Paramétrer ou désactiver le Contrôle du compte d’utilisateur
A méditer :
Différents paramêtres sont à notre disposition en utilisant l’à‰diteur de stratégies de groupe (gpedit.msc).
Ouvrez cette arborescence : Configuration ordinateur/Paramêtres Windows/Paramêtres de sécurité/Stratégies locales/Options de sécurité.
– Exécuter tous les administrateurs en mode d’approbation d’administrateur :
Cette stratégie détermine le comportement de toutes les stratégies UAC pour la totalité du système.
Si elle est activée toutes les sessions y compris celles d’administrateur sont exécutées en tant qu’utilisateurs standard.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : EnableLUA.
La valeur par défaut est : Activé.
– Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur :
Cette stratégie vous permet de paramétrer le comportement de la boîte de dialogue lors d’une demande d’élévation de privilèges initiée à partir d’un compte possédant des privilèges d’administrateur.
Il y a trois choix :
- Demande de consentement : l’administrateur sera invité à choisir entre Autoriser et Refuser. C’est la valeur par défaut.
- Demande d’informations d’identification : l’administrateur sera invité à entre son nom d’utilisateur et son mot de passe.
- à‰lever les privilèges sans demander confirmation : il n’y aura pas de demande de consentement ni d’informations d’identification.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ConsentPromptBehaviorAdmin.
Les valeurs possibles sont :
2 : Demande de consentement
1 : Demande d’informations d’identification
0 : à‰lever les privilèges sans demander confirmation
Procédez simplement à un test de lancement du Registre Windows après avoir paramétré cette stratégie sur le mode à‰lever les privilèges sans demander confirmation. Elle présente l’avantage d’être beaucoup moins contraignante à mettre en Å“uvre que celle qui consiste à désactiver le Contrôle des utilisateurs.
– à‰lever uniquement les exécutables signés et validés :
Cette stratégie permet d’appliquer les vérifications de signature PKI sur toutes les applications interactives qui requièrent une élévation de privilège.
Nous appelons PKI (« Public Key Infrastucture » ou « Infrastructure de clé publique ») l’ensemble des solutions reposant sur le système de cryptographie à clé publique. Elle s’appuie sur la notion de tiers de confiance ou autorité de certification (AC ou CA pour « Certification Authority »). Afin de savoir quelles sont les autorités certifiées suivez cette procédure :
- Lancez Internet Explorer.
- Cliquez sur Outils/Options Internet !
- Cliquez sur l’onglet Contenu puis sur le bouton Certificats.
- Cliquez sur l’onglet Autorités principales de confiance
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ValidateAdminCodeSignatures
La valeur par défaut est : Désactivé (0).
Faites le test suivant après avoir activé cette stratégie :
Double-cliquez sur un fichier d’installation que vous avez téléchargé ou exécutez-le en mode administrateur.
Choisissez de préférence un programme non Microsoft.
Vous aurez ce type de message d’erreur « Une référence a été renvoyée pas le serveur ».
– Passer au Bureau sécurisé lors d’une demande d’élévation :
Cette stratégie détermine si la demande d’élévation effectuera la demande sur le Bureau des utilisateurs interactifs ou sur le Bureau sécurisé.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : PromptOnSecureDesktop
La valeur par défaut est : Activé (1).
Ce paramêtre est vraiment intéressant à désactiver ! Il évite l’effet « rideau noir » dès qu’une élévation de privilèges est demandée.
– Mode Approbation administrateur pour le compte Administrateur intégré :
Cette stratégie détermine le comportement du mode Approbation administrateur pour le compte Administrateur intégré. L’Administrateur intégré ouvrira une session en mode Approbation administrateur et devra donner son approbation pour toutes les opérations qui requièrent une élévation de privilège.
Si cette stratégie est désactivée l’Administrateur intégré ouvrira une session en mode Compatible XP et pourra exécuter toutes les applications avec des privilèges d’administration complets.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : FilterAdministratorToken
La valeur par défaut est : Désactivé (0).
– Comportement de l’invite d’élévation pour les utilisateurs standard :
Cette stratégie vous permet de paramétrer le comportement de la boîte de dialogue lors d’une demande d’élévation de privilèges initiée à partir d’un compte possédant des privilèges standard.
Il y a DEUX choix :
- Demande d’informations d’identification : Une opération qui nécessite une élévation de privilège invitera l’utilisateur à entrer un nom d’utilisateur et un mot de passe d’administration.
C’est la valeur par défaut.
- Refuser automatiquement les demandes d’élévation : Cette option provoquera l’affichage d’un message d’erreur d’accès refusé lorsque l’utilisateur standard tentera d’effectuer une opération qui requiert une élévation de privilège.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.
DWORD : ConsentPromptBehaviorUser
Les valeurs possibles sont :
1 : Demande d’informations d’identification
0 : Refuser automatiquement les demandes d’élévation
Si vous paramétrez cette stratégie sur le mode Refuser un utilisateur standard qui essayera d’exécuter une application en tant qu’administrateur aura ce message d’erreur : « Ce programme est bloqué par une stratégie de groupe. Pour plus d’informations, contactez votre administrateur système ».
