Introduction
La gestion des installations logicielles constitue un enjeu majeur de sécurité dans les environnements Windows modernes. Les programmes d'installation tentent fréquemment d'obtenir des privilèges élevés, créant des opportunités pour l'introduction de logiciels non autorisés ou de composants malveillants.
Microsoft Intune permet aux organisations de déployer une stratégie de détection des programmes d'installation nécessitant une élévation de privilèges, transformant ainsi le processus d'installation en un mécanisme contrôlé et auditable.
Principe clé
Cette stratégie force l'approbation administrative avant toute installation privilégiée, empêchant les installations silencieuses et les tentatives d'élévation cachées.
Pourquoi cette stratégie est essentielle
Risques des installations non contrôlées
Dans les environnements d'entreprise, la majorité des utilisateurs opèrent sous des comptes standard pour minimiser les risques. Cependant, de nombreux installateurs sont conçus pour demander une élévation dynamique des privilèges.
Sans contrôles appropriés :
- Les installateurs peuvent tenter une escalade de privilèges
- Les utilisateurs peuvent approuver involontairement des invites risquées
- Les installations silencieuses introduisent des logiciels non approuvés
- L'intégrité système peut être altérée sans visibilité centralisée
Bénéfices du contrôle des installations privilégiées
L'application de cette stratégie apporte plusieurs avantages :
- Blocage des installations non autorisées
- Contrôle des tentatives d'escalade de privilèges
- Renforcement du durcissement des endpoints
- Approbation administrative intentionnelle et auditable
- Réduction de la surface d'attaque sans impact sur la productivité
Cette approche soutient les stratégies de moindre privilège, Zero Trust et de gouvernance proactive des endpoints.
Configuration technique via Windows Policy CSP
Vue d'ensemble du CSP
Cette configuration utilise le framework Windows Policy CSP et s'applique au niveau de l'appareil, garantissant un comportement cohérent quel que soit l'utilisateur connecté.
Éditions supportées :
- Windows 10 Pro, Enterprise, Education
- Windows 11 Pro, Enterprise, Education
Propriétés de la stratégie
| Propriété | Valeur | Description |
|---|---|---|
| Format | Integer (int) | Type de données utilisé |
| Type d'accès | Add, Delete, Get, Replace | Opérations disponibles |
| Valeur par défaut | 1 (Activé) | Configuration recommandée |
Valeurs autorisées
- 1 (Activé - Recommandé) : Windows détecte activement les installateurs nécessitant des privilèges administratifs et bloque l'exécution silencieuse
- 0 (Désactivé - Non recommandé) : Les installateurs peuvent procéder sans contrôles stricts de détection
Recommandation
Maintenir cette configuration activée applique un modèle de moindre accès par défaut qui réduit significativement les risques d'endpoint.
Guide de configuration via Intune Settings Catalog
Création du profil de configuration
Accéder à l'administration Intune
Connectez-vous au centre d'administration Microsoft Intune et naviguez vers :
- Appareils → Windows → Configuration
- Cliquez sur + Créer une stratégie
Sélectionner le type de profil
Dans le volet Créer un profil :
- Plateforme : Windows 10 et versions ultérieures
- Type de profil : Catalogue de paramètres
- Cliquez sur Créer
Définir les détails du profil
Configurez les champs suivants :
- Nom :
WIN – Durcissement Endpoint – Restriction Installations Privilégiées - Description :
Cette stratégie renforce la sécurité des endpoints en exigeant des informations d'identification administratives pour les applications demandant des autorisations élevées.
Configuration du paramètre de sécurité
Ouvrir le sélecteur de paramètres
Cliquez sur Ajouter des paramètres pour ouvrir le panneau de sélection.
Rechercher le paramètre
Utilisez le champ de recherche et tapez :
Detect Application Installations and Prompt for Elevation
Sélectionner le contrôle UAC
Dans les résultats :
- Sélectionnez la catégorie Local Policies Security Options
- Choisissez : User Account Control: Detect Application Installations And Prompt For Elevation
- Définissez la valeur sur Activé
Attribution et déploiement
Configurer les étiquettes de portée
Les étiquettes de portée contrôlent qui peut visualiser et gérer cette stratégie. Conservez l'étiquette Par défaut pour la plupart des environnements.
Assigner aux groupes cibles
Dans l'onglet Attributions :
- Cliquez sur Ajouter des groupes sous Groupes inclus
- Recherchez et sélectionnez le groupe de test approprié
- Vérifiez que le statut du groupe est Actif
Révision finale
Validez tous les paramètres avant le déploiement :
- Nom et description de la stratégie
- Configuration des paramètres de sécurité
- Attributions de groupes
- Étiquettes de portée
Surveillance et validation du déploiement
Contrôle du statut via la console Intune
Pour vérifier les résultats du déploiement :
- Naviguez vers Appareils → Profils de configuration
- Localisez la stratégie créée
- Examinez les métriques de déploiement
Indicateurs de statut :
- Réussi : Stratégie appliquée avec succès
- En cours : Traitement en cours ou appareil non synchronisé
- Erreur : Échec nécessitant investigation
- Non applicable : Appareil non compatible
Délai de synchronisation
Intune peut prendre jusqu'à 8 heures pour livrer automatiquement les profils de configuration, mais le déploiement est souvent plus rapide.
Vérification côté client via Event Viewer
Pour une validation locale sur l'appareil cible :
Ouvrir l'Observateur d'événements
Accédez à Applications and Services Logs → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin
Filtrer les événements
Recherchez les Event ID 813 ou Event ID 814 qui indiquent le traitement réussi des stratégies de configuration Intune.
Vérifier les détails
Ouvrez les détails de l'événement pour confirmer que la stratégie User Account Control: Detect Application Installations And Prompt For Elevation a été appliquée avec succès.
Scripts PowerShell pour la validation
Vérification du statut de la stratégie UAC
1# Vérifier la configuration UAC pour la détection des installations2$regPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"3$regName = "EnableInstallerDetection"4 5try {6 $value = Get-ItemProperty -Path $regPath -Name $regName -ErrorAction Stop7 if ($value.EnableInstallerDetection -eq 1) {8 Write-Host "✓ Détection des installations privilégiées : ACTIVÉE" -ForegroundColor Green9 } else {10 Write-Host "✗ Détection des installations privilégiées : DÉSACTIVÉE" -ForegroundColor Red11 }12} catch {13 Write-Host "⚠ Impossible de vérifier la configuration UAC" -ForegroundColor Yellow14}Audit des événements de synchronisation Intune
1# Rechercher les derniers événements de synchronisation Intune2$events = Get-WinEvent -FilterHashtable @{3 LogName = 'Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin'4 ID = 813, 8145 StartTime = (Get-Date).AddDays(-1)6}7 8if ($events) {9 Write-Host "Dernières synchronisations Intune détectées :" -ForegroundColor Cyan10 $events | Select-Object TimeCreated, Id, LevelDisplayName | Format-Table -AutoSize11} else {12 Write-Host "Aucun événement de synchronisation récent trouvé" -ForegroundColor Yellow13}Impact sur la sécurité des endpoints
Vecteurs d'attaque mitigés
L'installation d'applications non contrôlée représente l'un des points d'entrée les plus courants pour les risques en entreprise. Les attaquants tentent fréquemment de :
- Livrer des logiciels malveillants déguisés en installateurs légitimes
- Déclencher des invites d'élévation pour obtenir un accès administratif
- Déployer des logiciels silencieusement via des techniques d'escalade de privilèges
- Modifier les composants système sans visibilité centralisée
Renforcement apporté par la stratégie
En appliquant la détection des installations privilégiées :
- Contrôle intentionnel : L'activité d'installation élevée devient intentionnelle et contrôlée
- Blocage des tentatives silencieuses : Les tentatives d'installation silencieuses sont bloquées
- Réduction des vecteurs d'escalade : Les vecteurs d'escalade de privilèges sont réduits
- Approbation administrative obligatoire : L'approbation administrative devient obligatoire
- Application du moindre privilège : Le principe du moindre privilège est appliqué au niveau du système d'exploitation
Principe fondamental
Le durcissement de sécurité ne nécessite pas toujours des architectures complexes. Une seule configuration bien gouvernée peut éliminer toute une catégorie de risques.
Glossaire des termes techniques
CSP (Configuration Service Provider) : Interface programmatique permettant la configuration des paramètres Windows via des solutions MDM comme Intune.
Settings Catalog : Interface moderne d'Intune permettant la configuration granulaire des paramètres Windows via une approche basée sur les CSP.
UAC (User Account Control) : Fonctionnalité de sécurité Windows qui demande confirmation ou informations d'identification avant d'autoriser des actions nécessitant des privilèges administratifs.
Élévation de privilèges : Processus par lequel un utilisateur ou une application obtient des droits d'accès supérieurs à ceux normalement accordés.
Event ID 813/814 : Identifiants d'événements Windows indiquant le traitement réussi des stratégies de configuration MDM.
Liens utiles et documentation officielle
Configuration et stratégies Intune
- Créer une stratégie avec Settings Catalog - Guide détaillé pour la création et gestion des stratégies Settings Catalog
- Profils de configuration d'appareils dans Intune - Vue d'ensemble du fonctionnement des profils de configuration
Paramètres de sécurité Windows et référence CSP
- Paramètres et configuration User Account Control (UAC) - Documentation officielle Windows sur les stratégies UAC
- Policy CSP - LocalPoliciesSecurityOptions - Référence technique complète des paramètres de sécurité
Surveillance et dépannage des stratégies
- Afficher les stratégies de configuration d'appareils avec Microsoft Intune - Guide pour vérifier le statut d'attribution et interpréter les rapports de déploiement
- Résoudre les problèmes de stratégies et profils dans Microsoft Intune - Conseils pour résoudre les problèmes courants d'application de stratégies
