Entrées de Registre des zones de sécurité Internet Explorer pour les utilisateurs avancés

Important

L’application de bureau Internet Explorer 11 sera mise hors service et ne sera plus prise en charge le 15 juin 2022 (pour obtenir la liste des applications concernées, consultez la FAQ). Les mêmes applications et sites Internet Explorer 11 que vous utilisez aujourd’hui peuvent s’ouvrir dans Microsoft Edge en mode Internet Explorer. Apprenez-en davantage ici.

Cet article décrit comment et où les zones de sécurité Internet Explorer et les paramètres de confidentialité sont stockés et gérés dans le Registre. Vous pouvez utiliser la stratégie de groupe ou le Kit d’administration Microsoft Internet Explorer (IEAK) pour définir les zones de sécurité et les paramètres de confidentialité.

Version du produit d’origine :   Internet Explorer 9, Internet Explorer 10
Numéro de la ko d’origine :   182569

Paramètres de confidentialité

Internet Explorer 6 et les versions ultérieures ont ajouté un onglet Confidentialité pour donner aux utilisateurs davantage de contrôle sur les cookies. Cet onglet (sélectionnez Outils, puis Options Internet) offre une flexibilité pour bloquer ou autoriser les cookies, en fonction du site web d’où le cookie est issu ou du type de cookie. Les types de cookies incluent les cookies tiers, les cookies tiers et les cookies qui n’ont pas de politique de confidentialité compacte. Cet onglet inclut également des options permettant de contrôler les demandes de site web pour les données d’emplacement physique, la possibilité de bloquer les fenêtres pop-up et la possibilité d’exécuter des barres d’outils et des extensions lorsque la navigation InPrivate est activée.

Il existe différents niveaux de confidentialité sur la zone Internet et ils sont stockés dans le Registre au même emplacement que les zones de sécurité.

Vous pouvez également ajouter un site Web pour activer ou bloquer les cookies basés sur le site Web, quelle que soit la politique de confidentialité sur le site Web. Ces clés de Registre sont stockées dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Les domaines qui ont été ajoutés en tant que site géré sont répertoriés sous cette sous-clé. Ces domaines peuvent porter l’une des valeurs DWORD suivantes :

0x00000005 - Toujours bloquer
0x00000001 - Toujours autoriser

Paramètres de zone de sécurité

Pour chaque zone, les utilisateurs peuvent contrôler la façon dont Internet Explorer gère les éléments à risque plus élevé, tels que les contrôles ActiveX, les téléchargements et les scripts. Les paramètres des zones de sécurité Internet Explorer sont stockés sous les sous-clés de Registre suivantes :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Ces clés de Registre contiennent les clés suivantes :

  • TemplatePolicies
  • ZoneMap
  • Zones

Notes

Par défaut, les paramètres des zones de sécurité sont stockés dans la  HKEY_CURRENT_USER   sous-arbre du Registre. Étant donné que cette sous-arbre est chargée dynamiquement pour chaque utilisateur, les paramètres d’un utilisateur n’affectent pas les paramètres d’un autre utilisateur.

Si le paramètre Zones de sécurité : utiliser uniquement les paramètres de l’ordinateur dans la stratégie de groupe est activé, ou si la valeur DWORD est présente et a la valeur 1 dans la sous-clé de Registre    Security_HKLM_only   suivante, seuls les paramètres de l’ordinateur local sont utilisés et tous les utilisateurs ont les mêmes paramètres de sécurité :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Une fois Security_HKLM_only la stratégie activée, les valeurs HKLM seront utilisées par Internet Explorer. Toutefois, les valeurs HKCU resteront affichées **** dans les paramètres de zone sous l’onglet   Sécurité dans Internet Explorer. Dans Internet Explorer 7, l’onglet Sécurité de la boîte de dialogue Options **** Internet affiche le message suivant pour indiquer que les paramètres sont gérés par l’administrateur système    ****   :

Certains paramètres sont gérés par votre administrateur système   Si le paramètre Zones de sécurité : utiliser uniquement les paramètres de l’ordinateur n’est pas activé dans la stratégie de groupe, ou si la valeur DWORD n’existe pas ou est définie sur 0, les paramètres de l’ordinateur sont utilisés avec les  Security_HKLM_only   paramètres utilisateur. Toutefois, seuls les paramètres utilisateur apparaissent dans les options Internet. Par exemple, lorsque cette valeur DWORD n’existe pas ou est définie sur 0, les paramètres sont lus avec les  HKEY_LOCAL_MACHINE   paramètres, mais seuls les paramètres apparaissent dans les  HKEY_CURRENT_USER    HKEY_CURRENT_USERoptions Internet.

TemplatePolicies

La  TemplatePolicies   clé détermine les paramètres des niveaux de zone de sécurité par défaut. Ces niveaux sont Bas, Moyen Bas, Moyen et Élevé. Vous pouvez modifier les paramètres de niveau de sécurité par rapport aux paramètres par défaut. Toutefois, vous ne pouvez pas ajouter de niveaux de sécurité. Les clés contiennent des valeurs qui déterminent le paramètre de la zone de sécurité. Chaque clé contient une valeur de chaîne Description et une valeur de chaîne Nom complet qui déterminent le texte qui apparaît sous l’onglet Sécurité pour chaque niveau de sécurité.

ZoneMap

La ZoneMap clé contient les clés suivantes :

  • Domaines
  • EscDomains
  • ProtocolDefaults
  • Plages

La clé contient des domaines et des protocoles qui ont été ajoutés pour modifier leur comportement par rapport  Domains   au comportement par défaut. Lorsqu’un domaine est ajouté, une clé est ajoutée à la  Domains   clé. Les sous-domaines apparaissent en tant que clés sous le domaine où ils appartiennent. Chaque clé qui répertorie un domaine contient un DWORD avec un nom de valeur du protocole concerné. La valeur du DWORD est identique à la valeur numérique de la zone de sécurité où le domaine est ajouté.

La clé ressemble à la clé Domains, sauf que la clé s’applique aux protocoles affectés par la configuration de sécurité renforcée  EscDomains    EscDomains   d’Internet Explorer (IE ESC). IE ESC est introduit dans Microsoft Windows Server 2003 et s’applique uniquement aux systèmes d’exploitation serveur.

La clé spécifie la zone de sécurité par défaut utilisée pour un protocole  ProtocolDefaults   particulier (ftp, http, https). Pour modifier le paramètre par défaut, vous pouvez ajouter un protocole à une zone de sécurité en sélectionnant Ajouter des sites sous l’onglet Sécurité, ou vous pouvez ajouter une valeur DWORD sous la clé    ****   Domaines. Le nom de la valeur DWORD doit correspondre au nom du protocole et ne doit pas contenir de deux-points (:) ou barres obliques (/).

La  ProtocolDefaults   clé contient également des valeurs DWORD qui spécifient les zones de sécurité par défaut dans laquelle un protocole est utilisé. Vous ne pouvez pas utiliser les contrôles de l’onglet Sécurité   pour modifier ces valeurs. Ce paramètre est utilisé lorsqu’un site Web particulier ne tombe pas dans une zone de sécurité.

La  Ranges   clé contient des plages d’adresses TCP/IP. Chaque plage TCP/IP que vous spécifiez apparaît dans une clé nommée arbitrairement. Cette clé contient une  :Range   valeur de chaîne qui contient la plage TCP/IP spécifiée. Pour chaque protocole, une valeur DWORD contenant la valeur numérique de la zone de sécurité pour la plage IP spécifiée est ajoutée.

Lorsque le Urlmon.dll utilise la fonction publique MapUrlToZone pour résoudre une URL particulière en zone de sécurité, il utilise l’une des méthodes suivantes :

  • Si l’URL contient un nom de domaine complet (FQDN), la clé Domains est traitée.

    Dans cette méthode, une correspondance de site exacte remplace une correspondance aléatoire.

  • Si l’URL contient une adresse IP, la  Ranges   clé est traitée. L’adresse IP de l’URL est comparée à la valeur contenue dans les clés nommées arbitrairement  :Range   sous la  Ranges   clé.

Notes

Étant donné que les clés nommées arbitrairement sont traitées dans l’ordre où elles ont été ajoutées au Registre, cette méthode peut trouver une correspondance aléatoire avant de trouver une correspondance. Si cette méthode trouve d’abord une correspondance aléatoire, l’URL peut être exécutée dans une zone de sécurité différente de la zone à laquelle elle est généralement affectée. Ce comportement est inhérent au produit.

Zones

La  Zones   clé contient des clés qui représentent chaque zone de sécurité définie pour l’ordinateur. Par défaut, les cinq zones suivantes sont définies (numéro zéro à quatre) :

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Notes

Par défaut, l’ordinateur Mon ordinateur n’apparaît pas dans la zone Zone sous l’onglet Sécurité, car il est verrouillé pour améliorer la sécurité.

Chacune de ces clés contient les valeurs DWORD suivantes qui représentent les paramètres correspondants sous l’onglet Sécurité personnalisé.

Notes

Sauf indication contraire, chaque valeur DWORD est égale à zéro, un ou trois. En règle générale, un paramètre de zéro définit une action spécifique comme autorisé, un paramètre d’un entraîne l’apparition d’une invite et un paramètre de trois interdit l’action spécifique.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Remarques sur 1200, 1A00, 1A10, 1E05, 1C00 et 2000

Les deux entrées de Registre suivantes affectent si vous pouvez exécuter ActiveX contrôles dans une zone particulière :

  • 1200 Cette entrée de Registre affecte si vous pouvez exécuter des ActiveX ou des plug-ins.
  • 2000 Cette entrée de Registre contrôle le comportement binaire et le comportement des scripts pour les ActiveX ou les plug-ins.

Remarques sur 1A02, 1A03, 1A05 et 1A06

Les quatre entrées de Registre suivantes ne prennent effet que si les clés suivantes sont présentes :

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Cookie de première partie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie tiers *

Entrées de Registre

  • 1A02 Autoriser les cookies persistants stockés sur votre ordinateur #
  • 1A03 Autoriser les cookies par session (non stockés) #
  • 1A05 Autoriser les cookies persistants tiers *
  • 1A06 Autoriser les cookies de session tiers *

Ces entrées de Registre se trouvent dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

Dans cette sous-clé de Registre, se trouve <ZoneNumber> une zone telle que 0 (zéro). 1200L’entrée de Registre et l’entrée de Registre contiennent chacune un paramètre 2000 nommé Administrateur approuvé. Lorsque ce paramètre est activé, la valeur de l’entrée de Registre particulière est définie sur 00010000. Lorsque le paramètre approuvé par l’administrateur est activé, Windows examine la sous-clé de Registre suivante pour rechercher une liste de contrôles approuvés :

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Le paramètre d’logon (1A00) peut avoir l’une des valeurs suivantes (hexadécimale) :

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Le Paramètres confidentialité (1A10) est utilisé par le curseur de l’onglet Confidentialité. Les valeurs DWORD sont les suivantes :

Bloquer tous les cookies : 00000003
Élevé : 00000001
Moyenne élevée : 00000001
Moyen : 00000001
Faible : 00000001
Accepter tous les cookies : 00000000

En fonction des paramètres du curseur, il modifie également les valeurs dans {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, ou les deux.

Le paramètre Java autorisations d’entreprise (1C00) a les cinq valeurs possibles suivantes (binaires) :

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Si Custom est sélectionné, il utilise {7839DA25-F5FE-11D0-883B-0080C726DCBB} (situé dans le même emplacement de Registre) pour stocker les informations personnalisées dans un fichier binaire.

Chaque zone de sécurité contient la valeur de chaîne Description et la valeur de chaîne Nom complet. Le texte de ces valeurs apparaît sous l’onglet Sécurité lorsque vous sélectionnez une zone dans la zone Zone. Il existe également une valeur de chaîne Icon qui définit l’icône qui apparaît pour chaque zone. À l’exception de la zone Ordinateur Mon ordinateur, chaque zone contient une  CurrentLevel valeur , et une valeur  MinLevelRecommendedLevel   DWORD. La valeur définit le paramètre le plus bas qui peut être utilisé avant de recevoir un message d’avertissement, est le paramètre actuel de la zone et est le niveau recommandé pour  MinLevel    CurrentLevel    RecommendedLevel   la zone.

Quelles sont  Minlevel les valeurs  RecommendedLevel pour et  CurrentLevel   signifient les suivantes :

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

La valeur DWORD détermine la capacité de l’utilisateur à modifier les propriétés de  Flags   la zone de sécurité. Pour déterminer la  Flags   valeur, ajoutez ensemble les numéros des paramètres appropriés. Les  Flags   valeurs suivantes sont disponibles (décimales) :

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Si vous ajoutez des paramètres à la fois aux sous-arbre E et aux sous-arbre,  HKEY_LOCAL_MACHINHKEY_CURRENT_USER   les paramètres s’ajoutent. Si vous ajoutez des sites Web aux deux sous-arbre, seuls ces sites Web sont  HKEY_CURRENT_USER   visibles. Les sites Web de la  HKEY_LOCAL_MACHINE   sous-arbre sont toujours appliqués en fonction de leurs paramètres. Toutefois, ils ne sont pas disponibles et vous ne pouvez pas les modifier. Cette situation peut prêter à confusion, car un site Web peut être répertorié dans une seule zone de sécurité pour chaque protocole.

Références

Pour plus d’informations sur les modifications apportées aux fonctionnalités dans Microsoft Windows XP Service Pack 2 (SP2), visitez le site Web Microsoft suivant :

Partie 5 : sécurité de navigation améliorée

Pour plus d’informations sur les zones de sécurité d’URL, visitez le site Web Microsoft suivant :

À propos des zones de sécurité d’URL

Pour plus d’informations sur la modification des paramètres de sécurité Internet Explorer, visitez le site Web Microsoft suivant :

Modifier les paramètres de sécurité et de confidentialité pour Internet Explorer 11

Pour plus d’informations sur le verrouillage de la zone ordinateur local d’Internet Explorer, visitez le site Web Microsoft suivant :

Verrouillage de la zone ordinateur local d’Internet Explorer

Pour plus d’informations sur les valeurs associées aux actions qui peuvent être prises dans une zone de sécurité d’URL, voir Indicateurs d’action d’URL.