Gestion des privilèges via des paramètres de configuration
Auto-élévation
L'option Auto-élévation s'applique aux fichiers, dossiers, hachages de fichier et collections de règles qui nécessitent habituellement des privilèges Administrateur pour leur exécution et leur fonctionnement. L'auto-élévation ajoute une option dans le menu contextuel de l'Explorateur Windows, qui permet d'exécuter un élément avec des droits élevés. Vous pouvez préciser que, lorsqu'un utilisateur tente d'élever un élément spécifique, une invite doit apparaître pour lui demander d'indiquer la raison de l'élévation avant l'opération.
La fonction Auto-élévation est soumise à audit, si bien que vous pouvez surveiller les types d'application pour lesquels les utilisateurs utilisent généralement l'auto-élévation. Vous pouvez ajouter ces éléments au nœud Gestion des privilèges approprié dans une configuration pour que les utilisateurs puissent y accéder sans émettre de demande.
Dans les environnements où le contrôle de compte d'utilisateur (UAC) est désactivé, vous pouvez autoriser l'auto-élévation des propriétés de fichier et de dossier dans l'Explorateur Windows, à l'aide du paramètre personnalisé SelfElevatePropertiesEnabled. Dans ce cas, vous pouvez personnaliser le texte de l'option du menu contextuel correspondant à l'Explorateur Windows, à l'aide du paramètre personnalisé SelfElevatePropertiesMenuText.
Le nœud Paramètres de configuration > Gestion des privilèges permet de configurer la liste des types de fichier et applications associées que les utilisateurs peuvent ouvrir avec des privilèges élevés ou d'administration. Lorsqu'un utilisateur clique sur un fichier avec le bouton droit, Contrôle des applications effectue les vérifications suivantes pour déterminer si cet utilisateur peut élever les droits pour l'application associée à ce fichier :
- Le type du fichier figure-t-il dans la liste des associations de fichiers ?
- Non - Impossible d'auto-élever le fichier.
- Oui - Vérifier l'application associée.
- Existe-t-il une application associée ?
- Non - Le fichier est auto-élevé avec l'application associée sur le poste client de l'utilisateur.
- Oui - Le fichier ne peut être auto-élevé que s'il est ouvert dans l'application spécifiée dans la liste des associations de fichiers.
Si l'application peut être auto-élevée, l'option correspondante est disponible dans le menu contextuel et l'utilisateur accède à cette application avec des privilèges élevés. Si l'utilisateur remplace un programme par défaut par un autre qui n'est pas l'application associée définie dans la configuration, l'option Auto-élévation n'est plus disponible dans le menu contextuel.
Options
Afficher une zone de message demandant à l'utilisateur la raison de l'auto-élévation - Sélectionnez cette option pour afficher un message afin de forcer l'utilisateur à indiquer la raison de sa demande d'auto-élévation.
Vous pouvez configurer ce message sous Paramètres des messages de configuration > Gestion des privilèges.
Mise à jour des associations de fichiers
Accédez à Configuration Application Control, ouvrez la fenêtre, puis sélectionnez Paramètres de configuration > Gestion des privilèges.
Mettez à jour la liste des extensions et des applications associées, à l'aide des options Ajouter, Modifier et Supprimer du menu contextuel. Vous pouvez ajouter toutes les extensions de votre choix.
Les extensions suivantes sont incluses par défaut :
| Extension de fichier | Application associée |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
Rubriques connexes
Ensemble de règles - Gestion des privilèges
Paramètres de configuration Application Control
Paramètres de configuration - Contrôle des exécutables