montextealternatif

Application - Adobe Reader - Sécurisation


Rédigé par admin le 7 commentairese

Je suis recemment  tombé sur un article particulierement interresant concernant la "Sécurisation du Lecteur Adobe Reader".

Dans la mesure où la source est l'agence NSA, je me suis dit que ca serait pas mal d'approfondir .....
J'ai donc creusé certains aspects, puis ils ont été inclus dans notre Master.


                                                           
 

https://www.nsa.gov/ia/_files/app/Recommendations_for_Configuring_Adobe_Acrobat_Reader_XI_in_a_Windows_Environment.pdf

 
1) Introduction :

Les fichiers PDF ont évolué pour passer de pages statiques à des documents complexes
[Fonctions (formulaires interactifs), du contenu multimédia, des scripts et d’autres fonctionnalités]. 

Ces fonctions peuvent exposer potentiellement les fichiers PDF à des scripts ou à des actions malveillants  -  
( Lien )

 

 
2) Techniques de sécurité inclusent dans Adobe Reader :

 Reader X et XI ont introduit, puis enrichi des techniques de sécurité, basées sur la technologie « Sandbox » : 

  • Le « Mode Protégé »,
  • La « Vue Protégée » (Lien)
  • La « Protection Renforcée »
     

2a) « Mode Protégé » et « Vue protégée » :

Pour offrir une protection renforcée et éviter tout risque potentiel de failles de sécurité associé à des fichiers pouvant provenir d'emplacements à risque, la plupart des fonctions sont désactivées en mode protégé.
Dans ce mode, les documents PDF malveillants ne peuvent pas lancer de fichiers exécutables arbitraires ni écrire dans les répertoires système ou le registre Windows.

Ainsi, Reader XI traite tous les fichiers PDF comme s’ils étaient corrompus et isole les traitements invoqués dans le bac à sable (Lien), restreignant ainsi le niveau d’accès octroyé aux programmes.

                        
                       
     

La vue protégée fournit un niveau de protection supplémentaire : Affichage d’une barre jaune dans la partie supérieure de la fenêtre Reader (Le comportement identique à celui de la vue protégée fournie par Office 2010. (Lien))

Cette barre de message jaune indique que le fichier n’est pas fiable et rappelle que l’on se trouve dans la vue protégée, qui désactive nombre de fonctionnalités d’Acrobat et limite l’interaction de l’utilisateur avec le fichier.
La vue protégée est prise en charge par les deux scénarios d’ouverture de documents PDF — dans l’application Acrobat XI autonome et dans un navigateur.

 

Possibilité de déclaration que l’élément est fiable, via les « Emplacements Privilégiés »  (Lien)  -   (voir section suivante)

 

2b) « Protection Renforcée »  et « Emplacements privilégiés » :

La protection renforcée offre un moyen de spécifier des emplacements pour le contenu approuvé.
Ces emplacements privilégiés peuvent être de simples fichiers, des dossiers ou des domaines hôtes (URL racine).
Le contenu qui se trouve dans un emplacement privilégié est approuvé.

Par exemple, la protection renforcée bloque en général le chargement de données depuis des sites Web inconnus par les fichiers PDF. Si vous ajoutez l’origine des données (leur domaine hôte) à votre liste d’emplacements privilégiés, Acrobat et Reader autoris le chargement des données. (Lien)

 « Fichiers provenant d’emplacements à risque » : 
          --> Active la vue protégée et affiche l’avertissement pour tous les fichiers
            provenant d’un emplacement non approuvé. Les fichiers et emplacements que vous
            ajoutez à la zone "'Emplacements privilégiés" du panneau Protection renforcée ne
            sont pas concernés par la vue protégée.

· « Tous les fichiers » :
          --> Active la vue protégée dans tous les fichiers PDF que vous ouvrez dans la version
              autonome d’Acrobat ou dans un navigateur.

 

Remarque : Ces restrictions peuvent aussi être bypassées via les menu :
     - « Préférences » \ Internet \
     - « Préférences » \ Gestionnaires des approbations \

 

 
3) Comportements :

 

- Par rapport au choix « Tous les fichiers » :
   ---> Ce choix me semble trop « drastique », la barre jaune s’affichant même lors de
         l’ouverture d’un PDF situé sur le bureau de l’utilisateur..

- Par rapport au choix « Fichiers provenant d’emplacements à risque » (Voir ci-dessous)

3a)  / à l’ouverture de PDFs depuis le Client Lourd :
        · PDF situé sur la station : Pas d’alerte
        · PDF situé sur le réseau : Alerte (..si non présent dans "Emplacement Privilégiés")

 

 3b)  / à l’ouverture de fichier dans  IE :

« .. Acrobat XI et Reader XI ne comprennent pas de paramètre de préférence pour l'ouverture des fichiers PDF Web… » (Lien)
                                

 

Ouverture depuis un site Web : Message d'Alerte (Avec choix [approuver 1 fois ou toujours])

 

---> Si « approbation » : Ajout d'une exception dans les "Emplacement Privilégiés")

 

----> Finalement :  Ouverture Adobe dans le navigateur   

 

3c)  / à l’ouverture de fichier dans Chrome :

· 1er possibilité : Ouverture Adobe dans le navigateur  
         (Activation du module via « chrome://plugins »)
         ----> Mais des droits d’admin seront demandés pour les MAJs

 

- 2eme possibilité : Utilisation du « Viewer » Chrome (Visible via « chrome://plugins »)
          ----> Mais fonctionnalités limitées ...

 

- 3eme possibilité: Téléchargement des PDFs (donc sans ouverture dans le navigateur) :   
                 (Nécessite la désactivation des deux modules)

 
 
4) Aspect  Sécurité & Restriction des fonctionnalités  :
 

4a)  Axe « Sécurité » :

Sandboxing Technology  [ProtectedMode, ProtectedView et EnhancedSecurity]
---> Principes exposés au paragraphe « 2 » de ce document.
Approche recommandée :
     - Activation des 3 Modes.
     - Verrouillage via des Policy pour empêcher leur modification, mais autorisation pour
        l’utilisateur de "truster" des emplacement et sites.

 

 

Attachement de fichier dans un PDF / à leur extensions :
  L’approche la moins restrictive (et la plus manageable) :
    - Permettre seulement certains types d’attachements, via une liste préétablie par défaut.
    - Si extension NON présente dans cette liste : proposition de choix à l’utilisateur .

Ci-dessous des tests d’attachement d’un « .EXE », et d’un « .TXT »

 

Hyperlinks : par défaut "désactivé" :

« ..a PDF file cannot send information to the Internet when a user tries to follow a hyperlink within a document.. »

- Approche recommandée :
          -  Verrouillage via Policy pour empêcher de modifier le paramètre.
          -  proposition de choix à l’utilisateur .

 

- Javascript  :
  Approche recommandée :
             - JavaScript activé.
             - Activer et verrouiller les modes: protected view, protected mode, et enhanced security.
              - « …and allow the user to trust a document after first viewing it within protected view where JavaScript is disabled… »
 

 

4b)  Axe « Interface  Graphique » :

-   Online Service / Internet access  :

Adobe Reader XI offre la possibilité d’accéder à plusieurs Service Online (Adobe.Com, Adobe EchoSign, Office 365, SendNow, Sharepoint and webmail, etc …)
---> La désactivation de ces fonctionnalités (stockage externe, options présentes mais payantes , ..etc) est bien sur souhaitable dans les resaux d'entreprise.

 

- Reparer l'installation d'AR :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Acrobat Reader\11.0\Installer]
"DisableMaintenance"=dword:00000001

- Affichage au lancement d'AR :

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\IPM]
"bShowMsgAtLaunch"=dword:00000000

- Affichage avertissements d'edition

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Originals]
"bSkipDeleteWarnings"=dword:00000001

 

 

4c)  Axe « Mise à Jour »:  ( page 8/17)

" …Currently, AR XI requires the system administrator to update the product, users cannot update and do not need to see the update notifications..."

---> "...Disabling the automatic update feature for users will prevent ARXI from prompting users but will not impact updates to the product by administrators.
Administrators should always promptly deploy Acrobat updates via the enterprise’s normal software installation procedure…. " 
 
 
5) Clés de Registre  :
  • Sandboxing Technology :

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown
          bEnhancedSecurityStandalone REG_DWORD Set to 1
          bEnhancedSecurityInBrowser REG_DWORD Set to 1
          bProtectedMode REG_DWORD Set to 1
          bProtectedMode REG_DWORD Set to 1

 

  • Attachement de fichier dans un PDF / à leur extensions :

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown
             iFileAttachmentPerms REG_DWORD Set to 0
             cDefaultLaunchAttachmentPerms : par défaut  
[ Lien ] / [ Lien2 ]
             iUnlistedAttachmentTypePerm REG_DWORD Set to 1    
 

  • Hyperlinks :        

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown
            iURLPerms REG_DWORD Set to 1
            iUnknownURLPerms to 2

 

  •  Javascript :

Pas de parametrage

 

  •  Online Service Access

HKCU\Software\Adobe\<product>\<version>\Workflows
            bEnableAcrobatHS REG_DWORD Set to 0
            bEnableRTCPart REG_DWORD Set to 0
            bEnableRTCAuth REG_DWORD Set to 0
            bEnableShareFile REG_DWORD Set to 0
            bEnableDocCtrInit REG_DWORD Set to 0

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown\cSharePoint
            bDisableSharePointFeatures REG_DWORD Set to 1 (also disables Office 365)

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown\cCloud
            bDisableADCFileStore REG_DWORD Set to 1

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown\cServices
            bEnableSignPane REG_DWORD Set to 0

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown\cWebmailProfiles
            bDisableWebmail REG_DWORD Set to 1 

      --------->      

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown
            bCommercialPDF REG_DWORD Set to 1
            bRegisterProduct REG_DWORD Set to 1
            bShowAdsAllow REG_DWORD Set to 1
            bPurchaseAcro REG_DWORD Set to 0
            bShowEbookMenu REG_DWORD Set to 0
            bUpdater REG_DWORD Set to 0 (disable prompting for updates)
            bUsageMeasurement REG_DWORD Set to 0 (disable sending usage statistics)

 

  • MAJ Off :

HKLM\Software\Policies\Adobe\<product>\<version>\FeatureLockDown
         bUpdater Set to 0                 
 

  • Divers :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Acrobat Reader\11.0\Installer]
"DisableMaintenance"=dword:00000001

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\IPM]
"bShowMsgAtLaunch"=dword:00000000

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Originals]
"bSkipDeleteWarnings"=dword:00000001

 

 

DClassé dans : Applications ,Mots clés : aucun

A propos de l'auteur, admin:

7 commentaires

coin coin a dit : #1

Bonjour, article très intéressant. Adobe reader utilise adobe arm pour vérifier les mises à jour à l'installation il crée une tache planifié qui le lance tout les 3h30 à peu près je m'en suis débarrassé en la supprimant. Ça reviendra peut être avec les mises à jour à vérifié

artisan serrurier meudon a dit : #2

Merci beaucoup pour cet article. Continuez.

wells fargo sign in to view account a dit : #3

Unquestionably consider that that you said. Your favourite reason appeared to be on the net the easiest
thing to be aware of. I say to you, I certainly get annoyed even as other folks
think about worries that they just don't understand about.
You controlled to hit the nail upon the highest and defined
out the entire thing with no need side effect ,
other people can take a signal. Will likely be again to get more.

Thanks

paypal login my account a dit : #4

Pay - Pal has get a common tool for selecting something without revealing your own financial information. Paypal login page paypal login my account paypal zappos You will likely be required to get in an email,
name, address, date of birth and contact
number.

paypal login my account a dit : #5

It's comparable to a modern day Internet Western Union. Paypal xcessbuy paypal login my account paypal xcode Many
people mistakenly believe that they need a credit card to qualify.

Helene Thevenin a dit : #6

Coucou,
Bravo concernant ce bel article.

cna classes near me for free a dit : #7

You work alongside fellow caregivers to offer high quality
patient care free cna classes in nursing homes free cna classes in nyc cna classes in nc students enrolled within the program will develop the required skills and knowledge to pass the hawaii state nurse aide competency evaluation. I was lead to believe that it
had been one of the better schools inside
area to ensure me to acquire my CNA free cna classes near me https://cnaclasses.us.com/ local cna classes free a candidate who not
offer a third attempt will need to re-enroll in a training program if he or she still seeks certification.

rFil RSS des commentaires de cet article


Écrire un commentaire