Ensemble de règles - Gestion des privilèges

Dans cette section :

Applications

Pour désactiver un élément, mettez-le en surbrillance, cliquez avec le bouton droit et sélectionnez Changer l'état. Permet de basculer entre Activer et Désactiver, et inversement. Cela peut s'avérer utile pour le dépannage avec l'aide du support.

  1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Application > Fichier.
    La boîte de dialogue Ajouter un fichier pour la gestion des privilèges utilisateur s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au fichier à ajouter et cliquez sur Ouvrir.

    5. Si nécessaire, vous pouvez sélectionner les options suivantes :

      • Remplacer les variables d'environnement si possible
      • Utiliser une expression régulière
      • Marquer ce fichier comme Autorisé Si cette option est sélectionnée, vous pouvez aussi choisir d'autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance.
  5. (Facultatif) Entrez des arguments de ligne de commande dans le champ Arguments. Entrez tous les arguments tels qu'ils figurent dans l'Explorateur de processus (Process Explorer).
  6. Les arguments de ligne de commande étendent les critères de correspondance au-delà des valeurs entrées dans le champ Fichier. Si vous ajoutez un argument, le nom de fichier et l'argument doivent tous deux être satisfaits pour qu'une correspondance soit trouvée. Tous les arguments qui apparaissent dans la ligne de commande d'un processus (indicateurs, commutateurs, noms de fichier et GUID) peuvent être ajoutés.

Fichier refusé

Fichier autorisé

Résultat

shutdown.exe

shutdown.exe

Arguments : -r -t 30

shutdown.exe s'exécute uniquement si vous entrez -r -t 30 dans la ligne de commande. Tout autre mode d'exécution de shutdown.exe est refusé.

Pour configurer correctement les arguments d'un élément autorisé ou refusé, vous devez les utiliser tels qu'ils figurent dans l'Explorateur de processus, par exemple :

Fichier : C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Ligne de commande : "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Sera configuré comme :

File : Chemin absolu ou relatif de winword.exe

Arguments : /n C:\example.docx

  1. Pour appliquer une stratégie, sélectionnez-la dans la liste déroulante de la section Stratégie.
  2. Vous pouvez sélectionner pour la stratégie les options suivantes :
    • Appliquer aux processus enfant
    • Appliquer aux boîtes de dialogue communes
    • Installer en tant que propriétaire de confiance
  3. Si nécessaire (facultatif), entrez la description du fichier pour référence future.
  4. Pour ajouter des métadonnées au fichier, sélectionnez l'onglet Métadonnées :
  5. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

    6. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

    Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

    Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

    Pour en savoir plus, reportez-vous à « Options de vérification ».

  6. Cliquez sur Ajouter pour ajouter le fichier à l'ensemble de règles.
    L'élément Fichier est ajouté à la vue Applications de la zone de travail Gestion des privilèges.
  1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Application > Dossier.
    La boîte de dialogue Ajouter un dossier pour la gestion des privilèges utilisateur s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au dossier à ajouter et cliquez sur Ouvrir.

    5. Si nécessaire, vous pouvez sélectionner les options suivantes :

    • Remplacer les variables d'environnement si possible
    • Inclure les sous-dossiers
    • Utiliser une expression régulière
    • Marquer ce dossier comme Autorisé. Si cette option est sélectionnée, vous pouvez aussi choisir d'autoriser les fichiers à s'exécuter même s'ils n'appartiennent pas à un propriétaire de confiance.
  5. Pour appliquer une stratégie, sélectionnez-la dans la liste déroulante de la section Stratégie.
  6. Vous pouvez sélectionner pour la stratégie les options suivantes :
    • Appliquer aux processus enfant
    • Appliquer aux boîtes de dialogue communes
    • Installer en tant que propriétaire de confiance
  7. Si nécessaire (facultatif), entrez la description du dossier pour référence future.
  8. Pour ajouter des métadonnées au dossier, cliquez sur l'onglet Métadonnées.
  9. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

    10. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

    Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

    Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

    Pour en savoir plus, reportez-vous à « Options de vérification ».

  10. Cliquez sur Ajouter pour ajouter le dossier à l'ensemble de règles.
    L'élément Dossier est ajouté à la vue Applications de la zone de travail Gestion des privilèges.

Vous permet de spécifier un nouveau hachage de fichier pour lui appliquer la stratégie sélectionnée. Pour en savoir plus sur l'ajout d'un hachage de fichier.

  1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Application > Hachage de fichier.
    La boîte de dialogue Ajouter un hachage de fichier pour la gestion des privilèges utilisateur s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au hachage de fichier à ajouter et cliquez sur Ouvrir.
    • Marquer ce hachage de fichier comme Autorisé Sélectionnez cette option pour ajouter le hachage de fichier à la liste Éléments autorisés.
  5. (Facultatif) Entrez des arguments de ligne de commande dans le champ Arguments. Entrez tous les arguments tels qu'ils figurent dans l'Explorateur de processus (Process Explorer).
  6. Les arguments de ligne de commande étendent les critères de correspondance au-delà des valeurs entrées dans le champ Fichier. Si vous ajoutez un argument, le nom de fichier et l'argument doivent tous deux être satisfaits pour qu'une correspondance soit trouvée. Tous les arguments qui apparaissent dans la ligne de commande d'un processus (indicateurs, commutateurs, noms de fichier et GUID) peuvent être ajoutés.
  7. Pour appliquer une stratégie, sélectionnez-la dans la liste déroulante de la section Stratégie.
  8. Vous pouvez sélectionner pour la stratégie les options suivantes :
    • Appliquer aux processus enfant
    • Appliquer aux boîtes de dialogue communes
    • Installer en tant que propriétaire de confiance
  9. Si nécessaire (facultatif), entrez la description du hachage de fichier pour référence future.
  10. Si la valeur du hachage de fichier est affichée, sélectionnez Réanalyser pour la mettre à jour.
  11. Cliquez sur Ajouter pour ajouter le hachage de fichier à l'ensemble de règles.
    L'élément Hachage de fichier est ajouté à la vue Applications de la zone de travail Gestion des privilèges.
  1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Application > Collection de règles.
    La boîte de dialogue de sélection de la collection de règles apparaît.
  3. Cochez la case Ajouter à la règle pour la ou les collections à ajouter à l'ensemble de règles.
  4. Après avoir sélectionné une collection, vous pouvez spécifier les paramètres suivants :
    • Marquer Autorisé - Sélectionnez cette option pour marquer la collection de règles comme élément autorisé.
    • Autoriser un propriétaire autre que De confiance - Si vous avez sélectionné Marquer Autorisé, vous pouvez choisir d'autoriser les fichiers à s'exécuter même s'ils n'appartiennent pas à un propriétaire de confiance.
    • Appliquer aux processus enfant - Sélectionnez cette option pour appliquer les paramètres à tous les processus enfant.
    • Appliquer aux boîtes de dialogue communes - Sélectionnez cette option pour appliquer les paramètres aux boîtes de dialogue communes.
    • Installer en tant que propriétaire de confiance - Sélectionnez cette option pour effectuer l'installation en tant que propriétaire de confiance.
  5. Cliquez sur OK pour ajouter la ou les collections à la vue Applications dans la zone de travail Gestion des privilèges.

Composants

Ajouter un composant - Affiche la boîte de dialogue Sélectionner des composants.

Filtrez la vue en fonction du système d'exploitation pris en charge, puis sélectionnez le nom des modules complémentaires Panneau de configuration et Gestion à ajouter à la règle.

Auto-élévation

Activer l'auto-élévation - Sélectionnez cette option pour activer l'auto-élévation et appliquer le paramétrage requis :

  • Appliquer Auto-élévation uniquement aux éléments de la liste ci-dessous
  • Appliquer Auto-élévation à tous les éléments sauf ceux de la liste ci-dessous

Options - Affiche la boîte de dialogue des options d'auto-élévation.

Options Auto-élévation

Option Description
Marquer les éléments Autorisé Marque les éléments de règle comme autorisés et écrase les éléments autorisés associés.
Autoriser les fichiers à s'exécuter même s'ils n'appartiennent pas à un propriétaire de confiance

  • Cette option est disponible si vous avez sélectionné Marquer les éléments Autorisé. Lorsque cette option est sélectionné, tous les éléments de règle répertoriés sont exécutés, quel que soit leur propriétaire.

    		•
    Appliquer aux processus enfant Par défaut, la stratégie d'auto-élévation appliquée aux éléments de règle n'est pas héritée par les processus enfant. Sélectionnez cette option pour appliquer la stratégie aux enfants directs du processus parent.
    Appliquer aux boîtes de dialogue communes Élève les droits d'accès aux options de menu Ouvrir le fichier et Enregistrer le fichier lorsqu'un fichier ou un dossier a été élevé. Par défaut, aucune boîte de dialogue commune n'est élevée.
    Installer en tant que propriétaire de confiance Désigner l'administrateur local comme propriétaire de tous les fichiers créés par l'application définie. Cette option n'est pas appliquée aux applications standard, uniquement aux paquets Programme d'installation.
    Masquer l'option Windows 'Exécuter en tant qu'administrateur' pour les éléments avec auto-élévation Masque l'option Exécuter en tant qu'administrateur dans le menu contextuel Windows.
    1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
    2. Cliquez avec le bouton droit et sélectionnez Auto-élévation > Fichier.
      La boîte de dialogue Ajouter un fichier pour Auto-élévation s'affiche.
    3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
    4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au fichier à ajouter et cliquez sur Ouvrir.

      5. Si nécessaire, vous pouvez sélectionner les options suivantes :

      • Remplacer les variables d'environnement si possible
      • Utiliser une expression régulière
    5. Si nécessaire (facultatif), entrez la description du dossier pour référence future.
    6. Sélectionnez l'onglet Métadonnées.
    7. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

      8. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

      Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

      Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

      Pour en savoir plus, reportez-vous à « Options de vérification ».

    8. Cliquez sur Ajouter pour ajouter le fichier à l'ensemble de règles.
      L'élément Fichier est ajouté à la vue Auto-élévation de la zone de travail Gestion des privilèges.
    1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
    2. Cliquez avec le bouton droit et sélectionnez Auto-élévation > Dossier.
      La boîte de dialogue Ajouter un dossier pour Auto-élévation s'affiche.
    3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
    4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au dossier à ajouter et cliquez sur Ouvrir.

      5. Si nécessaire, vous pouvez sélectionner les options suivantes :

      • Remplacer les variables d'environnement si possible
      • Utiliser une expression régulière
      • Inclure les sous-dossiers
    5. Si nécessaire (facultatif), entrez la description du dossier pour référence future.
    6. Sélectionnez l'onglet Métadonnées.
    7. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

      8. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

      Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

      Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

      Pour en savoir plus, reportez-vous à « Options de vérification ».

    8. Cliquez sur Ajouter pour ajouter le dossier à l'ensemble de règles.
      L'élément Dossier est ajouté à la vue Auto-élévation de la zone de travail Gestion des privilèges.
    1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
    2. Cliquez avec le bouton droit et sélectionnez Auto-élévation > Hachage de fichier.
      La boîte de dialogue Ajouter un hachage de fichier pour Auto-élévation s'affiche.
    3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
    4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au hachage de fichier à ajouter et cliquez sur Ouvrir.
    5. Si nécessaire (facultatif), entrez la description du hachage de fichier pour référence future.
    6. Si la valeur du hachage de fichier est affichée, sélectionnez Réanalyser pour la mettre à jour.
    7. Cliquez sur Ajouter pour ajouter le hachage de fichier à l'ensemble de règles.
      L'élément Hachage de fichier est ajouté à la vue Auto-élévation de la zone de travail Gestion des privilèges.
    1. Sélectionnez le nœud Gestion des privilèges d'un ensemble de règles.
    2. Cliquez avec le bouton droit et sélectionnez Auto-élévation > Collection de règles.
      La boîte de dialogue de sélection de la collection de règles apparaît. Toutes les collections de règles Gestion des privilèges sont répertoriées.
    3. Cochez la case Ajouter à la règle pour la ou les collections à ajouter à l'ensemble de règles.
    4. Cliquez sur OK pour ajouter la ou les collections à la vue Applications dans la zone de travail Gestion des privilèges.

    Contrôles Système

    Utilisez la section Contrôles Système pour indiquer si les utilisateurs peuvent réaliser les actions suivantes. Vous pouvez appliquer des contrôles pour élever ou restreindre l'accès à l'élément spécifié.

    • Élément de contrôle Désinstaller : Utilisez cette option pour autoriser ou refuser la désinstallation des applications installées lorsque les conditions de la règle sont réunies. Vous configurez des éléments de contrôle Désinstaller en définissant les applications à contrôler. Vous pouvez appliquer des options de validation supplémentaires pour cibler un éditeur nommé et des versions d'application spécifiques. Pour autoriser ou interdire toutes les applications d'un éditeur, entrez * dans le champ Application, combiné au nom de l'éditeur.
    • Élément de contrôle Service : Utilisez cette option pour choisir les services qui peuvent être modifiés, arrêtés, démarrés et redémarrés lorsque les conditions de la règle sont remplies.

      • Le service Agent est le seul que vous ne pouvez pas redémarrer après l'avoir arrêté.

      Vous configurez des éléments de contrôle Service en spécifiant le nom d'affichage et/ou le nom interne. Le nom d'affichage du service peut varier en fonction de la version traduite du système d'exploitation, alors que le nom interne reste inchangé. Par conséquent, si cette configuration doit être utilisée pour plusieurs langues, il est recommandé d'utiliser uniquement le nom interne.

    • Élément de contrôle Journal d'événements : Utilisez cette option pour choisir les journaux d'événements qui peuvent ou ne peuvent pas être effacés lorsque les conditions de la règle sont remplies. Vous configurez des éléments de contrôle Journal d'événements en sélectionnant le nom du ou des journaux à contrôler.
    • Élément de contrôle Fin de processus : Utilisez cette option pour protéger des processus (comme les logiciels antivirus) d'un arrêt par l'utilisateur, quel qu'il soit, y compris les administrateurs. Les utilisateurs peuvent toujours arrêter correctement des processus, par exemple en cliquant sur Fermer dans l'interface d'une application. Cependant, ils ne peuvent pas forcer l'arrêt d'un processus (en cliquant sur Fin de tâche dans l'onglet Détails de Gestionnaire de tâches, par exemple). Vous pouvez spécifier un seul fichier ou cibler tous les processus portant sur un dossier spécifique.

      • (Facultatif) Ajoutez des métadonnées pour inclure des critères supplémentaires de recherche de fichiers et dossiers.

    Rubriques connexes

    Gestion des privilèges

    Gestion des privilèges via des paramètres de configuration