From http://www.laboratoire-microsoft.org
Par William� BORIES,
Publiée le 05/06/2007 vers 21h.
Lorsque vous ètes sous Windows Vista connecté en tant qu’administrateur avec l’UAC d’activé et que vous souhaitez accéder � des éléments nécessitant une approbation administrateur, l’UAC se déclenche et affiche sa boite de dialogue qui est parfois très énervante � force. Il existe un moyen de préserver le controle des utilisateurs (UAC) et d’enlever cette boite de dialogue lors d’une demande d’approbation administrateur
Il suffit de modifier une valeur dans l’éditeur d’objets de stratégie de groupe.
Allez dans l’invite de commande et tapez « gpedit.msc » ou allez dans les outils d’administration dans le panneau de configuration pour trouver cet utilitaire.
Ensuite, allez dans « Configuration ordinateur » puis dans « Paramêtres Windows » puis dans « Paramêtres de sécurité » et dans « Options de sécurité« .
Double cliquez sur « Contrôle compter d’utilisateur: comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur« .
– La valeur par défaut est « Demande de consentement ». Elle permet � l’administrateur de choisir entre « Autoriser » ou « Refuser« .
– La valeur « Demande d’informations d’identification » permet de demander � l’administrateur de renseigner son nom d’utilisateur et son mot de passe.
– La valeur « Elever les privilèges sans invite utilisateur » permet d’élever les privilèges sans aucune demande, il n’y aura donc plus de boite de dialogue pour vous embètter.
====
Voici ci-dessous la liste des commandes que vous pouvez entrer dans la boite de dialogue » Exécuter ».
- Panneau de configuration
Le « .cpl » est une extension du Panneau de configuration.
- appwiz.cpl : ouvre programmes et fonctionnalités
- bthprops.cpl : ouvre le gestionnaire de périphérique Bluetooth
- collab.cpl :ouvre le gestionnation de voisinnage immédiat
- desk.cpl : ouvre les paramêtre sde l’affichage
- Firewall.cpl : ouvre le pare feu Windows
- hdwwiz.cpl : ouvre l’assistant d’ajout de matériel
- inetcpl.cpl : ouvre les propriétés d’Internet Explorer
- infocardcpl.cpl : ouvre l’assistant de compatibilité des programmes
- intl.cpl : ouvre les options régionnales et linguistiques
- irprops.cpl : ouvre le gestionnaire d’infrarouge
- joy.cpl : ouvre le gestionnaire de controleur de jeu (Joystick)
- main.cpl : ouvre les propriété de la souris
- mmsys.cpl : ouvre le gestionnaire de son
- ncpa.cpl : ouvre les connexions réseau
- powercfg.cpl : ouvre le panneau des options d’alimentation
- sysdm.cpl : ouvre les propriété Système
- TabletPC.cpl : ouvre le gestionnaire de stylet et périphériques d’entrée
- telephon.cpl : ouvre lesoptions de modems et téléphonie
- timedate.cpl : ouvre le gestionnaire de date et heure
- wscui.cpl : ouvre le centre de sécurité windowsRappel de quelques lignes de commandes sous Windows et Vista :
- Console de management
- lusrmgr.msc : gestionnaire des utilisateurs
Sous Vista, le protocole utilisé pour l’authentification est NTLMv2. Sur les distributions linux, cette version du protocole n’est pas forcémment reconnue. Il faut spécifier a Windows que le protocole � utiliser est � la fois le NTLMv1 et v2.
En passant par la base de registre… � vos risques et périls 😉
VISTA HOME Basique (non testé) :
- Démarrer
- Exécuter
- Regedit
- Aller sur la clé :
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLsa
- Double clic dans la fenetre de droite sur “LmCompatibilityLevelâ€
- Redémarrer le PC
VISTA PRO :
- Démarrer
- Executer
- secpol.msc
- Strategie Local
- Options de sécurité
- Sécurité Réseau : réseau authentification LAN Manager
- Modifier la valeur et mettre :
- Envoyer LM et NTLM !.. NTLMv2 si négocié
- Redémarrer le PC
SEVEN PRO :
- Voir la faq complète : http://wiki.samba.org/index.php/Windows7
- Les classiques :
* EnablePlaintTextPassword
**/HKEY_LOCAL_MACHINESYSTEMCurrentControlSet/servicesLanmanWorkstationParameters
Nom de la clé : EnablePlaintTextPassword
Type : DWORD
Données de la valeur : 1
* NTLM
secpol.msc => Strategie Local => Options de sécurité => Sécurité
Réseau : réseau authentification LAN Manager
Modifier la valeur et mettre :
Envoyer LM et NTLM ….. NTLMv2 si négocié
ou via regedit
**/HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa/.
Nom de la clé : LmCompatibilityLevel
Type : DWORD
Données de la valeur : 1
Base : Hexadécimale
* Elevation des privilèges
KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Faites un double clic sur la valeur *EnableLUA *, et
donnez-là la valeur *0*.
* Désactiver IPV6
Commandes utiles, à saisir dans la fenêtre Exécuter (presser simultanément les touches Windows et R) :
- CHARMAP : table des caractères
- CLEANMGR : utilitaire de nettoyage du disque
- CONF : utilitaire de visioconférence Netmeeting
- DXDIAG : utilitaire de diagnostic DirectX
- HELPCTR : centre d’aide de Windows
- ICWCONN1 : assistant de nouvelle connexion Internet
- MAGNIFY : loupe de Windows
- MIGWIZ : assistant de configuration système
- MSIMN : client de messagerie Outlook Express
- MSMGS : client de messagerie instantanée Windows Messenger
- MSTSC : assistant de connexion Bureau à distance
- PERFORM : analyseur de performances
- WAB : carnet d’adresses d’Outlook Express
A méditer :
Différents paramêtres sont à notre disposition en utilisant l’à‰diteur de stratégies de groupe (gpedit.msc).
Ouvrez cette arborescence : Configuration ordinateur/Paramêtres Windows/Paramêtres de sécurité/Stratégies locales/Options de sécurité.
– Exécuter tous les administrateurs en mode d’approbation d’administrateur :
Cette stratégie détermine le comportement de toutes les stratégies UAC pour la totalité du système.
Si elle est activée toutes les sessions y compris celles d’administrateur sont exécutées en tant qu’utilisateurs standard.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : EnableLUA.
La valeur par défaut est : Activé.
– Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur :
Cette stratégie vous permet de paramétrer le comportement de la boîte de dialogue lors d’une demande d’élévation de privilèges initiée à partir d’un compte possédant des privilèges d’administrateur.
Il y a trois choix :
- Demande de consentement : l’administrateur sera invité à choisir entre Autoriser et Refuser. C’est la valeur par défaut.
- Demande d’informations d’identification : l’administrateur sera invité à entre son nom d’utilisateur et son mot de passe.
- à‰lever les privilèges sans demander confirmation : il n’y aura pas de demande de consentement ni d’informations d’identification.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ConsentPromptBehaviorAdmin.
Les valeurs possibles sont :
2 : Demande de consentement
1 : Demande d’informations d’identification
0 : à‰lever les privilèges sans demander confirmation
Procédez simplement à un test de lancement du Registre Windows après avoir paramétré cette stratégie sur le mode à‰lever les privilèges sans demander confirmation. Elle présente l’avantage d’être beaucoup moins contraignante à mettre en Å“uvre que celle qui consiste à désactiver le Contrôle des utilisateurs.
– à‰lever uniquement les exécutables signés et validés :
Cette stratégie permet d’appliquer les vérifications de signature PKI sur toutes les applications interactives qui requièrent une élévation de privilège.
Nous appelons PKI (« Public Key Infrastucture » ou « Infrastructure de clé publique ») l’ensemble des solutions reposant sur le système de cryptographie à clé publique. Elle s’appuie sur la notion de tiers de confiance ou autorité de certification (AC ou CA pour « Certification Authority »). Afin de savoir quelles sont les autorités certifiées suivez cette procédure :
- Lancez Internet Explorer.
- Cliquez sur Outils/Options Internet !
- Cliquez sur l’onglet Contenu puis sur le bouton Certificats.
- Cliquez sur l’onglet Autorités principales de confiance
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ValidateAdminCodeSignatures
La valeur par défaut est : Désactivé (0).
Faites le test suivant après avoir activé cette stratégie :
Double-cliquez sur un fichier d’installation que vous avez téléchargé ou exécutez-le en mode administrateur.
Choisissez de préférence un programme non Microsoft.
Vous aurez ce type de message d’erreur « Une référence a été renvoyée pas le serveur ».
– Passer au Bureau sécurisé lors d’une demande d’élévation :
Cette stratégie détermine si la demande d’élévation effectuera la demande sur le Bureau des utilisateurs interactifs ou sur le Bureau sécurisé.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : PromptOnSecureDesktop
La valeur par défaut est : Activé (1).
Ce paramêtre est vraiment intéressant à désactiver ! Il évite l’effet « rideau noir » dès qu’une élévation de privilèges est demandée.
– Mode Approbation administrateur pour le compte Administrateur intégré :
Cette stratégie détermine le comportement du mode Approbation administrateur pour le compte Administrateur intégré. L’Administrateur intégré ouvrira une session en mode Approbation administrateur et devra donner son approbation pour toutes les opérations qui requièrent une élévation de privilège.
Si cette stratégie est désactivée l’Administrateur intégré ouvrira une session en mode Compatible XP et pourra exécuter toutes les applications avec des privilèges d’administration complets.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : FilterAdministratorToken
La valeur par défaut est : Désactivé (0).
– Comportement de l’invite d’élévation pour les utilisateurs standard :
Cette stratégie vous permet de paramétrer le comportement de la boîte de dialogue lors d’une demande d’élévation de privilèges initiée à partir d’un compte possédant des privilèges standard.
Il y a DEUX choix :
- Demande d’informations d’identification : Une opération qui nécessite une élévation de privilège invitera l’utilisateur à entrer un nom d’utilisateur et un mot de passe d’administration.
C’est la valeur par défaut.
- Refuser automatiquement les demandes d’élévation : Cette option provoquera l’affichage d’un message d’erreur d’accès refusé lorsque l’utilisateur standard tentera d’effectuer une opération qui requiert une élévation de privilège.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ConsentPromptBehaviorUser
Les valeurs possibles sont :
1 : Demande d’informations d’identification
0 : Refuser automatiquement les demandes d’élévation
Si vous paramétrez cette stratégie sur le mode Refuser un utilisateur standard qui essayera d’exécuter une application en tant qu’administrateur aura ce message d’erreur : « Ce programme est bloqué par une stratégie de groupe. Pour plus d’informations, contactez votre administrateur système ».
Extrait de PCEXPRT :
Il est tout à fait possible d’empècher l’utilisation de certains exécutables :
- Ouvrez le registre à la clé HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
- Créez une valeur DWORD nommée « RestrictRun » (le truc fonctionne aussi avec « DisallowRun ») ayant pour valeur 1.
- Créez une sous-clé portant le mème nom.
- Dans cette sous-clé, il vous suffit de créer autant de valeurs chaînes que d’exécutables à interdire. Ces valeurs doivent avoir pour nom un entier incrémental à partie de 1 (« 1 », « 2 » !) et pour valeur le nom de l’exécutable à proscrire (par exemple, « notepad.exe »).
Redémarrage nécessaire
Avec la version 32-Bits de Vista le Forerunner 305 est détecté (pas sous la version 64-bits).
Le logiciel TrainingCenter fonctionne mais contrairement SportTracks, il ne met pas à disposition les cartes.
Problème de version de .NET.
SportTracks nécessite la version 1.1 de .NET.
L’installation de cette dernière pose problème sous Vista. Il s’en suit une impossibilité de lancer SportTracks.
Pourtant d’après le forum ca devrait marcher 🙁
D’après le site de Hauppage l’application WinTV2000 n’est pour le moment pas compatible sous Windows Vista.
Le décodeur TNT NOva-T USB2 serait compatible en version 32-bits .
Le Windows Media Center plante « erreur de decodeur ».
