Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé

S’applique à

  • Windows 11
  • Windows 10

Décrit les meilleures pratiques, l’emplacement, les valeurs et les considérations de sécurité pour le contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander une élévation sans utiliser le paramètre de stratégie de sécurité du bureau sécurisé.

Référence

Ce paramètre de sécurité contrôle si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent désactiver automatiquement le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard.

Note: Ce paramètre ne modifie pas le comportement de l’invite d’élévation de contrôle de compte d’utilisateur pour les administrateurs.

Arrière-plan

L’isolation des privilèges d’interface utilisateur (UIPI) implémente des restrictions dans le sous-système Windows qui empêchent les applications à privilèges inférieurs d’envoyer des messages ou d’installer des hooks dans des processus à privilèges plus élevés. Les applications à privilèges plus élevés sont autorisées à envoyer des messages à des processus à privilèges inférieurs. UIPI n’interfère pas avec ou ne modifie pas le comportement des messages entre les applications au même niveau de privilège (ou d’intégrité).

Microsoft UI Automation est le modèle actuel qui prend en charge les exigences d’accessibilité dans les systèmes d’exploitation Windows. Les applications qui prennent en charge une expérience utilisateur accessible contrôlent le comportement d’autres applications Windows pour l’utilisateur. Lorsque toutes les applications sur l’ordinateur client automation et le serveur s’exécutent en tant qu’utilisateur standard (autrement dit, à un niveau d’intégrité moyen), les restrictions UIPI n’interfèrent pas avec le modèle d’automatisation de l’interface utilisateur Microsoft.

Toutefois, il peut arriver qu’un utilisateur administratif exécute une application avec des privilèges élevés basés sur la UAC en mode d’approbation Administration. Microsoft UI Automation ne peut pas piloter les graphiques d’interface utilisateur des applications avec élévation de privilèges sur le bureau sans la possibilité de contourner les restrictions implémentées par l’UIPI. La possibilité de contourner les restrictions UIPI entre les niveaux de privilège est disponible pour les programmes d’automatisation de l’interface utilisateur à l’aide d’UIAccess.

Si une application présente un attribut UIAccess lorsqu’elle demande des privilèges, l’application indique une exigence pour contourner les restrictions UIPI pour l’envoi de messages entre les niveaux de privilège. Les appareils implémentent les vérifications de stratégie suivantes avant de démarrer une application avec le privilège UIAccess.

  1. L’application doit avoir une signature numérique qui peut être vérifiée à l’aide d’un certificat numérique associé au magasin Autorités de certification racines de confiance sur l’ordinateur local.

  2. L’application doit être installée dans un dossier local accessible en écriture uniquement par les administrateurs, tel que le répertoire Program Files. Les répertoires autorisés pour les applications UI Automation sont les suivants :

    1. %ProgramFiles% et ses sous-répertoires.
    2. %WinDir% et ses sous-répertoires, à l’exception de quelques sous-répertoires exclus, car les utilisateurs standard disposent d’un accès en écriture.

Comportement résultant

Lorsque ce paramètre est activé, les programmes UIAccess (y compris l’Assistance à distance Windows) peuvent automatiquement désactiver le Bureau sécurisé pour les invites d’élévation. Sauf si vous avez également désactivé les invites d’élévation, les invites s’affichent sur le bureau de l’utilisateur interactif plutôt que sur le bureau sécurisé. Les invites s’affichent également sur la vue de l’administrateur distant du Bureau pendant une session d’assistance à distance Windows, et l’administrateur distant peut fournir les informations d’identification appropriées pour l’élévation.

Si vous désactivez ce paramètre, le bureau sécurisé ne peut être désactivé que par l’utilisateur du bureau interactif ou en désactivant le contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé lorsque vous demandez le paramètre d’élévation, qui est activé par défaut.

Valeurs possibles

  • Activé

    Les programmes UIA peuvent automatiquement désactiver le bureau sécurisé pour les invites d’élévation. Sauf si vous avez également désactivé les invites d’élévation, les invites s’affichent sur le bureau de l’utilisateur interactif plutôt que sur le bureau sécurisé. Les invites s’affichent également sur la vue de l’administrateur distant du Bureau pendant une session d’assistance à distance Windows, et l’administrateur distant peut fournir les informations d’identification appropriées pour l’élévation.

  • Désactivés

    Le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre Contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé lorsque vous êtes invité à entrer la stratégie d’élévation.

Meilleures pratiques

  • Les bonnes pratiques dépendent de vos stratégies de sécurité et de vos exigences opérationnelles à distance.

Emplacement

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Désactivés
Paramètres effectifs par défaut du contrôleur de domaine Désactivés
Paramètres effectifs par défaut du serveur membre Désactivés
Paramètres effectifs par défaut de l’ordinateur client Désactivés

Gestion des stratégies

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage de l’ordinateur lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.

Stratégie de groupe

Toutes les fonctionnalités d’audit sont intégrées à stratégie de groupe. Vous pouvez configurer, déployer et gérer ces paramètres dans le composant logiciel enfichable stratégie de groupe Management Console (GPMC) ou stratégie de sécurité locale pour un domaine, un site ou une unité d’organisation (UO).

Interactions de stratégie

Si vous envisagez d’activer ce paramètre, vous devez également examiner l’effet du paramètre Contrôle de compte d’utilisateur : Comportement de l’invite d’élévation pour les utilisateurs standard . S’il est configuré comme Refuser automatiquement les demandes d’élévation, les demandes d’élévation ne sont pas présentées à l’utilisateur. Si vous désactivez ce paramètre, le bureau sécurisé ne peut être désactivé que par l’utilisateur du bureau interactif ou en désactivant le contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé lorsque vous demandez le paramètre d’élévation, qui est activé par défaut.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Les programmes UIA sont conçus pour interagir avec Windows et les programmes d’application pour le compte d’un utilisateur. Ce paramètre permet aux programmes UIA de contourner le bureau sécurisé pour augmenter la facilité d’utilisation dans certains cas, mais il permet aux demandes d’élévation d’apparaître sur le bureau interactif normal plutôt que sur le bureau sécurisé. Cette apparence de requêtes augmente le risque qu’un programme malveillant intercepte des données transférées entre l’interface utilisateur et l’application. Étant donné que les programmes UIA doivent être en mesure de répondre aux invites concernant des problèmes de sécurité, tels que l’invite d’élévation de contrôle de compte d’utilisateur, les programmes UIA doivent être hautement fiables. Pour être considéré comme fiable, un programme UIA doit être signé numériquement. Par défaut, les programmes UIA peuvent être exécutés uniquement à partir des chemins protégés suivants :

  • .. \Program Files\ (et sous-dossiers)
  • .. \Program Files (x86)\ (et sous-dossiers, dans les versions 64 bits de Windows uniquement)
  • .. \Windows\System32\

L’exigence d’être dans un chemin protégé peut être désactivée par le paramètre Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées dans des emplacements sécurisés . Bien que ce paramètre s’applique à n’importe quel programme UIA, il est principalement utilisé dans certains scénarios d’assistance à distance Windows.

Contre-mesure

Désactiver le contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander une élévation sans utiliser le paramètre de bureau sécurisé .

Impact possible

Si un utilisateur demande une assistance à distance à un administrateur et que la session d’assistance à distance est établie, des invites d’élévation s’affichent sur le bureau sécurisé de l’utilisateur interactif et la session à distance de l’administrateur est suspendue. Pour éviter de suspendre la session de l’administrateur distant pendant les demandes d’élévation, l’utilisateur peut sélectionner la zone de case activée « Autoriser l’expert informatique à répondre aux invites de contrôle de compte d’utilisateur » lors de la configuration de la session d’assistance à distance. Toutefois, si vous sélectionnez cette case case activée, l’utilisateur interactif doit répondre à une invite d’élévation sur le bureau sécurisé. Si l’utilisateur interactif est un utilisateur standard, il ne dispose pas des informations d’identification requises pour autoriser l’élévation.