Enthusiast Geek, Author, Speaker, Traveler, Mountains Lover, Runner and Trailer... I will try to share the best of my journeys with you!

IT Pro Magazine – Déployez Internet Explorer 8 en Entreprise !

Quand 2 hommes motivés et passionnés par IE8 écrivent un article sur le sujet, ça peut envoyer du très très lourd !!! Cet article a été publié dans IT Pro Magazine février 2010 (www.itpro.fr), fraichement imprimé pour les TechDays 😉 Merci énormément à Stanislas Quastana pour son travail et son expérience depuis IEAK 4 😉
Bonne lecture à tous !

Déployez Internet Explorer 8 en entreprise !

Le navigateur est désormais devenu vitale au sein des entreprises pour les utilisateurs, qu’ils aient besoin de faire une simple recherche sur le portail Intranet, de surfer sur le Web ou encore d’utiliser les applications métiers de l’entreprise. Cela amène plusieurs problématiques pour l’IT Pro. A travers cet article vous découvrirez les capacités d’Internet Explorer 8 et comment l’administrateur système est capable de planifier et déployer le navigateur tout en assurant sa gestion et sa maintenance.

Introduction

Avec la durée de vie assez longue de Windows XP dans les Systèmes d’Information, le déploiement modéré de Windows Vista et l’arrivée en fanfare de Windows 7, il devient difficile pour un administrateur système de s’y retrouver entre les différentes versions d’Internet Explorer.

Si on ajoute à cela éventuellement la présence d’autres navigateurs (Firefox, Chrome…), la gestion de ces applications peut se transformer en véritable cauchemar entre le maintien à jour en terme de correctifs de sécurité, le support de l’éditeur, la compatibilité avec les applications Intranet voire Extranet de l’entreprise…

clip_image002

Un petit rappel concernant les systèmes Windows et les versions d’Internet Explorer associées :

· Windows XP : Internet Explorer 6.0
· Windows XP SP2 : Internet Explorer 6.0 avec des changements majeurs en terme de sécurité
· Windows Vista : Internet Explorer 7.0
· Windows 7 : Internet Explorer 8.0

Bref, il est temps à un moment de rationnaliser un peu tout cela et d’homogénéiser le parc des navigateurs. Ceci en conservant à l’esprit les points suivants car on parle ici de navigateurs à usage professionnel sur des postes d’entreprise :

· Le navigateur doit être supporté par son éditeur, que ce soit pour les bugs potentiels rencontrés ou pour la mise à disposition de correctifs de sécurité.
· Le navigateur doit être si possible à la même version sur l’ensemble des systèmes clients (voire serveurs), afin de limiter la taille de la matrice de tests de compatibilité pour les applications Web.
· L’administrateur doit pouvoir (re)configurer l’ensemble des paramètres de manière centralisée avec les outils standards déjà utilisés dans l’entreprise.
· L’administrateur doit disposer des outils permettant le packaging du navigateur afin de facilité son déploiement quel que soit la langue ou le système cible.

Qu’apporte IE8 pour l’entreprise ?

Du point de vue de l’utilisateur, Internet Explorer 8 apporte quelques nouveautés fonctionnelles tels que les accélérateurs qui permettent à partir d’un simple clic droit sur un mot d’accéder à des services complémentaires (traduction, localisation…)

clip_image004
Exemple d’accélérateur utilisant les services Bings Map

Il y a également les WebSlices, comme les flux RSS, qui permettent d’être notifié des nouvelles publications d’un site et plus spécialement de l’évolution d’une partie spécifique d’une page.

clip_image006
Exemple de WebSlice pour donner les informations concernant les services IT de l’entreprise

La recherche visuelle permet l’amélioration du rendu d’une recherche effectuée directement depuis la zone de recherche située en haut à droite du navigateur. De plus il y a beaucoup d’améliorations concernant la sécurité lors de la navigation sur le Web, ce qui est intéressant à la fois pour les utilisateurs et les administrateurs qui souhaitent protéger leur système d’informations. Une des nombreuses fonctionnalités intéressantes liées à la sécurité dans IE 8 est le filtre SmartScreen. Le filtre SmartScreen offre 2 types de protections. La première protection est une évolution du filtre anti-hameçonnage (anti-phishing) d’IE7 et la seconde protection permet d’éviter la navigation sur des sites Web réputés pour être des vecteurs de codes malveillants.

Le filtre anti-phishing a été amélioré par rapport à celui d’Internet Explorer 7.0 et intègre désormais de nouvelles heuristiques (développées avec l’aide des chercheurs en sécurité de Microsoft) permettant d’évaluer si une page Web contient des éléments caractéristiques servant à tromper l’utilisateur (zone de saisie d’identifiants / mot de passe / CB….). Il faut ajouter à cela une amélioration de la partie télémétrie qui permet d’enrichir les services de réputation de Microsoft. En tant qu’utilisateur, il est possible de participer simplement à cette lutte contre le Phishing en remontant à Microsoft l’existence de sites que vous jugez comme participants à une attaque de type hameçonnage. En cas de site suspect, l’utilisateur se retrouve face à une interface très visuelle lui indiquant un problème, en l’occurrence la présence d’un site d’hameçonnage. La recommandation est claire : proposer à l’utilisateur de quitter ce site et retourner à sa page de démarrage. Si l’utilisateur veut en savoir plus, il peut cliquer sur Informations. Ici en tant qu’administrateur, il est possible de configurer de manière centralisée (via stratégie de groupe) ce filtre et d’empêcher par exemple la possibilité de poursuivre la navigation sur le site à risque.

clip_image008
Exemple d’activation du filtre SmartScreen avec blocage par l’administrateur de la poursuite de la navigation

Il existe d’autres nouvelles fonctionnalités de sécurité intéressantes telle que la mise en surbrillance des noms de domaine qui permet de mieux voir le nom du domaine d’une URL. En Occident, nous avons l’habitude de lire de la gauche vers la droite. Ce qui fait que la majorité des personnes vont « vérifier » une adresse en lisant le début de celle-ci. Maintenant prenons un exemple d’URL utilisée dans une attaque par hameçonnage : http://www.paypal.com.0058ovus89rerhe6lhp1.com/cgi-bin/webscr/?login-dispatch.

clip_image010

Quel est le nom de domaine de cette URL ? Paypal.com ? Non. 0058ovus89rerhe6lhp1.com ? Oui. La mise en surbrillance aide ici l’utilisateur à déterminer le vrai nom du site et donc à faire les bons choix. Le filtre XSS d’IE8 permet quant à lui de protéger l’utilisateur contre le risque d’attaque de type Cross Site Scripting (XSS). Le Cross Site Scripting est une technique consistant à insérer dans un site Web légitime (mais mal protégé) du code malveillant et d’abuser des utilisateurs (vol d’informations…)

clip_image012
Activation du filtre XSS dans IE 8

Pour les administrateurs, toutes les nouveautés disponibles avec IE 8 sont bien entendues paramétrables au travers des stratégies de groupes ou encore du Kit d’Administration d’Internet Explorer que nous verrons en détails plus loin dans l’article.

IE8 et la comptabilité des sites Web

Une question récurrente à chaque nouvelle version d’Internet Explorer est « Est-ce que les sites ou applications Web vont bien fonctionner ? ». Il n’y a pas de réponse absolue à cette question fondamentale, mais ce qu’il faut retenir c’est qu’IE 8 dispose de nombreux mécanismes permettant une migration en douceur tels que 3 moteurs de rendu qui pourront être utilisés en fonction des cas :

– le mode de rendu d’IE 5 qui affiche les pages comme dans IE 7.0 Quirks Mode.
– Le mode de rendu d’IE 7 qui affiche les pages comme dans IE 7.0.
– Le mode de rendu d’IE 8 qui est celui qui supporte le mieux les standards de l’industrie (Il a passé le test ACID 2 à 100%) ceci incluant les spécifications du W3C sur CSS 2.1 par exemple.

Si un site Web n’est pas affiché correctement via le moteur de rendu par défaut d’IE 8, il est possible d’utiliser le mode de compatibilité afin de basculer dans un des moteurs de rendu antérieurs, garantissant ainsi à l’utilisateur un affichage correct de l’application Web.

Si vous êtes le responsable d’un site Web publique, si vous n’avez pas encore mis de ressources pour rendre votre site compatible et si celui-ci ne s’affiche pas correctement dans le mode de rendu par défaut d’IE 8.0, il est possible de déclarer celui-ci dans la liste de compatibilité. Il suffit de déclarer à Microsoft (iepo@microsoft.com) que votre site pose des problèmes de compatibilité avec le moteur par défaut d’IE 8. Ainsi, votre nom de domaine sera inclus dans la « liste d’affichage de compatibilité avec Internet Explorer 8′ qui est distribuée automatiquement sous la forme d’une mise à jour au travers de Microsoft Update.

clip_image014Liste de compatibilité avec IE 8 via Windows Update

Ainsi pour les noms de domaines que vous aurez déclarés, IE 8 basculera automatiquement vers un moteur de rendu compatible avec votre site, sans intervention manuelle l’utilisateur. La liste des noms de domaines concernés est visible sous la forme d’un fichier Excel et est téléchargeable sur le site de Microsoft à l’adresse suivante : http://tinyurl.com/dkertj. Si votre poste de travail dispose d’IE 8 et a été mis à jour au travers de Microsoft Update (ou WSUS…), il est possible de visualiser la liste (qui est un fichier XML) en tapant l’adresse res://iecompat.dll/iecompatdata.xml dans la barre d’adresse.

clip_image016

Cette liste est également construire à partir des feedbacks des utilisateurs qui en navigant sur un site non compatible peuvent activer manuellement le mode de compatibilité. Ainsi, par télémétrie et tests manuels complémentaires, les équipes de Microsoft peuvent choisir d’inclure le site dans la liste. Au passage, si un nom de domaine est ajouté à la liste, les équipes de Microsoft préviennent le Webmaster et lui indique comment rendre le site compatible.

Comment supprimer votre site (ou discuter de la suppression du site) de cette liste une fois qu’il est compatible IE 8 ? Il suffit d’envoyer un courrier électronique aux équipes de Microsoft à l’adresse iepo@microsoft.com et de préciser dans le corps du message :

– Nom du responsable du site
– Fonction
– Nom de la société
– Adresse postale
– Adresse de courrier électronique
– Numéro de téléphone
– Adresse du site Web

Les équipes de Microsoft vérifieront la compatibilité avec IE 8 et supprimeront le site dans la prochaine version publiée de la liste. Si vous naviguez sur un site et que vous constatez que celui-ci n’est pas compatible IE 8 par défaut suite à rendu incorrect (mauvaise application d’une feuille de style), il existe une fonctionnalité pour remédier à cela immédiatement. Vous noterez la présence d’une nouvelle icône à la fin de la barre d’adresse qui permet à l’aide d’un simple clic de l’utilisateur de basculer dans un mode de rendu compatible :

clip_image018
Icône du mode de compatibilité.

Dans tous les cas cela signifie donc que le site n’est pas dans la liste de compatibilité et que le navigateur ne bascule pas automatiquement dans un mode de rendu compatible. Notez qu’il est possible de vérifier le moteur de rendu utilisé en pressant la touche F12 pour afficher la fenêtre « Outils de développement ».


clip_image020
Outils de développement disponibles dans IE8

Si on veut que la bascule soit automatique la prochaine fois, il est possible d’ajouter manuellement le nom de domaine dans une liste des sites à traiter en mode compatibilité (menu Page à Paramètre de compatibilité). Bien entendu la configuration des modes de compatibilité est entièrement gérable de manière centralisée grâce aux stratégies de groupes de l’Active Directory que nous voyons plus en détails plus loin dans cet article.

Packagez IE8 pour votre entreprise

Il existe plusie urs moyens d’installer IE8 sur les postes de vos utilisateurs mais nous allons nous focaliser sur l’outil IEAK (Internet Explorer Administration Kit) qui existe depuis 1998 avec IE4 à l’époque. IEAK est en fait un assistant qui contient tous les outils pour la configuration et le déploiement d’IE 8 au sein des Systèmes d’Information.

Le principe de l’IEAK est assez simple. Il faut l’installer et lancer l’assistant de personnalisation d’Internet Explorer 8. La première étape est de sélectionner le package que l’on souhaite générer. Voici la liste des plateformes supportées par l’IEAK :

clip_image022
Choix de la plateforme de destination pour le package IEAK

Dans un second temps il faut sélectionner la langue du navigateur et sélectionner les supports souhaités, c’est-à-dire soit un CD-Rom avec exécution automatique, soit des exécutables (MSI et EXE) pour du déploiement classique, soit un package de configuration si IE8 est déjà installé. Dans notre cas, nous opterons pour un déploiement d’un package MSI généré avec l’IEAK avec les GPO d’Active Directory ou via l’utilisation d’un outil de télédistribution d’applications.

Il faut ensuite sélectionner les composants que l’on souhaite personnaliser tels que les WebSlices, moteurs de recherche, composants supplémentaires, etc. Après avoir défini l’expérience utilisateur lors de l’installation du package (affichage des fenêtres d’installation, entièrement automatisé, nécessite un redémarrage ou non), il faut maintenant configurer les composants que nous avons souhaité personnaliser. Nous en profiterons pour ajouter un composant supplémentaire, Silverlight, qui sera intégré dans le package IEAK.

clip_image024
Ajout d’un composant dans le package IEAK

Nous définissons également la page d’accueil, les favoris, le mode de compatibilité, les barres de titre et supprimons le lancement de l’assistant de la 1ère utilisation d’IE8. Nous avons la possibilité de configurer les paramètres réseaux et proxy et de créer un profil CMAK (Connection Manager Administration Kit) permettant de configurer par exemple les connexions VPN de l’entreprise. La dernière fenêtre de configuration correspond aux paramètres supplémentaires personnalisables pour IE8.

clip_image026
Paramètres supplémentaires pour IE8

Cela peut s’avérer très utile pour configurer différents paramètres sans passer par les stratégies de groupe du domaine (GPO). Nous aurons alors un poste client, qui n’est pas forcément dans le domaine, avec un navigateur conforme aux politiques de l’entreprise. Faisons maintenant un point sur les GPO disponibles pour IE8.

Stratégies de groupe et sécurité IE8

Si vous avez un environnement Active Directory, les stratégies de groupe (ou GPO pour les néophytes) sont le moyen de gérer de façon centralisée votre parc informatique. C’est une pratique courante pour les administrateurs systèmes de configurer les systèmes d’exploitation clients à travers des GPO et cela en est de même pour IE8 depuis des décennies.

Quelle est l’IT qui est au courant qu’il y a plus de 1100 stratégies de groupe pour IE8 ? Certainement très peu et pourtant cela est souvent essentiel dans vos entreprises comme par exemple pour régler d’éventuels problèmes de compatibilité. Voici les stratégies de groupe locales qu’un administrateur d’un poste client pourrait paramétrer pour régler des problèmes de compatibilité et donc d’affichage (Stratégies => Modèle d’administration : définition de stratégie => Composants Windows => Internet Explorer => Affichage de compatibilité).

.

clip_image028

Même si ces GPO sont regroupés par catégorie, il eut être difficile de trouver la bonne GPO qui correspond au besoin et encore, l’écran ci-dessus ne représente que les GPO locales et non les GPO du domaine qui sont beaucoup plus nombreuses.

Afin de mieux comprendre ces GPO et de définir une véritable politique de sécurité pour IE8, Microsoft a publié le Security Compliance Management Toolkit pour IE8 qui est un ensemble de ressources dédié à la sécurité du SI. Ce kit d’outils IE8 comprend le fameux guide de sécurité, les packs de configuration DCM pour SCCM 2007 R2, l’outil GPO Accelerator, un fichier Excel listant et expliquant les paramètres de base de sécurité pour IE8, soit les différentes GPO liées à la sécurité et, le fichier XML associé permettant d’appliquer ces paramètres. Le guide de sécurité est certainement l’élément le plus utile de ce kit car il vous accompagnera dans la mise en place de politiques de sécurité pour vos projets de déploiement et de développement de vos postes clients Windows.

clip_image029
Security Compliance Management Toolkit pour IE8

Ainsi, à travers ces méthodes et ces outils, l’administrateur système a la maitrise complète de la configuration et du comportement d’Internet Explorer 8.0 sur les postes de travail de l’Entreprise.

Déployer IE8 dans l’entreprise

Nous avons vu précédemment comment nous pouvions définir des stratégies de groupe à travers des méthodes et des outils. Les GPO nous permettent donc de paramétrer de façon centralisée les fonctionnalités d’IE8 sur les postes clients mais nous n’avons pas encore vu comment nous pouvions déployer de façon centralisée notre package IEAK. Il y a en effet plusieurs moyens d’y parvenir à moindre coûts. Parcourons ensemble les différentes possibilités qui nous sont offertes.

Une solution envisageable pourrait consister à créer un partage réseau et à installer manuellement le package IEAK ou non sur chacun des postes clients. Nous pourrions également utiliser le package IEAK prévu pour être gravé sur un CD-Rom (ou clef USB). Ces méthodes ne sont bien évidemment pas des solutions optimales pour des grosses structures. Nous pourrions également passer par les GPO même si cela n’est adapté que pour les petites structures étant donné que les cibles sont limitées et que le reporting est pratiquement inexistant. Notez qu’il faudra forcément utiliser le package .MSI de l’IEAK et non pas le package .EXE qu’il aura généré. Le déploiement par GPO reste une méthode fiable.

L’usage d’une solution de télédistribution tels que Windows Update ou Windows Server Update Services (WSUS) pourrait être adéquate mais nous ne pourrions pas utiliser le package généré par l’IEAK. Il est important de savoir que Microsoft fournit IE8 à travers Windows Update ou WSUS de façon critique. Enfin la solution à toute épreuve pour déployer le package IEAK est d’utiliser des outils tels que SCE (System Center Essentials) qui est orienté TPE et PME, SMS (System Manager Server) ou son successeur SCCM (System Center Configuration Manager) pour les grosses structures. Notez que ces produits nécessitent la mise en place d’une infrastructure lourde mais qu’ils apportent énormément comme par exemple pour le déploiement de système d’exploitation. Vous pourriez directement installer IE8 avec l’OS. De plus avec WIM (Windows System Image Manager) qui est un outil du WAIK (Windows Automated Installation Kit) permettant de créer des fichiers de réponse pour automatiser vos déploiements, on retrouve des composants dédiés à Internet Explorer.

clip_image031WSIM et les composants dédiés à Internet Explorer

Enfin toujours avec le déploiement d’OS, il existe MDT (Microsoft Deployment Toolkit) 2010 présenté dans un des derniers numéros d’IT Pro qui est gratuit et un bon complément à SCCM. Il vous permettra d’installer également votre package IEAK après l’installation de votre OS de façon automatisée ou assistée.

Comme tout bon déploiement, pensez à définir un programme pilote dans lequel vous ciblerez différents utilisateurs des différentes structures de votre société pour tester IE8 avant de l’industrialiser à tout le SI.

Conclusion

Nous avons fait un tour d’ensemble des fonctionnalités d’Internet Explorer 8 pour l’IT Pro. Le navigateur dans l’entreprise est appelé à être utilisé de façon beaucoup plus fréquente par les utilisateurs étant donné que les applications métiers deviennent de plus en plus orientées web. Gardez en tête qu’IE8 est le seul navigateur pour l’entreprise qui permet aux IT Pros de gérer facilement de façon centralisée les politiques de sécurité, la maintenance et la supervision.

 

William
Follow me!

William

Pre-Sales Engineer chez VMware France
I'm passionate about computing and new technologies since my childhood. I have a very broad and deep knowledge in IT. I'm specialized on the End User Computing solutions, especially on Microsoft, Citrix and VMware technologies.

Otherwise, I'm lucky to fill the rest of my life with activities brimming with interest and passion, practicing sports such as running/trail, hiking in mountains as soon as I can, traveling around the world, and meeting new people.

Feel free to join my LinkedIn profile (https://www.linkedin.com/in/williambories).
William
Follow me!