Gerenciamento de privilégios nas definições de configuração
Autoelevação
A autoelevação pode ser aplicada aos arquivos, pastas, hashes de arquivo e coleções de regras que normalmente exigem privilégios administrativos para execução e funcionamento. A autoelevação fornece uma opção ao menu de atalho do Windows Explorer para executar um item com direitos elevados. Você pode especificar que, quando o usuário tentar elevar um determinado item, seja exibido um prompt para solicitar que o ele insira o motivo da elevação antes que ela seja aplicada.
A autoelevação é auditada para que você possa monitorar os tipos de aplicativo que os usuários normalmente querem autoelevar. Você pode adicionar esses itens ao nó Gerenciamento de Privilégios adequado numa configuração, de modo que os usuários possam acessá-los sem solicitação.
Nos ambientes em que o Controle de Acesso de Usuários (UAC) está desabilitado, você pode ativar a autoelevação das propriedades de pasta e arquivo do Windows Explorer usando a configuração personalizada SelfElevatePropertiesEnabled. Nesse caso, dá para personalizar o texto da opção do menu de atalho do Windows Explorer usando a configuração personalizada SelfElevatePropertiesMenuText.
O nó Definições de Configuração > Gerenciamento de Privilégios é usado para configurar uma lista de tipos de arquivo e aplicativos associados que os usuários podem abrir com privilégios elevados ou administrativos. Quando o usuário clica com o botão direito num arquivo, o Controle de Aplicativos executa as seguintes verificações para determinar se o usuário pode elevar o aplicativo associado ao arquivo:
- O tipo do arquivo está na lista de associações de arquivos?
- Não - o arquivo não pode ser autoelevado.
- Sim - verificar o aplicativo associado.
- Existe um aplicativo associado?
- Não - o arquivo é autoelevado usando-se o aplicativo associado no ponto de extremidade do usuário.
- Sim - o arquivo pode ser autoelevado apenas se aberto com o aplicativo especificado na lista de associações de arquivos.
Se o aplicativo puder ser autoelevado, uma opção correspondente será disponibilizada no menu de atalho, e o usuário acessará o aplicativo com privilégios elevados. Se o usuário trocar um programa padrão por outro que seja diferente do aplicativo associado definido na configuração, a opção de autoelevação não ficará mais disponível no menu de atalho.
Opções
Exibir uma caixa de mensagem que exija um motivo para autoelevação do usuário - selecione se quiser exibir uma mensagem para que o usuário insira o motivo da solicitação de autoelevação.
A mensagem pode ser configurada em Definições da mensagem de configuração > Gerenciamento de Privilégios.
Atualizar associações de arquivos
Navegue até a Configuração do Controle de Aplicativo. Uma vez aberta, selecione Definições de Configuração > Gerenciamento de Privilégios.
Atualize a lista de extensões e aplicativos associados clicando com o botão direito nas opções Adicionar, Editar ou Remover. Qualquer extensão de arquivo pode ser adicionada.
As seguintes extensões estão incluídas por padrão:
| Extensão de arquivo | Aplicativo associado |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
Tópicos relacionados
Gerenciamento de privilégios no conjunto de regras
Configurações do Controle de Aplicativos
Controle de executável nas definições de configuração