Planifier les paramètres pour les emplacements approuvés et les éditeurs approuvés dans Office System 2007
Mis à jour: décembre 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2015-03-09
Dans cet article :
Planifier des emplacements approuvés
Planifier des éditeurs approuvés
La fonctionnalité des emplacements approuvés de Microsoft Office System 2007 permet de désigner des dossiers sur les disques durs des ordinateurs des utilisateurs ou sur un partage réseau en tant que sources de fichiers approuvés. Lorsqu'un dossier est désigné comme source de fichiers approuvés, tout fichier enregistré dans le dossier est présumé être un fichier approuvé. Lorsqu'un fichier approuvé est ouvert, tout le contenu du fichier est activé et actif, et les utilisateurs ne sont pas avertis des risques potentiels du fichier, tels que les macros non signées, les contrôles ActiveX ou des liens vers du contenu sur Internet.
En plus des emplacements approuvés, vous pouvez utiliser la liste Éditeurs approuvés pour désigner les éditeurs de contenu que vous approuvez. Un éditeur est un développeur, un éditeur de logiciel ou une organisation qui a créé et distribué un contrôle ActiveX, un complément ou une macro. Un éditeur approuvé est un éditeur qui a été ajouté à la liste Éditeurs approuvés. Lorsqu'un fichier est ouvert et qu'il contient du contenu créé par un éditeur approuvé, tout son contenu est activé et actif, et les utilisateurs ne sont pas avertis des risques potentiels du fichier.
Pour planifier des emplacements approuvés et des éditeurs approuvés, utilisez les méthodes conseillées et les instructions recommandées figurant dans les sections suivantes.
Planifier des emplacements approuvés
Office System 2007 fournit plusieurs paramètres qui vous permettent de contrôler le comportement des emplacements approuvés. En configurant ces paramètres, vous pouvez :
désactiver tous les sites approuvés ;
spécifier des emplacements approuvés globalement ou par application ;
autoriser l'existence d'emplacements approuvés sur des partages distants ;
empêcher les utilisateurs de créer des emplacements approuvés.
Pour plus d'informations sur chaque paramètre d'emplacement approuvé, voir Stratégies et paramètres de sécurité dans Office System 2007.
Bien que vous puissiez configurer des emplacements approuvés pour un large éventail de scénarios, les scénarios les plus courants pour les emplacements approuvés sont les suivants :
la désactivation de la fonctionnalité des emplacements approuvés pour empêcher les utilisateurs de créer des emplacements approuvés et empêcher des applications de reconnaître des emplacements approuvés ;
l'implémentation de la fonctionnalité des emplacements approuvés avec des emplacements approuvés personnalisés.
Désactivation d'emplacements approuvés
Pour désactiver des emplacements approuvés, configurez les paramètres des emplacements approuvés selon les recommandations figurant dans le tableau suivant.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Désactiver tous les emplacements approuvés |
Sélectionnez cette option : Désactivé |
Par défaut, les emplacements approuvés sont activés. La sélection de cette option active tous les emplacements approuvés, y compris les emplacements approuvés qui étaient :
L'activation de cette option empêche les utilisateurs de configurer des paramètres pour les emplacements approuvés dans le Centre de gestion de la confidentialité. Il ne s'agit pas d'un paramètre global ; vous devez sélectionner cette option par application, pour Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007. et Microsoft Office Word 2007. |
Si vous désactivez des emplacements approuvés, n'oubliez pas :
d'avertir les utilisateurs qu'ils ne peuvent pas utiliser la fonctionnalité des emplacements approuvés. Si les utilisateurs ont ouvert des fichiers à partir d'emplacements approuvés et que vous désactivez ces emplacements, les utilisateurs voient des avertissements dans la barre des messages et peuvent devoir y répondre pour activer le contenu, tel que des contrôles ActiveX et des macros Visual Basic for Applications (VBA).
de consigner les paramètres dans vos documents de planification de la sécurité et dans ceux des opérations de sécurité.
Implémentation des emplacements approuvés
Pour implémenter des emplacements approuvés, vous devez déterminer :
les applications pour lesquelles vous voulez configurer des emplacements approuvés ;
les dossiers que vous voulez utiliser pour les emplacements approuvés ;
le partage de dossiers et les paramètres de sécurité des dossiers que vous voulez appliquer à vos emplacements approuvés ;
les restrictions que vous voulez appliquer aux emplacements approuvés.
Déterminer les applications pour lesquelles vous voulez configurer des emplacements approuvés
Vous pouvez configurer des emplacements approuvés pour Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 et Office Word 2007. Quand vous déterminez les applications pour lesquelles vous voulez configurer des emplacements approuvés, rappelez-vous que :
les emplacements approuvés affectent tout le contenu actif d'un fichier, y compris les contrôles ActiveX, les liens hypertexte, les liens vers des sources de données et des supports multimédias, et les macros VBA ;
chaque application fournit les mêmes paramètres de configuration des emplacements approuvés. Cela signifie que vous pouvez personnaliser les emplacements approuvés indépendamment pour chaque application.
vous pouvez désactiver les emplacements approuvés pour une ou plusieurs applications, et implémenter des emplacements approuvés pour d'autres applications.
Déterminer les dossiers que vous voulez utiliser pour les emplacements approuvés
Si les dossiers des emplacements approuvés par défaut ne sont pas adaptés à votre organisation, vous pouvez créer vos propres dossiers et les spécifier en tant qu'emplacements approuvés. Pour plus d'informations sur les emplacements approuvés par défaut, voir Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007.
Quand vous déterminez les dossiers que vous voulez spécifier en tant qu'emplacements approuvés, rappelez-vous que :
vous pouvez spécifier des emplacements approuvés globalement ou par application ;
une ou plusieurs applications peuvent partager un emplacement approuvé ;
pour empêcher les utilisateurs malveillants d'ajouter des fichiers à l'emplacement approuvé ou de modifier des fichiers enregistrés dans l'emplacement approuvé, vous devez sécuriser les dossiers que vous désignez en tant qu'emplacement approuvé.
il n'est pas recommandé de spécifier des partages réseau en tant qu'emplacements approuvés. Par défaut, seuls les emplacements approuvés qui se trouvent sur les disques durs des utilisateurs sont autorisés. Pour permettre des emplacements approuvés sur des partages réseau, vous devez activer le paramètre Autoriser les emplacements approuvés ne se trouvant pas sur l'ordinateur.
il n'est pas recommandé de spécifier la totalité du dossier Documents ou Mes documents en tant qu'emplacement approuvé. Au lieu de cela, créez un sous-dossier dans ces dossiers et spécifiez seulement ce dossier en tant qu'emplacement approuvé.
En outre, vous devez suivre les instructions des sections suivantes si vous voulez :
utiliser des variables d'environnement pour spécifier des emplacements approuvés ;
spécifier des dossiers Web (des chemins d'accès http://) en tant qu'emplacements approuvés.
Utilisation de variables d'environnement pour spécifier des emplacements approuvés
Vous pouvez utiliser des variables d'environnement pour spécifier des emplacements approuvés, mais vous devez modifier le type de valeur utilisé pour stocker des emplacements approuvés dans le Registre pour que les variables d'environnement fonctionnent correctement. Si vous utilisez une variable d'environnement pour spécifier un emplacement approuvé et que vous n'effectuez pas la modification nécessaire dans le Registre, l'emplacement approuvé apparaît dans le Centre de gestion de la confidentialité, mais il n'est pas disponible et figure sous la forme d'un chemin d'accès relatif contenant les variables d'environnement. Après la modification du type de valeur dans le Registre, l'emplacement de confiance apparaîtra dans le Centre de gestion de la confidentialité sous la forme d'un chemin absolu et sera dès lors disponible.
.gif "Important") Important : |
|---|
| Vous ne pouvez pas utiliser des variables d'environnement lorsque vous spécifiez des emplacements approuvés à l'aide de la stratégie de groupe. Vous pouvez utiliser des variables d'environnement pour spécifier des emplacements approuvés seulement à l'aide de l'outil de personnalisation Office (OPO). |
Pour utiliser des variables d'environnement afin de spécifier des emplacements approuvés, procédez comme suit :
Utilisez l'Éditeur du Registre pour rechercher l'emplacement approuvé qui est représenté par une variable d'environnement.
Les emplacements approuvés configurés à l'aide de l'OPO sont stockés à l'emplacement suivant :
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/nom_application/Security/Trusted Locations
où nom_application peut être Access, Excel, PowerPoint, Visio ou Word.
Les emplacements approuvés sont stockés dans des entrées de Registre appelées Path, et ils sont stockés avec un type de valeur chaîne (REG_SZ). N'oubliez pas de rechercher chaque entrée Path utilisant des variables d'environnement pour spécifier un emplacement approuvé.
Modifiez le type de valeur de Path.
Les applications d'Office System 2007 ne peuvent pas reconnaître des variables d'environnement qui sont stockées avec un type de valeur chaîne (REG_SZ). Pour que les applications reconnaissent les variables d'environnement, vous devez modifier le type de valeur de l'entrée Path en valeur de chaîne extensible (REG_EXPAND_SZ). Pour cela, procédez comme suit :
.gif "Note")
Remarque :Une modification incorrecte du Registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l’ordinateur. Notez ou copiez la valeur de l'entrée Path. Il doit s'agir d'un chemin d'accès relatif contenant une ou plusieurs variables d'environnement.
Supprimez l'entrée Path.
Créez une nouvelle entréePathde type valeur de chaîne extensible (REG_EXPAND_SZ).
Modifiez la nouvelle entrée Path en lui donnant la valeur que vous avez notée ou copiée lors de la première étape.
N'oubliez pas d'effectuer cette modification pour chaque entrée Path utilisant des variables d'environnement pour spécifier un emplacement approuvé.
Spécification de dossiers Web en tant qu'emplacements approuvés
Vous pouvez spécifier des dossiers Web (des chemins d'accès http://) en tant qu'emplacements approuvés ; cependant, seuls les dossiers Web prenant en charge les protocoles WebDAV (Web Distributed Authoring and Versioning) ou FPRPC (FrontPage Server Extensions Remote Procedure Call) seront reconnus en tant qu'emplacements approuvés. Utilisez les instructions suivantes si vous ne savez pas si un dossier Web prend en charge les protocoles WebDAV ou FPRPC :
Si une application est ouverte par Internet Explorer, vérifiez la liste des fichiers les plus récemment utilisés. Si cette liste indique que le fichier se trouve sur un serveur distant et non pas dans le dossier Fichiers Internet temporaires, il est probable que le dossier Web prend en charge WebDAV d'une façon ou d'une autre. Par exemple, si vous cliquez sur un document lors de la navigation dans Internet Explorer et que le document s'ouvre dans Office Word 2007, la liste des derniers fichiers utilisés doit indiquer que le document se trouve sur le serveur distant et non pas dans le dossier Fichiers Internet temporaires local.
Essayez d'utiliser la boîte de dialogue Ouvrir pour accéder au dossier Web. Si le chemin d'accès prend en charge WebDAV, vous devez être en mesure d'accéder au dossier Web ou être invité à spécifier des informations d'identification. Si le dossier Web ne prend pas en charge WebDAV, la navigation échoue et la boîte de dialogue se ferme.
| Remarque : |
|---|
| Les sites créés avec Windows SharePoint Services 3,0 et Microsoft Office SharePoint Server 2007 peuvent être désignés en tant qu'emplacements approuvés. |
Déterminer les paramètres des partages de dossiers et de la sécurité des dossiers
Tous les dossiers que vous spécifiez en tant qu'emplacements approuvés doivent être partagés et doivent être sécurisés. Utilisez les instructions suivantes pour déterminer les paramètres de partage et les paramètres de sécurité que vous devez appliquer à chaque emplacement approuvé :
Partagez chaque dossier que vous désignez en tant qu'emplacement approuvé, afin que les utilisateurs puissent accéder aux fichiers enregistrés à l'emplacement approuvé.
Configurez les autorisations de partage afin que seuls les utilisateurs autorisés aient accès au dossier partagé. Veillez à utiliser le principe du moindre privilège et à accorder les autorisations appropriées à un utilisateur. En l'occurrence, accordez des autorisations de lecture aux utilisateurs qui n'ont pas besoin de modifier les fichiers approuvés et accordez des autorisations de contrôle total aux utilisateurs qui doivent les modifier.
Appliquez des autorisations de sécurité des dossiers afin que seuls les utilisateurs autorisés puissent lire ou modifier les fichiers des emplacements approuvés. Veillez à utiliser le principe du moindre privilège et à accorder les autorisations appropriées à un utilisateur. En l'occurrence, accordez des autorisations de contrôle total aux seuls utilisateurs qui doivent modifier les fichiers et des autorisations plus restrictives à ceux qui doivent seulement lire les fichiers.
Déterminer les restrictions pour les emplacements approuvés
Il existe plusieurs paramètres utilisables pour limiter ou contrôler le comportement des emplacements approuvés. Utilisez les recommandations figurant dans le tableau suivant pour déterminer comment configurer ces paramètres.
| Nom du paramètre | Configuration recommandée | Description |
|---|---|---|
Autoriser la combinaison d'emplacements de stratégie et d'utilisateur |
Sélectionnez cette option : Désactivé |
Par défaut, un ordinateur peut avoir une combinaison d'emplacements approuvés créés par l'utilisateur, via l'OPO et via la stratégie de groupe. La sélection de cette option désactive tous les emplacements approuvés qui ne sont pas créés par la stratégie de groupe et empêche les utilisateurs de créer de nouveaux emplacements approuvés par le biais de l'interface graphique utilisateur dans le Centre de gestion de la confidentialité. Il s'agit d'un paramètre global qui s'applique à toutes les applications pour lesquelles vous configurez des emplacements approuvés. |
Autoriser les emplacements approuvés ne se trouvant pas sur l'ordinateur |
Sélectionnez cette option : Désactivé |
Par défaut, les emplacements approuvés qui sont des partages réseau sont désactivés, mais les utilisateurs peuvent néanmoins toujours activer la case à cocher Autoriser les emplacements approuvés sur mon réseau dans l'interface utilisateur graphique du Centre de gestion de la confidentialité. La sélection de cette option désactive les emplacements approuvés qui sont des partages réseau et empêche les utilisateurs d'activer la case à cocher Autoriser les emplacements approuvés sur mon réseau dans l'interface utilisateur graphique du Centre de gestion de la confidentialité. Si vous spécifiez Désactivé et qu'un utilisateur tente de désigner un partage réseau en tant qu'emplacement approuvé, un avertissement informe l'utilisateur que les paramètres de sécurité actuels ne permettent pas la création d'emplacements approuvés avec des chemins d'accès distants ou réseau. Si un administrateur désigne un partage réseau en tant qu'emplacement approuvé via la stratégie de groupe ou à l'aide de l'OPO et que ce paramètre est Désactivé, l'emplacement approuvé est désactivé et ne sera pas reconnu par une application. Il ne s'agit pas d'un paramètre global ; vous devez configurer ce paramètre par application pour Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 et Office Word 2007. |
| Remarque : |
|---|
| Vous pouvez également utiliser le paramètre Supprimer tous les emplacements approuvés écrits par l'outil de personnalisation Office lors de l'installation pour supprimer tous les emplacements approuvés qui ont été créés en configurant l'OPO. Pour plus d'informations sur ce paramètre, voir Stratégies et paramètres de sécurité dans Office System 2007. |
Planifier des éditeurs approuvés
Office System 2007 stocke des certificats pour les éditeurs approuvés dans le magasin d'éditeurs approuvés d'Internet Explorer. Les versions antérieures d'Office stockaient les informations des certificats des éditeurs approuvés (plus spécifiquement l'empreinte des certificats) dans un magasin spécial des éditeurs approuvés d'Office. Office System 2007 lit néanmoins toujours les informations des certificats des éditeurs approuvés dans le magasin des éditeurs approuvés d'Office, mais elle n'y écrit pas les informations. Par conséquent, si vous avez créé une liste des éditeurs approuvés dans une version antérieure de Microsoft Office et que vous effectuez une mise à niveau vers Office System 2007, votre liste des éditeurs approuvés est encore reconnue. Toutefois, les certificats des éditeurs approuvés que vous ajoutez à la liste seront stockés dans le magasin des éditeurs approuvés d'Internet Explorer. Ce comportement est identique pour toutes les applications qui utilisent la liste des éditeurs approuvés :
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2003
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007 ;
Office Visio 2007
Office Word 2007
Vous ne pouvez pas utiliser les modèles d'administration d'Office 2007 pour ajouter des certificats à la liste des éditeurs approuvés ; vous pouvez cependant utiliser l'OPO. Pour ce faire, vous devez disposer du certificat numérique (fichier .cer) de l'éditeur de confiance. Si vous ne pouvez pas obtenir un certificat directement auprès de l'éditeur, vous pouvez exporter un certificat à partir d'un fichier que l'éditeur a signé, tel qu'un fichier de bibliothèque de liens dynamiques (.dll) ou un fichier exécutable (.exe). La procédure suivante vous montre comment procéder.
Exporter un certificat à partir d'un fichier .dll
Cliquez avec le bouton droit sur le fichier .dll que l'éditeur a signé, puis cliquez sur Propriétés.
Cliquez sur l'onglet Signatures numériques.
Dans Liste des signatures, cliquez sur le certificat et puis cliquez sur Détails.
Dans la boîte de dialogue Détails de la signature numérique, cliquez sur Afficher le certificat.
Cliquez sur l'onglet Détails, puis cliquez sur Copier dans un fichier.
Dans la page d'accueil de l'Assistant Exploration de certificat, cliquez sur Suivant.
Dans la page Format de fichier d'exportation, cliquez sur Binaire codé DER X.509 (.cer), puis cliquez sur Suivant.
Dans la page Fichier à exporter, tapez un chemin d'accès et un nom pour le fichier .cer, cliquez sur Suivant, puis cliquez sur Terminer.
Vous pouvez également suivre la procédure ci-après pour déterminer de quels certificats vous avez besoin, puis les créer dans Microsoft Office Word 2007.
Déterminer les certificats requis
Sur un ordinateur de test ou un ordinateur client dont la configuration correspond à celle standard pour votre organisation (avec notamment les compléments dont les utilisateurs ont besoin), activez l'option Exiger la signature des compléments d'applications par un éditeur approuvé :
- Cliquez sur le bouton Microsoft Office, sur Options Word, sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité. Cliquez ensuite sur Compléments, sur Exiger la signature des compléments d'applications par un éditeur approuvé, puis sur OK.
Quittez Word, puis redémarrez le programme. Si des compléments ont été installés, la barre Avertissement de sécurité affiche le message suivant : Les compléments d'application ont été désactivés.
Désactivez de façon temporaire les balises actives :
Cliquez sur le bouton Microsoft Office, sur Options Word, puis sur OK. La barre Avertissement de sécurité affiche alors le message suivant : Du contenu actif a été désactivé.
Remarque :Les balises actives seront réactivées après la fermeture de Word et son redémarrage. Dans la barre Avertissement de sécurité, cliquez sur Options.
Dans la fenêtre Alertes de sécurité – Problèmes divers, installez chaque certificat dans la liste Éditeurs approuvés en effectuant la procédure suivante pour chaque complément qui comporte une signature numérique valide :
Remarque :Si vous n'avez pas désactivé les balises actives à l'étape précédente, une autre fenêtre s'affiche dans laquelle vous ne pouvez pas installer les certificats. Cliquez sur Afficher les détails des signatures.
Dans la fenêtre Détails de la signature numérique, cliquez sur Afficher le certificat.
Dans la fenêtre Certificat, cliquez sur Installer le certificat.
Dans l'Assistant Importation de certificat, cliquez sur Suivant, sur Placer tous les certificats dans le magasin suivant, sur Parcourir, sur Éditeurs approuvés, puis sur OK. Cliquez ensuite sur Suivant, puis sur Terminer.
Préparez la distribution des fichiers de certificat :
Dans la zone Éditeurs approuvés (cliquez sur le bouton Microsoft Office, sur Options Word, sur Centre de gestion de la confidentialité, sur Paramètres du Centre de gestion de la confidentialité, puis sur Éditeurs approuvés), affichez les certificats que vous avez installés.
Pour chaque certificat, double-cliquez dessus, puis procédez comme suit :
Dans la fenêtre Certificat, sous l'onglet Détails, cliquez sur Copier dans un fichier.
Dans l'Assistant Exportation de certificat, cliquez sur Suivant, puis sur Suivant pour accepter le format de fichier par défaut. Tapez un nom de fichier, sélectionnez un emplacement pour le stockage du fichier, puis cliquez sur Terminer.
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.