Liste des paramètres de sécurité de stratégie de l'utilisateur
Paru le 11 novembre 2007
Les paramètres de cette section sont classés par ordre alphabétique.
Sur cette page
Informations sur les paramètres de stratégie de l'utilisateur
Chaque paramètre est décrit de manière détaillée, avec des informations sur les applications auxquelles il se rapporte, sur la vulnérabilité qu'il permet de corriger, sur la méthode de correction de cette vulnérabilité, ainsi que d'autres informations. À chaque paramètre est également associé un tableau qui indique l'emplacement du paramètre dans la stratégie de groupe, le fichier ADM contenant le paramètre, la configuration recommandée pour des environnements EC et SSLF.
Filtrage EKU
Applicable à : Office System 2007
Ce paramètre permet aux administrateurs de spécifier les valeurs d'utilisation améliorée de la clé (EKU) à utiliser lors du filtrage d'une liste de certificats numériques pour la signature de documents Excel 2007, PowerPoint 2007 et Word 2007.
Vulnérabilité
L'extension d'utilisation améliorée de la clé d'un certificat numérique est un ensemble d'une ou plusieurs valeurs indiquant comment un certificat doit être utilisé. Parmi ces valeurs EKU, on trouve l'ouverture de session par carte à puce et l'authentification client. Le filtrage EKU vous permet de filtrer la liste des certificats installés pouvant être utilisés pour la signature numérique de documents. La liste filtrée apparaît lorsque les utilisateurs tentent de sélectionner un certificat pour signer numériquement un document.
Par défaut, le filtrage EKU n'est pas activé. Si le filtrage EKU n'est pas utilisé, les utilisateurs peuvent par inadvertance ou malveillance utiliser le mauvais type de certificat pour la signature numérique d'un document ou la validation d'une signature, et compromettre ainsi la sécurité des informations ou empêcher la vérification de la signature d'un document.
Contre-mesure
Si ce paramètre est activé, les administrateurs peuvent spécifier une liste d'identificateurs d'objets (OID) qui constituent des EKU acceptables pour les certificats utilisés en conjonction avec des documents signés. Par exemple, pour un certificat avec l'identificateur système de fichiers de cryptage EFS (1.3.6.1.4.1.311.10.3.4), l'OID est 1.3.6.1.4.1.311.10.3.4. Cette liste d'OID appropriés varie en fonction des certificats spécifiques qu'utilise l'entreprise.
Pour obtenir une liste d'identificateurs d'objets associés au chiffrement Microsoft, consultez l'article 287547 de la Base de connaissances, Identificateurs d'objets associés au chiffrement Microsoft (cet article peut être en anglais).
Tableau 1.146. Filtrage EKU
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Signing |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1167 |
##### Impact
Si ce paramètre est **activé**, les utilisateurs d'Office 2007 peuvent être plus limités dans le choix des certificats qu'ils utilisent pour la signature numérique de documents. Vous devez vérifier que le champ EKU est complété sur les certificats que vous souhaitez utiliser pour la signature numérique.
#### Interface utilisateur des balises pour les formulaires électroniques
Applicable à : **InfoPath**
Ce paramètre détermine si les utilisateurs sont avertis lorsqu'un formulaire InfoPath contient une menace de balises Web.
##### Vulnérabilité
Des utilisateurs malveillants peuvent envoyer des formulaires électroniques InfoPath avec des balises Web intégrées pouvant être utilisées pour surveiller le moment où les destinataires ouvrent le formulaire et confirmer que les adresses électroniques des destinataires sont valides. D'autres informations recueillies par le formulaire ou entrées par les utilisateurs peuvent également être envoyées vers un serveur externe et rendre les utilisateurs vulnérables à d'autres attaques.
Par défaut, les utilisateurs d'InfoPath 2007 sont uniquement avertis d'un risque de balisage si le formulaire provient d'Internet.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent choisir entre trois options différentes de contrôle lorsque les utilisateurs d'InfoPath 2007 sont avertis de menaces de balises Web :
- Ne jamais afficher l'interface utilisateur
- Toujours afficher l'interface utilisateur
- Afficher l'interface utilisateur si XSN est dans la zone Internet
> [!IMPORTANT]
> Si **Désactivé** ou **Activé**|**Ne jamais afficher l'interface utilisateur** est sélectionné, les utilisateurs ne sont pas avertis en cas de menaces de balises Web. Cette configuration peut considérablement compromettre la sécurité.
**Tableau 1.147. Interface utilisateur des balises pour les formulaires électroniques**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office InfoPath 2007\Miscellaneous |
| Fichier ADM |
inf12.adm |
| Paramètre recommandé (EC) |
Activé (Afficher l'interface utilisateur si XSN est dans la zone Internet) |
| Paramètre recommandé (SSLF) |
Activé (Toujours afficher l'interface utilisateur) |
| ID CCE |
CCE-1212 |
##### Impact
Le paramètre recommandé pour l'environnement EC ne modifie pas la configuration par défaut et ne devrait donc pas avoir d'incidence sur l'utilisation du système. Si le paramètre recommandé pour l'environnement SSLF est choisi, les utilisateurs sont avertis des menaces de balises Web potentielles même si elles proviennent de l'intranet local. Il est possible que certains formulaires internes utilisent des techniques de balisage de façon légitime. Si tel est le cas, ces formulaires devront être revus ou les utilisateurs devront être formés sur les messages d'avertissement qui s'affichent.
#### Activer le Programme d'amélioration du produit
Applicable à : **Office System 2007**
Ce paramètre détermine si les utilisateurs peuvent participer au Programme d'amélioration du produit Microsoft Office pour contribuer à l'amélioration de Microsoft Office.
##### Vulnérabilité
Lorsque les utilisateurs choisissent de participer au Programme d'amélioration du produit (CEIP), les applications Office 2007 envoient automatiquement des informations à Microsoft sur leur utilisation. Ces informations sont ajoutées aux autres données CEIP afin d'aider Microsoft à résoudre des problèmes et à améliorer les produits et les fonctionnalités les plus souvent utilisés par les clients. Cette fonctionnalité ne récupère pas les noms et adresses des utilisateurs, ni toute autre information d'identification, à l'exception de l'adresse IP utilisée pour envoyer les données.
Par défaut, les utilisateurs ont la possibilité de décider de participer au Programme d'amélioration du produit la première fois qu'ils lancent une application Office. Si votre entreprise dispose de stratégies qui régissent l'utilisation de ressources externes telles que le Programme d'amélioration du produit, le fait d'autoriser les utilisateurs à participer à ce programme peut leur permettre d'enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **désactivé**, les utilisateurs d'Office 2007 ne peuvent pas participer au Programme d'amélioration du produit.
**Tableau 1.148. Activer le Programme d'amélioration du produit**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Privacy\Trust Center |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-184 |
##### Impact
Le Programme d'amélioration du produit envoie automatiquement des données à Microsoft sans incidence sur l'utilisation de l'application. Ainsi, si vous choisissez l'option **Désactivé**, les utilisateurs d'Office 2007 ne rencontreront pas de problème.
#### Activer les liens dans les messages électroniques
Applicable à : **Outlook**
Ce paramètre détermine si les liens hypertexte présents dans des messages électroniques suspects de type phishing dans Outlook 2007 sont activés.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103500).
##### Vulnérabilité
Le filtre de courrier indésirable d'Outlook 2007 vérifie chaque message entrant et cherche d'éventuels courriers indésirables ou de type phishing. La détection de messages suspects est toujours activée.
Par défaut, Outlook gère les messages suspects de deux façons :
- Si le filtre de courrier indésirable ne considère par le message comme un courrier indésirable mais comme un courrier de type phishing, le message est conservé dans la boîte de réception mais tous les liens du message sont désactivés et les utilisateurs ne peuvent pas utiliser les fonctionnalités Répondre et Répondre à tous. De plus, toutes les pièces jointes du message suspect sont bloquées.
- Si le filtre de courrier indésirable considère le message comme un courrier indésirable et de type phishing, le message est automatiquement envoyé vers le dossier Courrier indésirable. Tous les messages envoyés vers le dossier Courrier indésirable sont convertis au format texte brut et tous les liens sont désactivés. De plus, les fonctionnalités Répondre et Répondre à tous sont désactivées et toutes les pièces jointes du message sont bloquées. La barre d'informations avertit les utilisateurs de ce changement. Si les utilisateurs sont certains qu'un message provient d'une source sûre, ils peuvent cliquer sur la barre d'informations et activer les liens dans le message.
Les utilisateurs peuvent changer la façon dont Outlook gère les messages de type phishing dans la boîte de dialogue **Options du courrier indésirable** en désactivant la case à cocher **Désactiver les liens et les autres fonctionnalités dans les messages frauduleux de type phishing (Recommandé)**. Si cette case est désactivée, Outlook ne désactive pas les liens dans les messages suspects de type phishing sauf s'ils sont considérés comme du courrier indésirable. Cela peut permettre aux utilisateurs de divulguer des informations confidentielles à des sites Web malveillants.
##### Contre-mesure
Si ce paramètre est **désactivé**, Outlook 2007 désactive tous les liens dans les messages suspects de type phishing, même s'ils ne sont pas considérés comme du courrier indésirable, et ne permet pas aux utilisateurs de changer ce paramètre.
> [!IMPORTANT]
> Si ce paramètre est **activé**, Outlook ne désactive pas les liens dans les messages suspects de type phishing qui ne sont pas considérés comme du courrier indésirable. Cette configuration peut considérablement compromettre la sécurité.
**Tableau 1.149. Activer les liens dans les messages électroniques**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Trust Center |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1052 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut dans Outlook 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Activer le chiffrement RPC
Applicable à : **Outlook**
Ce paramètre détermine si Outlook 2007 utilise le chiffrement RPC pour communiquer avec des serveurs Microsoft Exchange.
##### Vulnérabilité
Par défaut, le canal de communication d'appel de procédure distante (RPC) entre un ordinateur client Outlook 2007 et un serveur Exchange n'est pas chiffré. Si une personne malveillante peut surveiller le trafic réseau entre Outlook et le serveur, elle peut accéder à des informations confidentielles.
##### Contre-mesure
Si ce paramètre est **activé**, Outlook 2007 utilise le chiffrement RPC pour communiquer avec un serveur Exchange.
> [!NOTE]
> Le chiffrement RPC chiffre uniquement les données entre l'ordinateur client Outlook et le serveur Exchange. Il ne chiffre pas les messages eux-mêmes alors qu'ils passent par Internet.
**Tableau 1.150. Activer le chiffrement RPC**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Account Settings\Exchange |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1082 |
##### Impact
L'activation de ce paramètre ne devrait avoir aucune incidence significative sur les utilisateurs. Toutefois, il faut toujours trouver un compromis entre la sécurité des communications et les performances. Vous devez donc évaluer l'impact sur les performances lié au chiffrement des connexions entre l'ordinateur client Outlook 2007 et le serveur Exchange.
#### Chiffrer tous les messages électroniques
Applicable à : **Outlook**
Ce paramètre permet aux administrateurs d'exiger le chiffrement de tous les messages électroniques envoyés à partir d'Outlook 2007.
##### Vulnérabilité
La plupart des messages électroniques sont envoyés en texte clair, ils peuvent donc être interceptés. Pour renforcer la sécurité, les utilisateurs peuvent chiffrer les messages avec des certificats numériques afin qu'ils puissent être lus uniquement par les destinataires voulus. Les entreprises dont les exigences de sécurité sont très importantes peuvent exiger que les utilisateurs chiffrent tous les messages électroniques qu'ils envoient.
##### Contre-mesure
Si ce paramètre est **activé**, le bouton **Chiffrer** est automatiquement sélectionné pour tous les messages électroniques sortants, les invitations à des réunions et d'autres éléments d'Outlook 2007. Les utilisateurs doivent sélectionner un certificat approprié afin de chiffrer le message pour le destinataire voulu.
**Tableau 1.151. Chiffrer tous les messages électroniques**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1181 |
##### Impact
Le paramètre recommandé pour les environnements EC et SSLF est **Non configuré**. Même si le chiffrement de messages électroniques offre une protection efficace, l'activation de ce paramètre peut être contraignante même pour les entreprises les plus exigeantes en termes de sécurité car il empêche les utilisateurs d'envoyer des messages électroniques aux destinataires pour lesquels ils n'ont pas de certificats valides. Si votre entreprise souhaite normaliser l'utilisation du chiffrement de messages électroniques tout en permettant aux utilisateurs d'envoyer des messages non chiffrés lorsque le chiffrement n'est pas disponible, Microsoft recommande d'utiliser l'Outil de personnalisation Office (OPO) pour activer le chiffrement par défaut dans les nouvelles installations Office 2007. Cette configuration permet aux utilisateurs de désactiver le chiffrement des messages au cas par cas, tout en garantissant le chiffrement des autres messages. Pour plus d'informations sur l'OPO, consultez [Outil de personnalisation Office dans la version 2007 d'Office System](http://technet.microsoft.com/en-us/library/cc179097.aspx).
#### Type de chiffrement pour les fichiers Office 97-2003 protégés par mot de passe
Applicable à : **Office System 2007**
Ce paramètre permet aux administrateurs de spécifier un type de chiffrement pour les fichiers Office 97-2003 protégés par mot de passe.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103501).
##### Vulnérabilité
L'interception de fichiers non chiffrés peut compromettre la sécurité des informations sensibles contenues dans ces fichiers. Pour protéger la confidentialité des informations, les fichiers d'application Microsoft Office peuvent être chiffrés et protégés par un mot de passe. Seuls les utilisateurs qui connaissent le bon mot de passe peuvent déchiffrer ces fichiers.
Par défaut, Excel 2007, PowerPoint 2007 et Word 2007 utilisent le chiffrement « Compatible Office 97/2000 », une méthode de chiffrement propriétaire, pour chiffrer les fichiers Office 97-2003 protégés par mot de passe.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent spécifier le type de chiffrement que les applications Office utilisent pour chiffrer les fichiers protégés par mot de passe dans les anciens formats de fichier Office 97-2003. Le type de chiffrement spécifié doit posséder un fournisseur de services de chiffrement (CSP) correspondant installé sur l'ordinateur qui chiffre le fichier. Consultez la clé de Registre **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\Defaults\\Provider\\** pour obtenir la liste des CSP installés sur l'ordinateur local.
Spécifiez le type de chiffrement à utiliser en le saisissant dans la zone de texte correspondante au format suivant :
*<Fournisseur de chiffrement>,<Algorithme de chiffrement>,<Longueur de la clé de chiffrement>*
Par exemple : Microsoft Enhanced Cryptographic Provider v1.0,RC4,128
**Tableau 1.152. Type de chiffrement pour les fichiers Office 97-2003 protégés par mot de passe**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Security Settings |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Microsoft Enhanced RSA and AES Cryptographic Provider,AES 256 256) |
| ID CCE |
CCE-1561 |
##### Impact
Pour choisir la méthode de chiffrement à appliquer, tenez compte des besoins de votre entreprise et des utilisateurs. Si vous travaillez pour une agence gouvernementale ou que vous traitez des informations très sensibles, choisissez une méthode appropriée aux stratégies qui régissent le traitement de telles informations. Pensez à vérifier que le fournisseur de services de chiffrement est bien installé sur les ordinateurs de tous les utilisateurs qui ont recours à des fichiers Office 97-2003 protégés par mot de passe.
#### Type de chiffrement pour les fichiers au format Office Open XML protégés par mot de passe
Applicable à : **la version 2007 d'Office System**
Ce paramètre permet aux administrateurs de spécifier un type de chiffrement pour les fichiers au format Office Open XML.
##### Vulnérabilité
L'interception de fichiers non chiffrés peut compromettre la sécurité des informations sensibles contenues dans ces fichiers. Pour protéger la confidentialité des informations, les fichiers d'application Office 2007 peuvent être chiffrés et protégés par un mot de passe. Seuls les utilisateurs connaissant le bon mot de passe peuvent déchiffrer ces fichiers.
Sur des ordinateurs qui exécutent Windows Vista, le fournisseur de services de chiffrement (CSP) par défaut est Microsoft Enhanced RSA and AES Cryptographic Provider, AES-128, 128 bits. Sur des ordinateurs qui exécutent Windows XP, le CSP par défaut est Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), AES-128, 128 bits.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent spécifier le type de chiffrement que les applications Office utilisent pour chiffrer les fichiers protégés par mot de passe dans les formats de fichiers Office Open XML utilisés dans Excel 2007, PowerPoint 2007 et Word 2007. Le type de chiffrement spécifié doit posséder un fournisseur de services de chiffrement (CSP) correspondant installé sur l'ordinateur qui chiffre le fichier. Consultez la clé de Registre **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\Defaults\\Provider\\** pour obtenir la liste des CSP installés sur l'ordinateur local.
Spécifiez le type de chiffrement à utiliser en le saisissant dans la zone de texte correspondante au format suivant :
*<Fournisseur de chiffrement>,<Algorithme de chiffrement>,<Longueur de la clé de chiffrement>*
Par exemple : Microsoft Enhanced Cryptographic Provider v1.0,RC4,128
**Tableau 1.153. Type de chiffrement pour les fichiers au format Office Open XML protégés par mot de passe**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Security Settings |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé (Microsoft Enhanced RSA and AES Cryptographic Provider,AES 256 256) |
| ID CCE |
CCE-1539 |
##### Impact
Pour choisir la méthode de chiffrement à appliquer, tenez compte des besoins de votre entreprise et des utilisateurs. Si vous travaillez pour une agence gouvernementale ou que vous traitez des informations très sensibles, choisissez une méthode appropriée aux stratégies qui régissent le traitement de telles informations. Pensez à vérifier que le fournisseur de services de chiffrement est bien installé sur les ordinateurs de tous les utilisateurs qui ont recours à des fichiers au format Office Open XML protégés par mot de passe.
#### S'assurer que tous les messages signés S/MIME disposent d'une étiquette
Applicable à : **Outlook**
Ce paramètre détermine si Outlook 2007 exige des étiquettes sur les messages signés S/MIME.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103516).
##### Vulnérabilité
Les extensions ESS (Enhanced Security Services) S/MIME V3 pour les étiquettes de sécurité et les accusés de réception signés peuvent améliorer la sécurité des communications par messagerie électronique au sein de votre entreprise. Vous pouvez également utiliser ces extensions pour personnaliser la sécurité et répondre à vos propres exigences. Si votre entreprise développe et fournit des stratégies de sécurité S/MIME V3 afin d'ajouter des étiquettes de sécurité personnalisées, ce paramètre peut vous aider à appliquer ces stratégies en demandant aux utilisateurs de joindre une étiquette de sécurité à chaque message électronique envoyé à partir d'Outlook 2007. Exemple :
- Une étiquette À usage interne uniquement peut être utilisée comme étiquette de sécurité pour les messages électroniques qui ne doivent pas être envoyés ou transférés hors de l'entreprise.
- Une étiquette de sécurité peut spécifier que certains destinataires ne peuvent pas transférer ou imprimer le message, si ces destinataires possèdent également la stratégie de sécurité installée.
##### Contre-mesure
Si ce paramètre est **activé**, les étiquettes doivent être jointes à tous les messages S/MIME Outlook 2007 avant leur envoi. Les utilisateurs peuvent joindre des étiquettes aux messages à partir de la boîte de dialogue **Options des messages** en cliquant sur **Paramètres de sécurité**, puis en activant la case à cocher **Ajouter une signature numérique au message** et en sélectionnant une étiquette sous **Étiquettes de sécurité**.
**Tableau 1.154. S'assurer que tous les messages signés S/MIME disposent d'une étiquette**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-687 |
##### Impact
Le fait d'activer ce paramètre peut être fastidieux pour les utilisateurs d'Outlook 2007 qui envoient de nombreux messages signés S/MIME, car il leur faudra sélectionner une étiquette appropriée pour chacun des messages. Ce paramètre n'aura aucune incidence sur les utilisateurs qui n'envoient pas de messages signés S/MIME.
#### Forcer l'extension de fichier à correspondre au type de fichier
Applicable à : **Excel**
Ce paramètre détermine comment Excel 2007 charge les types de fichiers qui ne correspondent pas à leur extension.
##### Vulnérabilité
Excel 2007 peut charger des fichiers dont les extensions ne correspondent pas au type de ces fichiers. Par exemple, si un fichier de valeurs séparées par des virgules (CSV) appelé **exemple.csv** est renommé **exemple.xls**, Excel peut correctement le charger en tant que fichier CSV.
Certaines attaques ciblent des formats de fichiers spécifiques. Si Excel est autorisé à charger des fichiers dont les extensions ne correspondent pas à leurs types de fichier, une personne malveillante peut tromper les utilisateurs en chargeant des fichiers dangereux dont les extensions ne sont pas correctes.
Par défaut, si les utilisateurs tentent d'ouvrir des fichiers qui ont une mauvaise extension, Excel ouvre le fichier et affiche un avertissement qui stipule que le type de fichier n'est pas celui attendu par Excel.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent choisir entre trois options pour des fichiers dont les extensions ne correspondent pas :
- **Autoriser un autre type**. Excel 2007 ouvre correctement les fichiers sans avertir les utilisateurs que les fichiers ont des extensions qui ne correspondent pas. Si les utilisateurs modifient et enregistrent les fichiers, Excel conserve à la fois le vrai format de fichier sous-jacent et l'extension de fichier incorrecte.
- **Autoriser un autre type, mais avertir**. Excel ouvre correctement les fichiers, mais avertit les utilisateurs de l'incompatibilité du type de fichier. Il s'agit de la configuration par défaut dans Excel.
- **Toujours correspondre au type de fichier**. Excel n'ouvre aucun des fichiers dont les extensions ne correspondent pas.
**Tableau 1.155. Forcer l'extension de fichier à correspondre au type de fichier**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Security |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Activé - Autoriser un autre type, mais avertir |
| Paramètre recommandé (SSLF) |
Activé - Toujours correspondre au type de fichier |
| ID CCE |
CCE-616 |
##### Impact
Dans les versions antérieures d'Excel, la correspondance des types de fichiers ne pouvait pas être forcée. L'activation de ce paramètre et la sélection de l'option **Toujours correspondre au type de fichier** peuvent poser des problèmes aux utilisateurs qui ont recours aux fonctionnalités des versions antérieures d'Excel et peuvent avoir une incidence sur le fonctionnement d'outils et de scripts qui les utilisent.
#### Stratégies de certificat Fortezza
Applicable à : **Outlook**
Ce paramètre spécifie une liste de stratégies autorisées dans l'extension des stratégies d'un certificat, qui indique qu'il s'agit d'un certificat Fortezza.
##### Vulnérabilité
Fortezza est un standard de chiffrement matériel créé par l'Agence de sécurité nationale (NSA), une division du ministère de la défense américain. Pour bénéficier du standard Fortezza, un certificat doit inclure une stratégie appropriée dans l'extension des stratégies du certificat.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent entrer une liste de stratégies dans la zone de texte correspondante afin d'indiquer qu'il s'agit d'un certificat Fortezza. La liste doit être séparée par des points-virgules. Exemple : stratégie1;stratégie2;stratégie3.
**Tableau 1.156. Stratégies de certificat Fortezza**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Cryptography |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1402 |
##### Impact
Si votre entreprise utilise Fortezza, vous devrez utiliser ce paramètre pour assurer la prise en charge des certificats Fortezza. S'il est configuré correctement, ce paramètre ne devrait pas entraîner de problèmes d'utilisation pour les utilisateurs finaux.
#### Texte masqué
Applicable à : **Word**
Cette stratégie détermine si le texte défini comme masqué s'affiche sur les écrans de moniteurs des utilisateurs de Word 2007.
##### Vulnérabilité
Par défaut, Word 2007 n'affiche le texte masqué que si **Afficher/Masquer ¶** est sélectionné ou si Word est configuré pour afficher le texte masqué dans la section **Affichage** de la boîte de dialogue **Options Word**. Si un document contenant du texte masqué est distribué, toutes les informations sensibles de ce document peuvent être menacées.
##### Contre-mesure
Si ce paramètre est **activé**, Word 2007 affiche tout le temps le texte masqué. Le texte masqué s'affiche souligné en pointillés.
**Tableau 1.157. Texte masqué**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Word 2007\Word Options\Display |
| Fichier ADM |
word12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-885 |
##### Impact
L'activation de ce paramètre peut créer des problèmes pour les utilisateurs de Word 2007 lorsqu'ils mettent en forme des documents contenant du texte masqué en vue de leur impression ou distribution. L'affichage du texte masqué peut altérer la fluidité d'un document. Il devient également difficile d'estimer le nombre de pages d'un document et les endroits où Word insèrera des sauts de page automatiques.
#### Masquer l'interface utilisateur Courrier indésirable
Applicable à : **Outlook**
Ce paramètre détermine si le Filtre de courrier indésirable est activé dans Outlook 2007.
##### Vulnérabilité
Le Filtre de courrier indésirable dans Outlook 2007 est conçu pour intercepter les courriers indésirables les plus flagrants et les envoyer vers les dossiers Courrier indésirable des utilisateurs. Le filtre évalue chaque message entrant selon plusieurs facteurs, notamment l'heure d'envoi du message et son contenu. Le filtre ne trie pas selon un expéditeur particulier ni un type de message, mais il analyse le contenu et la structure de chaque message pour déterminer s'il s'agit ou non d'un éventuel spam.
Par défaut, le Filtre de courrier indésirable dans Outlook 2007 est activé. Si cette configuration est modifiée, les utilisateurs peuvent recevoir de grandes quantités de courriers indésirables dans leur boîte de réception, ce qui peut les ralentir dans le traitement des messages électroniques de l'entreprise.
##### Contre-mesure
Si ce paramètre est **désactivé**, le Filtre de courrier indésirable dans Outlook 2007 est actif.
**Tableau 1.158. Masquer l'interface utilisateur Courrier indésirable**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\Junk E-mail |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1187 |
##### Impact
Le nom de ce paramètre peut être quelque peu déroutant car son activation désactive complètement le Filtre de courrier indésirable dans Outlook 2007, en plus de masquer aux utilisateurs les commandes de filtrage. Vous pouvez utiliser le paramètre « Niveau de protection contre le courrier indésirable », référencé dans ce guide, pour prédéfinir un niveau de filtrage et empêcher les utilisateurs de le modifier.
Ce paramètre n'a aucune incidence sur la configuration du Filtre de messages intelligent de Microsoft Exchange Server, qui permet le filtrage de courriers indésirables au niveau du serveur.
#### Ignorer les autres applications
Applicable à : **Excel**
Ce paramètre détermine si Excel 2007 peut échanger des données avec d'autres applications qui utilisent l'échange dynamique de données (DDE).
##### Vulnérabilité
Par défaut, Excel 2007 peut utiliser le protocole d'échange dynamique de données (DDE) pour échanger des messages et des données avec d'autres applications. Par exemple, une cellule dans un classeur Excel peut être liée dynamiquement à une valeur fournie par une autre application, telle qu'une donnée météorologique ou une cotation. Lorsque la valeur de l'autre application change, Excel peut automatiquement mettre à jour la valeur dans le classeur. Cette fonctionnalité garantit aux utilisateurs qu'Excel dispose toujours des dernières données, toutefois cela signifie également que le classeur est sujet à des modifications sans intervention de l'utilisateur, ce qui peut compromettre l'intégrité des données dans certaines situations.
##### Contre-mesure
Si ce paramètre est **activé**, la case à cocher **Ignorer les autres applications qui utilisent l'échange dynamique de données** est activée dans la section **Avancées** de la boîte de dialogue **Options Excel** et les utilisateurs ne peuvent pas la modifier.
**Tableau 1.159. Ignorer les autres applications**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Advanced |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1471 |
##### Impact
L'activation de ce paramètre peut causer des problèmes aux utilisateurs qui ont recours à la fonctionnalité DDE dans Excel 2007 pour mettre à jour les informations dans les classeurs. Ces utilisateurs devront utiliser une autre méthode pour mettre à jour les informations fournies par d'autres applications.
> [!IMPORTANT]
> Si ce paramètre est activé, les utilisateurs peuvent voir apparaître un message d'erreur lorsqu'ils double-cliquent sur des classeurs Excel dans Windows Explorer pour les ouvrir. Pour plus d'informations, consultez l'article 211494 de la Base de connaissances, [Excel s'ouvre sans afficher de classeur](http://support.microsoft.com/kb/211494/fr) (cet article peut être en anglais).
#### Améliorer les outils de vérification linguistique
Applicable à : **Office System 2007**
Ce paramètre détermine si la fonctionnalité Participer à l'amélioration des outils de vérification envoie des données d'utilisation à Microsoft.
##### Vulnérabilité
La fonctionnalité Participer à l'amélioration des outils de vérification collecte des données sur l'utilisation des outils de vérification linguistique, tels que les ajouts au dictionnaire personnel, et les envoie à Microsoft. Au bout de six mois environ, cette fonctionnalité cesse d'envoyer des données à Microsoft et supprime le fichier de collecte de données de l'ordinateur de l'utilisateur. Bien que cette fonctionnalité ne collecte pas de manière intentionnelle des informations personnelles, il peut arriver que le contenu envoyé comporte des éléments spécifiés comme des fautes d'orthographe ou de grammaire, qui sont des noms propres et des numéros de compte. Toutefois, tous les chiffres qui représentent des numéros de compte, des adresses et des numéros de téléphone sont convertis en zéros lors de la collecte des données. Microsoft utilise ces informations uniquement pour améliorer les performances des outils de vérification linguistique d'Office, et non pour identifier les utilisateurs.
Par défaut, cette fonctionnalité est activée si les utilisateurs décident de participer au Programme d'amélioration du produit (CEIP). Si votre entreprise dispose de stratégies qui régissent l'utilisation de ressources externes telles que le CEIP, le fait d'autoriser l'utilisation de la fonctionnalité Participer à l'amélioration des outils de vérification peut permettre aux utilisateurs d'enfreindre ces stratégies.
##### Contre-mesure
Si ce paramètre est **désactivé**, la fonctionnalité Participer à l'amélioration des outils de vérification ne collecte aucune information sur l'utilisation des outils et ne les transmet donc pas à Microsoft.
**Tableau 1.160. Améliorer les outils de vérification linguistique**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Tools | Options | Spelling\Proofing Data Collection |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1292 |
##### Impact
Le Programme d'amélioration du produit envoie automatiquement des données sur les outils de vérification linguistique à Microsoft, sans aucune incidence sur l'utilisation de l'application. Ainsi la désactivation de la collecte et de la transmission de ces données ne devrait causer aucun problème à la plupart des utilisateurs.
#### Inclure Internet dans les zones approuvées pour le téléchargement automatique des images
Applicable à : **Outlook**
Ce paramètre détermine si les images et le contenu externe dans des messages électroniques HTML provenant d'expéditeurs non approuvés sur Internet sont téléchargés sans demander la confirmation des utilisateurs d'Outlook 2007.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103511).
##### Vulnérabilité
Des expéditeurs malveillants peuvent envoyer des messages électroniques HTML avec des balises Web intégrées qui sont des images ou d'autres contenus provenant de serveurs externes pouvant être utilisés pour vérifier si les destinataires ouvrent les messages. La visualisation de messages électroniques contenant des balises Web apporte la confirmation que l'adresse électronique du destinataire est valide, ce qui rend ce dernier vulnérable à d'autres courriers indésirables et messages électroniques nuisibles.
Par défaut, Outlook 2007 ne télécharge pas le contenu externe des messages électroniques HTML provenant d'expéditeurs non approuvés via Internet. Si cette configuration est modifiée, Outlook affiche le contenu externe de tous les messages électroniques HTML reçus via Internet, y compris ceux incluant des balises Web.
##### Contre-mesure
Si ce paramètre est **désactivé**, Outlook 2007 ne considère pas Internet comme une zone approuvée et ne télécharge donc pas automatiquement le contenu provenant de serveurs externes, sauf si l'expéditeur figure dans la liste des expéditeurs approuvés. Les destinataires peuvent choisir de télécharger le contenu externe provenant d'utilisateurs non approuvés au cas par cas pour chaque message.
> [!IMPORTANT]
> Si ce paramètre est **activé**, Outlook télécharge automatiquement le contenu externe de tous les messages électroniques envoyés via Internet et les utilisateurs ne peuvent pas modifier ce paramètre.
**Tableau 1.161. Inclure Internet dans les zones approuvées pour le téléchargement automatique des images**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Automatic Picture Download Settings |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1497 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut et donc, pour la plupart des utilisateurs d'Outlook 2007, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Inclure l'intranet dans les zones approuvées pour le téléchargement automatique des images
Applicable à : **Outlook**
Ce paramètre détermine si les images et le contenu externe des messages électroniques HTML provenant d'expéditeurs non approuvés sur l'intranet local sont téléchargés sans demander la confirmation des utilisateurs d'Outlook 2007.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103512).
##### Vulnérabilité
Des expéditeurs malveillants peuvent envoyer des messages électroniques HTML avec des balises Web intégrées, qui sont des images ou d'autres contenus provenant de serveurs externes pouvant être utilisés pour vérifier si les destinataires ouvrent les messages. La visualisation de tels messages électroniques contenant des balises Web apporte la confirmation que l'adresse électronique du destinataire est valide, ce qui rend ce dernier vulnérable à d'autres courriers indésirables et messages électroniques nuisibles.
Par défaut, Outlook 2007 ne télécharge pas le contenu externe des messages électroniques HTML provenant d'expéditeurs non approuvés via l'intranet local. Si cette configuration est modifiée, Outlook affiche le contenu externe de tous les messages électroniques HTML reçus via l'intranet local. Ce contenu peut inclure des balises Web.
##### Contre-mesure
Si ce paramètre est **désactivé**, Outlook 2007 ne considère pas l'intranet local comme une zone approuvée et ne télécharge donc pas automatiquement le contenu provenant d'autres serveurs dans la zone de l'intranet local, sauf si l'expéditeur figure dans la liste des expéditeurs approuvés. Les destinataires peuvent choisir de télécharger le contenu externe provenant d'utilisateurs non approuvés au cas par cas pour chaque message.
> [!IMPORTANT]
> Si ce paramètre est **activé**, Outlook télécharge automatiquement le contenu externe de tous les messages électroniques envoyés via l'intranet local et les utilisateurs ne peuvent pas modifier ce paramètre.
**Tableau 1.161. Inclure l'intranet dans les zones approuvées pour le téléchargement automatique des images**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Security\Automatic Picture Download Settings |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1501 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut et donc, pour la plupart des utilisateurs d'Outlook 2007, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Gestion des droits relatifs à l'information
Applicable à : **InfoPath**
Ce paramètre détermine si les utilisateurs d'InfoPath 2007 peuvent concevoir des formulaires protégés par la Gestion des droits relatifs à l'information (IRM).
##### Vulnérabilité
Par défaut, les utilisateurs peuvent utiliser la Gestion des droits relatifs à l'information (IRM) dans InfoPath 2007 pour créer des formulaires à autorisation restreinte pour permettre à des personnes spécifiques d'accéder aux formulaires. Grâce à l'IRM, les utilisateurs peuvent empêcher l'impression, le transfert et la copie d'informations sensibles par des personnes non autorisées.
##### Contre-mesure
Si ce paramètre est **désactivé**, les utilisateurs d'InfoPath 2007 peuvent créer des formulaires avec des protections IRM.
> [!NOTE]
> Comme pour les autres paramètres de **Fonctionnalités restreintes**, l'activation de ce paramètre rend la fonctionnalité indisponible, et inversement.
**Tableau 1.163. Gestion des droits relatifs à l'information**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office InfoPath 2007\Restricted Features |
| Fichier ADM |
inf12.adm |
| Paramètre recommandé (EC) |
Désactivé |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1538 |
##### Impact
La désactivation de ce paramètre applique la configuration par défaut dans InfoPath 2007 et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Adresses Internet et réseau comme liens hypertexte
Applicable à : **Excel**
Ce paramètre détermine si Excel 2007 crée automatiquement des liens hypertexte lorsque les utilisateurs entrent des informations sur le chemin d'accès URL ou UNC.
> [!IMPORTANT]
> De récents tests de ce paramètre ont montré qu'il ne fonctionnait pas comme prévu. Pour plus d’informations, consultez cet [article de la Base de connaissances](http://go.microsoft.com/fwlink/?linkid=103522).
##### Vulnérabilité
Par défaut, lorsque les utilisateurs saisissent une chaîne de caractères qu'Excel 2007 reconnaît comme un chemin d'accès URL (Uniform Resource Locator) ou UNC (Uniform Naming Convention) vers une ressource sur Internet ou un réseau local, Excel le transforme en lien hypertexte. Le fait de cliquer sur le lien hypertexte l'ouvre dans le navigateur Web configuré par défaut ou l'application appropriée. Cette fonctionnalité peut permettre aux utilisateurs de créer par inadvertance des liens vers des ressources dangereuses ou restreintes pouvant menacer la sécurité.
##### Contre-mesure
Si ce paramètre est **désactivé**, la case à cocher **Adresses Internet et réseau comme liens hypertexte** est désactivée sous **Remplacer** dans la boîte de dialogue **Correction automatique** et les utilisateurs ne peuvent pas la modifier.
> [!NOTE]
> Si ce paramètre est **activé**, Excel 2007 transforme automatiquement les chemins d'accès URL et UNC en liens hypertexte et les utilisateurs ne peuvent pas désactiver cette fonctionnalité.
**Tableau 1.164. Adresses Internet et réseau comme liens hypertexte**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Proofing\Autocorrect Options |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1532 |
##### Impact
Si ce paramètre est désactivé, les utilisateurs d'Excel 2007 peuvent toujours créer manuellement de nouveaux liens hypertexte. Pour la plupart des utilisateurs, l'incidence devrait donc être minimale.
#### Niveau de protection contre le courrier indésirable
Applicable à : **Outlook**
Ce paramètre détermine le niveau de filtrage des courriers indésirables par Outlook 2007.
##### Vulnérabilité
Le Filtre de courrier indésirable dans Outlook 2007 est conçu pour intercepter les courriers indésirables les plus évidents, ou spams, et les envoyer vers les dossiers Courrier indésirable des utilisateurs. Le filtre évalue chaque message entrant selon plusieurs facteurs, notamment l'heure d'envoi du message et son contenu. Le filtre ne trie pas selon un expéditeur particulier ni un type de message, mais il analyse le contenu et la structure de chaque message pour déterminer s'il s'agit ou non d'un éventuel spam.
Par défaut, les utilisateurs peuvent choisir entre quatre niveaux de filtrage des courriers indésirables :
- **Aucun filtrage automatique**. Outlook n'évalue pas le contenu des messages entrants. Outlook continue d'évaluer des messages en utilisant les noms de domaine et les adresses de messagerie qui figurent dans les listes des expéditeurs bloqués et déplace les messages provenant d'expéditeurs bloqués vers les dossiers Courrier indésirable des utilisateurs.
- **Faible**. Outlook déplace uniquement les courriers indésirables les plus évidents vers les dossiers Courrier indésirable des utilisateurs. Il s'agit du paramètre par défaut.
- **Élevé**. Outlook intercepte la majeure partie des courriers indésirables et peut inclure par inadvertance des messages provenant de sources sûres. Il est recommandé aux utilisateurs de vérifier régulièrement leurs dossiers Courrier indésirable.
- **Listes approuvées uniquement**. Outlook déplace tous les messages entrants vers les dossiers Courrier indésirable des utilisateurs à l'exception des messages provenant de personnes figurant dans les listes d'expéditeurs approuvés et des messages envoyés vers des listes de publipostage définies dans les listes de destinataires approuvés des utilisateurs.
Si les utilisateurs choisissent un paramètre inapproprié, ils risquent de manquer des messages importants ou d'accumuler un grand nombre de courriers indésirables dans leur boîte de réception.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent sélectionner l'une des quatre options disponibles et l'appliquer à tous les utilisateurs concernés, qui ne peuvent pas modifier ce fonctionnement.
**Tableau 1.165. Niveau de protection contre le courrier indésirable**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Outlook 2007\Tools | Options…\Preferences\Junk E-mail |
| Fichier ADM |
outlk12.adm |
| Paramètre recommandé (EC) |
Activé (Faible) |
| Paramètre recommandé (SSLF) |
Activé (Élevé) |
| ID CCE |
CCE-1588 |
##### Impact
Tous les utilisateurs ne reçoivent pas la même quantité de courriers indésirables. L'activation de ce paramètre peut conduire à un niveau de protection contre les courriers indésirables trop élevé pour certains utilisateurs et trop faible pour d'autres.
#### Filtrage par utilisation de la clé
Applicable à : **Office System 2007**
Ce paramètre permet aux administrateurs de filtrer une liste de certificats numériques pour la signature de documents Excel 2007, PowerPoint 2007 et Word 2007, en fonction du champ Utilisation de la clé.
##### Vulnérabilité
Le champ Utilisation de la clé dans un certificat est utilisé pour constituer une série de contraintes de base relatives aux différents types d'opérations pouvant être effectuées à l'aide du certificat. Le filtrage par utilisation de la clé vous permet de filtrer la liste des certificats installés pouvant être utilisés pour la signature de documents. La liste filtrée apparaît lorsque les utilisateurs tentent de sélectionner un certificat pour signer numériquement un document.
Par défaut, les certificats numériques avec la valeur « signature numérique » dans le champ Utilisation de la clé sont répertoriés en tant que certificats disponibles. Si le filtrage par utilisation de la clé n'est pas utilisé, des utilisateurs peuvent par inadvertance ou malveillance utiliser le mauvais type de certificat pour la signature numérique d'un document ou la validation d'une signature, et compromettre ainsi la sécurité des informations ou empêcher la vérification de la signature d'un document.
##### Contre-mesure
Si ce paramètre est **activé**, seuls les certificats avec la valeur « signature numérique » dans le champ Utilisation de la clé font partie des certificats disponibles pour la signature de documents.
**Tableau 1.166. Filtrage par utilisation de la clé**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Signing |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Non configuré |
| ID CCE |
CCE-1396 |
##### Impact
Si ce paramètre est **activé**, vous devez vérifier que le champ Utilisation de la clé des certificats utilisés contient les bonnes informations afin que ces certificats puissent être utilisés pour signer et valider des signatures numériques.
#### Signatures au format hérité
Applicable à : **Office System 2007**
Ce paramètre détermine si les utilisateurs peuvent appliquer des signatures numériques au format binaire à des documents Office 97-2003.
##### Vulnérabilité
Par défaut, les applications Office 2007 utilisent le format XMLDSIG basé XML pour attacher des signatures numériques aux documents, y compris les documents binaires Office 97-2003. Les signatures XMLDSIG ne sont pas reconnues par les applications Office 2003 et antérieures. Si un utilisateur d'Office 2003 ouvre un document binaire Excel, PowerPoint ou Word avec une signature XMLDSIG attachée, la signature est perdue.
##### Contre-mesure
Si ce paramètre est **activé**, les applications Office 2007 utilisent le format binaire Office 2003 pour appliquer des signatures numériques aux documents binaires Office 97-2003 afin qu'elles puissent être reconnues par les applications Office 2003 et antérieures.
**Tableau 1.167. Signatures au format hérité**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Signing |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Activé |
| Paramètre recommandé (SSLF) |
Activé |
| ID CCE |
CCE-1585 |
##### Impact
Pour la plupart des utilisateurs d'Office 2007, l'activation de ce paramètre ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Charger les contrôles dans Forms3
Applicable à : **Office System 2007**
Ce paramètre détermine comment les applications Office 2007 chargent les contrôles ActiveX dans UserForms.
##### Vulnérabilité
Les contrôles ActiveX sont des objets COM (Component Object Model) et ont un accès restreint aux ordinateurs des utilisateurs. Les contrôles ActiveX peuvent accéder au système de fichiers local et modifier les paramètres du Registre du système d'exploitation. Si un utilisateur malveillant utilise un contrôle ActiveX pour prendre le contrôle de l'ordinateur d'un utilisateur, cela peut avoir des conséquences graves.
Pour améliorer la sécurité, les développeurs d'ActiveX peuvent désigner les contrôles comme sûrs pour l'initialisation (SFI), ce qui signifie que les contrôles peuvent être ouverts et exécutés en toute sécurité sans nuire aux ordinateurs. Si un contrôle n'est pas SFI, il peut nuire à un ordinateur. Cela peut également signifier que les développeurs n'ont pas testé le contrôle dans toutes les situations et ne sont donc pas sûrs de la fiabilité ultérieure de ce contrôle.
Les contrôles SFI s'exécutent en mode sans échec, ce qui limite leur accès à l'ordinateur. Par exemple, le contrôle d'un classeur peut à la fois lire et écrire des fichiers lorsqu'il est en mode non sécurisé, mais il se peut qu'il n'effectue que la lecture des fichiers en mode sans échec. Cette fonctionnalité permet d'utiliser efficacement le contrôle lorsque la sécurité n'est pas importante, tout en le maintenant sûr pour l'utilisation dans une page Web.
Si un contrôle n'est pas SFI, il est désigné comme étant peu sûr en cas d'initialisation (UFI), ce qui signifie qu'il peut être nuisible pour l'ordinateur d'un utilisateur. Si des contrôles ActiveX UFI sont chargés, ils le sont toujours en mode non sécurisé.
Ce paramètre permet aux administrateurs de vérifier comment les contrôles ActiveX dans UserForms doivent être initialisés selon qu'ils sont SFI ou UFI.
##### Contre-mesure
Si ce paramètre est **activé**, les administrateurs peuvent choisir entre quatre options pour charger des contrôles dans UserForms :
- **1**. Pour un contrôle UFI ou SFI qui prend en charge les modes sans échec et non sécurisé, le contrôle est chargé en mode non sécurisé. Pour un contrôle SFI qui prend en charge uniquement le mode sans échec, le contrôle est chargé en mode sans échec. Cette option applique la configuration par défaut.
- **2**. Les utilisateurs sont invités à définir comment s'effectue le chargement par les formulaires UserForm. L'invite n'apparaît qu'une seule fois par session dans une application. Lorsque les utilisateurs répondent à l'invite, le chargement s'effectue selon si le contrôle est UFI ou SFI :
- Pour un contrôle UFI, si les utilisateurs répondent **Oui** à l'invite, le contrôle est chargé en mode non sécurisé. Si les utilisateurs répondent **Non**, le contrôle est chargé selon ses propriétés par défaut.
- Pour un contrôle SFI qui prend en charge les modes sans échec et non sécurisé, si les utilisateurs répondent **Oui** à l'invite, le contrôle est chargé en mode non sécurisé. Si les utilisateurs répondent **Non**, le contrôle est chargé en mode sans échec. Si le contrôle SFI prend en charge uniquement le mode sans échec, le contrôle est chargé en mode sans échec.
Cette option est la configuration par défaut dans Microsoft Office 2007.
- **3**. Les utilisateurs sont invités à définir comment s'effectue le chargement par les formulaires UserForm. L'invite n'apparaît qu'une seule fois par session dans une application. Lorsque les utilisateurs répondent à l'invite, le chargement s'effectue selon si le contrôle est UFI ou SFI :
- Pour un contrôle UFI, si les utilisateurs répondent **Oui** à l'invite, le contrôle est chargé en mode non sécurisé. Si les utilisateurs répondent **Non**, le contrôle est chargé selon ses propriétés par défaut.
- Pour un contrôle SFI, le contrôle est chargé en mode sans échec.
- **4**. Pour un contrôle UFI, le contrôle est chargé selon ses propriétés par défaut. Pour un contrôle SFI, le contrôle est chargé en mode sans échec (considéré comme le mode le plus sûr).
**Tableau 1.168. Charger les contrôles dans Forms3**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office 2007 system\Security Settings |
| Fichier ADM |
office12.adm |
| Paramètre recommandé (EC) |
Activé (1) |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1068 |
##### Impact
La configuration recommandée pour l'environnement EC est 1, qui applique la configuration par défaut et donc, pour la plupart des utilisateurs, ne devrait pas avoir d'incidence sur l'utilisation du système.
#### Charger les images de pages Web n'ayant pas été créées sous Excel
Applicable à : **Excel**
Ce paramètre détermine si Excel 2007 charge les images lors de l'ouverture de pages Web n'ayant pas été créées sous Excel.
##### Vulnérabilité
Par défaut, lorsque les utilisateurs ouvrent des pages Web dans Excel 2007, Excel charge toutes les images incluses dans les pages, qu'elles aient ou non été créées sous Excel. Les utilisateurs peuvent changer cette option dans la boîte de dialogue **Options Web**, disponible dans la section **Avancées** de la boîte de dialogue **Options Excel**.
Si Excel est autorisé à charger des images créées par d'autres programmes, l'application peut devenir vulnérable à d'éventuelles attaques de type « zero day » (attaques qui exploitent des failles de sécurité non divulguées ou pour lesquelles il n'existe pas encore de correctifs) qui utilisent des fichiers graphiques comme vecteur d'attaque. Si un tel événement se produit, ce paramètre peut être utilisé pour limiter la vulnérabilité.
##### Contre-mesure
Si ce paramètre est **désactivé**, Excel 2007 ne charge aucune image de pages Web n'ayant pas été créées sous Excel.
> [!NOTE]
> Si ce paramètre est **activé**, Excel charge les images de pages Web n'ayant pas été créées sous Excel et les utilisateurs ne peuvent pas modifier cette configuration.
**Tableau 1.169. Charger les images de pages Web n'ayant pas été créées sous Excel**
| Emplacement dans la stratégie de groupe |
User Configuration\Administrative Templates\Classic Administrative Templates (ADM)\Microsoft Office Excel 2007\Excel Options\Advanced\Web Options…\General |
| Fichier ADM |
excel12.adm |
| Paramètre recommandé (EC) |
Non configuré |
| Paramètre recommandé (SSLF) |
Désactivé |
| ID CCE |
CCE-1464 |
##### Impact
Le paramètre recommandé pour l'environnement SSLF est **Désactivé**, ce qui signifie qu'Excel 2007 ne charge aucune image de pages Web n'ayant pas été créées sous Excel. Cette configuration peut causer quelques problèmes pour les utilisateurs qui chargent des pages Web dans Excel ayant été créées avec d'autres applications. Ce paramètre n'aura aucune incidence sur les utilisateurs qui ne chargent pas de pages Web dans Excel.
**Télécharger**
[Obtenir le Guide de sécurité de Microsoft Office 2007](http://go.microsoft.com/fwlink/?linkid=95736)
[Obtenir le GPOAccelerator](http://go.microsoft.com/fwlink/?linkid=103576)
**Notifications de mise à jour**
[Abonnez-vous aux mises à jour et aux nouvelles versions](http://go.microsoft.com/fwlink/?linkid=54982)
**Commentaires**
[Envoyez-nous vos commentaires et vos suggestions.](mailto:secwish@microsoft.com?subject=guide%20de%20sécurité%20de%20microsoft%20office%202007%20-%20menaces%20et%20contre-mesures%C2%A0:%20paramètres%20de%20sécurité%20dans%20la%20version%202007%20d'office%C2%A0system)
[](#mainsection)[Haut de page](#mainsection)