Points à retenir
- Audit automatisé du contrôle de compte d’utilisateur (UAC) : Le script offre une solution automatisée pour l’audit des paramètres du contrôle de compte d’utilisateur sur les systèmes Windows.
- Sécurité renforcée: En veillant à ce que les paramètres de l’UAC soient conformes aux normes de sécurité, le script renforce considérablement la sécurité du système.
- Enregistrement des champs personnalisés: S’intègre à NinjaOne pour enregistrer les niveaux UAC dans des champs personnalisés, améliorant ainsi la tenue des registres et la création de rapports.
- Compatibilité Windows 7 et les versions ultérieures: Le script est compatible avec Windows 7, Windows Server 2012 et les versions plus récentes.
- Privilèges d’administrateur sont requis: L’exécution de ce script nécessite des droits d’administrateur pour accéder aux paramètres du registre et les modifier.
- Polyvalence d’utilisation: Idéal pour les entreprises MSP et les professionnels de l’informatique pour maintenir la sécurité sur plusieurs systèmes.
- Atténuation proactive des risques: Une utilisation régulière permet de prévenir de manière proactive les modifications non autorisées du système.
- Intégration avec les services gérés: Particulièrement utile pour ceux qui utilisent NinjaOne pour la gestion centralisée de l’informatique.
- Tenue de registres pour la conformité: Enregistre les paramètres UAC, contribuant ainsi à la conformité avec les politiques de sécurité informatique et les audits.
Introduction
Le contrôle des comptes d’utilisateurs (UAC) est un composant essentiel du système d’exploitation Windows, qui offre une couche de sécurité supplémentaire. Il limite essentiellement les logiciels d’application aux privilèges standard de l’utilisateur jusqu’à ce qu’un administrateur autorise une augmentation du niveau de privilège. Dans le monde dynamique de la sécurité informatique, où les vulnérabilités peuvent être exploitées par des utilisateurs non autorisés, il est primordial de maintenir des paramètres UAC optimaux. Cet article se penche sur un script PowerShell conçu pour auditer et configurer les paramètres de contrôle des comptes d’utilisateurs (UAC) d’une machine Windows, un outil très important pour les professionnels de l’informatique et les fournisseurs de services gérés (MSP).
Contexte
Le script en question fournit une approche complète de l’audit du niveau UAC sur un système Windows. Les professionnels de l’informatique et les MSP ont souvent besoin de ces outils pour s’assurer que les systèmes qu’ils gèrent respectent des normes de sécurité spécifiques. Le script ne se contente pas d’auditer, il facilite également la mise à jour des paramètres UAC et peut enregistrer ces paramètres dans un champ personnalisé à des fins de reporting. Sa capacité à opérer dans l’environnement NinjaOne renforce encore son utilité dans les services informatiques gérés.
Le script :
#Requires -Version 2
<#
.SYNOPSIS
Condition/Audit UAC Level. Can save the UAC Level to a custom field if specified.
.DESCRIPTION
Condition/Audit UAC Level. Can save the UAC Level to a custom field if specified.
Exit Code of 0 is that the UAC Level is set to the defaults or higher
Exit Code of 1 is that the UAC Level is to lower than defaults
Exit Code of 2 is when this fails to update a custom field
.EXAMPLE
-CustomField "uac"
Saves the UAC Level to a custom field.
.OUTPUTS
String[]
.NOTES
Minimum OS Architecture Supported: Windows 7, Windows Server 2012
Release Notes: Renamed script and added Script Variable support
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/fr/conditions-dutilisation
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding()]
param (
[Parameter()]
[String]$CustomField
)
begin {
if ($env:customFieldName -and $env:customFieldName -notlike "null") { $CustomField = $env:customFieldName }
# https://learn.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#registry-key-settings
# Define the path in the registry
$Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
# Define the values to check
$Values = "FilterAdministratorToken",
"EnableUIADesktopToggle",
"ConsentPromptBehaviorAdmin",
"ConsentPromptBehaviorUser",
"EnableInstallerDetection",
"ValidateAdminCodeSignatures",
"EnableSecureUIAPaths",
"EnableLUA",
"PromptOnSecureDesktop",
"EnableVirtualization"
# This function is to make it easier to set Ninja Custom Fields.
function Set-NinjaProperty {
[CmdletBinding()]
Param(
[Parameter(Mandatory = $True)]
[String]$Name,
[Parameter()]
[String]$Type,
[Parameter(Mandatory = $True, ValueFromPipeline = $True)]
$Value,
[Parameter()]
[String]$DocumentName
)
# If we're requested to set the field value for a Ninja document we'll specify it here.
$DocumentationParams = @{}
if ($DocumentName) { $DocumentationParams["DocumentName"] = $DocumentName }
# This is a list of valid fields we can set. If no type is given we'll assume the input doesn't have to be changed in any way.
$ValidFields = "Attachment", "Checkbox", "Date", "Date or Date Time", "Decimal", "Dropdown", "Email", "Integer", "IP Address", "MultiLine", "MultiSelect", "Phone", "Secure", "Text", "Time", "URL"
if ($Type -and $ValidFields -notcontains $Type) { Write-Warning "$Type is an invalid type! Please check here for valid types. https://ninjarmm.zendesk.com/hc/en-us/articles/16973443979789-Command-Line-Interface-CLI-Supported-Fields-and-Functionality" }
# The below field requires additional information in order to set
$NeedsOptions = "Dropdown"
if ($DocumentName) {
if ($NeedsOptions -contains $Type) {
# We'll redirect the error output to the success stream to make it easier to error out if nothing was found or something else went wrong.
$NinjaPropertyOptions = Ninja-Property-Docs-Options -AttributeName $Name @DocumentationParams 2>&1
}
}
else {
if ($NeedsOptions -contains $Type) {
$NinjaPropertyOptions = Ninja-Property-Options -Name $Name 2>&1
}
}
# If we received some sort of error it should have an exception property and we'll exit the function with that error information.
if ($NinjaPropertyOptions.Exception) { throw $NinjaPropertyOptions }
# The below type's require values not typically given in order to be set. The below code will convert whatever we're given into a format ninjarmm-cli supports.
switch ($Type) {
"Checkbox" {
# While it's highly likely we were given a value like "True" or a boolean datatype it's better to be safe than sorry.
$NinjaValue = [System.Convert]::ToBoolean($Value)
}
"Date or Date Time" {
# Ninjarmm-cli is expecting the time to be representing as a Unix Epoch string. So we'll convert what we were given into that format.
$Date = (Get-Date $Value).ToUniversalTime()
$TimeSpan = New-TimeSpan (Get-Date "1970-01-01 00:00:00") $Date
$NinjaValue = $TimeSpan.TotalSeconds
}
"Dropdown" {
# Ninjarmm-cli is expecting the guid of the option we're trying to select. So we'll match up the value we were given with a guid.
$Options = $NinjaPropertyOptions -replace '=', ',' | ConvertFrom-Csv -Header "GUID", "Name"
$Selection = $Options | Where-Object { $_.Name -eq $Value } | Select-Object -ExpandProperty GUID
if (-not $Selection) {
throw "Value is not present in dropdown"
}
$NinjaValue = $Selection
}
default {
# All the other types shouldn't require additional work on the input.
$NinjaValue = $Value
}
}
# We'll need to set the field differently depending on if its a field in a Ninja Document or not.
if ($DocumentName) {
$CustomField = Ninja-Property-Docs-Set -AttributeName $Name -AttributeValue $NinjaValue @DocumentationParams 2>&1
}
else {
$CustomField = Ninja-Property-Set -Name $Name -Value $NinjaValue 2>&1
}
if ($CustomField.Exception) {
throw $CustomField
}
}
}
process {
$UacResults = [PSCustomObject]@{}
# Loop through each value and get each value and add them to $UacResults as a property
$Values | ForEach-Object {
$Value = $_
$Result = $null
$Result = Get-ItemProperty -Path $Path -Name $Value -ErrorAction SilentlyContinue | Select-Object -ExpandProperty $Value
if ($null -eq $Result) {
switch ($Value) {
'FilterAdministratorToken' { $Result = 0; break }
'EnableUIADesktopToggle' { $Result = 0; break }
'ConsentPromptBehaviorAdmin' { $Result = 5; break }
'ConsentPromptBehaviorUser' { $Result = 3; break }
'EnableInstallerDetection' { $Result = 0; break } # Assumes enterprise and not Home
'ValidateAdminCodeSignatures' { $Result = 0; break }
'EnableSecureUIAPaths' { $Result = 1; break }
'EnableLUA' { $Result = 1; break }
'PromptOnSecureDesktop' { $Result = 1; break }
'EnableVirtualization' { $Result = 1; break }
Default { $Result = 1 }
}
}
$UacResults | Add-Member -MemberType NoteProperty -Name $Value -Value $Result
}
# Is UAC enabled or disabled
if (
$UacResults.ConsentPromptBehaviorAdmin -eq 5 -and
$UacResults.ConsentPromptBehaviorUser -eq 3 -and
$UacResults.EnableLUA -eq 1 -and
$UacResults.FilterAdministratorToken -eq 0 -and
$UacResults.EnableUIADesktopToggle -eq 0 -and
$UacResults.ConsentPromptBehaviorAdmin -eq 5 -and
$UacResults.ConsentPromptBehaviorUser -eq 3 -and
# Enterprise
(
(
(Get-CimInstance -ClassName Win32_OperatingSystem).Caption -notlike "*Home*" -and $UacResults.EnableInstallerDetection -eq 1
) -or
(
(Get-CimInstance -ClassName Win32_OperatingSystem).Caption -like "*Home*" -and $UacResults.EnableInstallerDetection -eq 0
)
) -and
$UacResults.ValidateAdminCodeSignatures -eq 0 -and
$UacResults.EnableSecureUIAPaths -eq 1 -and
$UacResults.EnableLUA -eq 1 -and
$UacResults.PromptOnSecureDesktop -eq 1 -and
$UacResults.EnableVirtualization -eq 1
) {
"UAC Enabled with defaults." | Write-Host
}
elseif (
$UacResults.EnableLUA -eq 0 -or
$UacResults.ConsentPromptBehaviorAdmin -eq 0 -or
$UacResults.PromptOnSecureDesktop -eq 0
) {
"UAC Disabled." | Write-Host
}
# Get the UAC Level
$UACLevel = if (
$UacResults.EnableLUA -eq 0
) {
0
}
elseif (
$UacResults.ConsentPromptBehaviorAdmin -eq 5 -and
$UacResults.PromptOnSecureDesktop -eq 0 -and
$UacResults.EnableLUA -eq 1
) {
1
}
elseif (
$UacResults.ConsentPromptBehaviorAdmin -eq 5 -and
$UacResults.PromptOnSecureDesktop -eq 1 -and
$UacResults.EnableLUA -eq 1
) {
2
}
elseif (
$UacResults.ConsentPromptBehaviorAdmin -eq 2 -and
$UacResults.PromptOnSecureDesktop -eq 1 -and
$UacResults.EnableLUA -eq 1
) {
3
}
# Get the Text version of the UAC Level
$UACLevelText = switch ($UACLevel) {
0 { "Never notify"; break }
1 { "Notify me only (do not dim my desktop)"; break }
2 { "Notify me only (default)"; break }
3 { "Always notify"; break }
Default { "Unknown"; break }
}
# Output the UAC Level
"UAC Level: $UACLevel = $UACLevelText" | Write-Host
# Output the UAC settings
$UacResults | Out-String | Write-Host
# When CustomField is used save the UAC Level to that custom field
if ($CustomField) {
try {
Set-NinjaProperty -Name $CustomField -Value "$UACLevel = $UACLevelText" -ErrorAction Stop
}
catch {
Write-Error "Failed to update Custom Field ($CustomField)"
exit 2
}
}
# Return and exit code of 0 if UAC is set to the default or higher, or 1 when not set to the default
if ($UACLevel -ge 2) {
exit 0
}
elseif ($UACLevel -lt 2) {
exit 1
}
else {
exit 1
}
}
end {
}
Accédez à plus de 700 scripts dans le Dojo NinjaOne
Description détaillée
Le script opère en plusieurs étapes :
- Initialisation des paramètres : Il commence par définir un paramètre CustomField qui peut être utilisé pour spécifier un nom de champ personnalisé à des fins de journalisation.
- Configuration de l’environnement: Il vérifie les variables d’environnement et configure les chemins d’accès au registre et les valeurs liées aux paramètres UAC.
- Définition de la fonction: Une fonction, Set-NinjaProperty, est définie pour aider à mettre à jour les champs personnalisés de NinjaOne. Cette fonction est essentielle pour les MSP qui utilisent NinjaOne pour gérer les systèmes de leurs clients.
- Détermination du niveau UAC: Le script parcourt ensuite les différents paramètres du registre liés à l’UAC, en les comparant aux valeurs par défaut ou sécurisées afin de déterminer le niveau d’UAC du système.
- Résultats et enregistrement: Il affiche le niveau et les paramètres de l’UAC dans la console. Si un champ personnalisé est fourni, le script enregistre le niveau UAC dans ce champ.
- Code de sortie: Enfin, le script se termine en renvoyant un code de sortie basé sur le niveau UAC qu’il a déterminé.
Cas d’utilisation potentiels
Imaginez qu’un fournisseur de services informatiques gère un réseau d’ordinateurs pour un client. Il peut déployer ce script sur toutes les machines pour s’assurer que les paramètres de l’UAC sont aux niveaux recommandés, empêchant ainsi les modifications non autorisées qui pourraient compromettre la sécurité.
Comparaisons
Traditionnellement, l’audit du contrôle des comptes d’utilisateurs (UAC) peut impliquer des contrôles manuels ou des scripts moins sophistiqués. Ce script offre une approche plus automatisée, détaillée et intégrée, en particulier pour les environnements gérés par NinjaOne.
FAQ
- Ce script peut-il être exécuté sur n’importe quelle version de Windows ?
- Il prend en charge Windows 7, Windows Server 2012 et les versions plus récentes.
- Est-il nécessaire de disposer de privilèges d’administrateur pour exécuter ce script ?
- Oui, il nécessite des droits d’administrateur pour accéder aux paramètres du registre et les modifier.
- Le script peut-il modifier les paramètres d’UAC ?
- Bien qu’il soit principalement conçu pour l’audit, il peut être étendu pour modifier les paramètres en fonction des résultats de l’audit.
Implications
Des paramètres d’UAC incorrects peuvent rendre un système vulnérable à un accès non autorisé et à l’installation potentielle de logiciels malveillants. Ce script aide à maintenir des configurations de sécurité optimales, ce qui permet d’atténuer ces risques.
Recommandations
- Exécutez régulièrement le script pour garantir le respect permanent des normes de sécurité.
- Intégrez le script dans les programmes de maintenance réguliers pour une gestion automatisée.
- La fonction de journalisation permet de conserver un enregistrement des paramètres d’UAC pour les pistes d’audit.
Conclusion :
Dans le cadre de la gestion de l’infrastructure informatique, en particulier lors de l’utilisation de NinjaOne, ce script PowerShell est un atout précieux. Il automatise un aspect essentiel de la gestion de la sécurité, en veillant à ce que les paramètres UAC sur le réseau d’une entreprise restent à des niveaux optimaux pour maintenir la sécurité et la conformité. Les utilisateurs de NinjaOne peuvent particulièrement bénéficier des capacités d’intégration du script, ce qui renforce le rôle de la plateforme en tant que solution complète pour les services informatiques gérés.
