Paramètres des stratégies de sécurité du contrôle de compte d’utilisateur

  • Article

Vous pouvez utiliser des stratégies de sécurité pour configurer l’utilisation du contrôle de compte d’utilisateur dans votre organisation. Elles peuvent être configurées localement à l’aide du composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) ou pour le domaine, l’unité d’organisation ou des groupes spécifiques par la stratégie de groupe.

Contrôle de compte d’utilisateur : mode d’approbation Administrateur pour le compte Administrateur intégré

Ce paramètre de stratégie contrôle le comportement du mode d’approbation Administrateur pour le compte Administrateur intégré.

  • Activé Le compte Administrateur intégré utilise le mode d’approbation Administrateur. Par défaut, toutes les opérations qui requièrent une élévation de privilège inviteront l’utilisateur à approuver l’opération.

  • Désactivé (par défaut) Le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.

Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé

Ce paramètre de sécurité détermine si les programmes User Interface Accessibility (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les demandes d’élévation utilisées par un utilisateur standard.

  • Activé Les programmes UIA, notamment Assistance à distance Windows, désactivent automatiquement le bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre de stratégie « Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation », les invites apparaissent sur le bureau interactif de l’utilisateur et non sur le bureau sécurisé.

  • Désactivé (par défaut) le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie « Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation ».

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur

Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs.

  • Élever les privilèges sans invite utilisateur Permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans demander un consentement ou des informations d’identification.

    Remarque  Utilisez cette option uniquement dans les environnements plus contraints.

     

  • Demande d’informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur privilégié et un mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur.

  • Demande de consentement sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur.

  • Demande d’informations d’identification Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe d’administration. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables.

  • Demande de consentement Lorsqu’une opération requiert une élévation de privilège, l’utilisateur est invité à choisir entre Autoriser et Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur.

  • Demande de consentement pour les binaires non Windows (par défaut) Lorsqu’une opération pour une application non Microsoft nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur.

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard

Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les utilisateurs standard.

  • Demande d’informations d’identification (par défaut) Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe d’administration. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables.

  • Refuser automatiquement les demandes d’élévation de privilèges Lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès configurable refusé s’affiche. Une entreprise qui utilise des ordinateurs de bureau en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique.

  • Demander d’informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un autre nom d’utilisateur privilégié et un mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables.

Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation

Ce paramètre de stratégie contrôle le comportement de la détection d’installation d’application pour l’ordinateur.

  • Activé (par défaut) Lorsqu’un package d’installation d’application nécessitant une élévation de privilège est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe d’administration. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables.
  • Désactivé Les packages d’installation d’application ne sont pas détectés et invités pour une élévation. Les entreprises qui utilisent des ordinateurs de bureau pour utilisateur standard et ont recours à des technologies d’installation déléguée telles que Stratégie de groupe ou System Center Configuration Manager doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection d’un programme d’installation n’est pas nécessaire.

Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés

Ce paramètre de stratégie applique des vérifications de signature PKI sur toutes les applications interactives qui requièrent une élévation de privilège. Les administrateurs d’entreprise peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats dans le magasin de certificats des éditeurs approuvés sur les ordinateurs locaux.

  • Activé Applique la validation du chemin de certification pour un fichier exécutable donné avant qu’il soit autorisé à s’exécuter.

  • Désactivé (par défaut) N’applique pas de validation de chemin de certificat avant qu’un fichier exécutable donné soit autorisé à s’exécuter.

Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Ce paramètre de stratégie contrôle si les applications qui requièrent une exécution avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider à un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux répertoires suivants : - …\Program Files\, y compris ses sous-répertoires - …\Windows\system32\ - …\Program Files (x86)\, y compris ses sous-répertoires pour les versions 64 bits de Windows

Remarque  

Windows applique une vérification de signature à toutes les applications interactives qui requièrent une exécution avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité.

 

  • Activé (par défaut) Si une application réside à un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess.

  • Désactivé Une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas à un emplacement sécurisé dans le système de fichiers.

Contrôle de compte d’utilisateur : activer le mode d’approbation Administrateur

Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de contrôle de compte d’utilisateur pour l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer l’ordinateur.

  • Activé (par défaut) Le mode d’approbation Administrateur est activé. Cette stratégie doit être activée et les paramètres de stratégie de contrôle de compte d’utilisateur associés doivent également être définis en conséquence pour permettre au compte Administrateur intégré et à tous les autres utilisateurs membres du groupe Administrateur de s’exécuter en mode d’approbation Administrateur.

  • Désactivé Le mode d’approbation Administrateur et tous les paramètres de stratégie de contrôle de compte d’utilisateur associés sont désactivés. Remarque : si ce paramètre de stratégie est désactivé, le Centre de sécurité vous avertit que la sécurité globale du système d’exploitation a été réduite.

Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation

Ce paramètre de stratégie contrôle si l’invite de demande d’élévation s’affiche sur le bureau interactif de l’utilisateur ou le bureau sécurisé.

  • Activé (par défaut) Toutes les demandes d’élévation passent au bureau sécurisé quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.

  • Désactivé Toutes les demandes d’élévation passent au bureau interactif de l’utilisateur. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont employés.

Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de Registre dans des emplacements définis par utilisateur

Ce paramètre de stratégie contrôle si des échecs d’écriture d’application sont redirigés dans des emplacements définis du Registre et du système de fichiers. Ce paramètre de stratégie réduit les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

  • Activé (par défaut) Les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements définis par l’utilisateur pour le système de fichiers et le Registre.

  • Désactivé Les applications qui écrivent des données dans des emplacements protégés échouent.