UAC : une future célébrité !

Sans avoir besoin d’y ajouter les bugs actuels qui devraient être résolus sous peu, cette feature de Vista qui consiste à dire à un administrateur qu’il n’en est pas vraiment un est promise à une célébrité désastreuse.


Qui aura donc la patience de valider chaque utilisation d’un droit d’administration alors qu’il est déjà administrateur ? Il y a là une incohérence majeure, et ce n’est pas la seule.


Pourquoi les boites de dialogue d’autorisations n’apparaissent pas toujours au même endroit ?


Pourquoi ne pas avoir créé un groupe UAC et y mettre par défaut tous les nouveaux utilisateurs, plutôt que de casser le groupe admin ?


Pourquoi ne pas faire un utilitaire genre “sudo” installable dans la barre de tâche et qui permettrai momentanément de mettre l’utilisateur en mode “administrateur complet”, au besoin avec un timing qui rappelle à l’utilisateur de ressortir du mode “full admin” au bout d’un délai réglable ?


Alors, TOP au Hit Parade de la FAQ Vista : “Comment désactiver UAC ?


HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
“EnableLUA”=dword:00000000


et redémarrage.
(merci à MToo pour ce truc)


Et la cerise sur le gâteau, c’est qu’une fois que vous êtes débarrassé de l’UAC… vous désactivez aussi le mode protégé d’IE7+     :'(


Je sens que je vais continuer d’utiliser ce petit bijou nommé “DropMyRights“…


Alors les Microsoftees, à vous de jouer !

6 thoughts on “UAC : une future célébrité !”

  1. Bonjour,

    essayez ce fichier batch de 2 lignes et votre bureau sera encore plus sûr.

    Rem On tue le Bureau
    %SystemRoot%\system32\process -k explorer.exe
    Rem On relance le tout avec le moins possible de droits
    c:\dmr\DropMyRights.exe “c:\windows\explorer.exe ” /u

    Félix le Chat

  2. Pour être un peu plus explicite, un petit complément concernant DropMyRights, on peut :

    1) utiliser les commutateurs : http://www.microsoft.com/france/msdn/securite/IE-privileges.mspx rien ou n = utilisateur normal [sans les droits d'administrateur], c = utilisateur contraint [sans les droits d'administrateur et d'utilisateur normal], u = utilisateur pas sûr [sans les droits d'administrateur, d'utilisateur normal et d'utilisateur contraint]… plus les droits sont restreints, moins l’éventuel attaquant a de facilités pour attaquer ;

    2) en plus, tuer le bureau et le relancer aussitôt avec des droits restreints, tous les programmes lancés avec les droits restreints du bureau héritent des ces droits restreints,

    a) on peut tuer avec le gestionnaire de tâches et relancer avec le raccourci traditionnel : c:\dmr\DropMyRights.exe “c:\windows\explorer.exe ” /u

    b) ou faire un fichier batch (.bat) de 2 lignes actives :

    Rem On tue le bureau avec process.exe http://www.beyondlogic.org/consulting/processutil/process203.zip
    %SystemRoot%\system32\process -k explorer.exe
    Rem On le relance avec le moins possible de droits
    c:\dmr\DropMyRights.exe “c:\windows\explorer.exe ” /u

    c) Sous Xp on peut aussi le tuer avec taskkill http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/taskkill.mspx?mfr=true

    Rem On tue le bureau
    %SystemRoot%\system32\taskkill /im explorer.exe
    Rem On le relance avec le moins possible de droits
    c:\dmr\DropMyRights.exe “c:\windows\explorer.exe ” /u

    Félix le Chat

  3. Salut Felix,

    Merci de ton complément d’information.

    Perso, je trouve que réduire les droits du bureau est exagéré. Je l’utilise pour tous mes programmes liés à Internet (ie, oe, virc, etc…)

    JM
    .

  4. Descendre les droits du bureau est pas mal (du reste c’est déja le cas sous XP me concernant : mes users ne sont pas admin).
    Ensuite on ouvre un explorer ou un CMD en admin avec un runas et on gère.
    Ce qui me gène c’est l’impossibilité de prédire le fonctionnement de UAC : on accède a un répertoire, une clef, ou on lance une appli et même si les ACL nous donnent le droit on a une fenetre de confirmation ou un accès refusé !!! Impossible à gérer ça dans un parc informatique !!!

    Ce que je trouve dommage c’est que XP SP2 possède quasiement tous les outils pour gérer cela convenablement (je gère les 100 PC de mon parc de la sorte et j’ai très peu d’exception (des PowerUsers).
    Je n’arrive pas bien a avoir de réponse à ma question :
    est ce que UAC fonctionne en identifiant les applications ou en identifiant les accès (demande d’accès à HKML, demande d’accès à C:\Windows ….) pas très bien documenté à l’heure actuelle UAC… et pour cause ça change encore a chaque build !

    Laurent

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>