Le logiciel AutoElevate , appelé « Agent Système AutoElevate », est installé sur chaque ordinateur. Il surveille, signale et réagit à tous les événements de privilèges UAC et aux attaques LOTL. L'agent AutoElevate fonctionne en mode Audit, Stratégie ou Élévation en direct . Il existe également des modes Blocage qui fonctionnent en mode Désactivé, Audit ou en direct . Lors de l'installation, les agents sont placés par défaut en mode Audit pour l'Élévation et en mode Désactivé pour le Blocage. Cette variable peut être modifiée dans le script de déploiement.

Comment changer les modes d'élévation

Dans le portail d'administration ( https://msp.autoelevate.com ) , sous l'onglet « Ordinateurs » , cochez la case correspondant aux ordinateurs à modifier. Dans le menu « Actions » , sélectionnez « Définir le mode d'élévation sur Actif, Audit ou Stratégie » sous « Mode d'élévation » . Vous pouvez effectuer le test dès que l'agent se connecte et prend en compte le paramètre (la connexion a lieu toutes les 10 minutes). Cliquez sur le bouton « Actualiser les données » en haut à droite pour actualiser la vue, puis consultez la colonne « Mode d'agent » pour vérifier si les agents ont pris en compte le nouveau paramètre. Voir l'image ci-dessous du menu « Actions » :

Modes d'élévation définis

• Audit - Tous les événements UAC sont enregistrés, mais l'agent ne répond pas ou n'applique pas les règles définies et, par conséquent, aucun changement n'est apporté à l'expérience utilisateur.
  
• Politique : le mode Politique applique et traite toutes les règles définies. Cependant, pour tout événement sans règle correspondante, le processus d'évaluation en temps réel n'est pas lancé, mais l'UAC est visible par l'utilisateur. Le mode Politique vous permet de créer et d'appliquer des règles pour les applications critiques, avec un bénéfice immédiat pour l'utilisateur. Cependant, il n'invite pas l'utilisateur ou le technicien à évaluer des éléments inconnus.
  
• En direct : tous les événements UAC sont interceptés et les règles définies sont appliquées (pour élever les privilèges ou les bloquer). Pour tout événement sans règle correspondante, l'utilisateur final aura le choix de poursuivre une demande de privilège. Cette demande de privilège entraîne la notification de tout technicien d'accès à l'entreprise et l'ouverture d'un ticket (si vous disposez d'un système de tickets PSA intégré). Le technicien reçoit des informations sur l'auteur de la demande, son contenu, le dispositif de sécurité de base de la machine et la sécurité de l'application ou de l'action souhaitée. Il peut également répondre à la demande de l'utilisateur en temps réel.
  
  

Comment changer les modes de blocage

Dans le portail d'administration ( https://msp.autoelevate.com ) , sous l'onglet « Ordinateurs » , cochez la case correspondant aux ordinateurs à modifier, puis, dans le menu « Actions » , sélectionnez « Définir le mode de blocage sur Actif, Audit ou Désactivé » sous « Mode de blocage » . Vous pouvez effectuer le test dès que l'agent se connecte et active le paramètre (la connexion a lieu toutes les 10 minutes). Cliquez sur le bouton « Actualiser les données » en haut à droite pour actualiser la vue, puis consultez la colonne « Mode de blocage » pour vérifier si les agents ont activé le nouveau paramètre. Voir l'image ci-dessous dans le menu « Actions » :

Remarque : Ces modes se trouvent dans le menu Actions de l'écran Ordinateurs. Plus d'informations sur Blocker ici.

Modes de blocage définis

• Désactivé : le pilote de filtre de l'agent n'est pas installé ou est désinstallé s'il l'était déjà. Par conséquent, aucun processus Windows n'est surveillé dans cet état et aucune règle de blocage existante n'est appliquée. La désactivation du blocage n'entraîne aucune modification de l'expérience utilisateur.
   
• Audit : Le pilote de filtre de l'agent est installé. Les processus Windows des binaires utilisés dans les attaques LOTL sont surveillés et leur utilisation est analysée afin de générer des recommandations de blocage. L'agent AE n'applique aucune règle de blocage définie ; par conséquent, l'expérience utilisateur reste inchangée.
   
• En direct : le pilote de filtre de l'agent est installé. Les processus Windows des binaires utilisés dans les attaques LOTL sont surveillés et leur utilisation est analysée afin de générer des recommandations de blocage. L'agent AE bloque ou autorise les processus Windows en fonction des règles de blocage définies.
  
  

Mode Technicien

Il s'agit d'un mode spécial permettant aux techniciens sur site d'interagir avec les invites UAC de l'ordinateur. Pour une explication plus détaillée, consultez la documentation du mode Technicien sur notre site d'assistance. Voici à quoi ressemble ce paramètre dans le menu Actions de l'ordinateur :

Les composants de l'agent AutoElevate

Les composants qui constituent l'agent système sont le service Agent AutoElevate , qui est configuré pour démarrer automatiquement au démarrage de Windows, puis génère les applications AEAlert et AEUACAgent une fois qu'un utilisateur est connecté. Lorsque le service Agent AutoElevate est arrêté, l'ordinateur reprend la fonctionnalité standard UAC et les événements UAC ne sont plus suivis.

Veuillez consulter le document d’installation de l’agent système pour obtenir des instructions plus détaillées sur les options de déploiement de l’agent.

Le composant AutoElevate Blocker

Le composant du bloqueur est l'application AEAutoBlocker , qui s'exécute une fois le bloqueur activé, en mode Audit ou Live. Le pilote de filtre n'est pas installé avant l' activation du bloqueur. Pour en savoir plus, consultez la page : Gestion du bloqueur .

Comment mettre à jour l'agent

Les mises à jour sont déployées automatiquement en fonction de l'état de votre locataire. Pour mettre à jour l'agent, veuillez consulter le menu Actions de l'écran Ordinateurs ci-dessous :