Paramètres des stratégies de sécurité du contrôle de compte d’utilisateur

• S’applique à:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Vous pouvez utiliser des stratégies de sécurité pour configurer l’utilisation du contrôle de compte d’utilisateur dans votre organisation. Elles peuvent être configurées localement à l’aide du composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) ou pour le domaine, l’unité d’organisation ou des groupes spécifiques par la stratégie de groupe.

Contrôle de compte d’utilisateur : mode d’approbation Administrateur pour le compte Administrateur intégré

Ce paramètre de stratégie contrôle le comportement de Administration mode d’approbation pour le compte Administrateur intégré.

• Activé Le compte Administrateur intégré utilise Administration mode d’approbation. Par défaut, toute opération qui nécessite une élévation de privilège invite l’utilisateur à approuver l’opération.
• Désactivé (par défaut) Le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.

Contrôle de compte d’utilisateur : autoriser l’application UIAccess à demander une élévation sans utiliser le bureau sécurisé

Ce paramètre de stratégie détermine si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard.

• Activé Les programmes UIA, y compris l’Assistance à distance Windows, désactivent automatiquement le Bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre de stratégie « Contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé lorsque vous demandez une élévation », les invites s’affichent sur le bureau de l’utilisateur interactif au lieu du bureau sécurisé.
• Désactivé (par défaut) Le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie « Contrôle de compte d’utilisateur : Basculer vers le Bureau sécurisé quand vous êtes invité à effectuer une élévation ».

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur

Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs.

• Élever sans invite Permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans nécessiter de consentement ni d’informations d’identification.

  Note: Utilisez cette option uniquement dans les environnements les plus limités.  

• Demander des informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur privilégié et un mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

• Demander le consentement sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

• Demander des informations d’identification Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.

• Demander le consentement Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

• Demander le consentement pour les fichiers binaires non Windows (par défaut) Lorsqu’une opération pour une application non Microsoft nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard

Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les utilisateurs standard.

• Demander des informations d’identification (par défaut) Lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
• Refuser automatiquement les demandes d’élévation Lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès refusé configurable s’affiche. Une entreprise qui exécute des bureaux en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique.
• Demander des informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe différents. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.

Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation

Ce paramètre de stratégie contrôle le comportement de la détection de l’installation de l’application pour l’ordinateur.

• Activé (par défaut) Lorsqu’un package d’installation d’application qui nécessite une élévation de privilège est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
• Handicapés Les packages d’installation d’application ne sont pas détectés et sont invités à effectuer une élévation. Les entreprises qui exécutent des bureaux utilisateur standard et utilisent des technologies d’installation déléguée, telles que stratégie de groupe ou Microsoft Intune, doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection du programme d’installation n’est pas nécessaire.

Contrôle de compte d’utilisateur : élever uniquement les fichiers exécutables signés et validés

Ce paramètre de stratégie applique des vérifications de signature de l’infrastructure à clé publique (PKI) pour toutes les applications interactives qui demandent une élévation de privilège. Les administrateurs d’entreprise peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats au magasin de certificats Éditeurs approuvés sur les ordinateurs locaux.

• Activé Applique la validation du chemin de certification du certificat pour un fichier exécutable donné avant qu’il ne soit autorisé à s’exécuter.
• Désactivé (par défaut) N’applique pas la validation du chemin de certification du certificat avant qu’un fichier exécutable donné ne soit autorisé à s’exécuter.

Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Ce paramètre de stratégie détermine si les applications qui demandent à s’exécuter avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux dossiers suivants :

• ...\Program Files\, y compris les sous-dossiers
• ...\Windows\system32\
• ...\Program Files (x86)\, y compris les sous-dossiers pour les versions 64 bits de Windows

Note: Windows applique une vérification de signature numérique à toute application interactive qui demande à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité.  

• Activé (par défaut) Si une application réside dans un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess.
• Handicapés Une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé dans le système de fichiers.

Contrôle de compte d’utilisateur : activer Administration mode d’approbation

Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de contrôle de compte d’utilisateur (UAC) de l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer votre ordinateur.

• Activé (par défaut) le mode d’approbation Administration est activé. Cette stratégie doit être activée et les paramètres de stratégie UAC associés doivent également être définis de manière appropriée. Ils autorisent le compte administrateur intégré et tous les autres utilisateurs membres du groupe Administrateurs à s’exécuter en mode d’approbation Administration.
• Désactivé Administration mode d’approbation et tous les paramètres de stratégie UAC associés sont désactivés. Remarque : si ce paramètre de stratégie est désactivé, l’application Sécurité Windows vous avertit que la sécurité globale du système d’exploitation a été réduite.

Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation

Ce paramètre de stratégie contrôle si l’invite de demande d’élévation est affichée sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé.

• Activé (par défaut) Toutes les demandes d’élévation sont envoyées au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.
• Handicapés Toutes les demandes d’élévation sont envoyées au bureau de l’utilisateur interactif. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.

Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de registre dans des emplacements définis par utilisateur

Ce paramètre de stratégie contrôle si les échecs d’écriture d’application sont redirigés vers des emplacements de registre et de système de fichiers définis. Ce paramètre de stratégie atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application d’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software.

• Les échecs d’écriture d’application activés (par défaut) sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.
• Handicapés Les applications qui écrivent des données dans des emplacements protégés échouent.