Comprendre la gestion des privilèges
Table des matières
Endpoint Central fournit, avec sa gestion des privilèges, une couche de contrôle qui régit la manière dont les applications obtiennent et utilisent des droits élevés. Les sections suivantes décrivent le comportement des composants d’agent associés et les mécanismes qui permettent à la gestion des privilèges de protéger les environnements des terminaux.
Spécifications des processus de l’agent
| Processus de l’agent | Nom de l’application en cours d’exécution | Consommation de bande passante (approximative) | Consommation CPU (approximative) | Consommation mémoire (approximative) |
|---|---|---|---|---|
| Scanner des comptes administrateur | DRAdminUsers.exe | NA | 0-1% | 1-5 MB |
| Notificateur de processus | AppCtrlToast.exe | NA | 0-1% | 20 MB |
| ACP Privileger | Privilager.exe | NA | 0-1.4% | 1-1.5 MB |
| Mise à niveau du composant | dcconfig.exe | 3.5 MB | 0-1% | 1 MB |
Analyse des comptes administrateur : analyse et collecte des données
Après l’installation de l’agent, une analyse unique est lancée. L’agent exécute une analyse dédiée pour identifier les comptes administrateur locaux à l’aide de DRAdminUsers.exe. Cette analyse se concentre exclusivement sur les comptes administrateur locaux et s’exécute à chaque cycle d’actualisation de 90 minutes.
Déploiement des stratégies : synchronisation Agent-Server
Lorsqu’une stratégie de contrôle des applications est créée, elle est déployée par dcconfig.exe selon les deux options suivantes :
- Option Deploy Immediately : la stratégie est immédiatement poussée et appliquée sur les machines agent actuellement en ligne. Pour les grands CG (plus de 200 machines), la stratégie est d’abord appliquée à 200 machines, puis au reste lors du cycle d’actualisation suivant.
- Option Deploy : la stratégie est planifiée pour le prochain cycle d’actualisation de 90 minutes.
Les modifications, suppressions, changements de groupe de stratégies et mises à jour des applications non gérées sont synchronisés avec les machines agent pendant les cycles d’actualisation. Dans les environnements disposant d’un Server de distribution, les stratégies et configurations sont répliquées vers le Server de distribution, puis synchronisées avec les machines agent pendant le cycle d’actualisation de 90 minutes.
Application des stratégies dans l’agent
La stratégie de contrôle des applications sera reçue dans l’agent et VerifyTrustedFiles.exe invoquera Privileger.exe pour élever les processus conformément à la stratégie déployée. Les événements d’élévation des applications seront publiés lors du cycle d’actualisation de 90 minutes et seront mis à jour tous les 7 jours.
Suppression des comptes administrateur
Une fois la suppression manuelle ou automatique des droits administrateur mise en œuvre, les comptes administrateur spécifiques seront supprimés par DRAdminUsers.exe.
Flux d’accès Just-In-Time
Les stratégies Just-In-Time fournissent une élévation temporaire des privilèges pour des applications spécifiées. Lorsqu’une stratégie JIT est déployée, VerifyTrustedFiles.exe invoquera Privileger.exe pour élever les processus sur la machine/l’utilisateur ciblé(e) par le déploiement, les privilèges élevés étant automatiquement supprimés après la durée spécifiée.
Prise en charge des extensions par type de règle
Le tableau suivant présente les extensions prises en charge pour chaque type de règle :
| Extensions | Éditeur | Nom du produit | Exécutable vérifié | Hash du fichier | Chemin du dossier | CLS-ID |
|---|---|---|---|---|---|---|
| EXE, MSI | ✔ | ✔ | ✔ | ✔ | ✔ | ✗ |
| MSC | ✗ | ✗ | ✗ | ✔ | ✔ | ✗ |
| BAT | ✗ | ✗ | ✗ | ✔ | ✔ | ✗ |
| Composants COM | ✗ | ✗ | ✗ | ✗ | ✗ | ✔ |
| Articles connexes : Notifications destinées aux utilisateurs finaux de la gestion des privilèges |
