. Lorsque ce paramètre est activé, l'utilisateur reçoit un accusé S/MIME pour chaque message envoyé et signé numériquement, sauf si le destinataire ne peut pas générer d'accusés ou s'il a choisi de ne pas en envoyer. Pour certains utilisateurs, cette configuration peut augmenter considérablement le nombre de messages reçus.
> [!IMPORTANT]
> Lorsque le paramètre « Signer tous les messages électroniques » est activé, comme c'est le cas dans la configuration SSLF, l'activation de ce paramètre peut surcharger de façon non négligeable l'infrastructure de la messagerie électronique. Avant d'activer ces deux paramètres, estimez vos besoins et vos capacités.
#### Exiger les algorithmes SuiteB pour les opérations S/MIME
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 est requis pour utiliser les algorithmes Suite B de la NSA pour les opérations S/MIME.
##### Vulnérabilité
Outlook 2007 implémente Suite B. Il s'agit d'un jeu d'algorithmes de chiffrement pour le chiffrement symétrique, le hachage, les signatures numériques et l'échange de clé, introduit en 2005 par la NSA (National Security Agency), service du Department of Defense américain. Les protocoles Suite B peuvent être utilisés pour satisfaire aux exigences des normes gouvernementales américaines dans le cadre du traitement d'informations classées et non classées.
Pour les opérations S/MIME telles que le chiffrement et la signature, Outlook peut utiliser par défaut tous les algorithmes disponibles. Les entreprises qui effectuent des transactions avec le gouvernement américain et qui n'utilisent pas les algorithmes Suite B pour les opérations S/MIME risquent d'enfreindre les règles du gouvernement américain relatives au traitement des informations confidentielles.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 utilise uniquement les algorithmes Suite B pour les opérations S/MIME. Les algorithmes Suite B sont les suivants :
- **Chiffrement symétrique**. AES (Advanced Encryption Standard) avec des clés de 128 et 256 bits.
- **Synthèse du message**. Algorithme de hachage sécurisé (SHA-256 et SHA-384).
- **Accord de la clé**. ECMQV (Menezes-Qu-Vanstone à courbe elliptique) ; ECDH (Diffie-Hellman à courbe elliptique).
- **Signatures numériques**. ECDSA (algorithme de signature numérique à courbe elliptique).
**Tableau 1.199. Exiger les algorithmes SuiteB pour les opérations S/MIME**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1658 |
##### Impact
Si ce paramètre est **Activé**, vous devez vous assurer que le jeu complet des standards et algorithmes de chiffrement répertoriés précédemment est déployé et que tous les utilisateurs au sein de l'entreprise y ont accès. Dans le cas contraire, ces derniers ne pourront pas réaliser certaines opérations S/MIME.
> [!NOTE]
> Pour plus d'informations sur Suite B, reportez-vous à l'article de la NSA relatif au [chiffrement Suite B](http://www.nsa.gov/ia/industry/crypto_suite_b.cfm).
#### Exiger la signature des compléments d'applications par un éditeur approuvé
Applicable à : **Access, Excel, InfoPath, PowerPoint, Word**
Ce paramètre permet de définir si les compléments des applications Office 2007 spécifiées doivent être signés numériquement par un éditeur approuvé.
##### Vulnérabilité
Par défaut, les applications Office 2007 ne vérifient pas la signature numérique des compléments d'applications avant de les ouvrir. Si un complément dangereux est chargé, il peut endommager l'ordinateur de l'utilisateur ou compromettre la sécurité des données.
##### Contre-mesure
Si ce paramètre est **Activé**, les applications spécifiées vérifient la signature numérique de chaque complément avant de le charger. Si un complément n'est pas signé numériquement ou si la signature ne provient pas d'un éditeur approuvé, l'application désactive le complément et informe l'utilisateur.
> [!NOTE]
> Dans Office 2007, Microsoft fournit quatre certificats que vous pouvez ajouter à la liste Éditeurs approuvés. Si vous exigez que tous les compléments soient signés par un éditeur approuvé, vous devez ajouter ces certificats à la liste Éditeurs approuvés. Si vous n'ajoutez pas ces certificats à la liste Éditeurs approuvés et si vous exigez que tous les compléments soient signés par un éditeur approuvé, des notifications risquent de s'afficher dans la barre des messages ou dans des boîtes de dialogue lorsque les utilisateurs accèdent à certaines applications et à certaines de leurs fonctions. Ces notifications apparaissent car certaines applications utilisent des composants intégrés fournis avec Office 2007. Si les certificats de ces compléments ne sont pas ajoutés à la liste Éditeurs approuvés et que l'on fait appel à ces compléments, ceux-ci sont désactivés et les utilisateurs sont invités à les activer. Les certificats Microsoft Mscert01.cer, Mscert02.cer, Mscert03.cer et Mscert04.cer sont disponibles sur le site Web de Microsoft.
**Tableau 1.200. Exiger la signature des compléments d'applications par un éditeur approuvé**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Access 2007\Application Settings\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office InfoPath 2007\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Security\Trust Center |
| Fichier ADM |
access12.adm, excel12.adm, inf12.adm, ppt12.adm, word12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
Access : CCE-1476 Excel : CCE-1524 InfoPath : CCE-1157 PowerPoint : CCE-1107 Word : CCE-1562 |
##### Impact
L'activation de ce paramètre risque de poser des problèmes aux utilisateurs qui utilisent des compléments non signés par des éditeurs approuvés. Ces utilisateurs devront se procurer les versions signées de ces compléments ou arrêter de les utiliser.
> [!NOTE]
> Office 2007 stocke les certificats des éditeurs approuvés dans le magasin d'éditeurs approuvés d'Internet Explorer. Dans les versions précédentes d'Office, les informations relatives aux certificats des éditeurs approuvés (notamment l'empreinte des certificats) étaient stockées dans un magasin spécial d'éditeurs approuvés Office. Dans Office 2007, il est toujours possible de lire les informations relatives aux certificats des éditeurs approuvés à partir du magasin d'éditeurs approuvés Office, mais il n'est pas possible d'entrer des informations dans ce magasin.
Ainsi, si vous avez créé une liste d'éditeurs approuvés dans une version précédente d'Office et que vous mettez à niveau vers Office 2007, votre liste d'éditeurs approuvés est reconnue. Toutefois, les certificats d'éditeurs approuvés que vous ajoutez à la liste sont stockés dans le magasin d'éditeurs approuvés d'Internet Explorer.
Pour plus d'informations sur les éditeurs approuvés, reportez-vous aux documentations suivantes :
- Article du site Web Microsoft Office Online sur l'[ajout, la suppression et l'affichage d'un éditeur approuvé](http://office.microsoft.com/fr-fr/help/ha100341381036.aspx).
- Article de la Base de connaissances « [Comment faire : utilisation de stratégies de restriction logicielle dans Windows Server 2003 ](http://support.microsoft.com/kb/324036/fr)»
- Article de Microsoft TechNet relatif à l'[utilisation de stratégies de restriction logicielle pour se protéger des logiciels non autorisés](http://go.microsoft.com/fwlink/?linkid=98671).
- Chapitre 6 : stratégie de restriction logicielle pour les clients Windows XP dans le [Guide de sécurité de Windows XP](http://www.microsoft.com/france/technet/security/prodtech/windowsxp/secwinxp/default.mspx) sur Microsoft TechNet.
#### Autorité de certification obligatoire
Applicable à : **Outlook**
Ce paramètre permet aux administrateurs de spécifier une autorité de certification qu'Outlook 2007 doit obligatoirement utiliser pour le chiffrement et les signatures numériques.
##### Vulnérabilité
Par défaut, Outlook 2007 fait confiance à toutes les autorités de certification représentées par des certificats stockés dans le magasin d'Autorités de certification de racine de confiance des ordinateurs des utilisateurs. Dans certains environnements qui requièrent un niveau de sécurité élevé, les administrateurs peuvent contrôler les certificats numériques des utilisateurs pour les opérations S/MIME telles que le chiffrement et les signatures numériques, en spécifiant une autorité de certification qu'Outlook doit obligatoirement utiliser.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent spécifier une autorité de certification obligatoire, en saisissant un nom unique X.509 dans le champ prévu à cet effet. Le nom doit être strictement conforme au format de certificat X.509. Exemple :
```
CN=WoodgroveBankCA, DC=WoodgroveBank, DC=com
```
**Tableau 1.201. Autorité de certification obligatoire**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1498 |
##### Impact
L'activation de ce paramètre ne devrait pas avoir d'incidence notable pour les utilisateurs si les certificats racines correspondant à l'autorité requise sont installés sur leurs ordinateurs.
#### Restreindre le niveau de détails du calendrier qu'un utilisateur peut publier
Applicable à : **Outlook**
Ce paramètre permet de définir le niveau de détails du calendrier qu'un utilisateur d'Outlook 2007 peut publier dans le Service de partage de calendriers Microsoft Office Outlook.
##### Vulnérabilité
Par défaut, les utilisateurs d'Outlook 2007 peuvent partager leurs calendriers avec d'autres utilisateurs choisis en les publiant dans le Service de partage de calendriers Microsoft Office Outlook. L'utilisateur peut choisir l'un des trois niveaux de détails suivants :
- **Disponibilité uniquement**. Les visiteurs autorisés peuvent voir à quel moment l'utilisateur est signalé comme Libre, Occupé(e), Provisoire ou Absent(e) du bureau, mais ne peuvent pas voir les objets ou le détail des éléments du calendrier.
- **Détails limités**. Les visiteurs autorisés peuvent voir la disponibilité de l'utilisateur, ainsi que les objets des éléments du calendrier. Ils ne peuvent pas voir les détails des éléments du calendrier. L'utilisateur a également la possibilité d'autoriser les visiteurs à voir des éléments privés.
- **Tous les détails**. Les visiteurs autorisés peuvent voir tous les détails des éléments du calendrier. L'utilisateur a également la possibilité d'autoriser les visiteurs à voir des éléments privés et à accéder à des pièces jointes appartenant aux éléments du calendrier.
Si les utilisateurs sont autorisés à publier des détails partiellement ou intégralement, des informations confidentielles de leurs calendriers risquent d'être divulguées à des tiers non autorisés à les consulter.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'un des trois niveaux de détails suivants :
- **Toutes les options sont disponibles**. Il s'agit du niveau de détails de la configuration par défaut.
- **Désactive Tous les détails**.
- **Désactive Tous les détails et Détails limités**.
**Tableau 1.202. Restreindre le niveau de détails du calendrier qu'un utilisateur peut publier**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\Calendar Options\Microsoft Office Online Sharing Service |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Toutes les options sont disponibles) |
| Paramètre recommandé (SSLF) |
Activé (Désactive Tous les détails et Détails limités) |
| ID CCE |
CCE-1641 |
##### Impact
Choisir **Désactive Tous les détails** ou **Désactive Tous les détails et Détails limités** risque de poser des problèmes aux utilisateurs d'Outlook 2007 habitués à publier des détails de leurs rendez-vous dans le Service de partage de calendriers Microsoft Office Outlook. Ces utilisateurs devront utiliser un autre moyen pour communiquer les détails de leurs rendez-vous à des tiers externes.
#### Restreindre la méthode de téléchargement
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 peut télécharger automatiquement des mises à jour de calendrier vers Microsoft Office Online.
##### Vulnérabilité
Par défaut, lorsque les utilisateurs publient leur calendrier sur Microsoft Office Online à l'aide du Service de partage de calendriers Microsoft Office Outlook, Outlook 2007 met à jour les calendriers en ligne à intervalles réguliers, sauf si les utilisateurs ont cliqué sur **Avancé** et sélectionné **Téléchargement unique : les mises à jour ne sont pas téléchargées** dans la boîte de dialogue **Paramètres du calendrier publié**. Si votre entreprise a mis en place des stratégies qui réglementent l'utilisation de ressources externes telles que Microsoft Office Online, le fait d'autoriser Outlook à publier automatiquement des mises à jour de calendrier risque d'entraîner un non-respect de ces stratégies.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 ne publie pas automatiquement les mises à jour des calendriers sur Microsoft Office Online. Toutefois, les utilisateurs peuvent activer l'option Téléchargement unique afin de publier manuellement leurs calendriers.
**Tableau 1.203. Restreindre la méthode de téléchargement**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\Calendar Options\Microsoft Office Online Sharing Service |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1399 |
##### Impact
L'activation de ce paramètre peut poser des problèmes aux utilisateurs qui publient leurs calendriers sur le Service de partage de calendriers Microsoft Office Outlook. Ces utilisateurs doivent activer l'option Téléchargement unique afin de mettre à jour manuellement leurs calendriers. Si les utilisateurs ne publient pas régulièrement leurs calendriers en ligne, ces derniers risquent de devenir obsolètes.
#### Récupération de listes de révocation de certificats
Applicable à : **Outlook**
Ce paramètre permet de définir la façon dont Outlook 2007 doit récupérer les listes de révocation de certificats afin de vérifier la validité des certificats.
##### Vulnérabilité
Les listes de révocation de certificats (CRL) sont des listes de certificats numériques révoqués par les autorités de certification chargées de les contrôler, en général parce que les certificats n'ont pas été émis correctement ou parce que leurs clés privées ont été compromises.
Par défaut, quand Outlook 2007 traite un certificat incluant une URL à partir de laquelle une CRL peut être téléchargée, Outlook récupère la CRL à partir de l'URL fournie si Outlook est en ligne. Si cette configuration est modifiée, Outlook risque de faire confiance à tort à un certificat révoqué, mettant ainsi en danger les ordinateurs et les données des utilisateurs.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des trois options suivantes pour réglementer la façon dont Outlook 2007 utilise les CRL :
- **Utiliser le paramètre par défaut du système**. Outlook utilise la planification de téléchargement de la CRL configurée pour le système d'exploitation.
- **Quand Outlook est en ligne, toujours récupérer la CRL**. Il s'agit de la configuration Outlook par défaut.
- **Ne jamais récupérer la CRL**. Outlook n'essaiera pas de télécharger la CRL d'un certificat, même s'il est en ligne. Cette option risque d'abaisser le niveau de sécurité.
**Tableau 1.204. Récupération de listes de révocation de certificats**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography\boîte de dialogue État de la signature |
| Fichier ADM |
Outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Quand Outlook est en ligne, toujours récupérer la CRL) |
| Paramètre recommandé (SSLF) |
Activé (Quand Outlook est en ligne, toujours récupérer la CRL) |
| ID CCE |
CCE-395 |
##### Impact
Le paramètre recommandé applique la configuration par défaut dans Outlook 2007 et, par conséquent, ne risque pas de poser de sérieux problèmes d'utilisation à l'utilisateur.
#### Exécuter en mode conforme FIPS
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit utiliser des algorithmes conformes FIPS lors de la signature et du chiffrage des messages.
##### Vulnérabilité
Outlook 2007 peut s'exécuter dans un mode conforme à la norme FIPS (Federal Information Processing Standards). FIPS est un ensemble de normes publiées par l'institut de la normalisation et de la technique (National Institute of Standards and Technology, NIST) et destinées à être utilisées par les organismes publics non militaires américains et par les entrepreneurs publics.
Par défaut, Outlook ne s'exécute pas en mode conforme FIPS. Les entreprises qui effectuent des transactions avec le gouvernement américain et qui n'exécutent pas Outlook en mode conforme FIPS risquent d'enfreindre les règles du gouvernement américain relatives au traitement des informations confidentielles.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 s'exécute dans un mode conforme à la norme FIPS 140-1 pour les modules de chiffrement. Ce mode requiert l'utilisation de l'algorithme SHA-1 pour la signature et 3DES pour le chiffrement.
**Tableau 1.205. Exécuter en mode conforme FIPS**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1018 |
##### Impact
L'activation de ce paramètre restreint les algorithmes qu'Outlook 2007 peut utiliser pour signer et chiffrer les messages. Si votre entreprise est conforme à d'autres standards de chiffrement, l'activation du mode conforme FIPS risque d'empêcher les utilisateurs de respecter ces standards.
Pour plus d'informations sur FIPS, consultez les [informations générales sur FIPS](http://www.itl.nist.gov/fipspubs/geninfo.htm).
#### Exécuter des programmes
Applicable à : **PowerPoint**
Ce paramètre permet de définir le comportement d'invite et d'activation de l'option **Exécuter des programmes** pour les boutons d'action de PowerPoint 2007.
##### Vulnérabilité
Les boutons d'action peuvent être utilisés pour lancer des programmes externes à partir de présentations PowerPoint 2007. Si une personne malveillante ajoute à une présentation un bouton d'action chargé d'exécuter un programme dangereux, ce dernier risque d'affecter considérablement la sécurité de l'ordinateur et des données d'un utilisateur.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des trois options suivantes pour contrôler le fonctionnement de l'option Exécuter des programmes :
- **Désactiver (n'exécuter aucun programme)**. Si l'utilisateur clique sur un bouton d'action associé à l'option Exécuter des programmes, rien ne se produit. Cette option applique la configuration par défaut dans PowerPoint 2007.
- **Activé (avertir l'utilisateur avant d'exécuter)**. Si l'utilisateur clique sur un bouton d'action associé à l'option Exécuter des programmes, il est invité à indiquer s'il souhaite vraiment exécuter le programme.
- **Activer tout (exécuter sans avertir)**. Si l'utilisateur clique sur un bouton d'action associé à l'option Exécuter des programmes, PowerPoint exécute le programme automatiquement, sans avertir l'utilisateur.
**Tableau 1.206. Exécuter des programmes**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Security |
| Fichier ADM |
ppt12.adm |
| Paramètre recommandé (EC) |
Activé (Désactiver (n'exécuter aucun programme)) |
| Paramètre recommandé (SSLF) |
Activé (Désactiver (n'exécuter aucun programme)) |
| ID CCE |
CCE-1649 |
##### Impact
Pour les environnements EC et SSLF, il est recommandé d'activer ce paramètre et de définir le menu déroulant sur **Désactiver (n'exécuter aucun programme)**. Cette configuration risque de gêner les utilisateurs qui souhaitent créer ou utiliser des présentations qui lancent des programmes externes via des boutons d'action. Ces utilisateurs devront lancer les programmes externes manuellement au moment approprié lors des présentations.
#### Interopérabilité S/MIME avec les clients externes :
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit décoder les messages chiffrés lui-même ou les transmettre à un programme externe en vue de leur traitement.
##### Vulnérabilité
Dans certains cas, il se peut que les administrateurs souhaitent utiliser un programme externe, tel qu'un complément, pour prendre en charge le déchiffrement des messages S/MIME. Si votre entreprise fait transiter en son sein des messages chiffrés que la fonction de déchiffrement d'Outlook 2007 ne prend pas correctement en charge, ce paramètre peut permettre de configurer Outlook de sorte qu'il transmette à un programme externe les messages S/MIME à déchiffrer. Si aucun programme externe n'est autorisé, configurer ce paramètre de façon inappropriée peut permettre à des programmes non autorisés et potentiellement dangereux de prendre en charge les messages chiffrés, ce qui risque de compromettre la sécurité.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des trois options suivantes pour configurer les clients S/MIME externes :
- **Gérer en interne**. Outlook 2007 se charge de déchiffrer les messages S/MIME.
- **Gérer en externe**. Outlook transmet tous les messages S/MIME au programme externe configuré.
- **Gérer si possible**. Outlook tente de déchiffrer tous les messages S/MIME. Lorsqu'il ne parvient pas à déchiffrer un message, il le transmet au programme externe configuré. Il s'agit de la configuration par défaut.
**Tableau 1.207. Interopérabilité S/MIME avec les clients externes :**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Gérer en interne) |
| ID CCE |
CCE-1630 |
##### Impact
La configuration recommandée pour l'environnement SSLF est **Gérer en interne**, ce qui applique la configuration par défaut d'Outlook 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système. Si vous souhaitez utiliser un programme externe spécifique pour la prise en charge des messages S/MIME, sélectionnez dans la liste déroulante l'une des deux autres options.
#### Paramètres des mots de passe S/MIME
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit conserver les informations de mot de passe des certificats du serveur gestionnaire de clés (KMS).
##### Vulnérabilité
Le serveur gestionnaire de clés (KMS) était un produit qui pouvait s'intégrer à certaines versions de Microsoft Exchange Server antérieures à Exchange 2000 SP2. Les utilisateurs doivent fournir un mot de passe d'utilisation des certificats émis par le KMS afin de pouvoir signer ou déchiffrer des messages. Dans Outlook 2007, lorsque les utilisateurs sont invités à entrer le mot de passe, ils peuvent spécifier une durée (en minutes) de mise en cache du mot de passe. Pendant cette durée, les utilisateurs ne sont pas réinvités à entrer le mot de passe.
Par défaut, Outlook conserve les mots de passe du KMS pendant 30 minutes. Les utilisateurs peuvent modifier cette valeur et spécifier la durée de leur choix (300 minutes max.). Plus la durée spécifiée est longue, plus le risque qu'une personne non autorisée utilise l'ordinateur d'un utilisateur pour accéder à des informations confidentielles est important.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent modifier la durée par défaut de mise en cache des mots de passe KMS, ainsi que la durée maximale pouvant être spécifiée par les utilisateurs. Chaque valeur doit être un nombre entier compris entre 1 et 2147483647.
**Tableau 1.208. Paramètres des mots de passe S/MIME**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (1) |
| ID CCE |
CCE-1163, CCE-1445, CCE-1582 |
Pour plus d'informations sur les configurations spécifiques résolues par ces ID CCE, reportez-vous au classeur sur les paramètres de sécurité dans ce Solution Accelerator.
##### Impact
Pour la configuration SSLF, le paramètre recommandé est **Activé**, avec la durée par défaut et la durée maximale définies sur 1 (la valeur minimum autorisée). Dans cette configuration, Outlook met en cache les mots de passe KMS pendant une minute et les utilisateurs ne peuvent pas définir une durée plus longue. Si dans votre entreprise les certificats KMS sont fréquemment utilisés pour signer ou déchiffrer des messages électroniques, cette configuration risque de gêner considérablement les utilisateurs, car ces derniers seront fréquemment invités à entrer leur mot de passe.
#### Demandes d'accusé S/MIME
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit gérer les demandes d'accusé S/MIME.
##### Vulnérabilité
Les messages entrants signés ou chiffrés peuvent inclure des demandes d'accusé S/MIME. Les accusés S/MIME permettent de confirmer que les messages reçus n'ont pas été altérés. Ils peuvent également inclure des informations sur la personne qui a ouvert le message et sur la date d'ouverture du message.
Par défaut, lorsque les utilisateurs ouvrent des messages contenant des demandes d'accusé, Outlook 2007 les invite à spécifier s'ils souhaitent ou non envoyer à l'expéditeur un accusé mentionnant l'identité de la personne qui a ouvert le message et la date d'ouverture de ce dernier. Si Outlook ne peut pas envoyer l'accusé, l'utilisateur est quand même autorisé à ouvrir le message.
Dans certains cas, autoriser Outlook à envoyer automatiquement des demandes d'accusé peut entraîner la divulgation d'informations confidentielles à des personnes non autorisées.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des quatre options suivantes pour gérer les demandes d'accusé S/MIME dans Outlook 2007 :
- **Ouvrir le message si l'accusé ne peut pas être envoyé**
- **Ne pas ouvrir le message si l'accusé ne peut pas être envoyé**
- **Toujours demander avant d'envoyer l'accusé**
- **Ne jamais envoyer d'accusé S/MIME**
**Tableau 1.209. Demandes d'accusé S/MIME**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Ne jamais envoyer d'accusé S/MIME) |
| ID CCE |
CCE-1613 |
##### Impact
Pour l'environnement SSLF, la configuration recommandée est **Ne jamais envoyer d'accusé S/MIME**, ce qui n'empêche pas les utilisateurs d'ouvrir et de lire les messages électroniques. Toutefois, les expéditeurs qui envoient des messages contenant des demandes d'accusé à des utilisateurs concernés par ce paramètre ne recevront pas les accusés S/MIME demandés, ce qui risque d'entraîner une certaine confusion. Informez les utilisateurs de l'existence de ce paramètre de sorte qu'ils puissent indiquer à leurs correspondants qu'ils ne doivent pas s'attendre à recevoir les accusés qu'ils demandent.
#### Enregistrer les données supplémentaires nécessaires à la gestion des formules
Applicable à : **Excel**
Ce paramètre permet de définir si Excel 2007 doit enregistrer des données masquées afin de conserver des formules lorsqu'un classeur est enregistré en tant que page Web utilisant Office Web Components (OWC), ce qui n'est pas approuvé dans Excel 2007.
##### Vulnérabilité
Microsoft Office Web Components (OWC) est un ensemble de contrôles COM (Component Object Model) utilisés dans des versions précédentes de Microsoft Office pour publier des feuilles de calcul, des graphiques et des bases de données sur le Web, ainsi que pour afficher les composants publiés sur le Web. Dans Office 2007, OWC n'a pas été conservé. En revanche, des améliorations ont été apportées aux fonctionnalités Web des applications bureautiques d'Office et de Microsoft Windows SharePoint Services. Les entreprises qui prennent en charge la publication de données sur Internet via OWC et qui ne sont pas prêtes à migrer vers de nouvelles méthodes de publication peuvent télécharger OWC sur le site Web de Microsoft et continuer à l'utiliser avec les applications Microsoft Office 2007.
Par défaut, lorsque les utilisateurs enregistrent des classeurs en tant que pages Web utilisant OWC, Excel conserve en externe les données référencées des formules qui ne se trouvent pas dans la plage sélectionnée pour la publication, ce qui augmente la taille des fichiers et parfois le risque de divulguer des informations confidentielles. L'utilisateur peut modifier cette fonctionnalité en désactivant la case à cocher **Enregistrer toutes les données masquées nécessaires pour conserver les formules**, dans l'onglet **Général** de la boîte de dialogue **Options Web** (accessible à partir de la section **Avancé** de la boîte de dialogue **Options Excel**). Si la case à cocher est désactivée, Excel 2007 remplace les formules par des valeurs calculées, ce qui réduit la taille du fichier.
##### Contre-mesure
Si ce paramètre est **Désactivé**, les utilisateurs ne peuvent pas enregistrer les données masquées afin de conserver les formules lors de la publication d'un classeur en tant que page Web utilisant OWC.
**Tableau 1.210. Enregistrer les données supplémentaires nécessaires à la gestion des formules**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Advanced\Web Options…\General |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1277 |
##### Impact
Pour l'environnement SSLF, le paramètre recommandé est **Désactivé**. Si, dans votre entreprise, les utilisateurs publient des données Excel 2007 vers des pages Web qui utilisent OWC, la désactivation de ce paramètre risque de provoquer des perturbations. Essayez de ne plus avoir recours à OWC et d'utiliser uniquement Excel 2007 pour publier des données de feuille de calcul sur le Web. Si dans votre entreprise les utilisateurs publient des données vers des pages Web en utilisant uniquement Excel 2007 et que la compatibilité avec les versions précédentes de Microsoft Office ne leur est pas utile, la désactivation de ce paramètre permettra de réduire la taille des fichiers et de simplifier le transfert et le partage de ces derniers.
Si les utilisateurs ne publient pas de données vers des pages Web, vous n'avez pas besoin de configurer ce paramètre.
#### Enregistrer les fichiers Excel sous
Applicable à : **Excel**
Ce paramètre permet de définir le format d'enregistrement par défaut des classeurs Excel 2007.
##### Vulnérabilité
Par défaut, Excel 2007 enregistre les nouveaux classeurs au format Office Open XML, avec l'extension .xlsx. Microsoft propose le module de compatibilité Microsoft Office aux utilisateurs qui exécutent Excel 2000 avec Service Pack 3, Excel 2002 avec Service Pack 3 et Excel 2003 avec Service Pack 1 (ou supérieur), afin qu'ils puissent ouvrir et enregistrer des fichiers .xlsx. Si dans votre entreprise des utilisateurs ne peuvent pas installer le module de compatibilité ou s'ils exécutent des versions d'Excel antérieures à Excel 2000 avec Service Pack 3, ils risquent de ne pas pouvoir accéder aux fichiers Excel enregistrés au format .xlsx.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent définir le format de fichier d'Excel par défaut parmi les options suivantes :
- **Classeur Excel (\*.xlsx)**. Il s'agit de la configuration Excel 2007 par défaut.
- **Classeur Excel prenant en charge les macros (\*.xlsm)**
- **Classeur Excel binaire (\*.xlsb)**
- **Page Web (\*.htm; \*.html)**
- **Classeur Excel 97-2003 (\*.xls)**
- **Classeur Excel 5.0/95 (\*.xls)**
Les utilisateurs peuvent enregistrer des classeurs dans d'autres formats que le format par défaut.
**Tableau 1.211. Enregistrer les fichiers Excel sous**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Save |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé - Classeur Excel (*.xlsx) |
| ID CCE |
CCE-1039 |
##### Impact
Pour l'environnement SSLF, le format d'enregistrement par défaut recommandé pour les classeurs est **Classeur Excel (\*.xlsx)**. Cette configuration applique la configuration par défaut d'Excel 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
> [!NOTE]
> Activer ce paramètre et choisir un format de fichier autre que le format par défaut d'Excel 2007 n'empêche pas les utilisateurs d'enregistrer des fichiers dans d'autres formats.
#### Enregistrer les fichiers dans ce format
Applicable à : **PowerPoint, Word**
Ce paramètre permet de définir le format d'enregistrement par défaut des fichiers dans les applications spécifiées.
##### Vulnérabilité
Par défaut, PowerPoint 2007 et Word 2007 enregistrent les nouveaux fichiers au format Office Open XML : Les fichiers PowerPoint prennent l'extension .pptx et les fichiers Word, l'extension .docx. Pour les utilisateurs qui exécutent des versions récentes de PowerPoint et de Word, Microsoft fournit le module de compatibilité Microsoft Office. Ce module permet d'ouvrir et d'enregistrer des fichiers au format Office Open XML. Si dans votre entreprise des utilisateurs ne peuvent pas installer le module de compatibilité ou s'ils exécutent des versions de PowerPoint et de Word antérieures à Microsoft Office 2000 avec Service Pack 3, ils risquent de ne pas pouvoir accéder aux fichiers Office Open XML.
##### Contre-mesure
Si ce paramètre est **Activé** dans PowerPoint 2007, les administrateurs peuvent définir le format de fichier par défaut de l'application parmi les options suivantes :
- **Présentation PowerPoint (\*.pptx) :** Il s'agit de la configuration par défaut.
- **Présentation PowerPoint prenant en charge les macros (\*.pptm)**
- **Présentation PowerPoint 97-2003 (\*.ppt)**
Si ce paramètre est **Activé** dans Word 2007, les administrateurs peuvent définir le format de fichier par défaut de l'application parmi les options suivantes :
- **Document Word (\*.docx) :** Il s'agit de la configuration par défaut.
- **Page Web à fichier unique (\*.mht)**
- **Page Web (\*.htm; \*.html)**
- **Page Web, filtrée (\*.htm, \*.html)**
- **Format RTF (\*.rtf)**
- **Texte brut (\*.txt)**
- **Word 6.0/95 (\*.doc)**
- **Word 6.0/95 - chinois (simplifié) (\*.doc)**
- **Word 6.0/95 - chinois (traditionnel) (\*.doc)**
- **Word 6.0/95 - japonais (\*.doc)**
- **Word 6.0/95 - coréen (\*.doc)**
- **Word 97-2002 & 6.0/95 - RTF**
- **Word 5.1 pour Macintosh (\*.mcw)**
- **Word 5.0 pour Macintosh (\*.mcw)**
- **Word 2.x pour Windows (\*.doc)**
- **Works 4.0 pour Windows (\*.wps)**
- **WordPerfect 5.x pour Windows (\*.doc)**
- **WordPerfect 5.1 pour DOS (\*.doc)**
- **Document Word 2007 avec macros activées (\*.docm)**
- **Modèle Word 2007 sans macros (\*.dotx)**
- **Modèle Word 2007 avec macros activées (\*.dotm)**
- **Document Word 97 - 2003 (\*.doc)**
- **Modèle Word 97 - 2003 (\*.dot)**
- **Document XML plat (\*.xml)**
Les utilisateurs peuvent enregistrer des présentations ou des documents dans d'autres formats que le format par défaut.
**Tableau 1.212. Enregistrer les fichiers dans ce format**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Save
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Save |
| Fichier ADM |
ppt12.adm, word12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
[PowerPoint] Activé (Présentation PowerPoint (*.pptx))
[Word] Activé (Document Word (*.docx)) |
| ID CCE |
PowerPoint : CCE-1719 Word : CCE-1656 |
##### Impact
Les paramètres recommandés pour la configuration SSLF appliquent la configuration par défaut de PowerPoint 2007 et de Word 2007 et donc, pour la plupart des utilisateurs, ne devraient pas avoir d'incidence sur l'utilisation du système.
> [!NOTE]
> Activer ce paramètre et choisir un format de fichier autre que le format par défaut de Word 2007 ou de PowerPoint 2007 n'empêche pas les utilisateurs d'enregistrer des fichiers dans d'autres formats.
#### Paramètre de sécurité pour les macros
Applicable à : **Outlook**
Ce paramètre permet de définir le niveau de sécurité des macros dans Outlook 2007.
##### Vulnérabilité
Pour protéger les utilisateurs de tout code potentiellement dangereux dans Outlook 2007, toutes les macros non approuvées sont désactivées par défaut, notamment les macros non signées, les macros dont les signatures sont non valables ou arrivées à échéance, et les macros dont les signatures sont valides, mais dont l'éditeur n'est pas répertorié dans les listes Éditeurs approuvés des utilisateurs. Par défaut, les macros signées par des éditeurs approuvés peuvent s'exécuter automatiquement sans que les utilisateurs en soient informés. Un code dangereux pourrait alors s'exécuter à leur insu.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des quatre options suivantes pour gérer les macros dans Outlook 2007 :
- **Toujours avertir**. Cette option correspond à l'option **Avertissements pour toutes les macros**, dans la section **Sécurité des macros** du Centre de gestion de la confidentialité d'Outlook. Outlook désactive toutes les macros qui ne sont pas ouvertes à partir d'un emplacement approuvé, même si elles sont signées par un éditeur approuvé. Pour chaque macro désactivée, Outlook affiche une boîte de dialogue d'avertissement de sécurité contenant des informations sur la macro et sa signature numérique (si présente), et invite l'utilisateur à activer la macro ou à la maintenir désactivée.
- **Ne jamais avertir, tout désactiver**. Cette option correspond à l'option **Aucun avertissement et désactiver toutes les macros** du Centre de gestion de la confidentialité. Outlook désactive toutes les macros qui ne sont pas ouvertes à partir d'emplacements approuvés, sans avertir les utilisateurs.
- **Avertir pour les macros signées, désactiver les non signées**. Cette option correspond à l'option **Avertissements pour les macros signées. Toutes les macros non signées sont désactivées** du Centre de gestion de la confidentialité. Outlook gère les macros comme suit :
- Si une macro est signée numériquement par un éditeur approuvé, elle peut s'exécuter si l'utilisateur a déjà approuvé l'éditeur.
- Si une macro a une signature valide d'un éditeur que l'utilisateur n'a pas approuvé, la boîte de dialogue d'alerte de sécurité invite l'utilisateur à spécifier s'il souhaite activer ou désactiver la macro pour la session actuelle, ou s'il souhaite ajouter l'éditeur à la liste Éditeurs approuvés de sorte que la macro puisse s'exécuter par la suite sans avertissement.
- Si la signature de la macro n'est pas valide, Outlook la désactive sans avertir l'utilisateur, sauf si elle est ouverte à partir d'un emplacement approuvé.
Il s'agit de la configuration Outlook 2007 par défaut.
- **Aucun contrôle de sécurité**. Cette option correspond à l'option **Aucun contrôle de sécurité pour les macros (non recommandé)** du Centre de gestion de la confidentialité. Outlook exécute toutes les macros sans avertir l'utilisateur. Cette configuration n'est pas recommandée et expose l'ordinateur des utilisateurs à du code potentiellement dangereux.
**Tableau 1.213. Paramètre de sécurité pour les macros**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Trust Center |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Avertir pour les macros signées, désactiver les non signées) |
| Paramètre recommandé (SSLF) |
Activé (Ne jamais avertir, tout désactiver) |
| ID CCE |
CCE-1030 |
##### Impact
Pour l'environnement SSLF, le paramètre recommandé est **Ne jamais avertir, tout désactiver**. Cette configuration empêche les utilisateurs d'Outlook 2007 d'exploiter les avantages de n'importe quelle fonctionnalité des macros. Les utilisateurs qui souhaitent exploiter les avantages des macros peuvent les installer dans un emplacement approuvé, sauf si l'option **Désactiver tous les emplacements approuvés** est définie sur **Activé**.
#### Envoyer tous les messages signés en tant que messages signés en clair
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit envoyer les messages signés en tant que messages signés en texte clair.
##### Vulnérabilité
Par défaut, lorsque les utilisateurs envoient leurs messages paraphés de leur signature numérique, Outlook 2007 utilise la clé privée de la signature pour chiffrer la signature numérique, mais envoie les messages en texte clair, sauf si ces derniers sont chiffrés séparément. Si les utilisateurs modifient cette fonctionnalité en désactivant l'option **Envoyer le message signé en texte clair lors de l'envoi de messages signés**, dans la section **Sécurité de messagerie électronique** du Centre de gestion de la confidentialité, les destinataires qui ne peuvent pas utiliser ou accéder au certificat numérique de l'expéditeur ne peuvent pas lire les messages.
##### Contre-mesure
Si ce paramètre est **Activé**, l'option **Envoyer le message signé en texte clair lors de l'envoi de messages signés** est activée dans la section **Sécurité de messagerie électronique** du Centre de gestion de la confidentialité et les utilisateurs d'Outlook 2007 ne peuvent pas la désactiver.
**Tableau 1.214. Envoyer tous les messages signés en tant que messages signés en clair**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-14 |
##### Impact
L'activation de ce paramètre applique la configuration par défaut dans Outlook 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Définir l'invite du contrôle ItemProperty
Applicable à : **Outlook**
Ce paramètre permet de définir ce qui doit se produire lorsque l'utilisateur ajoute des contrôles à un formulaire Outlook 2007 personnalisé et les associe directement à l'un des champs Informations sur les adresses.
##### Vulnérabilité
Lorsqu'un contrôle d'un formulaire Outlook 2007 personnalisé est associé directement à l'un des champs Informations sur les adresses, le code du formulaire peut récupérer indirectement la valeur du champ Informations sur les adresses en obtenant la propriété Valeur du contrôle. Si le formulaire personnalisé a été créé par un utilisateur malveillant ou inexpérimenté, des informations confidentielles risquent d'être divulguées à des personnes non autorisées.
Par défaut, Outlook avertit l'utilisateur lorsque celui-ci associe un contrôle à un champ Informations sur les adresses.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir parmi les quatre options suivantes pour déterminer la façon selon laquelle Outlook doit se comporter à l'ouverture d'un formulaire personnalisé contenant un contrôle associé à un champ Informations sur les adresses :
- **Demander à l'utilisateur**
- **Approuver automatiquement**
- **Refuser automatiquement**
- **Afficher une invite en fonction de la sécurité définie pour l'ordinateur**
**Tableau 1.215. Définir l'invite du contrôle ItemProperty**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Security Form Settings\Custom Form Security |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Afficher une invite en fonction de la sécurité définie pour l'ordinateur) |
| Paramètre recommandé (SSLF) |
Activé (Refuser automatiquement) |
| ID CCE |
CCE-1586 |
##### Impact
Vous pouvez également configurer les paramètres du formulaire de sécurité Exchange en activant le paramètre « Mode de sécurité Outlook » dans User Configuration\\Administrative Templates\\Classic Administrative Templates (ADM)\\Microsoft Office Outlook 2007\\Security\\Security Form Settings\\Microsoft Office Outlook 2007 Security et en sélectionnant **Utiliser la stratégie du groupe de sécurité Outlook** dans la liste déroulante.
#### Définir le niveau maximal de l'état en ligne pour le nom d'une personne
Applicable à : **Outlook**
Ce paramètre permet aux administrateurs de définir les informations de présence visibles par les utilisateurs pour les contacts et les destinataires des messages lorsqu'un programme client de messagerie instantanée compatible est exécuté.
##### Vulnérabilité
Outlook 2007 peut afficher les informations de présence des contacts et des destinataires des messages lorsque les utilisateurs exécutent un programme client de messagerie instantanée compatible, tel que Microsoft Office Communicator ou Windows Live Messenger. Ces informations apparaissent sous la forme d'une icône située à côté du nom des personnes et qui indique si celles-ci sont actuellement disponibles. Lorsque l'utilisateur clique sur cette icône, un menu lui permet d'obtenir davantage d'informations et d'effectuer d'autres opérations. Il peut notamment envoyer un message. Outlook peut afficher les informations de présence à plusieurs endroits, notamment dans les contacts, dans le carnet d'adresses et dans les champs des messages entrants et sortants.
Par défaut, Outlook affiche les informations de présence à plusieurs endroits. Les utilisateurs peuvent modifier cette configuration dans leur programme client de messagerie instantanée en cliquant sur **Outils**, **Options**, sur l'onglet **Autre**, et en modifiant les options répertoriées dans **Noms de personnes**. Dans certains cas, autoriser les utilisateurs à voir l'état en ligne et d'autres informations de présence des autres utilisateurs risque de poser des problèmes de confidentialité quant aux utilisateurs et aux informations.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir parmi les quatre options suivantes pour autoriser les utilisateurs à configurer les indicateurs de présence dans Outlook 2007 :
- **Ne pas autoriser**. Les indicateurs de présence ne s'affichent pas dans Outlook et les utilisateurs ne peuvent pas modifier cette configuration. Dans l'interface utilisateur, les deux options sous **Noms de personnes** ne sont pas disponibles.
- **Autoriser partout, sauf dans les champs À et Cc**. Les utilisateurs peuvent afficher les indicateurs de présence dans Outlook, mais ils ne peuvent pas les afficher dans les champs À et Cc des messages. Dans l'interface utilisateur, la case à cocher **Afficher l'état de connexion à côté du nom de la personne** est disponible. L'utilisateur peut l'activer ou la désactiver. La case à cocher **Afficher l'état de connexion dans les champs À et Cc uniquement lorsque la souris pointe sur le nom d'une personne** est activée et apparaît grisée.
- **Autoriser partout**. L'utilisateur peut choisir parmi l'ensemble des options d'affichage des informations de présence. Dans l'interface utilisateur, la case à cocher **Afficher l'état de connexion à côté du nom de la personne** est disponible. L'utilisateur peut l'activer ou la désactiver. Si elle est activée, la case à cocher **Afficher l'état de connexion dans les champs À et Cc uniquement lorsque la souris pointe sur le nom d'une personne** est également disponible.
- **Autoriser les informations de présence partout avec Exchange RPC si nécessaire**. Comme pour l'option **Autoriser partout**, l'utilisateur peut choisir parmi l'ensemble des options d'affichage des informations de présence. En outre, Outlook envoie des appels de procédure distante (RPC) au serveur Exchange afin d'obtenir des informations de présence lorsque Outlook est exécuté en mode Exchange mis en cache avec un carnet d'adresses en mode hors connexion et que les informations de présence ne sont pas accessibles localement. Cette option fournit aux utilisateurs des informations de présence extrêmement précises, mais augmente le trafic réseau. Par défaut, Outlook n'utilise pas Exchange RPC pour obtenir des informations de présence lorsqu'il est exécuté en mode Exchange mis en cache.
**Tableau 1.216. Définir le niveau maximal de l'état en ligne pour le nom d'une personne**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Other\Person Names |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Ne pas autoriser) |
| ID CCE |
CCE-1596 |
##### Impact
Choisir **Ne pas autoriser** empêche Outlook 2007 d'afficher les indicateurs de présence. Les utilisateurs risquent donc d'avoir plus de difficultés à contacter d'autres utilisateurs ou à déterminer la disponibilité de ces derniers. Pour la plupart des utilisateurs, les autres options ne devraient pas avoir d'incidence notable sur l'utilisation du système.
> [!IMPORTANT]
> Ce paramètre est ignoré si le paramètre « Afficher l'état de connexion à côté du nom de la personne » est activé. Le paramètre « Afficher l'état de connexion à côté du nom de la personne » permet de configurer les options de présence de tous les utilisateurs affectés et empêche les utilisateurs de les modifier. Pour plus d'informations, reportez-vous à la section relative à ce paramètre dans ce guide.
#### Définir le format de message
Applicable à : **Outlook**
Ce paramètre permet de définir le format de message par défaut d'Outlook 2007.
##### Vulnérabilité
Par défaut, dans Outlook 2007, les nouveaux messages sont au format HTML. Si un utilisateur envoie un message à un destinataire qui exécute un programme ne prenant pas en charge l'affichage des messages au format HTML, les informations du message risquent d'être perdues.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent définir le format de message par défaut d'Outlook 2007 parmi les formats suivants : HTML, Texte enrichi ou Texte brut. Lors de la rédaction d'un message, l'utilisateur peut choisir un format différent du format par défaut.
**Tableau 1.217. Définir le format de message**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Mail Format\Internet Formatting\Message Format |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Texte brut) |
| ID CCE |
CCE-1526 |
##### Impact
L'activation de ce paramètre n'empêche pas les utilisateurs d'Oulook 2007 de choisir un format différent du format par défaut et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence importante sur l'utilisation du système.
#### Définir l'invite d'exécution du modèle d'objet Outlook Actions personnalisées
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit avertir l'utilisateur avant d'exécuter une action personnalisée.
##### Vulnérabilité
Les actions personnalisées ajoutent une fonctionnalité à Outlook 2007. Elles peuvent être déclenchées en tant que partie intégrante d'une règle. Par ailleurs, des actions personnalisées peuvent être créées afin de répondre à des messages de façon à éviter les protections d'envoi du modèle d'Outlook.
Par défaut, quand Outlook ou un autre programme lance une action personnalisée à l'aide du modèle d'objet Outlook, les utilisateurs sont invités à accepter ou à refuser l'action. Si cette configuration est modifiée, un code malveillant risque d'utiliser le modèle d'objet Outlook afin de compromettre des informations confidentielles ou de mettre en danger les données et les ressources informatiques.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir parmi les quatre options suivantes afin de contrôler la façon selon laquelle Outlook 2007 doit se comporter lorsqu'une action personnalisée exécutant le modèle d'objet Outlook est exécutée :
- **Demander à l'utilisateur**
- **Approuver automatiquement**
- **Refuser automatiquement**
- **Afficher une invite en fonction de la sécurité définie pour l'ordinateur**. Cette option applique la configuration **Outlook** par défaut.
**Tableau 1.218. Définir l'invite d'exécution du modèle d'objet Outlook Actions personnalisées**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Security Form Settings\Custom Form Security |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Afficher une invite en fonction de la sécurité définie pour l'ordinateur) |
| Paramètre recommandé (SSLF) |
Activé (Refuser automatiquement) |
| ID CCE |
CCE-1436 |
##### Impact
Le paramètre recommandé pour l'environnement SSLF est **Refuser automatiquement**, ce qui empêche Outlook 2007 d'exécuter des actions personnalisées qui utilisent le modèle d'objet Outlook. Si dans votre entreprise les utilisateurs ont recours à ces actions, vous devez trouver d'autres méthodes afin de pouvoir leur proposer cette fonctionnalité.
#### Signer tous les messages électroniques
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit exiger des signatures numériques pour tous les messages électroniques sortants.
##### Vulnérabilité
Par défaut, Outlook 2007 n'exige pas que tous les messages sortants soient signés numériquement. Si votre entreprise a mis en place des stratégies qui requièrent que les messages soient signés numériquement afin de garantir leur authenticité, le fait d'autoriser les utilisateurs à envoyer des messages non signés peut les conduire à enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 exige que tous les messages sortants soient signés numériquement avant d'être envoyés.
**Tableau 1.219. Signer tous les messages électroniques**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1639 |
##### Impact
L'activation de ce paramètre risque de gêner considérablement les utilisateurs d'Outlook 2007 qui ne possèdent pas de signature numérique valide pour signer leurs messages. Ces utilisateurs ne pourront pas envoyer de messages avant d'avoir obtenu des signatures numériques.
#### Avertissement de signature
Applicable à : **Outlook**
Ce paramètre permet de définir la façon dont Outlook 2007 avertit les utilisateurs lorsqu'ils reçoivent des messages dont les signatures numériques ne sont pas valides.
##### Vulnérabilité
Par défaut, si un utilisateur ouvre des messages contenant des signatures numériques non valides, Outlook 2007 affiche une boîte de dialogue d'avertissement. Les utilisateurs peuvent choisir s'ils souhaitent, à l'avenir, être avertis en cas de signatures non valides.
Si les utilisateurs ne sont pas avertis en cas de signatures non valides, ils risquent de ne pas pouvoir identifier une signature frauduleuse envoyée par une personne malveillante.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent définir, via les trois options suivantes, la façon selon laquelle les utilisateurs d'Outlook 2007 sont avertis en cas de signatures non valides :
- **Laisser l'utilisateur décider s'il souhaite être prévenu**. Cette option active la configuration par défaut.
- **Toujours signaler les signatures non valides**.
- **Ne jamais signaler les signatures non valides**.
**Tableau 1.220. Avertissement de signature**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé - Toujours signaler les signatures non valides |
| Paramètre recommandé (SSLF) |
Activé - Toujours signaler les signatures non valides |
| ID CCE |
CCE-700 |
##### Impact
L'activation de ce paramètre risque de gêner les utilisateurs d'Outlook 2007 qui reçoivent un grand nombre de messages dont les signatures ne sont pas valides. Pour ces utilisateurs, une boîte de dialogue d'avertissement s'affichera à chaque fois qu'ils ouvriront ce type de message.
#### Enregistrer par défaut la macro dans le classeur de macros personnelles
Applicable à : **Excel**
Ce paramètre permet de définir l'emplacement de stockage par défaut des macros dans Excel 2007.
##### Vulnérabilité
La boîte de dialogue **Enregistrer une macro** inclut un menu déroulant qui permet à l'utilisateur de choisir s'il souhaite stocker la nouvelle macro dans le classeur actuel, dans un nouveau classeur ou dans son classeur de macros personnelles (Personal.xlsb), qui est un classeur masqué qui s'ouvre au démarrage d'Excel 2007.
Par défaut, dans Excel, l'option **Ce classeur** est déjà sélectionnée dans le menu déroulant de la boîte de dialogue **Enregistrer une macro**. Si un utilisateur enregistre une macro dans le classeur actif et qu'il distribue ensuite ce classeur à d'autres utilisateurs, la macro est distribuée avec le classeur, ce qui risque de mettre en danger les données du classeur si la macro est déclenchée par inadvertance ou volontairement.
##### Contre-mesure
Si ce paramètre est **Activé**, Excel 2007 affiche la boîte de dialogue **Enregistrer une macro**, avec l'option **Classeur de macros personnelles** déjà sélectionnée. Les utilisateurs peuvent toutefois sélectionner l'une des deux autres options du menu déroulant.
**Tableau 1.221. Enregistrer par défaut la macro dans le classeur de macros personnelles**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Security\Trust Center |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1246 |
##### Impact
L'activation de ce paramètre n'empêche pas les utilisateurs de sélectionner un autre emplacement de stockage des macros et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence importante sur l'utilisation du système.
#### Supprimer l'élément de menu des services de signature externes
Applicable à : **Office System 2007**
Ce paramètre permet de définir si Outlook 2007 doit afficher l'élément de menu **Ajouter des services de signature**.
##### Vulnérabilité
Par défaut, les utilisateurs peuvent sélectionner **Ajouter des services de signature** (dans le menu déroulant **Ligne de signature** de l'onglet **Insertion** du ruban dans Excel 2007, PowerPoint 2007 et Word 2007) pour afficher une liste de fournisseurs de services de signature sur le site Web [Microsoft Office](http://office.microsoft.com/). Si votre entreprise a mis en place des stratégies qui permettent de gérer l'utilisation des ressources externes telles que les fournisseurs de signature ou Office Marketplace, le fait d'autoriser les utilisateurs à accéder à l'élément de menu **Ajouter des services de signature** peut les conduire à enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 n'affiche pas l'élément de menu **Ajouter des services de signature** dans le menu déroulant **Ligne de signature**.
**Tableau 1.222. Supprimer l'élément de menu des services de signature externes**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Signing |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1220 |
##### Impact
L'activation de ce paramètre empêche les utilisateurs d'ajouter un service de signature depuis Microsoft Office Online, mais pour la plupart des utlisateurs, ne devrait pas par ailleurs avoir d'incidence notable sur l'utilisation du système.
#### Supprimer les fournisseurs de signature Office
Applicable à : **Office System 2007**
Ce paramètre permet de définir si les utilisateurs peuvent appliquer une ligne de signature Microsoft Office par défaut à des documents Word 2007 et à des classeurs Excel 2007.
##### Vulnérabilité
Les signatures numériques permettent de garantir l'authenticité, l'intégrité et la non-répudiation des documents électroniques. Dans Excel 2007 et Word 2007, les utilisateurs peuvent ajouter des représentations visibles de leurs signatures à un document lorsqu'ils ajoutent des signatures numériques. La capture de signatures numériques via les lignes de signature des documents Office 2007 permet aux entreprises de mettre en place des processus de signature « sans papier » pour des documents tels que des contrats ou des accords.
Par défaut, Excel 2007 et Word 2007 prennent en charge deux types de lignes de signature, appelés : Ligne de signature Microsoft Office et Apposer un cachet sur la ligne de signature. Les choix disponibles varient en fonction des langues d'édition configurées pour l'application lors de son installation.
- Ligne de signature Microsoft Office affiche la lettre « X » suivie d'une ligne horizontale, convention classique des lignes de signature manuscrite.
- Apposer un cachet sur la ligne de signature est uniquement disponible pour les versions de Microsoft Office 2007 dans les langues suivantes : chinois simplifié, chinois traditionnel, japonais ou coréen. Les utilisateurs qui ont installé le Module multilingue pour Microsoft Office 2007 pour l'une de ces langues ont également accès à cette option. Cette ligne de signature affiche un carré, convention utilisée dans les pays où les documents sont signés à l'aide d'un sceau personnel (appelé *hanko* au Japon et en Corée du sud).
Pour ces deux types de lignes de signature, les signataires peuvent spécifier leur nom, leur titre et leur adresse électronique. Si aucun de ces deux types de lignes de signature n'est approprié, des produits de signature tiers peuvent être ajoutés aux applications Office afin de répondre aux différents besoins.
Si l'utilisateur ne peut pas choisir la ligne de signature adéquate, il risque de ne pas pouvoir signer numériquement des documents.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des quatre options suivantes pour activer les lignes de signature Microsoft Office 2007 par défaut.
- **Activer les langues occidentales et d'Asie de l'Est**. Les options **Ligne de signature Microsoft Office** et **Apposer un cachet sur la ligne de signature** sont disponibles dans le menu déroulant **Ligne de signature** de l'onglet **Insertion** du ruban.
- **Supprimer les langues occidentales par défaut**. Les utilisateurs ne peuvent pas ajouter la ligne de signature Microsoft Office aux documents.
- **Supprimer les langues d'Asie de l'Est par défaut**. Les utilisateurs ne peuvent pas apposer de cachet sur la ligne de signature aux documents.
- **Supprimer les langues occidentales et d'Asie de l'Est**. Aucune des lignes de signature par défaut n'est disponible. Cette option s'applique uniquement si au moins un fournisseur de signature tiers valide est installé.
**Tableau 1.223. Supprimer les fournisseurs de signature Office**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Signing |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1572 |
##### Impact
Le meilleur choix pour ce paramètre dépend des stratégies et des standards de chaque entreprise. Une entreprise peut choisir de supprimer les lignes de signature Office par défaut afin d'exiger l'utilisation d'une ligne de signature personnalisée qui répond aux besoins spécifiques de l'entreprise. Par exemple, une entreprise peut implémenter une ligne de signature qui utilise un algorithme de hachage encore plus efficace que SHA1, l'algorithme de hachage mis en œuvre dans les lignes de signature par défaut.
> [!NOTE]
> Ce paramètre s'applique uniquement aux lignes de signature visibles dans les classeurs Excel 2007 et les documents Word 2007. Il n'empêche pas les utilisateurs d'ajouter des signatures numériques invisibles aux classeurs Excel 2007, aux présentations PowerPoint 2007 et aux documents Word 2007.
#### Synchroniser les flux RSS d'Outlook avec la liste des flux communs
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit s'abonner à la liste des flux communs, mise à la disposition de plusieurs clients RSS.
##### Vulnérabilité
La liste des flux communs est un jeu hiérarchique de flux RSS auxquels des clients, tels qu'Outlook 2007, la liste des flux d'Internet Explorer 7 et les titres des flux des gadgets du Volet Windows dans Windows Vista peuvent s'abonner.
Si Outlook s'abonne à une liste contenant un grand nombre de flux, ses performances et sa disponibilité risquent d'être affectées, notamment s'il est configuré pour télécharger l'intégralité du corps des messages RSS ou si la liste des flux n'est pas archivée régulièrement et de façon automatique.
Par défaut, Outlook gère sa propre liste de flux et ne s'abonne pas automatiquement aux flux RSS ajoutés à la liste des flux communs.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 s'abonne automatiquement aux flux RSS ajoutés dans Internet Explorer, et les flux RSS d'Outlook sont synchronisés avec la liste des flux communs de sorte qu'ils soient disponibles dans Internet Explorer. Notez que des applications tierces, outre Internet Explorer, peuvent ajouter des flux à la liste des flux communs. Par conséquent, si vous activez ce paramètre, Outlook s'abonne aussi automatiquement à ces flux.
**Tableau 1.224. Synchroniser les flux RSS d'Outlook avec la liste des flux communs**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Account Settings\RSS Feeds |
| Fichier ADM |
Outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1131 |
##### Impact
La désactivation de ce paramètre risque de gêner les utilisateurs habitués à accéder à la liste des flux communs dans Outlook. Les utilisateurs pourront toujours accéder à la liste des flux communs via Internet Explorer 7 et d'autres programmes clients. La désactivation de ce paramètre n'empêche pas les utilisateurs de gérer, dans Outlook 2007, une liste distincte d'abonnements à des flux RSS.
#### Faire confiance au projet Visual Basic
Applicable à : **Excel, PowerPoint, Word**
Ce paramètre permet de définir si les clients Automation, tels que Microsoft Visual Studio 2005 Tools pour Microsoft Office System (VSTO), peuvent accéder au système de projet Visual Basic pour Applications dans les applications spécifiées.
##### Vulnérabilité
Les projets VSTO requièrent un accès au système de projet Visual Basic pour Applications dans Excel 2007, PowerPoint 2007 et Word 2007, même si les projets n'utilisent pas Visual Basic pour Applications. La prise en charge de contrôles au moment de la conception dans les projets Visual Basic et C\# dépend du système de projet Visual Basic pour Applications dans Word et Excel.
Par défaut, Excel, Word et PowerPoint n'autorisent pas les clients Automation à accéder aux projets VBA par le biais d'un programme. Les utilisateurs peuvent activer ce paramètre en sélectionnant **Accès approuvé au modèle d'objet du projet VBA** dans la section **Paramètres des macros** du Centre de gestion de la confidentialité. Toutefois, l'activation de ce paramètre autorise les macros de tous les documents ouverts par l'utilisateur à accéder aux principaux objets, méthodes et propriétés Visual Basic, ce qui constitue un risque de sécurité.
##### Contre-mesure
Si ce paramètre est **Désactivé**, la case à cocher **Accès approuvé au modèle d'objet du projet VBA** est désactivée et les utilisateurs ne peuvent pas l'activer.
> [!NOTE]
> La désactivation de ce paramètre empêche les projets VSTO d'interagir correctement avec le système de projet VBA dans l'application sélectionnée.
**Tableau 1.225. Faire confiance au projet Visual Basic**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Security\Trust Center |
| Fichier ADM |
excel12.adm, ppt12.adm, word12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
Excel : CCE-862 PowerPoint : CCE-68 Word : CCE-703 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut dans Excel 2007, Word 2007 et PowerPoint 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Approuver le courrier provenant des contacts
Applicable à : **Outlook**
Ce paramètre permet de définir si Outlook 2007 doit analyser, lors du filtrage du courrier indésirable, les messages électroniques provenant des contacts de l'utilisateur.
##### Vulnérabilité
Par défaut, les adresses électroniques répertoriées dans la liste des contacts de l'utilisateur sont considérées comme appartenant à des expéditeurs approuvés, et ce afin de pouvoir filtrer le courrier indésirable. Si cette configuration est modifiée, les messages électroniques provenant des contacts de l'utilisateur risquent d'être considérés à tort comme du courrier indésirable, et cela risque d'entraîner la perte d'informations importantes.
##### Contre-mesure
Si ce paramètre est **Activé**, la case à cocher **Approuver également le courrier en provenance de mes Contacts** est activée dans l'onglet **Expéditeurs approuvés** de la boîte de dialogue **Options du courrier indésirable**, et les utilisateurs ne peuvent pas la désactiver.
**Tableau 1.226. Approuver le courrier provenant des contacts**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\Junk E-mail |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1117 |
##### Impact
L'activation de ce paramètre applique la configuration par défaut dans Outlook 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Désactiver l'option Activer la balise active des noms de personne
Applicable à : **Outlook**
Ce paramètre permet de définir si les balises actives des noms de personne doivent apparaître dans Outlook 2007.
> [!IMPORTANT]
> Des tests récents de ce paramètre ont montré qu'il ne fonctionnait pas conformément aux attentes. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103514).
##### Vulnérabilité
Par défaut, les utilisateurs peuvent activer la balise active « Nom de personne » afin que les applications Office 2007 puissent reconnaître les noms de personne et les marquer à l'aide d'indicateurs de balise active. Lorsque l'utilisateur sélectionne une balise active, l'application peut récupérer les données de la personne à partir d'Active Directory (si cela est possible). Dans certains cas, cette fonctionnalité peut entraîner la divulgation d'informations confidentielles à des personnes non autorisées.
##### Contre-mesure
Si ce paramètre est **Activé**, Outlook 2007 ne marque pas les noms de personne à l'aide d'indicateurs de balise active.
**Tableau 1.227. Désactiver l'option Activer la balise active des noms de personne**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Other\Person Names |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1648 |
##### Impact
L'activation de ce paramètre risque de gêner les utilisateurs qui utilisent les balises actives des noms de personne. Dans Outlook 2007, les balises actives sont désactivées par défaut et ne sont pas autant utilisées dans Office 2007 que dans les versions antérieures. Dans la plupart des cas, la gêne occasionnée est minime.
#### Désactiver la fonction RSS
Applicable à : **Outlook**
Ce paramètre permet de définir si la fonction d'agrégation RSS est activée dans Outlook 2007.
##### Vulnérabilité
Par défaut, les utilisateurs peuvent s'abonner à des flux RSS à partir d'Outlook 2007 et lire des éléments RSS comme des messages électroniques. Si votre entreprise a mis en place des stratégies permettant de gérer l'utilisation des ressources externes, telles que les flux RSS, autoriser les utilisateurs à s'abonner à des flux RSS dans Outlook peut les conduire à enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **Activé**, la fonction d'agrégation RSS dans Outlook 2007 est désactivée.
**Tableau 1.228. Désactiver la fonction RSS**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Account Settings\RSS Feeds |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1620 |
##### Impact
L'activation de ce paramètre risque de gêner les utilisateurs habitués à lire des flux RSS dans Outlook 2007. Les performances des autres clients RSS, tels qu'Internet Explorer 7, ne sont pas affectées.
#### Débloquer le téléchargement automatique des images liées
Applicable à : **PowerPoint**
Ce paramètre permet de déterminer si PowerPoint 2007 doit télécharger automatiquement les liens des sources externes.
##### Vulnérabilité
Lorsque les utilisateurs insèrent des images dans des présentations PowerPoint 2007, ils peuvent sélectionner **Lier au fichier** au lieu d'**Insérer**. S'ils sélectionnent Lier au fichier, l'image est représentée par un lien menant vers un fichier sur le disque, au lieu d'être intégrée directement dans la présentation.
Par défaut, lorsque PowerPoint ouvre une présentation, les images liées enregistrées sur un autre ordinateur ne s'affichent pas, sauf si la présentation est enregistrée dans un emplacement approuvé (conformément à la configuration spécifiée dans le Centre de gestion de la confidentialité). Si cette configuration est modifiée, PowerPoint charge les images enregistrées à des emplacements distants, ce qui présente un risque de sécurité.
##### Contre-mesure
Si ce paramètre est **Désactivé**, PowerPoint 2007 ne charge pas les images enregistrées dans des emplacements distants.
> [!NOTE]
> Si ce paramètre est **Activé**, PowerPoint charge les images enregistrées dans des emplacements distants, ce qui risque de réduire le niveau de sécurité.
**Tableau 1.229. Débloquer le téléchargement automatique des images liées**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Security |
| Fichier ADM |
ppt12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1451 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut de PowerPoint 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Souligner les liens hypertexte
Applicable à : **Access**
Ce paramètre permet de définir si les liens hypertexte des tables, requêtes et formulaires d'Access 2007 doivent apparaître soulignés.
##### Vulnérabilité
Par défaut, les liens hypertexte des tables, requêtes, formulaires et rapports d'Access 2007 apparaissent soulignés. Si cette configuration est modifiée, les utilisateurs risquent de cliquer par inadvertance sur des liens hypertexte dangereux, ce qui présente un risque de sécurité.
##### Contre-mesure
Si ce paramètre est **Activé**, Access 2007 souligne tous les liens hypertexte des tables, requêtes, formulaires et rapports lorsqu'ils sont créés, en ignorant les modifications de configuration apportées sur les ordinateurs des utilisateurs.
> [!IMPORTANT]
> L'activation ou la désactivation de ce paramètre ne désactive pas correctement la case à cocher **Souligner les liens hypertexte** de la boîte de dialogue **Options Web** d'Access 2007. Les utilisateurs peuvent donc se méprendre en pensant que l'option peut être configurée par l'utilisateur. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103507).
**Tableau 1.230. Souligner les liens hypertexte**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Access 2007\Application Settings\Web Options…\General |
| Fichier ADM |
access12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1395 |
##### Impact
L'activation de ce paramètre applique la configuration par défaut dans Access 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Mise à jour des liaisons à l'ouverture
Applicable à : **Word**
Ce paramètre permet de définir si Word 2007 doit mettre à jour automatiquement le contenu lié à d'autres fichiers à l'ouverture d'un document.
##### Vulnérabilité
Par défaut, lorsque les utilisateurs ouvrent des documents, Word 2007 met à jour automatiquement les liens vers le contenu externe, tel que des graphiques, des feuilles de calcul Excel et des diapositives PowerPoint. L'utilisateur peut désactiver la mise à jour automatique en cliquant sur le **bouton Microsoft Office**, sur **Options Word**, **Avancé**, en accédant à la section **Général**, puis en désactivant la case à cocher **Mise à jour des liaisons à l'ouverture**.
Si Word est configuré pour mettre à jour automatiquement les liens à l'ouverture des documents, le contenu des documents peut être modifié à l'insu de l'utilisateur, ce qui risque de mettre en danger des informations importantes.
##### Contre-mesure
Si ce paramètre est **Désactivé**, Word 2007 ne met pas à jour automatiquement les liens vers le contenu externe à l'ouverture des documents. Toutefois, les utilisateurs peuvent mettre à jour manuellement le contenu lié en cliquant avec le bouton droit de la souris sur l'objet lié et en sélectionnant **Mettre à jour les liaisons**, ou en cliquant sur le **bouton Microsoft Office**, en pointant sur **Préparer**, et en cliquant sur **Modifier les liens d'accès aux fichiers**.
**Tableau 1.231. Mise à jour des liaisons à l'ouverture**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Advanced |
| Fichier ADM |
word12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1249 |
##### Impact
La désactivation de ce paramètre risque de gêner les utilisateurs qui travaillent avec des documents Word 2007 comprenant du contenu externe. Pensez à présenter aux utilisateurs les méthodes de mise à jour manuelle des liens.
#### URL des certificats S/MIME
Applicable à : **Outlook**
Ce paramètre fournit une URL à partir de laquelle les utilisateurs d'Outlook 2007 peuvent obtenir des certificats S/MIME.
##### Vulnérabilité
Lorsque les utilisateurs cliquent sur **Obtenir une identification numérique** dans la section **Sécurité de messagerie électronique** du Centre de gestion de la confidentialité, Outlook 2007 ouvre une page du site Web Microsoft Office Online à partir de laquelle ils peuvent obtenir des certificats S/MIME pour le chiffrage et la signature. Si votre entreprise a mis en place des stratégies qui réglementent l'utilisation des ressources externes telles qu'Office Online, cette configuration peut conduire les utilisateurs à enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent entrer une URL à partir de laquelle les utilisateurs peuvent obtenir des certificats S/MIME. L'URL peut inclure trois variables, *%1*, *%2* et *%3*, qui devront être remplacées respectivement par le nom, l'adresse électronique et la langue de l'utilisateur. Lorsque l'utilisateur clique sur **Obtenir une identification numérique**, il est redirigé vers l'URL spécifiée.
**Tableau 1.232. URL des certificats S/MIME**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-677 |
##### Impact
Assurez-vous que l'URL spécifiée pointe vers un site valide qui contient des informations sur l'obtention d'identifications numériques. Dans le cas contraire, les demandes d'assistance informatique risquent d'affluer.
#### Utiliser le format Unicode lors du glissement de messages électroniques dans le système de fichiers
Applicable à : **Outlook**
Ce paramètre permet de définir si les messages électroniques que l'utilisateur fait glisser d'Outlook 2007 vers le système de fichiers doivent être enregistrés au format Unicode ou ANSI.
##### Vulnérabilité
Par défaut, lorsque les utilisateurs font glisser des messages électroniques d'Outlook 2007 dans une fenêtre de l'Explorateur Windows ou sur leur Bureau, Outlook crée un fichier .msg en utilisant le format de codage de caractères natif pour les paramètres régionaux configurés (le format « ANSI »). Si ce paramètre est **Activé**, Outlook utilise le standard de codage de caractères Unicode pour créer le fichier de message, ce qui permet de conserver les caractères spéciaux du message.
Cependant, le texte Unicode est vulnérable aux attaques par homographe (dans ce type d'attaque les caractères sont remplacés par des caractères différents mais d'aspect similaire). Par exemple, la lettre cyrillique а (U+0430) semble identique à la lettre latine a (U+0061) dans bon nombre de polices, mais il s'agit en réalité d'un autre caractère. Les homographes peuvent être utilisés dans les attaques par phishing afin de convaincre les victimes de visiter des sites Web frauduleux et d'entrer des informations confidentielles.
##### Contre-mesure
Si ce paramètre est **Désactivé**, les messages électroniques que l'utilisateur fait glisser d'Outlook 2007 vers le système de fichiers sont enregistrés au format ANSI.
**Tableau 1.233. Utiliser le format Unicode lors du glissement de messages électroniques dans le système de fichiers**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Other\Advanced |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1287 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut dans Outlook 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Paramètres d'avertissement de macro VBA
Applicable à : **Access, Excel, PowerPoint, Word**
Ce paramètre permet de définir la façon selon laquelle les applications spécifiées doivent avertir les utilisateurs de la présence de macros Visual Basic pour Applications (VBA).
##### Vulnérabilité
Par défaut, lorsque les utilisateurs ouvrent des fichiers qui contiennent des macros VBA dans les applications spécifiées, ces dernières ouvrent les fichiers en désactivant les macros et affichent dans la barre de confidentialité un avertissement indiquant que des macros sont présentes et qu'elles ont été désactivées. Les utilisateurs peuvent consulter et modifier les fichiers le cas échéant, mais ils ne peuvent utiliser aucune fonctionnalité désactivée avant de les activer en cliquant sur **Options** dans la barre de confidentialité et de sélectionner l'action appropriée. Si l'utilisateur active des macros dangereuses, cela risque d'affecter son ordinateur ou de compromettre des informations confidentielles.
##### Contre-mesure
Si ce paramètre est **Activé**, les administrateurs peuvent choisir l'une des quatre options suivantes pour définir la façon selon laquelle les applications spécifiées doivent avertir les utilisateurs de la présence de macros :
- **Avertissement de la barre de confidentialité pour toutes les macros**. L'application affiche la barre de confidentialité pour toutes les macros, qu'elles soient signées ou non. Cette option applique la configuration par défaut dans Office 2007.
- **Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées)**. L'application affiche la barre de confidentialité pour les macros signées numériquement. L'utilisateur peut choisir de les activer ou de les laisser désactivées. Les macros non signées sont désactivées et les utilisateurs ne sont pas avertis.
- **Aucun avertissement et désactiver toutes les macros**. L'application désactive toutes les macros, qu'elles soient signées ou non, et n'avertit pas les utilisateurs.
- **Aucune vérification de sécurité pour les macros (non recommandé)**. Toutes les macros sont activées, qu'elles soient signées ou non. Cette option risque de réduire de façon non négligeable le niveau de sécurité car elle autorise du code dangereux à s'exécuter à l'insu des utilisateurs.
**Tableau 1.234. Paramètres d'avertissement de macro VBA**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Access 2007\Application Settings\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office PowerPoint 2007\PowerPoint Options\Security\Trust Center
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Security\Trust Center |
| Fichier ADM |
access12.adm, excel12.adm, ppt12.adm, word12.adm |
| Paramètre recommandé (EC) |
Activé (Avertissement de la barre de confidentialité pour toutes les macros) |
| Paramètre recommandé (SSLF) |
Activé (Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées)) |
| ID CCE |
Access : CCE-427 Excel : CCE-649 PowerPoint : CCE-567 Word : CCE-659 |
##### Impact
Pour l'environnement SSLF, le paramètre recommandé est **Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées)**. Dans cette configuration, les documents et les modèles qui contiennent des macros non signées n'offrent pas à l'utilisateur les fonctionnalités de ces macros. Pour éviter cette perte de fonctionnalités, les utilisateurs peuvent installer les macros dans un emplacement approuvé, sauf si le paramètre **Désactiver tous les emplacements approuvés** est défini sur **Activé**. Si dans votre entreprise les utilisateurs n'utilisent pas de macros approuvées officiellement, optez pour un niveau de sécurité encore plus élevé en sélectionnant **Aucun avertissement et désactiver toutes les macros**.
> [!IMPORTANT]
> Si le paramètre **Avertissement de la barre de confidentialité pour les macros signées numériquement uniquement (les macros non signées seront désactivées)** est activé, les utilisateurs ne peuvent pas ouvrir les bases de données Access 2007 non signées.
Notez également qu'Office 2007 stocke les certificats des éditeurs approuvés dans le magasin d'éditeurs approuvés d'Internet Explorer. Dans les versions précédentes d'Office, les informations relatives aux certificats des éditeurs approuvés (notamment l'empreinte des certificats) étaient stockées dans un magasin spécial d'éditeurs approuvés Office. Dans Office 2007, il est toujours possible de lire les informations relatives aux certificats des éditeurs approuvés à partir du magasin d'éditeurs approuvés Office, mais il n'est pas possible d'écrire d'informations dans ce magasin.
Ainsi, si vous créez une liste d'éditeurs approuvés dans une version précédente d'Office et que vous mettez à niveau vers Office 2007, votre liste d'éditeurs approuvés est reconnue. Toutefois, les certificats d'éditeurs approuvés que vous ajoutez à la liste sont stockés dans le magasin d'éditeurs approuvés d'Internet Explorer.
Pour plus d'informations sur les éditeurs approuvés, reportez-vous aux documentations suivantes :
- Article du site Web Microsoft Office Online sur l'[ajout, la suppression et l'affichage d'un éditeur approuvé](http://office.microsoft.com/fr-fr/help/ha100341381036.aspx).
- Article de la Base de connaissances « [Comment faire : Utilisation de stratégies de restriction logicielle dans Windows Server 2003 ](http://support.microsoft.com/kb/324036/fr)»
- Article de Microsoft TechNet relatif à l'[utilisation de stratégies de restriction logicielle pour se protéger des logiciels non autorisés](http://go.microsoft.com/fwlink/?linkid=98671).
- Chapitre 6 : Stratégie de restriction logicielle pour les clients Windows XP dans le [Guide de sécurité de Windows XP](http://www.microsoft.com/france/technet/security/prodtech/windowsxp/secwinxp/default.mspx) sur Microsoft TechNet.
**Télécharger**
[Obtenir le Guide de sécurité de Microsoft Office 2007](http://go.microsoft.com/fwlink/?linkid=95736)
[Obtenir GPOAccelerator](http://go.microsoft.com/fwlink/?linkid=103576)
**Notifications de mise à jour**
[Abonnez-vous aux mises à jour et aux nouvelles versions](http://go.microsoft.com/fwlink/?linkid=54982)
**Commentaires**
[Envoyez-nous vos commentaires et vos suggestions.](mailto:secwish@microsoft.com?subject=guide%20de%20sécurité%20de%20microsoft%20office%202007%20-%20menaces%20et%20contre-mesures%C2%A0:%20paramètres%20de%20sécurité%20dans%20la%20version%202007%20d'office%C2%A0system)
[](#mainsection)[Haut de page](#mainsection)