Windows® 7 et le compte Administrateur


Bonjour à tous,

Je remarque souvent sur les forums, l’incessant besoin d’utilisateurs de désactiver tout ce qui a été développé de bien et d’intelligent dans les OS. Une attitude pour le moins bizarre mais c’est ainsi!

Vous l’aurez compris… Je fais allusion au Contrôle de compte utilisateur. Vous savez, la "bête noire" servant à ennuyer ;-) les utilisateurs, plus généralement connu sous le nom d’UAC…
UAC contribue à empêcher les modifications non autorisées sur votre machine. Bête noire pour certain(e)s, philosophie intelligente pour d’autres. Au risque de décevoir, je préfère de loin la seconde idée car, selon moi, développé avec beaucoup de retard, UAC aurait pu être incorporé à Windows® dès NT 3.

250x250_ChildOnline_101909_FR En effet, il apparaît évident que si l’on retire les erreurs et autres bugs de programmation d’un système, il reste l’erreur humaine. Et cette erreur, de loin la plus importante, se retrouve dans l’utilisation d’un compte hautement stratégique, le compte Administrateur, pour utiliser une session et en faire toute autre chose qu’administrer sa machine.

Il s’agit d’autant plus d’une erreur – on pourrait également mettre cela sur le compte de la négligence – que peu d’utilisateurs remarquent cette évidence : "Si je conduit une session en tant qu’Administrateur de ma machine alors, le virus, malware ou autre bestiole sans retenue s’exécute au sein de ma machine avec les mêmes droits !"
Vous êtes-vous déjà présenté la chose de cette manière ? C’est pourtant bien ce qu’il se passe avec ce type de compte!

D’ailleurs, à mieux y réfléchir, quel intérêt a-t-on d’être Administrateur pour concevoir un tableau croisé dynamique, regarder ou créer une vidéo, surfer sur le net ?

C’est la raison pour laquelle, Microsoft® et ses partenaires de tous horizons – notamment les communautés – ont conseillé, dès Windows® 2000 mais surtout avec Windows® XP (la réunification des 2 mondes Windows® ) de ne pas utiliser un compte d’Administrateur autrement que pour Administrer sa machine.

Administrer sa sécurité locale a l’aide des Stratégies de groupe est une bonne chose mais est-elle réellement à la portée de tous les utilisateurs ?

Avec Windows Vista™, Microsoft® a voulu changer les habitudes avec l’arrivée de ce Contrôle de compte utilisateurs, obligeant ainsi tout le monde d’être des utilisateurs standards. En effet, lorsqu’un Administrateur utilise sa session, il est utilisateur standard; ce n’est que lorsqu’il décide d’exécuter image une tâche administrative – qui modifie l’état du système – qu’il se produit alors une élévation de privilège par approbation de sa demande. Pour préciser, on reconnaît un programme de tâche administrative à l’écusson à damiers qu’elle porte devant son icône de lancement.
Et lorsqu’il s’agit d’un compte "Utilisateur Standard", le système lui demande d’entrer le mot de passe de l’Administrateur.

UAC paramétré par défaut, il n’est pas possible, de demander à un logiciel malveillant d’exécuter cette manœuvre d’élévation de privilège et deviner le mot de passe Administrateur pour exécuter une tâche à votre insu!

Alors, de tout ce qui est énoncé ici, vous aurez compris qu’il est difficile d’être favorable à "jouer" avec le curseur de ce contrôle de compte utilisateur situé dans les paramètres d’UAC ( Démarrer / Exécuter… UserAccountControlSettings.EXE ). UAC dévalidé, un script malveillant contourne la sécurité et pénètre le système avec les droits de l’utilisateur en cours !

Un peu de démos…
image Beaucoup d’entre vous ont remarqué que le compte Administrateur n’est pas toujours présent dans les comptes utilisateurs du système. Exact puisque, par défaut, il est désactivé. Mais laissez-le ainsi; il est bien tel qu’il est!
Vous en avez besoin ? Alors, ouvrez une invite de commande à l’aide d’un clic droit en sélectionnant "Exécuter en tant qu’Administrateur…" et tapez ceci : net user administrateur /active:yes pour activer le compte.
image Lorsque vous en aurez terminé de vos tâches administratives, de la même manière, tapez cette commande : net user administrateur /active:no pour le désactiver.
Pas besoin de laisser un compte d’Administrateur à la disposition d’une indélicatesse…

Une dernière chose : UAC n’est pas un anti-virus. Vous avez besoin d’un logiciel anti-virus et d’un détecteur de logiciel malveillants comme Windows Defender® (présent dans Windows Vista™ et Windows® 7, disponible en téléchargement pour Windows® XP (en x64 c’est là…) et pensez à bien vérifier l’heure d’exécution) en fonctionnement au sein de votre système ;-)

Comment créer un compte utilisateur
Les communautés Microsoft®…

Plus d’infos :
Qu’est-ce que le Contrôle des comptes d’utilisateurs ?
http://windows.microsoft.com/fr-FR/windows-vista/What-is-User-Account-Control
Contrôle des comptes d’utilisateur dans Windows 7 méthodes conseillées
http://technet.microsoft.com/fr-fr/library/ee679793(WS.10).aspx
User Account Control Technical Reference (en anglais)
http://technet.microsoft.com/fr-fr/library/dd835546(WS.10).aspx
Administrer une machine à l’aide des GPOs
GPOMASTERS.COM, le premier portail français d’un collègue MVP – Sylvain Cortes – dédié aux stratégies de groupe
Si vous êtes intéressé(e), vous trouverez également des livres consacrés aux GPOs de Jeremy Moskowitz, MVP GPO.
http://www.gpomasters.com/default.aspx

Bonne soirée à tous.
Patrice.

  1. No comments yet.
(will not be published)
*


(c) 2014 - Patrice A. BONNEFOY - Microsoft MVP Windows Expert IT-Pro since 2005.