Filtre Smartscreen dans Internet Explorer 8.0 - partie 2 - parametrage via GPO
Une des nombreuses fonctionnalités intéressantes liées à la sécurité dans Internet Explorer 8 est le filtre SmartScreen.
Le filtre SmartScreen dans Internet Explorer 8.0 offre 2 types de protections :
- La première est une évolution du filtre anti-phishing d'Internet Explorer 7
- La seconde permet d'éviter à l'utilisateur la navigation sur des sites Web réputés pour être des vecteurs de codes malveillants
Cf. l’article suivant pour plus d’informations sur son fonctionnement :
http://blogs.technet.com/stanislas/archive/2009/11/13/filtre-smartscreen-dans-internet-explorer-8-0-partie-1.aspx
Au-delà de la pertinence de ce filtre dans le cadre d’un usage domestique, sa présence et son activation sur des postes d’entreprise a clairement un intérêt, les attaques par hameçonnage ou les infections par téléchargement n’étant réservées aux particuliers :-).
Certes, certains pourraient me répondre que les réseaux d’entreprises disposent aujourd’hui de solutions de filtrage d’URL réduisant fortement les risques liés à la navigation sur le Web (par exemple, Forefront TMG. Cf. http://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-2-c-t-administrateur-et-c-t-utilisateur.aspx). A cela, je pourrais opposer l’argument ultime : la mobilité omniprésente des postes de travail portables et leur usage dans des réseaux distincts de l’entreprise (wifi, 3G, ADSL domestique…) et à des fins pas toujours professionnelles ;-)
Bref, pourquoi se priver d’une belle fonctionnalité de sécurité telle que le filtre SmartScreen ! Maintenant, l’idéal pour un administrateur c’est :
1- De pouvoir configurer ce filtre de manière automatique et centralisée
2- D’empêcher l’utilisateur de continuer sa navigation sur un site potentiellement dangereux
Et bien tout cela est possible grâce à une mécanique bien connue de tous les administrateurs Windows : les stratégies de groupes.
Historiquement, il est possible depuis Windows Server 2000 et Active Directory de gérer de manière centralisée la configuration d’Internet Explorer (de la version 5.0 à la 8.0). Au total, c’est aujourd’hui plus de 1200 objets de stratégies qui sont paramétrables via GPO, que ce soit au niveau du poste de travail ou de l’utilisateur.
Chaque version d’Internet Explorer apportant son lot de nouveautés, il est assez simple de retrouver le détail des paramètres de GPO associé. Dans le cas d’Internet Explorer 8.0, c’est sur la page suivante :
Group Policy and Internet Explorer 8
http://technet.microsoft.com/en-us/library/cc985351.aspx
Revenons au filtre Smartscreen et à sa configuration via stratégie de groupe.
2 paramètres me semblent plus particulièrement intéressants :
Le premier concerne l’activation (ou la désactivation) du filtre SmartScreen.
“Désactiver la gestion du filtre SmartScreen”
C’est dans :
Configuration ordinateur ou Configuration utilisateur
Stratégies
Modèle d’administration : définition de stratégie
Composants Windows
Internet Explorer
Note : il faut éditer la stratégie depuis un serveur Windows Server 2008 R2 ou une machine Windows 7 avec les outils d’administration serveur à distance (les RSAT, disponibles ici : http://blogs.technet.com/windows7/archive/2009/08/13/remote-server-administration-tools-pour-windows-7-disponibles-en-version-rtm.aspx)
Mettre le paramètre à Activé
Une fois ce paramètre appliqué, l’utilisateur n’aura plus la possibilité de désactiver le filtre, l’option étant désormais grisée.
Le second objet de stratégie intéressant pour le Filtre SmartScreen, c’est « Interdire le contournement des avertissements du filtre SmartScreen ».
Ce paramètre permet d’afficher ou pas le lien permettant de continuer la navigation (non recommandée) sur un site catégorisé comme site d’hameçonnage ou vecteur de code malveillant.
Ce lien est le dernier visible dans la capture suivante (Ignorer et poursuivre sur ce site Web (non recommandé)) :
C’est dans :
Configuration ordinateur ou Configuration utilisateur
Stratégies
Modèle d’administration : définition de stratégie
Composants Windows
Internet Explorer
Et là on positionne la valeur à Activé
Le résultat sera le suivant une fois ce paramètre appliqué :
L’utilisateur ne peut plus aller sur un site considéré comme dangereux par le filtre SmartScreen.
Derniers éléments de paramétrage : il est possible de définir l’utilisation ou pas du filtre SmartScreen par zone dans Internet Explorer (Internet, Intranet, Sites de confiance…)
C’est dans :
Configuration ordinateur ou Configuration utilisateur
Stratégies
Modèle d’administration : définition de stratégie
Composants Windows
Internet Explorer
Panneau de configuration Internet
Onglet sécurité
Zone XYZ
Voilà, maintenant vous savez tout à propos de la configuration de SmartScreen pour IE 8.0 dans l’entreprise.
Tags: SmartScreen, GPO, Group+Policy, Stratégies+de+groupe