Important : Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.
Le sujet de la sécurité InfoPath est un sujet large qui décrire les différents problèmes. Par exemple, le niveau de confiance d’un modèle de formulaire et l’utilisation de la technologie Secure Sockets Layer (SSL) sur un serveur Web et la décision d’un utilisateur d’ajouter un éditeur approuvé au centre de gestion de la confidentialité sont tous les considérations relatives à la sécurité.
Cet article contient les meilleures pratiques pour sécuriser les formulaires et les modèles de formulaires et contient des considérations sur la sécurité de serveur. Bien que ces pratiques peuvent vous aider à prendre des décisions avisées, cet article n’est pas exhaustif. Utiliser la stratégie de sécurité de votre organisation existante comme point de départ pour tous les choix que vous apportez à propos de la sécurité de vos modèles de formulaire et formulaires. Pour une vue d’ensemble détaillée de la sécurité dans InfoPath, voir : niveaux de sécurité, déploiement par message électronique et modèles de formulaires distants.
Contenu de cet article
-
Définir le niveau de sécurité requis pour un modèle de formulaire
-
Meilleures pratiques pour le déploiement des panneaux informations sur le Document
-
Meilleures pratiques pour l’envoi de modèles de formulaire sous forme de messages électroniques
-
Meilleures pratiques pour aider les utilisateurs de conservation de la sécurité
Définir le niveau de sécurité requis pour un modèle de formulaire
InfoPath fournit trois niveaux de sécurité pour les formulaires : restreint, domaine et confiance totale. Les niveaux de sécurité déterminent si un formulaire peut accéder à des données sur d’autres domaines, ou accéder à vos fichiers et paramètres sur l’ordinateur d’un utilisateur. Les niveaux de sécurité affectent également les fonctionnalités d’un formulaire lorsque les utilisateurs le remplissent.
Lorsque vous concevez un modèle de formulaire, InfoPath sélectionne automatiquement le niveau de sécurité correct requis pour les fonctionnalités de votre écran. Par défaut, tous les nouveaux modèles de formulaire vierge utilisent le niveau de sécurité restreint. Niveau de sécurité restreint limite la possibilité d’un formulaire pour accéder aux données sur d’autres domaines et les fichiers et les paramètres sur l’ordinateur d’un utilisateur.
Si vous ajoutez des fonctionnalités qui requièrent, tels que des connexions de données ou du code managé le niveau de sécurité est automatiquement élevé au niveau du domaine. Il est recommandé d’utiliser le niveau de sécurité plus restrictif requis pour votre modèle de formulaire pour aider vos utilisateurs à éviter des risques inutiles.
Si le niveau de sécurité par défaut défini pour le modèle de formulaire au moment de la conception est insuffisant, vous pouvez effectuer les étapes suivantes pour définir manuellement le niveau de sécurité :
-
Cliquez sur l’onglet Fichier.
-
Cliquez sur Options de formulaire.
-
Cliquez sur sécurité et gestion de la confidentialité.
-
Sous Niveau de sécurité, désactivez la case à cocher Déterminer automatiquement le niveau de sécurité (recommandé).
-
Cliquez sur le niveau de sécurité de votre choix, puis cliquez sur OK.
Remarque : Si le modèle de formulaire est un formulaire InfoPath filler qui requiert une confiance totale puis il doit être numériquement signé avec un certificat racine de confiance ou installé sur l’ordinateur de l’utilisateur. S’il s’agit d’un formulaire de confiance totale SharePoint il doit être déployé par l’administrateur de batterie de serveurs SharePoint à l’aide de Administration centrale de SharePoint.
Les meilleures pratiques pour la sécurité des serveurs Web
Voici une liste des meilleures pratiques pour la sécurité du serveur web :
-
Utiliser SSL pour les serveurs hébergeant les modèles de formulaires activés pour le navigateur SSL est une norme servant à établir un canal de communication sécurisée pour empêcher l’interception d’informations importantes, comme les numéros de carte de crédit. Si vous envisagez de créer un modèle de formulaire compatible avec les navigateurs qui sera disponible pour les utilisateurs rempliront sur Internet, demandez à votre administrateur de serveur si la technologie Secure Sockets Layer (SSL) est configurée sur le serveur hébergeant le modèle de formulaire. Lorsque vous appuyer sur la technologie SSL comme une fonctionnalité de sécurité, vous devez vérifier que le certificat numérique utilisé par une connexion SSL a été émis par une autorité de certification tierce normes industrielles (par exemple, Verisign).
Conseil : Vous pouvez déterminer QUE SSL est activée pour une URL lorsque l’adresse Web commence par https au lieu de http.
-
Utiliser un hôte approuvé Si votre organisation ne conserve pas le serveur qui héberge vos modèles de formulaire, veillez à utiliser un société d’hébergement Web approuvé. Si vous ne pouvez pas vérifier l’intégrité du service d’hébergement, n’hébergez pas vos modèles de formulaire il.
-
Installer le logiciel antivirus et correctifs de sécurité Contactez votre administrateur serveur pour vérifier que les correctifs de sécurité et mises à jour sont installés sur le serveur où se trouvent vos modèles de formulaire. En outre, vérifiez que le serveur est un logiciel antivirus à jour en cours d’exécution, et que seuls les utilisateurs autorisés peuvent accéder au serveur.
-
Zones de sécurité comprendre Windows Internet Explorer Dans Windows Internet Explorer, zones de sécurité et les niveaux permettent de spécifier si un site Web peut accéder aux fichiers et des paramètres sur votre ordinateur et le niveau d’accès de ces sites peuvent avoir. InfoPath utilise certains de ces paramètres, ainsi que le paramètre de sécurité de modèle de formulaire, afin de déterminer si un formulaire associé à un modèle de formulaire peut accéder aux fichiers et des paramètres sur l’ordinateur d’un utilisateur et le niveau d’accès qui constituent peut avoir. InfoPath utilise également certains de ces paramètres pour déterminer si un formulaire rempli par un utilisateur peut accéder au contenu est enregistré dans le domaine dans lequel le modèle de formulaire est enregistré.
Les meilleures pratiques pour l'utilisation des sources de données
Plusieurs formulaires InfoPath utilisent des connexions de données pour recevoir et envoyer des données à partir de sources de données internes et externes. Lorsque vous remplissez les formulaires qui ont des connexions de données, vous pouvez être invité à autoriser les connexions de données à établir. Vous ne devez autoriser la connexion si vous faites confiance à la source. Voici une liste des meilleures pratiques pour l’utilisation de sources de données lorsque vous concevez et déployer les formulaires :
-
Utilisation approuvée des sources de données Pour vous assurer que les concepteurs de modèle de formulaire de votre organisation utiliser approuvées uniquement les sources de données, utilisez une bibliothèque de connexions de données, ce qui correspond à un emplacement central pour stocker et partager des connexions de données. En créant une collection de connexions de données approuvées et limitation de l’autorisation à la bibliothèque où ils sont enregistrés, vous pouvez protéger la sécurité des sources de données qui sont utilisées dans votre organisation.
-
Être prudent lors de l’utilisation de la base de données direct Si les concepteurs de modèle de formulaire de votre organisation ne peuvent pas utiliser une source de données approuvés à partir d’une bibliothèque de connexions de données, ils peuvent décider connecter un modèle de formulaire directement à une source de données. Dans ce cas, assurez-vous que seuls les utilisateurs autorisés peuvent accéder les formulaires basés sur ce modèle de formulaire. Un modèle de formulaire avec une connexion directe à une base de données peut fournir un utilisateur non fiable avec un moyen d’accéder aux informations propriétaires.
Les meilleures pratiques pour le déploiement des panneaux d'information des documents
Un concepteur de formulaire peut déployer un modèle de formulaire en tant qu’un panneau informations sur le Document. Un panneau informations sur le Document est un formulaire InfoPath hébergé dans un document Microsoft Word, Microsoft PowerPoint ou Microsoft Excel, fournissant un emplacement unique pour les utilisateurs à ajouter ou modifier les métadonnées sur le document. Lorsqu’il est hébergé dans un document Word, un panneau informations sur le Document prend également en charge la possibilité de modifier des données à partir du document lui-même.
Bien que les mêmes considérations de sécurité s’appliquent à l’aide d’un panneau informations sur Document à l’aide d’un modèle de formulaire, un panneau informations sur le Document peut être exécuté sous le paramètre selon les fonctionnalités qui lui ajoute un concepteur de formulaire de confiance une confiance totale, domaine ou restreint, il existe également certains éléments uniques à prendre en compte. Si vous faire référence à une ressource externe dans un panneau informations sur le Document, vérifiez que les utilisateurs disposeront d’autorisation à cette ressource lorsqu’ils ouvrent le document. Par exemple, vous pouvez vous connecter à un panneau informations sur le Document dans un document Word à un service Web. Même si les utilisateurs sont autorisés à ouvrir le document Word, ils recevront un message d’erreur s’ils ne disposent pas d’autorisation du service Web qui est utilisée dans le panneau informations sur le Document.
La liste ci-dessous décrit certaines notions complémentaires sur l'utilisation des panneaux d'information des documents :
-
Déploiement d’un panneau informations sur Document sur un intranet Si vous déployez un panneau informations sur le Document vers un emplacement sur l’intranet de votre entreprise, mais le document associé au panneau informations sur le Document se trouve sur un réseau extranet, vos utilisateurs internes peuvent utiliser panneau informations sur le Document, mais les utilisateurs externes ne peuvent pas.
-
À l’aide de connexions de données de domaines dans panneaux informations sur le Document Vous ne pouvez pas utiliser les connexions de données de domaines dans un panneau informations sur le Document, sauf si le modèle de formulaire pour le panneau informations sur le Document est défini sur le niveau de sécurité confiance totale ou le modèle de formulaire associé se trouve sur un domaine qui est inclus dans la zone sites de confiance dans Windows Internet Explorer.
-
Déploiement des panneaux informations sur le Document à des sites SharePoint Panneaux informations sur le document déployés sur un site SharePoint ne s’affiche pas, sauf si le modèle de formulaire pour le panneau informations sur le Document se trouve sur le même domaine que le document auquel elles sont associées.
-
Panneaux d’Information de Document à l’aide des schémas XML personnalisés Panneaux informations sur le document basés sur un schéma XML personnalisé doit exécuter au niveau de sécurité restreint ou de confiance totale. Lorsqu’un panneau informations sur le Document est créé, vous pouvez spécifier un schéma XML personnalisé et utiliser ce schéma pour créer le contenu pour le panneau de configuration, mais panneau informations sur le Document obtenu ne peut pas être une autorisation partielle.
-
Panneaux informations sur le document dans la Zone ordinateur Local Dans Windows Internet Explorer, zones de sécurité et les niveaux permettent de spécifier si un site Web peut accéder aux fichiers et des paramètres sur votre ordinateur et le niveau d’accès de ces sites peuvent avoir. Panneaux informations sur le document qui se trouvent dans la Zone ordinateur Local ne l’ouvrez, sauf si le modèle de formulaire pour le panneau informations sur le Document est installé sur l’ordinateur de l’utilisateur à l’aide d’un programme d’installation tel qu’un fichier Microsoft Windows Installer (msi).
Les meilleures pratiques pour envoyer des modèles de formulaires comme messages électroniques
Voici une liste des meilleures pratiques pour l’envoi de modèles de formulaire en tant que messages :
-
Niveaux de confiance pour les modèles de formulaires de courrier électronique Pour envoyer en toute sécurité dans un message électronique, les modèles de formulaires doivent être définis pour le paramètre de confiance restreint. Modèles de formulaires qui sont envoyés dans un message fonctionnent uniquement avec les données contenues dans le modèle de formulaire, contrairement à des sources de données externes et ne peut pas contenir de script ou du code managé.
-
Évitez d’envoyer des informations d’identification personnelle dans un message électronique Vous pouvez ajouter des règles à un modèle de formulaire qui permettent à un utilisateur envoyer des données de formulaire vers plusieurs emplacements quand un bouton de commande est pressée du formulaire associé. Par exemple, vous pouvez configurer un bouton de commande pour utiliser des règles pour autoriser les données de formulaire soient envoyées à un service Web et dans le corps d’un message.
Note de sécurité : Si le service Web et l’adresse de messagerie cible ne se trouvent pas sur le même domaine que le modèle de formulaire, cela peut ne pas être sécurisé. Par exemple, si le message électronique est envoyé par le biais d’Internet, les données peuvent être exposés même si le service Web utilise le protocole SSL et se trouve sur l’intranet.
Meilleures pratiques pour aider les utilisateurs de conservation de la sécurité
Voici une liste des meilleures pratiques pour aider les utilisateurs à rester sécurisé :
-
Utilisateurs encourager installer et ouvrir des formulaires uniquement à partir de sources fiables Vous devez encourager utilisateurs uniquement installer et ouvrir les formulaires de confiance totale qu’ils reçoivent provenant de sources fiables.
Remarque : Grâce à la gestion de la liste Éditeurs approuvés dans le centre de gestion de la confidentialité, vos utilisateurs peuvent contrôler si vous souhaitez ouvrir les formulaires entièrement fiables. Les utilisateurs peuvent également utiliser le centre de gestion de la confidentialité pour gérer les éditeurs approuvés, compléments et Options de confidentialité.
-
Encourager aux utilisateurs d’installer la dernière version du navigateur Web Si vos utilisateurs remplissent des modèles de formulaires activés pour le navigateur, il est conseillé de lui fournir des informations sur la façon de télécharger des correctifs et mettre à niveau de leur navigateur pour vous assurer qu’ils exécutent la version la plus récente.
-
Permettre aux utilisateurs d’utiliser des signatures numériques Lorsque les utilisateurs remplissent un formulaire dans InfoPath, ils peuvent signer numériquement le formulaire ou certaines parties du formulaire. La signature d’un formulaire permet de s’authentifier un utilisateur en tant que la personne qui a rempli le formulaire et permet de s’assurer que le contenu de l’écran n’est pas modifié. Pour plus d’informations sur les Signatures numériques dans InfoPath, voir signatures numériques dans InfoPath 2010.