L’écriture de fichiers de modèle d’administration pour fournir une stratégie d’élévation pour le mode protégé dans Internet Explorer 7.0 .adm et .admx personnalisés

Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
256986 description du Registre Microsoft Windows

Résumé

Dans Windows Vista, les objets sécurisables héritent automatiquement du niveau d’intégrité du processus qui les a créés. Par conséquent, les fichiers ou les clés de Registre ont un niveau d’intégrité faible lorsqu’ils sont créés en mode protégé. Cela signifie que les processus d’intégrité faible peut obtenir des accès en écriture sur les objets qu’il crée. Toutefois, un processus d’intégrité faible ne peut pas obtenir d’autorisation d’écriture à moyen ou à des dossiers de haut niveau d’intégrité ou les fichiers dans le profil utilisateur.

Par défaut, lorsque Microsoft Internet Explorer 7.0 s’exécute en mode protégé, les extensions ne peuvent pas accéder à intégrité moyenne ou objets de haut niveau d’intégrité. Cela fournit la meilleure protection contre les attaques de logiciels malveillants. Lorsqu’une extension requiert l’accès à des objets d’intégrité plus élevées, le comportement d’Internet Explorer 7.0 par défaut doit inviter l’utilisateur à une élévation par une boîte de dialogue. Si l’utilisateur confirme l’élévation, ceci crée un processus broker avec un niveau d’intégrité plus élevé. Ce processus broker accède à l’objet d’intégrité plus élevé à la place d’Internet Explorer 7.0.

Vous pouvez utiliser le Registre pour remplacer ce comportement par défaut afin que l’utilisateur n’est pas invité à une élévation par une boîte de dialogue. Cet article explique comment les administrateurs peuvent utiliser les fichiers .adm ou .admx pour ajouter la stratégie « Autoriser la personnalisation de la stratégie d’élévation pour le Mode protégé » d’appliquer leur comportement de stratégie d’élévation souhaité pour différentes applications.

INTRODUCTION

Organisation de Registre élévation


Vous pouvez créer un GUID broker avec les valeurs suivantes et modifier la stratégie d’élévation par défaut :
  • AppName: une valeur REG_SZ pour le nom du fichier exécutable.
  • AppPath: une valeur REG_SZ pour l’utilisateur sélectionné l’emplacement du fichier exécutable d’installation.
  • CLSID: Si votre extension démarre un serveur COM, ajoutez une valeur REG_SZ contenant le CLSID de votre extension.
  • Stratégie: une valeur DWORD qui indique le mode protégé comment doit démarrer le broker. Le tableau suivant décrit les valeurs prises en charge et leur signification.
ValeurRésultat
3En mode silencieux, le mode protégé démarre le broker comme processus d’intégrité moyenne.
2Mode protégé demande à l’utilisateur l’autorisation de démarrer le processus. Si l’autorisation est accordée, le processus est démarré comme processus d’intégrité moyenne.
1En mode silencieux, le mode protégé démarre le broker comme processus d’intégrité faible.
0Le mode protégé empêche le processus de démarrage.

Avertissement Des problèmes graves peuvent survenir si vous modifiez le Registre incorrectement à l’aide de l’Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter que vous réinstalliez votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifiez le Registre à vos risques et périls.

Vous devrez ajouter les GUID comme suit :
  • Ajoutez ce GUID sous la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Créer une entrée de Registre semblable sous une des sous-clés de Registre suivantes :
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
Créer le fichier .adm personnalisé

Pour créer le fichier .adm personnalisé qui inclura cette stratégie, procédez comme suit :
  1. Définir une liste des applications pour lequel vous souhaitez configurer la stratégie d’élévation. Choisir quelle stratégie d’élévation pour chacun d’eux. Utilisez les valeurs 0 à 3 de la table qui a été décrite plus haut dans cet article.
  2. Ouvrez un éditeur de texte tel que le bloc-notes, puis copiez le modèle suivant dans le fichier de bloc-notes.

    Remarque Les valeurs représentées par < APPNAME1 >, < APPPATH1 >, < CLSID1 > et < Stratégie1 > dans ce code et d’autres exemples de code dans cet article, sont des espaces réservés pour le nom de l’application, son chemin d’accès, le CLSID et stratégie qui doit être appliqué.
    CLASS USERCATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer
    POLICY !!ConfigureElevationPolicy
    #if version >= 4
    SUPPORTED !!SUPPORTED_IE7
    #endif
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    ACTIONLISTON
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>"VALUENAME AppName VALUE "<APPNAME1>"
    VALUENAME AppPath VALUE "<APPPATH1>"
    VALUENAME CLSID VALUE "<CLSID1>"
    VALUENAME Policy VALUE NUMERIC "<POLICY1>"
    END ACTIONLISTON
    END POLICY
    END CATEGORY
    END CATEGORY

    CLASS MACHINE
    CATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer

    <POLICY ... END POLICY will be exactly same as that under class user> END CATEGORYEND CATEGORY


    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    Créer les fichiers .admx et .adml

    Pour créer les fichiers .admx et .adml, utilisez le modèle suivant plutôt que de créer des fichiers de modèles .adm personnalisés. Pour renseigner ce modèle avec des valeurs réelles pour. les fichiers ADM, vous pouvez également suivre l’étape 3. Répétez le bloc de code entre < enabledList > et < / enabledList > pour d’autres applications.

    Création du fichier ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?><policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
    <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
    <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
    </policyNamespaces>
    <resources minRequiredRevision="1.0" />
    <policies>
    <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppName"> <value>
    <string><APPNAME1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppPath"> <value>
    <string><APPPATH1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="CLSID"> <value>
    <string><CLSID1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="Policy"> <value>
    <decimal value="<POLICY1>" />
    </value>
    </item>
    </enabledList>
    </policy>
    <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <same as user policy above> </enabledList> </policy>
    </policies>
    </policyDefinitions>

    Création du fichier ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?><policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <displayName>enter display name here</displayName>
    <description>enter description here</description>
    <resources>
    <stringTable>
    <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
    </stringTable>
    </resources>
    </policyDefinitionResources>

    Remarque : Vous devez placer le fichier .admx sous
    < %windir% >\policydefinitions et le fichier .adml sous < %windir% >\policydefinitions\< lang-dir % >. Exécutez gpedit.msc pour vérifier les résultats.
  3. Remplir le modèle de stratégie avec les valeurs appropriées. Pour ce faire, procédez comme suit.
    1. Générer un nouveau GUID et remplacez
      < GUID1 > dans l’exemple de code avec le nouveau GUID.
    2. Pour la première application que vous avez sélectionné, écrivez le nom de l’exécutable au lieu de < APPNAME1 > et le chemin d’accès de l’exécutable à < APPPATH1 >. Si votre extension démarre un serveur COM, ajoutez le CLSID de votre extension
      < CLSID >. Écrire la numéro de police 0-3 pour l’application à < Stratégie1 >une élévation.
    3. Répliquez le bloc de code entre < enabledList > et < / enabledList > pour toutes les autres applications que vous avez sélectionnés, et puis répétez les étapes 3 et étape 3 b renseigner ces blocs.
    4. Copiez la stratégie qui a été créée à l’étape 3 sous l’entrée CLASS MACHINE dans le code.
  4. Enregistrez le fichier sous la forme d’un fichier .adm. Par exemple, enregistrez-le sous ElevationPolicy.adm.
  5. Pour vérifier les résultats, effectuez les opérations suivantes :
Remarque Les étapes 3d, 4 et 5 b sont uniquement pour les fichiers .adm.
Propriétés

ID d'article : 918239 - Dernière mise à jour : 17 janv. 2017 - Révision : 2

Commentaires