Contrôles système

Dans cette section :

• À propos des contrôles système
• Contrôles système Désinstaller
• Éléments de contrôle Service
• Éléments de contrôle Journal d'événements
• Élément de contrôle Fin de processus

À propos des contrôles système

Utilisez l'option Contrôles Système pour contrôler la suppression ou la modification des applications et processus, la gestion de services spécifiques et l'effacement des journaux d'événements nommés. Vous pouvez appliquer des contrôles pour élever ou restreindre l'accès à l'élément spécifié.

En restreignant ou en élevant les droits d'installation, de désinstallation, de modification ou de réparation des applications de bureau pour Windows 10, vous appliquez les mêmes restrictions aux programmes d'installation MSI et .exe accessibles dans la vue Programmes et fonctionnalités du Panneau de configuration. Depuis Application Control (Contrôle des applications) version 2020.2, les permissions affectées sont également prises en charge dans la vue Applications et fonctionnalités, sous Paramètres Windows.

Les contrôles système sont disponibles dans le nœud Privilèges utilisateur pour chaque groupe de règles.

Ajout de contrôles système

1. Sélectionnez le nœud Privilèges utilisateur du groupe de règles à traiter.
2. Sélectionnez l'onglet Contrôles système.
3. Cliquez sur Ajouter un élément et sélectionnez le contrôle système requis :
   • Désinstaller
   • Service
   • Journal d'événements
   • Fin de processus

   Pour les règles de processus, vous ne pouvez ajouter que des éléments Fin de processus.

4. Entrez toutes les informations demandées, puis cliquez sur OK.
5. Dans la colonne Stratégie, sélectionnez l'option requise :
   • Restriction intégrée - Toujours restreindre l'accès à l'élément indiqué.
   • Élévation intégrée - Toujours autoriser l'accès à l'élément indiqué.
6. Configurez d'autres éléments en cliquant sur Ajouter un élément dans le ruban Gestion des privilèges, puis en sélectionnant l'option appropriée.

7. Cliquez sur le lien Cliquez ici pour définir les messages affichés lorsqu'un utilisateur n'a pas le droit d'accéder aux contrôles Système pour configurer les messages affichés lorsqu'un utilisateur tente de désinstaller un programme restreint ou d'effacer un journal d'événements restreint.

   Pour en savoir plus, reportez-vous à « Paramètres de message ».

Cliquez sur le bouton Ajouter des composants et dépendances Ivanti pour préremplir automatiquement les configurations d'éléments de contrôle Désinstaller, Service et Journal d'événements avec AppSense*. Les autres dépendances requises sont également ajoutées. Cela s'avère utile lorsque vous restreignez les privilèges Admin afin d'éviter que des composants d'agent critiques soient changés.

Contrôles système Désinstaller

Vous devez activer Application Access Control avant de configurer un élément de contrôle Désinstaller. Pour en savoir plus, reportez-vous à « Paramètres de stratégie ».

Utilisez cette option pour autoriser ou refuser la désinstallation des applications installées lorsque les conditions de la règle sont réunies. Vous configurez des éléments de contrôle Désinstaller en définissant les applications à contrôler. Vous pouvez appliquer des options de validation supplémentaires pour cibler un éditeur et des versions d'application spécifiques. Pour autoriser ou interdire toutes les applications d'un éditeur, entrez * dans le champ Application, combiné au nom de l'éditeur.

Pour consulter un exemple d'utilisation d'un élément de contrôle Désinstaller, reportez-vous à « Élévation d'un groupe - Exemple, autoriser la désinstallation de Microsoft OneDrive ».

AppSense - Éléments de contrôle Désinstaller

Le nom d'entreprise AppSense est devenu Ivanti. C'est pourquoi les configurations Application Control (Contrôle des applications) qui incluent des éléments Désinstaller AppSense* ne contrôlent pas les produits Ivanti qui portaient auparavant le nom AppSense.

Lorsque vous ouvrez une configuration contenant des éléments de contrôle Désinstaller AppSense* dans une console 10.1 FR1 (ou supérieur), une boîte de dialogue apparaît. Cette boîte de dialogue comprend une option permettant d'ajouter automatiquement la mention Ivanti* à toutes les règles contenant AppSense*. Les contrôles Désinstaller fonctionnent en mettant en correspondance le nom et l'éditeur figurant sous Programmes et fonctionnalités. En acceptant la mise à jour automatique, vous garantissez que, lorsque la configuration est déployée vers un agent portant la nouvelle marque Application Control (Contrôle des applications) 10.1 FR1 (ou supérieur), les produits AppSense renommés en Ivanti restent soumis aux mêmes contrôles Désinstaller.

Éléments de contrôle Service

Utilisez cette option pour choisir les services qui peuvent être modifiés, arrêtés, démarrés et redémarrés lorsque les conditions de la règle sont remplies.

Le service Agent est le seul que vous ne pouvez pas redémarrer après l'avoir arrêté.

Vous configurez des éléments de contrôle Service en spécifiant le nom du service ou son nom d'usage. Le nom d'affichage du service peut varier en fonction de la version traduite du système d'exploitation.

Pour consulter un exemple d'utilisation d'éléments de contrôle Service, reportez-vous à « Interdiction de l'arrêt du service Pare-feu Windows ».

Éléments de contrôle Journal d'événements

Utilisez cette option pour choisir les journaux d'événements qui peuvent ou ne peuvent pas être effacés lorsque les conditions de la règle sont remplies.Vous configurez des éléments de contrôle Journal d'événements en sélectionnant le nom du ou des journaux à contrôler.

Pour consulter un exemple d'utilisation d'éléments de contrôle Journal d'événements, reportez-vous à « Interdiction de l'effacement du journal système ».

Élément de contrôle Fin de processus

Utilisez cette option pour protéger des processus (comme les logiciels antivirus) d'un arrêt par l'utilisateur, quel qu'il soit, y compris les administrateurs. Les utilisateurs peuvent toujours arrêter correctement des processus, par exemple en cliquant sur Fermer dans l'interface d'une application. Cependant, ils ne peuvent pas forcer l'arrêt d'un processus (en cliquant sur Fin de tâche dans l'onglet Détails de Gestionnaire de tâches, par exemple). Vous pouvez spécifier un seul fichier ou cibler tous les processus portant sur un dossier spécifique.

(Facultatif) Ajoutez des métadonnées pour inclure des critères supplémentaires de recherche de fichiers et dossiers.

Pour en savoir plus, reportez-vous à « Métadonnées ».

Rubriques connexes

Auto-élévation

Privilèges utilisateur - Composants contrôlés

Gestion des privilèges utilisateur