Ce paramètre de sécurité détermine si les programmes UIAccess ou UIA (User Interface Accessibility) peuvent automatiquement désactiver le bureau sécurisé pour les invites d'élévation utilisées par un utilisateur standard.
Si vous activez ce paramètre, les programmes UIA, y compris l'assistance à distance Windows, peuvent automatiquement désactiver le bureau sécurisé pour les invites d'élévation. À moins que vous n'ayez également désactivé les invites d'élévation, celles-ci apparaissent sur le bureau de l'utilisateur interactif plutôt que sur le bureau sécurisé.
Si vous désactivez ce paramètre ou ne le configurez pas, le bureau sécurisé ne peut être désactivé que par l'utilisateur du bureau interactif ou en désactivant le paramètre "Contrôle de compte d'utilisateur: Basculez sur le bureau sécurisé lorsque vous demandez l'élévation".
Les programmes UIA sont conçus pour interagir avec Windows et les programmes d'application pour le compte d'un utilisateur. Ce paramètre permet aux programmes UIA de contourner le poste de travail sécurisé pour améliorer la convivialité dans certains cas, mais le fait de permettre aux demandes d'élévation d'apparaître sur le poste de travail interactif standard au lieu du poste de travail sécurisé augmente le risque de sécurité.
Étant donné que les programmes UIA doivent pouvoir répondre aux invites concernant des problèmes de sécurité, tels que l'invite d'élévation UAC, les programmes UIA doivent être hautement fiables. Pour être considéré comme fiable, un programme UIA doit être signé numériquement. Par défaut, les programmes UIA ne peuvent être exécutés qu’à partir des chemins protégés suivants:
- .. Program Files (et sous-dossiers)
- .. Program Files (x86) (et sous-dossiers, dans les versions 64 bits de Windows uniquement)
- .. Windows System32
L'obligation de se trouver dans un chemin protégé peut être désactivée à l'aide du paramètre "Contrôle de compte d'utilisateur: élever uniquement les applications UIAccess installées dans des emplacements sécurisés".
Bien que ce paramètre s’applique à n’importe quel programme UIA, il sera principalement utilisé dans certains scénarios d’assistance à distance Windows. Le programme d'assistance à distance Windows de Windows Vista est un programme UIA.
Si un utilisateur demande l'assistance à distance d'un administrateur et que la session d'assistance à distance est établie, les invites d'élévation apparaissent sur le bureau sécurisé de l'utilisateur interactif et la session à distance de l'administrateur est suspendue. Pour éviter de suspendre la session de l'administrateur distant lors de demandes d'élévation, l'utilisateur peut sélectionner la case à cocher "Autoriser le spécialiste en informatique à répondre aux invites du contrôle de compte d'utilisateur" lors de la configuration de la session d'assistance à distance. Toutefois, la sélection de cette case à cocher nécessite que l'utilisateur interactif réponde à une invite d'élévation sur le bureau sécurisé. Si l'utilisateur interactif est un utilisateur standard, l'utilisateur ne dispose pas des informations d'identification requises pour autoriser l'élévation.
Si vous activez ce paramètre ("Contrôle de compte d'utilisateur: autoriser les applications UIAccess à demander l'élévation sans utiliser le bureau sécurisé"), les demandes d'élévation sont automatiquement envoyées au bureau interactif (et non au bureau sécurisé) et apparaissent également sur l'administrateur distant. vue du bureau pendant une session d’assistance à distance Windows, et l’administrateur distant est en mesure de fournir les informations d’identification appropriées pour l’élévation.
Ce paramètre ne modifie pas le comportement de l'invite d'élévation UAC pour les administrateurs.
Si vous envisagez d'activer ce paramètre, vous devez également examiner l'effet du paramètre "Contrôle de compte d'utilisateur: comportement de l'invite d'élévation pour les utilisateurs standard". S'il est configuré en tant que "Refuser automatiquement les demandes d'élévation", les demandes d'élévation ne seront pas présentées à l'utilisateur.
Edité par Andy O'Donnell le 25/08/2016
