Privilèges utilisateur

Un privilège est un droit accordé à un compte utilisateur, qui l'autorise à exécuter une opération système spécifique, comme l'arrêt de l'ordinateur ou le changement de l'heure système. Vous pouvez utiliser la fonction Gestion des privilèges pour affecter (activer) ou refuser (désactiver) des privilèges.

Dans cette section :

Stratégies de privilèges utilisateur

Par défaut, la stratégie d'élévation est appliquée aux nouveaux éléments de règle. Lorsque vous élevez l'élément sélectionné, il reçoit des privilèges plus élevés et n'a pas besoin qu'un administrateur l'exécute.

Les stratégies de privilèges utilisateur constituent une alternative à l'utilisation de la règle Élever par défaut et vous pouvez les personnaliser pour répondre aux besoins de votre entreprise. Les stratégies peuvent servir à désigner un utilisateur spécifique comme membre d'un groupe « Superutilisateur » ou à supprimer un utilisateur du groupe Administrateurs.

Lorsque vous créez une stratégie de privilèges utilisateur, vous pouvez la personnaliser à l'aide des trois onglets suivants :

  • Appartenance au groupe - L'option Appartenance au groupe permet de spécifier les groupes d'utilisateurs Windows à ajouter ou à supprimer lors de l'application d'une stratégie. Vous ajoutez une action de groupe au contenu de la stratégie, puis spécifiez si le groupe sélectionné doit ou non être appliqué à la stratégie nouvellement créée, ou s'il faut supprimer des membres.

    Lorsque vous attribuez l'appartenance à un groupe d'utilisateurs, vous ajoutez uniquement le groupe sélectionné, sans ses sous-groupes imbriqués. Par exemple, si vous affectez l'appartenance au groupe Administrateurs de domaine, cela n'inclut pas automatiquement le groupe Administrateur local. Vous devez donc l'ajouter séparément.

  • Privilèges - Un privilège est un droit accordé à un compte utilisateur, qui l'autorise à exécuter une opération système spécifique, comme l'arrêt de l'ordinateur ou le changement de l'heure système. Vous pouvez utiliser la fonction Gestion des droits utilisateur pour activer, désactiver ou supprimer des privilèges :
    • Aucun changement - Conserve le privilège inchangé, avec son jeton d'origine.
    • Activé - Définit l'indicateur du jeton sur Activé.
    • Désactivé - Définit l'indicateur du jeton sur Désactivé.
    • Supprimer - Supprime le privilège du jeton. Vous ne pouvez pas annuler cette option.
  • Propriétés - Ajoutez une description pour la stratégie dans l'onglet Propriétés.

Création d'une stratégie de gestion des privilèges utilisateur

  1. Sélectionnez le nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Sélectionnez Ajouter une stratégie dans le ruban Gestion des privilèges.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif.
  5. Effectuez une ou plusieurs des opérations suivantes :
    • Utilisez l'onglet Appartenance au groupe pour spécifier les références d'authentification avec lesquelles une application peut s'exécuter. Par exemple, précisez le groupe concerné, et s'il faut ajouter ou supprimer l'appartenance à ce groupe. L'ajout de l'appartenance permet aux utilisateurs d'exécuter une application comme s'ils étaient membres du groupe.
    • Utilisez l'onglet Privilèges pour un contrôle granulaire des privilèges dont l'utilisateur va disposer sur l'application.
    • L'onglet Propriétés sert à spécifier le niveau d'intégrité.Les applications à faible niveau d'intégrité ne peuvent pas interagir avec les applications dont le niveau d'intégrité est plus élevé.

Les stratégies de gestion des privilèges utilisateur sont réutilisables.

Ajout de l'option Appartenance au groupe à une stratégie

En général, les utilisateurs standard n'ont pas de droits d'administrateur. La procédure suivante montre comment créer une stratégie de privilèges utilisateur pour un technicien du centre de support. La gestion des privilèges utilisateur permet d'ajouter des membres au groupe sélectionné ou d'en supprimer. La première étape, pour créer la configuration, consiste à créer une stratégie de privilèges utilisateur et à spécifier l'appartenance au groupe. Ici, il faut ajouter cette appartenance.

  1. Dans la console Application Control (Contrôle des applications), sélectionnez le nœud Stratégies de privilèges utilisateur, sous Bibliothèque.

  2. Dans le ruban Gestion des privilèges, sélectionnez Ajouter une stratégie.

    La nouvelle stratégie est ajoutée sous le nœud Stratégies de privilèges utilisateur dans le volet de navigation.

    Pour trier les stratégies du nœud Stratégies de privilèges utilisateur, cliquez sur ce nœud avec le bouton droit, puis sélectionnez Tri croissant ou Tri décroissant.

  3. Dans la zone de travail, cliquez sur le nom de la nouvelle stratégie pour qu'il devienne modifiable.
  4. Donnez un nom à la stratégie, par exemple, CentreSupport.

  5. Dans le ruban Gestion des privilèges, cliquez sur Ajouter une action de groupe.

    La boîte de dialogue Sélection de compte s'affiche.

  6. Indiquez ou sélectionnez le groupe CentreSupport (SupportDesk), et cliquez sur OK.

    Le groupe est ajouté à l'onglet Appartenance au groupe de la zone de travail de la stratégie.

  7. Dans l'onglet, vérifiez que la mention Ajouter une appartenance est visible dans la colonne Action. Il s'agit du paramètre par défaut.

Affectation de privilèges à une stratégie

  1. Sélectionnez le nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Sélectionnez Ajouter une stratégie dans le ruban Gestion des privilèges.
  3. Sélectionnez la nouvelle stratégie, cliquez dessus avec le bouton droit et choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif.
  5. Sélectionnez l'onglet Privilèges pour un contrôle granulaire des privilèges dont l'utilisateur va disposer sur l'application.
  6. Identifiez le privilège à affecter.
  7. Cliquez sur le menu déroulant correspondant au privilège dans la colonne Action, puis sélectionnez Activer.

Exemple : Création d'une configuration qui autorise le téléchargement de Microsoft OneDrive

  1. Accédez au nœud Bibliothèque > Stratégies de privilèges utilisateur.
  2. Sélectionnez le bouton Ajouter une stratégie dans le ruban.
  3. Cliquez avec le bouton droit sur la nouvelle stratégie sous le nœud Stratégies de privilèges utilisateur, puis choisissez Renommer.
  4. Donnez à la stratégie un nom intuitif, comme Élever.
  5. Sélectionnez le bouton Ajouter une action de groupe dans le ruban.
  6. Entrez le nom du groupe d'utilisateurs administateurs ou utilisez le bouton Parcourir pour accéder au compte voulu.
  7. Vérifiez que l'option Ajouter une appartenance est sélectionnée dans la colonne Action.
  1. Sélectionnez le nœud Privilèges utilisateur du groupe approprié, par exemple, le groupe Tout le monde.

  2. Sélectionnez Ajouter un élément > Application > Fichier.

    La boîte de dialogue Ajouter un fichier pour la gestion des privilèges utilisateur s'affiche.

  3. Entrez le nom de l'installation Web à ajouter dans le champ Fichier (par exemple, onedrive.exe), ou utilisez le bouton Parcourir pour trouver le fichier voulu et le sélectionner.
  4. Sélectionnez Appliquer aux processus enfant.
  5. Sélectionnez Installer en tant que propriétaire de confiance.
  6. Cliquez sur Ajouter.
  7. Vérifiez que la stratégie créée par la procédure de la première étape, Élever, est sélectionnée dans la colonne Stratégie de privilèges utilisateur.
  1. Sélectionnez le nœud Éléments autorisés correspondant au même groupe.

  2. Sélectionnez Ajouter un élément > Autorisé > Élément de signature.

    La boîte de dialogue Ajouter une signature s'ouvre.

  3. Naviguez jusqu'à l'installation Web et cliquez sur Ouvrir.
  4. Enregistrez la configuration.

Vous devez aussi tenir compte d'autres éléments configurables. Par exemple, pour une installation ActiveX, vous avez besoin d'autoriser l'exécution du fichier ActiveX, ainsi que de tous les exécutables appelés par ce contrôle. Vous devez penser aux options Règles de processus, Fournisseurs de confiance, Certificats numériques, Éléments autorisés, Éléments élevés, etc.

Privilèges

Le tableau suivant contient la liste complète des privilèges, et explique quand et comment les composants système les recherchent.

Privilège Droit utilisateur Utilisation du privilège
SeAssignPrimaryTokenPrivilege Remplacer un jeton de niveau processus Recherché par différents composants, notamment NtSetInformationJob, qui définit le jeton d'un processus.
SeAuditPrivilege Générer des audits de sécurité Requis pour générer des événements pour le journal des événements Sécurité avec l'API ReportEvent.
SeBackupPrivilege Sauvegarder les fichiers et répertoires Demande à NTFS d'octroyer l'accès suivant à tous les fichiers ou répertoires, quel que soit le descripteur de sécurité présent.

READ_CONTROL

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_READ

FILE_TRAVERSE

Lors de l'ouverture d'un fichier pour la sauvegarde, l'appelant doit spécifier l'indicateur FILE_FLAG_BACKUP_SEMANTICS. Autorise également l'accès correspondant aux clés de registre pour l'utilisation.
SeChangeNotifyPrivilege Ignorer la vérification transversale Permet à NTFS d'éviter de vérifier les permissions des répertoires intermédiaires d'une recherche de répertoire multiniveau. Également utilisé par les systèmes de fichiers lorsque des applications s'inscrivent afin de recevoir des notifications de changement dans la structure du système de fichiers.
SeCreateGlobalPrivilege Créer des objets globaux Requis pour qu'un processus crée des objets de section et de lien symbolique dans les répertoires de l'espace de noms du gestionnaire d'objet affectés à une autre session que celle de l'appelant.
SeCreatePagefilePrivilege Créer un fichier de page Recherché par NtCreatePagingFile, fonction utilisée pour créer un nouveau fichier de pagination.
SeCreatePermanentPrivilege Créer des objets partagés permanents Recherché par le gestionnaire d'objets lors de la création d'un objet permanent (objet dont l'affectation n'est pas annulée lorsqu'il n'existe plus aucune référence pointant dessus).
SeCreateSymbolicLinkPrivilege Créer des liens symboliques Recherché par NTFS lors de la création de liens symboliques dans le système de fichiers avec l'API CreateSymbolicLink.
SeCreateTokenPrivilege Créer un jeton NtCreateToken, fonction qui crée un objet Jeton, recherche ce privilège.
SeDebugPrivilege Programmes de débogage Si ce privilège est activé pour l'appelant, le gestionnaire de processus autorise l'accès à tous les processus ou threads utilisant NtOpenProcess ou NtOpenThread, quel que soit le descripteur de sécurité de ce processus ou thread (sauf pour les processus protégés).
SeEnableDelegationPrivilege Permettre le marquage de comptes d'ordinateur et d'utilisateur comme De confiance pour la délégation Utilisé par les services Active Directory pour déléguer des références d'authentification authentifiées.
SeImpersonatePrivilege Prendre l'identité d'un client après l'authentification Le gestionnaire de processus recherche ce privilège lorsqu'un thread veut utiliser un jeton pour un emprunt d'identité, et que ce jeton représente un autre utilisateur que celui du jeton de processus du thread.
SeIncreaseBasePriorityPrivilege Augmenter la priorité de planification Recherché par le gestionnaire de processus et nécessaire pour augmenter la priorité d'un processus.
SeIncreaseQuotaPrivilege Ajuster les quotas de mémoire pour un processus Utilisé lors du changement des seuils d'ensemble de travail d'un processus, des quotas de pool avec ou sans pagination d'un processus, et du quota de taux d'UC d'un processus.
SeIncreaseWorkingSetPrivilege Augmenter l'ensemble de travail d'un processus Nécessaire pour appeler SetProcessWorkingSetSize afin d'augmenter l'ensemble de travail minimal. Cela permet indirectement d'autoriser le processus à se verrouiller sur la quantité de mémoire de l'ensemble de travail minimal avec VirtualLock.
SeLoadDriverPrivilege Charger et décharger des pilotes de périphérique Recherché par les fonctions de pilote NtLoadDriver et NtUnloadDriver.
SeLockMemoryPrivilege Verrouiller les pages en mémoire Recherché par NtLockVirtualMemory, implémentation de kernel de VirtualLock.
SeMachineAccountPrivilege Ajouter des postes de travail au domaine Recherché par le gestionnaire de comptes d'utilisateur sur un contrôleur de domaine, lors de la création d'un compte de machine dans un domaine.
SeManageVolumePrivilege Exécuter des tâches de maintenance sur le volume Appliqué par les pilotes de système de fichiers lors de l'opération d'ouverture d'un volume, nécessaire pour les opérations de vérification du disque et de défragmentation.
SeProfileSingleProcessPrivilege Profiler un seul processus Recherché par Superfetch et l'outil de chargement de code anticipé lors de la demande d'informations pour un processus spécifique via l'API NtQuerySystemInformation.
SeRelabelPrivilege Modifier une étiquette d'objet Recherché par SRM lors de l'augmentation du niveau d'intégrité d'un objet appartenant à un autre utilisateur, or lors d'une tentative d'élévation du niveau d'intégrité d'un objet à un niveau supérieur à celui du jeton de l'appelant.
SeRemoteShutdownPrivilege Forcer l'arrêt depuis un système distant L'outil de connexion à Windows (Winlogon) vérifie que les appelants distants de la fonction possèdent ce privilège.
SeRestorePrivilege Restaurer les fichiers et répertoires Ce privilège demande à NTFS d'octroyer l'accès suivant à tous les fichiers ou répertoires, quel que soit le descripteur de sécurité présent :

WRITE_DAC

WRITE_OWNER

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_WRITE

FILE_ADD_FILE

FILE_ADD_SUBDIRECTORY

DELETE

Lors de l'ouverture d'un fichier pour la sauvegarde, l'appelant doit spécifier l'indicateur FILE_FLAG_BACKUP_SEMANTICS. Autorise également l'accès correspondant aux clés de registre pour l'utilisation.
SeSecurityPrivilege Gérer l'audit et le journal de sécurité Nécessaire pour accéder au SACL d'un descripteur de sécurité, pour lire et effacer ce descripteur, et pour lire et effacer le journal des événements de sécurité.

 
SeShutdownPrivilege Arrêter le système Ce privilège est recherché par NtShutdownSystem et NtRaiseHardError, qui affichent une boîte de dialogue d'erreur système sur la console interactive.
SeSyncAgentPrivilege Synchroniser les données du service d'annuaire Nécessaire pour utiliser les services de synchronisation de l'annuaire LDAP. Permet au détenteur de lire tous les objets et toutes les propriétés de l'annuaire, quelle que soit la protection de ces éléments.
SeSystemEnvironmentPrivilege Modifier les variables d'environnement du microprogramme Nécessaire à NtSetSystemEnvironmentValue et NtQuerySystemEnvironmentValue pour modifier et lire les variables d'environnement du microprogramme avec la couche d'abstraction matérielle (HAL).
SeSystemProfilePrivilege Profiler les performances système Recherché par NtCreateProfile, fonction qui sert à effectuer le profilage du système. Utilisé, par exemple, par l'outil Kernprof.
SeSystemtimePrivilege Changer l'heure système Nécessaire pour changer l'heure ou la date.
SeTakeOwnership Devenir propriétaire des fichiers ou autres objets Nécessaire pour devenir propriétaire d'un objet sans obtenir d'accès discrétionnaire.
SeTcbPrivilege Agir comme partie intégrante du système d'exploitation Recherché par l'outil de surveillance des références de sécurité lorsque l'ID de session est défini dans un jeton, par le gestionnaire Plug-and-Play pour la création et la gestion des événements de Plug-and-Play, BroadcastSystemMessageEx lorsqu'il est appelé avec
SeTimeZonePrivilege Changer le fuseau horaire Nécessaire pour changer le fuseau horaire.
SeTrustedCredManAccessPrivilege Accéder à Gestionnaire de références d'authentification en tant que correspondant de confiance Recherché par Gestionnaire de références d'authentification pour vérifier qu'il faut faire confiance à l'appelant avec des informations de référence d'authentification pouvant faire l'objet d'une requête en texte brut. Par défaut, est attribué uniquement à la connexion Windows (Winlogon).
SeUndockPrivilege Supprimer l'ordinateur d'une station d'accueil Recherché par le gestionnaire Plug-and-Play en mode Utilisateur au lancement de la sortie de station d'accueil d'un ordinateur ou si une demande d'éjection de périphérique est émise.
SeUnsolicitedInputPrivilege Recevoir des données non sollicitées d'un périphérique de terminal Privilège actuellement non utilisé par Windows.

Rubriques connexes

Gestion des privilèges