Comment faire pour créer des fichiers de modèles .adm et .admx personnalisés en vue de fournir une stratégie d'élévation pour le mode protégé dans Internet Explorer 7.0

Traductions disponibles Traductions disponibles
Numéro d'article: 918239 - Voir les produits auxquels s'applique cet article
Informations bêta
Cet article traite d'une version bêta d'un produit Microsoft. Les informations contenues dans cet article sont fournies « en l'état » et peuvent faire l'objet de modifications sans préavis.

Aucun support produit officiel n'est fourni par Microsoft pour ce produit bêta. Pour des informations sur la façon d'obtenir de l'assistance sur une version bêta, consultez la documentation fournie avec les fichiers du produit bêta ou effectuez une recherche sur le site Web à partir duquel vous avez téléchargé la version.
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Dans Windows Vista, les objets sécurisables héritent automatiquement du niveau d'intégrité du processus qui les a créés. Par conséquent, les fichiers ou les clés de Registre ont un niveau d'intégrité faible lorsqu'ils sont créés en mode protégé. Ceci signifie qu'un processus possédant un niveau d'intégrité faible peut obtenir une autorisation d'écriture sur les objets qu'il crée. Toutefois, un processus possédant un niveau d'intégrité faible ne peut pas obtenir une autorisation d'écriture sur des dossier ou des fichiers d'intégrité moyenne ou élevée dans le profil de l'utilisateur.

Par défaut, lorsque Microsoft Internet Explorer 7.0 est exécuté en mode protégé, les extensions ne peuvent pas accéder à des objets d'intégrité moyenne ou élevée. Ceci procure la meilleure protection possible contre les attaques de logiciels malveillants. Lorsqu'une extension requiert l'accès à des objets d'intégrité plus élevée, le comportement par défaut d'Internet Explorer 7.0 consiste à afficher une boîte de dialogue demandant à l'utilisateur s'il souhaite élever le niveau d'intégrité. Si l'utilisateur confirme l'élévation, ceci crée un processus broker possédant un niveau d'intégrité plus élevé. Ce processus broker accède à l'objet d'intégrité plus élevée pour le compte d'Internet Explorer 7.0.

Vous pouvez utiliser le Registre pour modifier ce comportement par défaut de sorte que l'utilisateur ne soit pas invité à élever le niveau d'intégrité par le biais d'une boîte de dialogue. Cet article décrit comment des administrateurs peuvent utiliser des fichiers .adm ou .admx pour ajouter la stratégie « Autoriser la personnalisation de la stratégie d'élévation pour le mode protégé » en vue d'appliquer le comportement de stratégie d'élévation souhaité pour différentes applications.

INTRODUCTION

Organisation de la stratégie d'élévation dans le Registre


Vous pouvez créer un GUID broker avec les valeurs suivantes et modifier la stratégie d'élévation par défaut :
  • AppName : une valeur REG_SZ pour le nom du fichier exécutable ;
  • AppPath : une valeur REG_SZ correspondant à l'emplacement d'installation sélectionné par l'utilisateur du fichier exécutable ;
  • CLSID : si votre extension démarre un serveur COM, ajoutez une valeur REG_SZ contenant le CLSID de votre extension ;
  • Policy : une valeur DWORD indiquant la façon dont le mode protégé doit démarrer le broker. Le tableau suivant décrit les valeurs prises en charge et leur signification.
Réduire ce tableauAgrandir ce tableau
ValeurRésultat
3Le mode protégé démarre le broker silencieusement comme processus d'intégrité moyenne.
2Le mode protégé demande à l'utilisateur l'autorisation de démarrer le processus. Si l'autorisation est accordée, le processus est démarré comme processus d'intégrité moyenne.
1Le mode protégé démarre le broker silencieusement comme processus d'intégrité faible.
0Le mode protégé empêche le processus de démarrer.

Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou toute autre méthode. Ces problèmes peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

Vous devrez ajouter les GUID comme suit :
  • Ajoutez ce GUID sous la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Créez une entrée de Registre semblable sous l'une des sous-clés de Registre suivantes :
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
Création du fichier .adm personnalisé

Pour créer le fichier .adm personnalisé qui inclura cette stratégie, procédez comme suit :
  1. Définissez une liste d'applications pour lesquelles vous souhaitez configurer la stratégie d'élévation. Déterminez quelle stratégie d'élévation vous souhaitez définir pour chacune de ces applications. Utilisez les valeurs 0 à 3 du tableau présenté plus haut dans cet article.
  2. Ouvrez un éditeur de texte tel que le Bloc-notes et collez le modèle suivant dans le fichier du Bloc-notes.

    Remarque Les valeurs représentées par <APPNAME1>, <APPPATH1>, <CLSID1> et <POLICY1> dans ce code et dans d'autres exemples de code présentés dans cet article sont des espaces réservés correspondant au nom de l'application, à son chemin d'accès, au CLSID et à la stratégie à appliquer.
    CLASS USER
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		POLICY !!ConfigureElevationPolicy
    			#if version >= 4
    			SUPPORTED !!SUPPORTED_IE7
    			#endif
    			KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    			ACTIONLISTON
    				KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>"
    				VALUENAME AppName       VALUE "<APPNAME1>"	                      
    				VALUENAME AppPath       VALUE "<APPPATH1>"                                                                                     
    				VALUENAME CLSID         VALUE "<CLSID1>"
    				VALUENAME Policy        VALUE NUMERIC "<POLICY1>"
    			END ACTIONLISTON
    		END POLICY
    	END CATEGORY
    END CATEGORY
    
    CLASS MACHINE
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		<POLICY ... END POLICY will be exactly same as that under class user>
       	END CATEGORY
    END CATEGORY
    
    
    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    Création des fichiers .admx et .adml

    Pour créer les fichiers .admx et .adml, appliquez le modèle suivant plutôt que de créer des fichiers de modèles .adm personnalisés. Pour renseigner ce modèle avec des valeurs réelles pour les fichiers .adm, vous pouvez également suivre l'étape 3. Répétez le bloc de code entre <enabledList> et </enabledList> pour les autres applications.

    Création du fichier ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="0.9" schemaVersion="0.9" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
        <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
      </policyNamespaces>
      <resources minRequiredRevision="0.9" />
      <policies>
          <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
          	  <parentCategory ref="inetres:InternetExplorer" />
              <enabledList>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppName">
                   <value>
                     <string><APPNAME1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppPath">
                   <value>
                      <string><APPPATH1></string>
                   </value>	
                 </item>	
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="CLSID">
                   <value>
                     <string><CLSID1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="Policy">
                   <value>
                     <decimal value="<POLICY1>" />
                   </value>
                 </item>
               </enabledList>
          </policy>
          <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
              <parentCategory ref="inetres:InternetExplorer" />
              <enabledList> <same as user policy above> </enabledList> 
          </policy> 
      </policies>
    </policyDefinitions>

    Création du fichier ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="0.9" schemaVersion="0.9" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
      <resources>
        <stringTable>
          <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>

    Remarque Vous devez placer le fichier .admx sous <%windir%>\policydefinitions et le fichier .adml sous <%windir%>\policydefinitions\<%lang-dir%>. Exécutez gpedit.msc pour vérifier les résultats.
  3. Renseignez le modèle de stratégie avec les valeurs appropriées. Pour cela, procédez comme suit :
    1. Générez un nouveau GUID et remplacez <GUID1> dans l'exemple de code par le nouveau GUID.
    2. Pour la première application sélectionnée, remplacez <APPNAME1> par le nom du fichier exécutable et <APPPATH1> par le chemin d'accès au fichier exécutable. Si votre extension démarre un serveur COM, remplacez <CLSID> par le CLSID de votre extension. Remplacez <POLICY1> par la valeur comprise entre 0 et 3 correspondant à la stratégie d'élévation de l'application.
    3. Répliquez le bloc de code entre <enabledList> et </enabledList> pour toutes les autres applications sélectionnées, puis répétez les étapes 3a et 3b pour renseigner ces blocs.
    4. Copiez la stratégie créée à l'étape 3 sous l'entrée CLASS MACHINE dans le code.
  4. Enregistrez le fichier en tant que fichier .adm. Par exemple, enregistrez-le sous ElevationPolicy.adm.
  5. Pour vérifier les résultats, procédez comme suit :
    1. Ouvrez l'Éditeur d'objets de stratégie de groupe.
    2. Recherchez Configuration ordinateur, puis développez Modèles d'administration.
    3. Cliquez avec le bouton droit sur Modèles d'administration, puis cliquez sur Ajout/Suppression de modèles. Dans la boîte de dialogue, cliquez sur Ajouter pour ajouter le fichier ElevationPolicy.adm que vous avez créé à l'étape 4.
      Remarque Les fichiers .admx ou .adml doivent être placés sous <%windir%>\policydefinitons\. Ils ne peuvent pas être ajoutés ultérieurement en cliquant avec le bouton droit sur l'Éditeur d'objets de stratégie de groupe.
    4. Recherchez Configuration utilisateur, développez Modèles d'administration, puis Composants Windows, puis cliquez sur Internet Explorer.
    5. Dans le volet droit, recherchez la nouvelle stratégie « Autoriser la personnalisation de la stratégie d'élévation pour le mode protégé » et activez cette stratégie.
    6. Vous pouvez examiner les données de la valeur de la clé de Registre suivante pour vérifier si l'outil a été exécuté.
      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      .
    7. Répétez l'étape 5c pour la Configuration utilisateur. Examinez le Registre pour vérifier que l'entrée de Registre souhaitée est renseignée sous la sous-clé suivante :
      HKEY_CURRENT_USER\Software\policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Remarque Les étapes 3d, 4 et 5b s'appliquent aux fichiers .adm uniquement.

Références

Pour plus d'informations, reportez-vous au site Web de Microsoft TechNet aux adresses suivantes (en anglais) :
http://www.microsoft.com/technet/windowsvista/library/02633470-396c-4e34-971a-0c5b090dc4fd.mspx
http://www.microsoft.com/technet/windowsvista/library/90c3c5f5-b756-49b1-bfd6-a5da93305bbc.mspx
http://www.microsoft.com/technet/windowsvista/library/1494d791-72e1-484b-a67a-22f66fbf9d17.mspx

Propriétés

Numéro d'article: 918239 - Dernière mise à jour: mercredi 21 novembre 2007 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Internet Explorer 7
Mots-clés : 
kbhowto kbinfo KB918239
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com