Gestion des privilèges utilisateur - Scénarios d'utilisation

La gestion des privilèges utilisateur obéit à de nombreux scénarios d'utilisation et résout des problèmes que de nombreuses entreprises n'avaient jamais pu résoudre. Voici quelques scénarios :

  • Les entreprises qui utilisent des comptes d'administrateur local pour leurs utilisateurs peuvent avoir besoin de verrouiller les éléments du poste de travail, notamment le Panneau de configuration, ou les outils Ajouter un matériel, Ajouter et supprimer des programmes, et Programmes et fonctionnalités. En abaissant dynamiquement le compte d'utilisateur du niveau Administrateur au niveau Utilisateur standard pour des contrôles spécifiques, vous interdisez à cet utilisateur tout accès aux contrôles en question et il ne peut pas exécuter d'opération non voulue.
  • Certaines applications nécessitent des droits Administrateur parce que l'application proprement dite interagit avec certaines portions du système d'exploitation ou du registre du poste de travail. Cependant, il n'est pas judicieux pour l'entreprise de donner à tous les utilisateurs un compte Administrateur complet. La gestion des privilèges utilisateur permet d'élever les droits utilisateur au niveau Administrateur pour une application spécifique, ce qui permet à l'utilisateur d'exécuter son application tout en protégeant le poste de travail.
  • Les éléments de mise à jour automatique de certaines applications peuvent nécessiter des droits Administrateur pour l'exécution des opérations de mise à jour, et ne fonctionnent donc pas dans le contexte d'un utilisateur standard. La gestion des privilèges utilisateur permet d'autoriser l'application concernée à s'exécuter dans le contexte d'un compte d'administrateur, alors que toutes les autres applications restent dans un contexte d'utilisateur standard.
  • Les utilisateurs mobiles peuvent avoir besoin de changer manuellement leur adresse IP, de configurer un réseau sans fil, ou de changer les propriétés de date/heure, et toutes ces opérations nécessitent des droits Admin.
  • La gestion des privilèges utilisateur permet d'élever les droits utilisateur au niveau Administrateur pour des tâches spécifiques, ce qui permet à l'utilisateur d'apporter les changements nécessaires.

Élévation des privilèges utilisateur pour l'exécution d'applications.

Les utilisateurs ont souvent besoin de droits Admin pour remplir leur rôle. La gestion des privilèges utilisateur vous permet d'élever les droits d'un utilisateur au niveau Administrateur pour les applications spécifiées. Pour élever des privilèges utilisateur, vous devez d'abord créer une stratégie et l'appliquer à une règle.

  1. Accédez au nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter une stratégie.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif, comme Élévation vers droits Admin.

  5. Sélectionnez la nouvelle stratégie et, dans le ruban Gestion des privilèges, cliquez sur Ajouter une action de groupe.

    La boîte de dialogue Sélection de compte s'affiche.

  6. Naviguez jusqu'au groupe à ajouter à la stratégie et sélectionnez-le.

  7. Le groupe est affiché dans l'onglet Appartenance au groupe de la zone de travail Stratégie de privilèges utilisateur.

    Vérifiez que la mention Ajouter une appartenance apparaît dans la colonne Action. Cela permet aux utilisateurs d'exécuter une application comme s'ils étaient membres du groupe.

    • L'onglet Appartenance au groupe sert à spécifier les références d'authentification sous lesquelles une application peut s'exécuter.
    • L'onglet Privilèges permet un contrôle granulaire des privilèges dont l'utilisateur va disposer sur l'application.
    • L'onglet Propriétés sert à spécifier le niveau d'intégrité. Les applications à faible niveau d'intégrité ne peuvent pas interagir avec les applications dont le niveau d'intégrité est plus élevé.
  1. Sélectionnez Règles > Groupe > Tout le monde > Privilèges utilisateur dans le volet de navigation.
  2. Dans le ruban Privilège, sélectionnez la liste déroulante Ajouter un élément, mettez en surbrillance l'entrée Application, puis sélectionnez l'une des options Fichier, Dossier, Signature ou Groupe.
  3. Sélectionnez l'élément à ajouter.
  4. Définissez l'option Stratégie de privilèges utilisateur sur la stratégie créée à l'étape « Création d'une stratégie de gestion des privilèges utilisateur », ci-dessus.
  5. Sélectionnez le nœud Tout le monde.
  6. Faites glisser le curseur Niveau de sécurité sur Non restreint pour éviter tout blocage par .
  7. Enregistrez la configuration.

L'événement 9018 effectue un audit lorsque les privilèges utilisateur sur une application changent.

Exemple : Pour autoriser les utilisateurs à exécuter Visual Studio et le débogage d'applications

Les utilisateurs ont souvent besoin de privilèges Admin pour exécuter (par exemple) Visual Studio et pour déboguer les applications. Utilisez la gestion des privilèges utilisateur pour élever les droits au niveau Administrateur pour les applications spécifiées.

Pour élever des privilèges utilisateur, vous devez d'abord créer une ou plusieurs stratégies réutilisables, et les appliquer à une règle.

  1. Sélectionnez le nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Sélectionnez Ajouter une stratégie dans le ruban Gestion des privilèges.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif, comme Élévation pour Visual Studio.

  5. Dans le ruban Gestion des privilèges, cliquez sur Ajouter une action de groupe.

    La boîte de dialogue Sélection de compte s'affiche.

  6. Naviguez jusqu'au groupe à ajouter à la stratégie et sélectionnez-le.

    Le groupe est ajouté à l'onglet Appartenance au groupe de la zone de travail de la règle.

  7. Dans l'onglet, vérifiez que la mention Ajouter une appartenance apparaît dans la colonne Action.

    Cela permet aux utilisateurs d'exécuter une application comme s'ils étaient membres du groupe.

  1. Sélectionnez le nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Sélectionnez Ajouter une stratégie dans le ruban Gestion des privilèges.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif, comme Exécution du débogage.

  5. Sélectionnez l'onglet Privilèges.

    La zone de travail Privilèges apparaît.

  6. Cliquez sur le menu déroulant correspondant au privilège de débogage dans la colonne Action, puis sélectionnez Activer.
  1. Sélectionnez le nœud Règles > Groupe dans le volet de navigation.

  2. Cliquez sur la liste déroulante Ajouter une règle dans le ruban Règles et sélectionnez Règle de groupe.

    La boîte de dialogue Ajouter une règle de groupe s'affiche.

  3. Entrez le nom de domaine dans le champ Compte.
  4. Cliquez sur Ajouter.

  1. Sélectionnez le nœud Privilèges utilisateur sous la règle que vous avez créée.

    La zone de travail Privilèges utilisateur apparaît.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Application > Fichier.
    La boîte de dialogue Ajouter un fichier pour la gestion des privilèges utilisateur s'affiche.
  3. Naviguez jusqu'au fichier d'application Visual Studio et sélectionnez-le.
  4. Sélectionnez l'option Appliquer aux processus enfant.

  5. Cliquez sur Ajouter.

    Le chemin et le nom du fichier exécutable sont ajoutés à l'onglet Applications de la zone de travail.

  6. Dans l'onglet, sélectionnez la stratégie Élévation de Visual Studio dans la colonne Stratégie de privilèges utilisateur. Il s'agit de la stratégie créée à l'étape 1.

  1. Dans la zone de travail Privilèges utilisateur, sélectionnez Ajouter un élément > Application > Fichier dans le ruban Gestion des privilèges.

    La boîte de dialogue Ajouter un fichier pour la gestion des privilèges utilisateur s'affiche.

  2. Entrez * dans le champ Fichier.Cela autorise toutes les applications de débogage.
  3. Cliquez sur Ajouter.

  4. Sélectionnez la stratégie Exécution du débogage dans la colonne Stratégie de privilèges utilisateur.

    Il s'agit de la stratégie créée à l'étape 4.

Enregistrez la configuration.

Élévation des privilèges utilisateur pour l'exécution de composants Panneau de configuration

De nombreux utilisateurs itinérants ont besoin d'effectuer des opérations qu'il faut exécuter en tant qu'administrateur, notamment :

  • Installation d'imprimantes
  • Modification des paramètres de réseau et de pare-feu
  • Modification de la date et de l'heure
  • Ajout et suppression de programmes

Toutes ces tâches nécessitent l'exécution des composants en tant qu'administrateur.

Utilisez la gestion des privilèges utilisateur pour élever les privilèges de composants spécifiques afin que les utilisateurs standard non-administrateurs puissent apporter les changements nécessaires pour leur rôle.

Élévation des privilèges pour un composant

  1. Sélectionnez le nœud Privilèges utilisateur, sous le nœud Règles applicable. Par exemple, le nœud Groupe > Tout le monde.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  3. Sélectionnez le ou les composants à élever, puis cliquez sur OK.

    Utilisez le filtre, en haut de la boîte de dialogue Sélectionner des composants, pour filtrer les composants par système d'exploitation.

    Le composant figure désormais dans la liste de l'onglet Composants dans la zone de travail de la stratégie.

  4. Vérifiez que la stratégie Élévation intégrée est sélectionnée dans la colonne Stratégie de privilèges utilisateur.
  5. Enregistrez la configuration.

La fonction de défragmentation de disque exige des privilèges Admin et est gérée par un composant spécifique. Utilisez la gestion des privilèges pour élever les privilèges utilisateur pour ce composant afin d'autoriser l'utilisateur à défragmenter un disque.

  1. Sélectionnez le nœud Règles applicable. Par exemple, le nœud Groupe > Tout le monde.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  3. Sélectionnez le composant Défragmenter et cliquez sur OK.

    Utilisez le filtre, en haut de la boîte de dialogue Sélectionner des composants, pour filtrer les composants par système d'exploitation.

    Le composant est ajouté à l'onglet Composants dans la zone de travail de la règle.

  4. Cliquez sur la liste déroulante dans la colonne Stratégie de privilèges utilisateur, puis sélectionnez la stratégie Élévation intégrée.
  5. Enregistrez la configuration.

La mise à jour de Microsoft Windows est gouvernée par un composant spécifique. Utilisez la gestion des privilèges pour élever les privilèges pour ce composant afin que les utilisateurs standard non-administrateurs puissent apporter les changements nécessaires pour leur rôle.

Pour élever les privilèges pour l'applet :

  1. Sélectionnez le nœud Règles applicable. Par exemple, le nœud Groupe > Tout le monde.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  3. Sélectionnez le composant Mise à jour automatique\Windows Update, puis cliquez sur OK.

    Utilisez le filtre, en haut de la boîte de dialogue Sélectionner des composants, pour filtrer les composants par système d'exploitation.

    Le composant est ajouté à l'onglet Composants dans la zone de travail de la règle.

  4. Cliquez sur la liste déroulante dans la colonne Stratégie de privilèges utilisateur, puis sélectionnez la stratégie Élévation intégrée.
  5. Enregistrez la configuration.

Réduction des privilèges pour restreindre les privilèges d'application

L'exécution de certaines applications en tant qu'administrateur permet à l'utilisateur de changer de nombreux paramètres indésirables, d'installer des applications et, potentiellement, d'ouvrir le poste de travail à Internet. Utilisez la gestion des privilèges utilisateur pour empêcher, par exemple, un utilisateur de niveau Administrateur d'exécuter Internet Explorer en mode Utilisateur standard, ce qui préserve le poste de travail.

Pour élever des privilèges utilisateur, vous devez d'abord créer une stratégie et l'appliquer à une règle.

  1. Accédez au nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter une stratégie.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif, comme Réduction des droits Admin.
  5. Sélectionnez la nouvelle stratégie et, dans le ruban Gestion des privilèges, sélectionnez Ajouter une action de groupe.
    La boîte de dialogue Sélection de compte s'affiche.

  6. Naviguez jusqu'au groupe à ajouter à la stratégie et sélectionnez-le.Il s'agit des références d'authentification de compte nécessaires pour exécuter l'application. Cliquez sur Ajouter.

    Le groupe est affiché dans l'onglet Appartenance au groupe de la zone de travail de la stratégie.

  7. Sélectionnez Supprimer l'appartenance dans la colonne Action.
    • L'onglet Appartenance au groupe sert à spécifier les références d'authentification sous lesquelles une application peut s'exécuter.
    • L'onglet Privilèges permet un contrôle granulaire des privilèges dont l'utilisateur va disposer sur l'application.
    • L'onglet Propriétés sert à spécifier le niveau d'intégrité. Les applications à faible niveau d'intégrité ne peuvent pas interagir avec les applications dont le niveau d'intégrité est plus élevé.
  1. Naviguez jusqu'au nœud Règles > Groupe > Tout le monde > Privilèges utilisateur.
  2. Dans le ruban Gestion des privilèges, sélectionnez la liste déroulante Ajouter un élément, pointez sur Application, puis sélectionnez l'une des options suivantes :
    • Fichier
    • Dossier
    • Signature
    • Groupe
  3. Sélectionnez l'élément à ajouter.
  4. Définissez l'option Stratégie de privilèges utilisateur sur la stratégie créée à l'étape 1.
  5. Sélectionnez le nœud Tout le monde.
  6. Faites glisser le curseur Niveau de sécurité sur Restreint.
  7. Enregistrez la configuration.

L'événement 9018 effectue un audit lorsque les privilèges utilisateur sur une application changent.

Réduction des privilèges utilisateur pour l'exécution de composants

Utilisez la gestion des privilèges utilisateur pour réduire les privilèges de composants spécifiques afin que les utilisateurs standard non-administrateurs ne puissent pas apporter certains changements.

Réduction des privilèges pour un composant

  1. Sélectionnez le nœud Privilèges utilisateur, sous le nœud Règles applicable. Par exemple, le nœud Groupe > Tout le monde.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  3. Sélectionnez le ou les composants pour lesquels réduire les privilèges, puis cliquez sur OK.

    Utilisez le filtre, en haut de la boîte de dialogue Sélectionner des composants, pour filtrer les composants par système d'exploitation.

    Le composant sélectionné figure désormais dans l'onglet Composants de la zone de travail.

  4. Cliquez sur la liste déroulante dans la colonne Stratégie de privilèges utilisateur, puis sélectionnez la stratégie Restriction intégrée.
  5. Enregistrez la configuration.

Services est un composant du panneau de configuration. Utilisez la gestion des privilèges utilisateur pour réduire les privilèges du composant Services afin que les utilisateurs standard non-administrateurs ne puissent pas démarrer/arrêter des services.

  1. Sélectionnez le nœud Privilèges utilisateur, sous le nœud Règles applicable. Par exemple, le nœud Groupe > Tout le monde.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  3. Sélectionnez le composant Services, puis cliquez sur OK.

    Utilisez le filtre, en haut de la boîte de dialogue Sélectionner des composants, pour filtrer les composants par système d'exploitation.

    Le composant sélectionné figure désormais dans l'onglet Composants de la zone de travail.

  4. Cliquez sur la liste déroulante dans la colonne Stratégie de privilèges utilisateur, puis sélectionnez la stratégie Restriction intégrée.
  5. Enregistrez la configuration.

Sécurisation des boîtes de dialogue

Un administrateur peut utiliser Application Control (Contrôle des applications) et l'outil Gestion des privilèges pour élever les droits d'un utilisateur standard et lui donner des privilèges Administrateur. En autorisant un utilisateur à disposer de privilèges Administrateur, vous lui donnez accès à tous les fichiers, y compris les fichiers système importants. Il peut aussi, par exemple, les supprimer ou les renommer. Ces opérations peuvent endommager le système.

Application Control (Contrôle des applications) et Gestion des privilèges incluent la fonction Sécuriser les boîtes de dialogue communes, qui interdit aux utilisateurs de manipuler les fichiers. Les boîtes de dialogue continuent à s'ouvrir et à donner accès aux fichiers, mais il est impossible de supprimer ou de renommer ces fichiers.

Application Control (Contrôle des applications) ne restreint pas l'accès aux zones auxquelles l'utilisateur peut normalement accéder.

Élévation vers le niveau Administrateur et sécurisation des boîtes de dialogue communes

Scénario

  • Vous êtes administrateur IT
  • Vous créez une nouvelle stratégie de privilèges utilisateur

Processus

  1. Naviguez jusqu'au nœud Bibliothèque > Stratégie de privilèges utilisateur et sélectionnez Ajouter une stratégie dans le ruban Gestion des privilèges.

    Une nouvelle stratégie est créée.

  2. Cliquez avec le bouton droit sur la nouvelle stratégie et choisissez Renommer.
  3. Donnez à la stratégie un nom intuitif, comme Élévation vers Administrateur.

  4. Sélectionnez la nouvelle stratégie et, dans le ruban Gestion des privilèges, cliquez sur Ajouter une action de groupe.

    La boîte de dialogue Sélection de compte s'affiche.

  5. Indiquez le compte d'administrateur dans le champ Compte ou utilisez le bouton Parcourir pour rechercher un compte. Cliquez sur Ajouter.
  6. Vérifiez que l'option Ajouter une appartenance est sélectionnée dans la colonne Action. Il s'agit du paramètre par défaut. L'option Ajouter une appartenance permet aux utilisateurs d'exécuter une application comme s'ils étaient membres du groupe indiqué. L'option Supprimer l'appartenance interdit aux utilisateurs d'exécuter une application.
  7. Sélectionnez le nœud Privilèges utilisateur du groupe approprié, par exemple, le groupe Tout le monde.
  8. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Application > Fichier.
  9. La boîte de dialogue Ajouter un fichier pour la gestion des privilèges utilisateur s'affiche.
  10. Entrez le nom de l'application pour laquelle vous voulez sécuriser les boîtes de dialogue communes, ou cliquez sur le bouton Parcourir et accédez à l'application.
  11. Vérifiez que l'option Appliquer aux boîtes de dialogue communes est sélectionnée.
  12. Cliquez sur Ajouter.
  13. Vérifiez que la stratégie créée aux étapes 1 à 6 est sélectionnée dans la colonne Stratégie de privilèges utilisateur.
  14. Enregistrez la configuration.