Choisir un outil de déploiement pour les paramètres de sécurité et les options de confidentialité dans Office System 2007
Mis à jour: février 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2015-03-09
Pour créer un plan de sécurité efficace pour Microsoft Office System 2007, vous devez d'abord identifier les outils que vous allez utiliser pour configurer, déployer et gérer les paramètres de sécurité au sein de votre organisation. Dans certains cas, un outil unique est approprié pour la configuration, le déploiement et la gestion des paramètres. Dans d'autres cas, il se peut que vous deviez utiliser une combinaison d'outils : un outil pour la configuration et le déploiement d'une configuration initiale et un outil de gestion des paramètres de façon régulière. Le choix de l'outil approprié est une étape critique lors du processus de planification de la sécurité, car il permet de s'assurer que les paramètres de sécurité que vous avez planifiés sont réellement déployés et appliqués au sein de votre organisation. Il permet également de garantir que vous pouvez modifier les paramètres de sécurité après le déploiement initial, ce qui vous permet de répondre aux menaces soudaines sur la sécurité.
Bien que vous puissiez utiliser une large gamme d'outils et techniques pour déployer et gérer des applications bureautiques dans les environnements d'entreprise, nous vous recommandons d'utiliser uniquement l'outil de personnalisation Office (OPO) et les modèles d'administration de stratégie de groupe (fichiers .adm) d'Office System 2007 pour configurer, déployer et gérer les paramètres de sécurité dans Office System 2007. Chaque outil a différentes exigences et limitations et offre des options et des fonctionnalités différentes. Le choix de l'outil approprié requiert une évaluation prudente du déploiement existant de votre organisation ainsi que de l'infrastructure de gestion, de l'architecture de sécurité de votre organisation et des besoins de sécurité de votre organisation. Pour déterminer quel outil convient à votre organisation, utilisez les meilleures pratiques et recommandations qui sont fournies dans les sections suivantes pour évaluer chaque outil.
Outil de personnalisation Office
L'outil de personnalisation Office (OPO) est un nouvel outil d'interface utilisateur graphique qui vous aide à créer un fichier de configuration (.msp). Un fichier de configuration peut contenir une grande variété d'informations, notamment des instructions d'installation, des informations de gestion de licences ainsi que des paramètres de sécurité et des options de confidentialité. Vous pouvez utiliser un fichier de configuration des deux manières suivantes :
En association avec le programme d'installation pour personnaliser le processus d'installation pendant un déploiement à grande échelle.
Conjointement avec Windows Installer 3.1 pour mettre à jour ou gérer les paramètres de configuration au cours de la phase d'opérations du cycle de vie de logiciels.
Pour utiliser un fichier de configuration pour personnaliser le processus d'installation, vous devez effectuer les tâches suivantes :
Utilisez l'interface utilisateur graphique OPO pour configurer les options d'installation et de configuration et les paramètres d'application.
Enregistrez les paramètres et options dans un fichier .msp.
Exécutez le programme d'installation sur les ordinateurs de votre client, à l'aide des paramètres de ligne de commande pour spécifier le fichier .msp que le programme d'installation doit utiliser.
Pour utiliser un fichier de configuration en vue de mettre à jour ou maintenir les installations existantes, vous devez effectuer les tâches suivantes :
Utilisez l'interface utilisateur graphique OPO pour configurer les paramètres d'application dans un fichier .msp existant ou nouveau.
Enregistrez les nouveaux paramètres d'application dans le fichier .msp.
Exécutez Windows Installer sur votre ordinateur client, à l'aide des paramètres de ligne de commande pour spécifier le fichier .msp que Windows Installer doit utiliser.
Pour plus d'informations sur l'utilisation de l'outil OPO, voir Outil de personnalisation Office dans Office System 2007 et Personnalisation de Microsoft Office System 2007.
Configuration requise et limitations
Bien que l'outil OPO soit nouveau, il ne requiert pas d'améliorations d'infrastructure spéciales. Par exemple, vous n'avez pas besoin de modifier des éléments existants tels que le matériel, le logiciel, la topologie du réseau ou l'architecture de sécurité pour utiliser l'outil OPO. Néanmoins, l'outil OPO a les exigences suivantes :
Vous devez utiliser l'outil OPO en association avec le programme d'installation de Microsoft Office. L'outil OPO génère uniquement des fichiers .msp. Il n'applique pas les paramètres de sécurité aux ordinateurs. Vous devez utiliser le programme d'installation pour installer Office System 2007 et appliquer les paramètres de sécurité qui sont enregistrés dans les fichiers .msp.
Vous devez utiliser le programme d'installation qui est inclus dans Office System 2007, car il s'agit du seul programme d'installation pris en charge qui peut lire les données dans des fichiers .msp générés par l'outil OPO et ajouter les paramètres de sécurité (et d'autres paramètres) dans le Registre.
Les ordinateurs sur lesquels vous exécutez le programme d'installation et l'outil OPO doivent avoir Windows Installer 3.1 installé.
Vous devez être un membre du groupe Administrateurs sur l'ordinateur local pour exécuter l'outil OPO et le programme d'installation de Microsoft Office.
Avant de décider d'utiliser l'outil OPO pour configurer et gérer les paramètres de sécurité, vous devez savoir que l'outil OPO présente les deux limitations suivantes :
Vous ne pouvez pas verrouiller ou appliquer des paramètres de sécurité avec l'outil OPO. L'outil OPO configure les paramètres d'application dans des zones accessibles publiquement du Registre, telles que HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Si vous utilisez l'outil OPO pour configurer ou gérer les paramètres de sécurité pour Office System 2007, les utilisateurs peuvent modifier les paramètres de sécurité que vous déployez. Ces paramètres sont considérés comme étant des préférences de l'utilisateur plutôt que des paramètres gérés, étant donné que les utilisateurs peuvent les modifier. Si vous souhaitez appliquer les paramètres de sécurité, utilisez la stratégie de groupe.
Vous ne pouvez configurer qu'un seul paramètre de blocage de formats de fichiers avec l'outil OPO. Les paramètres de blocage de formats de fichiers permettent d'empêcher les utilisateurs d'ouvrir ou d'enregistrer certains types ou formats de fichiers. Ces paramètres sont utiles si vous souhaitez empêcher les utilisateurs d'utiliser des formats de fichiers plus anciens ou si vous souhaitez atténuer les attaques zéro jour.
Scénarios courants
Vous pouvez utiliser l'outil OPO et le programme d'installation pour configurer, déployer et gérer les paramètres de sécurité dans de nombreux environnements informatiques. Les sections suivantes décrivent les scénarios dans lesquels l'outil OPO et le programme d'installation sont particulièrement utiles.
Environnements non managés
L'outil OPO est couramment utilisé par les entreprises qui ne gèrent pas de manière centralisée leurs applications bureautiques ou qui ne gèrent pas à distance leurs environnements bureautiques. Dans ces cas, vous pouvez utiliser l'outil OPO et le programme d'installation pour configurer, déployer et gérer les paramètres de sécurité sans utiliser un outil d'administration à distance, tel que Microsoft Systems Management Server 2003, ou un outil basé sur la stratégie, tel que la stratégie de groupe.
Configurations de sécurité initiale
L'outil OPO est couramment utilisé pour établir des configurations de sécurité initiale même si la stratégie de groupe sert à verrouiller ou appliquer des paramètres de sécurité. Cela permet de garantir que les paramètres de sécurité sont configurés au cours du déploiement initial et avant la première mise à jour de la stratégie. Le fait d'utiliser l'outil OPO pour créer une configuration de sécurité initiale vous permet également de réinitialiser les paramètres de sécurité sur un ordinateur en réappliquant le fichier de configuration initiale.
Environnements partiellement verrouillés
L'outil OPO est utile dans les environnements partiellement verrouillés dans lesquels un sous-ensemble critique de paramètres de sécurité est verrouillé par le biais de la stratégie de groupe, alors que d'autres paramètres de sécurité ne sont pas verrouillés et peuvent être configurés par les utilisateurs. Dans ce scénario, la plupart des paramètres de sécurité sont configurés au cours de l'installation initiale à l'aide d'un fichier de configuration généré par l'outil OPO (fichier .msp), et des paramètres de sécurité critiques sont déployés et gérés par le biais de la stratégie de groupe une fois l'installation initiale terminée.
Modèles d'administration de la stratégie de groupe
Office System 2007 contient 15 modèles d'administration, qui permettent de gérer les paramètres de sécurité à l'aide de la stratégie de groupe locale ou basée sur le domaine. Les modèles d'administration sont des fichiers texte Unicode que la stratégie de groupe utilise pour décrire l'endroit où les paramètres de stratégie basés sur le Registre sont stockés dans le Registre. Tous les paramètres de stratégie basés sur le Registre apparaissent et sont configurés dans l'Éditeur d'objets de stratégie de groupe sous le nœud Modèles d'administration. Les modèles d'administration ne s'appliquent pas aux paramètres de stratégie ; ils permettent d'afficher les paramètres de stratégie dans l'Éditeur d'objets de stratégie de groupe. Les administrateurs peuvent créer des objets de stratégie de groupe (GPO, Group Policy Object) contenant les paramètres de stratégie qu'ils souhaitent utiliser. Par exemple, vous pouvez avoir un seul objet de stratégie de groupe contenant différents paramètres de stratégie pour gérer des contrôles ActiveX, des compléments et des macros.
Les valeurs de Registre utilisées pour les paramètres de stratégie de groupe sont stockées sous les clés de Registre approuvées pour la stratégie de groupe. Les utilisateurs ne peuvent pas modifier ou désactiver ces paramètres. Les paramètres de stratégie de groupe que les administrateurs peuvent gérer intégralement sont appelés « Stratégies véritables ». Les paramètres de stratégie de groupe véritables ont des restrictions en termes de liste de contrôle d'accès pour empêcher les utilisateurs de modifier les paramètres. Les clés de Registre de la stratégie de groupe approuvées sont les suivantes :
Pour les paramètres de stratégie ordinateur :
HKEY_LOCAL_MACHINE\Software\Policies (emplacement par défaut)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Pour les paramètres de stratégie utilisateur :
HKEY_CURRENT_USER\Software\Policies (emplacement par défaut)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Pour plus d'informations à propos des modèles d'administration, de la stratégie de groupe et de l'outil OPO, voir Extension des Modèles d'administration et Outil de personnalisation Office et stratégie de groupe dans Vue d’ensemble de la stratégie de groupe (Office System 2007). Pour plus d'informations à propos de l'utilisation des modèles d'administration pour configurer, déployer et gérer les paramètres de sécurité, voir Appliquer des paramètres à l’aide de la stratégie de groupe dans Office System 2007.
Configuration requise et limitations
Si vous installez Office System 2007 sur des ordinateurs qui exécutent les systèmes d'exploitation Microsoft Windows XP, Microsoft Windows Server 2003 ou Windows Vista, vous devez respecter les conditions suivantes pour utiliser les modèles d'administration.
Vous devez disposer du service d'annuaire Active Directory déployé dans votre organisation pour configurer, déployer et gérer les paramètres de sécurité par le biais des paramètres de stratégie de groupe basés sur le domaine.
Vous devez être un membre du groupe Administrateurs sur l'ordinateur local pour configurer, déployer et gérer les paramètres de sécurité par le biais des paramètres de stratégie de groupe locale.
Lorsque vous décidez d'utiliser les modèles d'administration pour configurer et gérer les paramètres de sécurité, vous devez savoir que les modèles d'administration présentent les limitations suivantes :
La stratégie de groupe ne fournit pas de mécanisme de restauration des paramètres à une configuration initiale. Si vous déployez vos paramètres de configuration initiale avec la stratégie de groupe et que vous apportez des modifications ultérieures aux paramètres de stratégie de groupe, vous devez reconfigurer chacune de vos modifications suivantes afin de rétablir votre configuration initiale. La désactivation ou la suppression de l'objet de stratégie de groupe qui contient vos paramètres modifiera tous les paramètres en leur attribuant la valeur Non configuré.
Vous ne pouvez pas configurer les paramètres des éditeurs approuvés avec la stratégie de groupe. Vous pouvez ajouter des certificats numériques à la liste des éditeurs approuvés uniquement avec l'outil OPO.
Si votre organisation est de petite taille et que vous n'utilisez pas déjà Active Directory, la charge mémoire d'administration nécessaire pour comprendre et implémenter la stratégie de groupe dans un environnement Active Directory peut rendre prohibitive l'implémentation de la stratégie de groupe basée sur le domaine.
Scénarios courants
La stratégie de groupe peut servir à configurer, déployer et gérer les paramètres de sécurité dans de nombreux environnements informatiques. Les sections suivantes décrivent les scénarios dans lesquels les modèles d'administration sont particulièrement utiles.
Environnements managés
Les modèles d'administration sont utiles dans les organisations qui utilisent la stratégie de groupe pour gérer leurs environnements bureautiques. Cela est vrai que vous ayez déployé Active Directory et que vous gériez votre environnement bureautique avec la stratégie de groupe basée sur le domaine, ou que vous n'ayez pas Active Directory installé, mais que vous gériez votre environnement bureautique avec la stratégie de groupe locale.
Environnements verrouillés
Les modèles d'administration sont utiles dans les environnements verrouillés dans lesquels les utilisateurs ont peu de contrôle sur leur configuration bureautique. Dans ce scénario, tous les paramètres de sécurité sont déployés et gérés par le biais de la stratégie de groupe. Les paramètres de sécurité qui sont configurés au cours de l'installation initiale sont remplacés par les paramètres de stratégie de groupe.
Implémentation des paramètres de format de fichiers de blocs
Les modèles d'administration sont le seul moyen d'implémenter efficacement les paramètres de blocage de formats de fichiers, qui vous permettent d'empêcher les utilisateurs d'ouvrir certains formats ou types de fichiers. Ces paramètres sont utiles pour atténuer les attaques zéro jour lorsque vous connaissez le type ou le format de fichier spécifique qui représente un risque pour votre organisation. Ces paramètres sont également utiles pour empêcher les utilisateurs d'utiliser d'anciens formats de fichiers ou forcer les utilisateurs à utiliser les mêmes formats de fichiers.
Choix d'un outil
Le tableau suivant compare les fonctionnalités et les possibilités des deux outils recommandés que vous pouvez utiliser pour configurer les paramètres de sécurité dans Office System 2007. Utilisez les informations du tableau pour évaluer chaque outil et déterminer lequel est le plus approprié pour votre organisation.
Fonctionnalités et fonctions | Modèles d'administration | Outil OPO + programme d'installation |
---|---|---|
Requiert Active Directory. |
Oui (stratégie de groupe basée sur le domaine) Non (Stratégie de groupe local) |
Non |
Requiert Windows Installer 3.1. |
Non |
Oui |
Requièrent des informations d'identification d'administration sur l'ordinateur client. |
Oui (stratégie de groupe local) Non (stratégie de groupe basée sur le domaine) |
Oui |
Peuvent être utilisées pour verrouiller les paramètres de sécurité. |
Oui |
Non |
Peuvent être utilisées pour gérer les paramètres de sécurité après l'installation initiale. |
Oui |
Oui |
Peuvent être utilisées pour établir des configurations de sécurité initiale. |
Oui (pas idéal) |
Oui |
Peuvent servir à configurer les paramètres de blocage de formats de fichiers . |
Oui (tous les paramètres) |
Oui (mais un seul paramètre) |
Peuvent être utilisées pour ajouter des éditeurs à la liste des éditeurs approuvés. |
Non |
Oui |
Télécharger ce livre
Cette rubrique est incluse dans les livres téléchargeables suivants pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Manuels téléchargeables pour le Kit de ressources Office 2007.