Patrice BONNEFOY

www.ruewindows.net

Avec Office 2010, c’est le moment d’être doublement performant !
Référencé sur le portail des Communautés Microsoft
MVP Blog Badge.

Grab this badge here!

Comprendre User Account Control
(Contrôle des comptes Utilisateurs)




Administration de Windows® Vista™ Important : Pour effectuer cette procédure, vous serez éventuellement amené à établir une élévation de privilèges en tant que membre du groupe Administrateurs sur l'ordinateur local.
Toutefois, il se peut qu'une stratégie de groupe ou stratégie de groupe locale vous empêche de modifier la configuration système. Dans ce cas, vous devrez vous rapprocher de votre Administrateur local.
Dans le cas où votre ordinateur est membre d'un domaine, vous devrez également vous rapprocher du service concerné de votre entreprise pour éventuellement obtenir l'approbation d'une telle modification.


Comprendre User Account Control de Windows® Vista™Téléchargez cet article au format Adobe PDF (Portable Document Format)
Pour lire certains articles au format PDF, vous serez peut-être amené à installer Adobe© Reader ou autres lecteurs Open-source.
Cet article a été réalisé avec la version commercialisée de Windows® Vista™ build 6000 à partir d’une solution de virtualisation Microsoft® Virtual PC 2007.
Toutes les images sont des miniatures. Cliquez dessus pour les obtenir en vraie grandeur.

Présentation
UAC répare les erreurs du passé
Fonctionnement du Contrôle des comptes Utilisateur
Configuration du Contrôle des Comptes Utilisateur
Conclusion

Présentation
Comprendre User Account Control de Windows® Vista™ User Account Control (UAC – Contrôle des Comptes Utilisateur) est un nouveau composant de sécurité de Windows® Vista™. De part son infrastructure technologique, UAC doit permettre d’atténuer les risques de propagation des malwares et autres actions d'intrusions. Mais dans un premier temps, il vise surtout à corriger le système lorsque l’on est utilisateur standard (compte utilisateur dans Windows® XP).

UAC répare les erreurs du passé
Avec Windows® XP, un utilisateur standard ne peut pas modifier le fuseau horaire des options régionales, adapter le mode de gestion de l’alimentation de son ordinateur portable… En fait, il ne peut pas exercer correctement son activité à cause d’une administration mal distribuée.

La plupart des activités d'un utilisateur Windows® sont de naviguer sur l’internet, expédier des emails, travailler avec sa suite bureautique favorite; bref, des activités tout à fait banales qui ne réclament pas les privilèges élevés d'un Administrateur. Pourtant, nombreux sont les utilisateurs qui pratiquent quotidiennement ces activités avec un compte d'administrateur.

Travailler avec un profil d’Administrateur expose gravement la machine aux risques : virus, spywares, vers et autres menaces plus ou moins graves perturbant ainsi le bon fonctionnement du système. Et c'est précisément ce qu'il se passe actuellement avec Windows® XP ! Il faut d'en être conscient qu’avec une session ouverte en tant qu’Administrateur, un malware s’exécute avec le MÊME privilège !

Avec Windows® Vista™, UAC se veut être un fonctionnement plus restrictif, moins laxiste avec la sécurité mais plus adapté aux travaux de chacune des populations d’utilisateurs donc, favoriser la productivité.
Enfin, avec UAC, l’Administrateur de la machine peut être rassuré sur l’état du système puisque sans son approbation, celui-ci ne sera pas être modifié ou altéré.
De même que les utilisateurs standards non approuvés ne seront plus tentés de modifier le système par erreur ou par méconnaissance.
C’est que je vous propose de découvrir.

Fonctionnement du Contrôle des comptes Utilisateur
Dans un premier temps, UAC permet aux utilisateurs standards d’effectuer les tâches courantes citées plus haut que l’utilisateur Windows® XP ne peut faire. Voici exactement quelles sont les tâches qu’un utilisateur standard peut entreprendre avec Windows® Vista™ :
• Affichage de l'horloge et du calendrier du système
• Changement de fuseau horaire
• Installation de WEP (Wired Equivalent Privacy) pour la connexion aux réseaux sans fil sécurisés
• Modification des paramètres d'affichage
• Changement des paramètres de gestion de l'alimentation
• Installation de polices
• Ajout d'imprimantes et d'autres périphériques dont les pilotes sont installés sur l'ordinateur ou fournis par un administrateur
• Création et configuration d'une connexion de réseau privé virtuel (VPN, Virtual Private Network)
• Téléchargement et installation de mises à jour à l'aide l'installeur compatible avec le contrôle des comptes utilisateur

Maintenant, la défragmentation du disque est désormais un processus planifié automatiquement dans Windows® Vista™, de sorte que les utilisateurs n'ont pas besoin de lancer cette action.

L’avantage du Contrôle des comptes utilisateurs (UAC) est de permettre aux Administrateurs de travailler sans avoir à perdre du temps pour fermer leur session puis en ouvrir une autre en tant qu’Administrateur ou bien à changer d’utilisateur ou encore utiliser « Exécuter en tant que ».

Avec UAC, tous les utilisateurs exécutent leurs applications et autres tâches dans un environnement d'utilisateur standard.

Lorsqu’un Administrateur ouvre sa session, il évolue dans un environnement d’utilisateur standard tant qu’il n’effectue pas de tâche administrative.
Le bureau de l’utilisateur est ainsi mieux verrouillé, ce qui limite l’accès aux applications non autorisées. Comprendre User Account Control de Windows® Vista™Toutes les tâches administratives susceptibles de modifier l'état du système (repérées par l'écusson caractéristique ci-contre) exigent de la part de l'utilisateur une élévation de privilèges en tant qu'Administrateur. Cette élévation de privilège est associée à l’exécution de la tâche. Ce qui veut dire qu’une fois la tâche terminée, les privilèges d’Administration élevés du profil sont désactivés.
Office 365 pour professionnels et petites entreprises !


















Si l’on regarde cette fonctionnalité du point de vue architectural, lorsqu'un Administrateur ouvre une session avec Windows® Vista™, le système affecte deux jetons d'accès distincts à l'utilisateur. Ces jetons d'accès contiennent les informations de groupes utilisateur, les autorisations et le contrôle d'accès utilisateur ; ces jetons sont utilisés par Windows® pour contrôler les ressources et les tâches que peut exécuter l’utilisateur en question.
Avec les versions précédentes de Windows®, le compte administrateur recevait un seul jeton d'accès incluant toutes les données et attribuant l’autorisation d’accéder à toutes les ressources du système ; cela sans vérification de l’importance de la tâche. Dans cette configuration, les programmes malveillants s'installaient sur la machine sans que l’utilisateur en eût conscience.

Dans certains cas, ces programmes utilisaient les contrôles d’accès aux données de l’Administrateur pour installer leurs codes malveillants au sein des fichiers système ; De ce fait, il devenait parfois impossible de parvenir à les retirer…

Sur le plan des privilèges de compte, la différence entre un utilisateur standard et un Administrateur réside dans le fait que le premier ne peut réaliser des tâches qui modifient l’état du système comme : désactiver le pare-feu, configurer une stratégie de sécurité, installer un service ou un pilote affectant Comprendre User Account Control de Windows® Vista™chaque utilisateur de l'ordinateur et installer des logiciels pour l'ensemble de l'ordinateur; d’ailleurs, comme expliqué plus haut, ces tâches sont repérées par l’écusson ci-contre.

Enfin, dans Windows® Vista™, UAC est activé par défaut. Nous verrons que l’on peut le désactiver même si cela présente évidemment des risques.

Nous allons maintenant découvrir le fonctionnement de ce contrôle utilisateur. Vous êtes, par exemple, l’utilisateur Alain utilisateur standard de la machine ; il désire installer un programme :

  1. Alain clique sur l’exécutable d’installation de ce programme, par exemple SETUP.EXE,
  2. Il s’aperçoit que l’installation ne démarre pas ; le système vient de détecter qu’il n’est pas Administrateur de la machine. Il lui demande donc de s’authentifier (image 1) en tant que tel :

    Comprendre User Account Control pour Windows® Vista™
      Image 1

    Ici, l’utilisateur Alain n’est pas Administrateur. Le système lui demande donc de s’identifier avec le compte de Patrice Administrateur de la machine. (La copie d’écran ici représente une autorisation de modification de paramétrage du pare-feu ; cependant, le processus pour l’installation d’un logiciel est identique).
  3. Si Alain est dans l’incapacité de s’authentifier avec un compte d’Administrateur, il clique sur le bouton Annuler ; il ne peut pas continuer.
  4. Si Alain pense pouvoir s’authentifier, il saisit le mot de passe Administrateur puis clique sur le bouton OK pour démarrer l’installation du logiciel.
Prenons cette fois l’exemple de l’utilisateur Patrice Administrateur de la machine. Il ouvre une session avec son compte d’Administrateur de la machine.

A l’évidence, Patrice fait partie du groupe des Administrateurs. Cependant, nous venons de découvrir qu’avec Windows® Vista™ les utilisateurs conduisent tous leur session en tant qu’utilisateur standard…

  1. Patrice clique de sur l’exécutable d’installation de ce même programme, toujours SETUP.EXE,
  2. Patrice s’aperçoit, de nouveau, que l’installation ne démarre pas ; toutefois, le système vient de détecter qu’il est Administrateur de la machine.
  3. Comprendre User Account Control pour Windows® Vista™ 
      Image 2
    Dans ce cas seulement, UAC lui demande de donner son consentement (image 2) pour l’exécution de cette installation avec des privilèges élevés d’Administration.



  4. Patrice clique simplement sur le bouton Continuer pour démarrer l’installation du programme. Cette manœuvre qui pourrait apparaître aberrante a une raison fondamentale : protéger encore plus le bureau en limitant l’accès aux applications non autorisées !

De toute manière, les tâches d’administration du système ne reflètent pas l’activité normale d’un utilisateur normal. Si toutefois, pour l’Administrateur, ce fonctionnement s’avère gênant, il est tout à fait possible de le modifier. C’est ce que je vous propose d’étudier dans le paragraphe suivant.

Office 365 pour professionnels et petites entreprises !

 

 

 

 

 

 

 

 

 

Configuration du Contrôle des Comptes Utilisateur
     Comment désactiver le mode d’approbation de l’Administrateur ?

  1. A l’aide du bouton gauche de la souris, en bas à gauche sur la barre des tâches, cliquez sur le bouton Windows® (anciennement Démarrer), puis tous les programmes, Accessoires et enfin Exécuter…
  2. Dans le champ Ouvrir, saisissez la commande SECPOL.MSC puis cliquez sur le bouton OK ou validez cette commande en pressant la touche Entrée.
  3. Depuis cette console MMC (Microsoft® Management Console) intitulée Paramètres de sécurité locaux, cliquez sur Stratégie locales pour dérouler le contenu puis, cliquez sur Options de sécurité.
  4. Dans la fenêtre de droite, une liste de paramètres s’affiche. Parcourez cette liste jusqu’à Contrôle de Compte Utilisateur : Exécuter les comptes d’administrateurs en mode d’approbation d’administrateur puis, double-cliquez sur cette ligne (image 3).
  5. Depuis le paramétrage de Contrôle de Compte Utilisateur : Exécuter les comptes d’administrateurs en mode d’approbation d’administrateur, sélectionnez l’option désactivé.
  6. Cliquez sur OK pour valider la modification puis quittez cette console.
Comprendre User Account Control pour Windows® Vista™ 
  Image 3








Conclusion
Windows® Vista™ a été totalement repensé dans le but de créer de la sécurité et cela à la demande générale de million d’utilisateurs.
Le chapitre précédent Configuration de UAC vous a apporté quelques informations sur le changement que l’on infliger au système. J’estime cependant que, continuer à modifier UAC pour revenir à une utilisation identique à celle de Windows® XP, qui plus est à la maison, n’est pas une décision sérieuse. C’est la raison pour laquelle, je n’ai pas trouvé judicieux de développer encore plus ce chapitre sur la configuration.

Vous venez de découvrir comment Windows® Vista™ gère l’activité des utilisateurs. Windows® Vista™ change du tout au tout la manière dont les utilisateurs interagissent avec le système. Le fait que les utilisateurs quels qu’ils soient utilisent des comptes standards va certainement contribuer à réduire la propagation des virus et autres scripts malveillants et d’autre part réduire les coûts de possession en entreprise en modérant l’intervention des administrateurs due à des actes malveillants.

Et si vous avez des questions, n'hésitez pas à m'écrire...

Pour en savoir plus http://www.microsoft.com/france/technet/produits/
windowsvista/security/uacppr.mspx

Mise en œuvre du contrôle des comptes utilisateur dans Vista (http://go.microsoft.com/fwlink/?LinkID=56402).
Comprendre et configurer le contrôle des comptes utilisateur dans Windows Vista
(http://go.microsoft.com/fwlink/? LinkId=66020).
Exigences du développement d'applications Windows Vista pour la compatibilité avec le contrôle des comptes utilisateur (http://go.microsoft.com/fwlink/?LinkId=66021).
Méthodes recommandées pour les développeurs d'applications dans un environnement de moindre privilège (http://go.microsoft.com/fwlink/? LinkID=56403)

Retour   Retour contenu