Comment modifier les paramètres de contrôle du compte utilisateur dans Windows
Le Contrôle de Compte Utilisateur (User Account Control ou UAC) est une fonctionnalité de Windows qui intervient lorsqu’un programme tente d’obtenir les privilèges administrateur. UAC va donc demander à l’utilisateur si le programme peut avoir les droits administrateurs ou non.
Cette fonctionnalité a été ajoutée depuis Windows Vista et est présente par défaut.
Pour personnaliser cette fonctionnalité, on peut modifier le registre. Vous pouvez voir la procédure en vidéo.
Fichier .reg pour une demande d'identification sur le bureau sécurisé
Fichier .reg pour la configuration par défaut
Pourquoi modifier cette fonctionnalité ?
Plusieurs raisons peuvent être invoquées :
- Vous avez envie de sécuriser votre ordinateur.
- Vous prêtez votre ordinateur à quelqu’un (un ami, de la famille…) et vous ne voulez pas que cette personne modifie Windows.
- Vous voulez enlever cette fenêtre embêtante.
Valeur de la clé ConsentPromptBehaviorAdmin dans le registre
Il existe 6 valeurs dword pour cette clé.
Valeur de la clé | Comportement de l’invite d’élévation |
---|---|
0 | Aucune demande (non recommandé) |
1 | Demande de mot de passe sur le bureau sécurisé |
2 | Demande de consentement sur le bureau sécurisé |
3 | Demande de mot de passe |
4 | Demande de consentement |
5 | Demande de consentement pour les applications non-windows (par defaut) |
Le plus sécurisé est de mettre la valeur 1. Chaque fois qu’un programme demandera des privilèges, l’utilisateur devra entrer le mot de passe de l’administrateur.
L'invite de consentement avec mot de passe de Windows |
Le moins contraignant et le moins sécurisé est de mettre la valeur 0. Tous les programmes auront alors les privilèges administrateur sans demander le consentement (problème de sécurité majeur)
Pour les valeurs 2, 4 ou par défaut, si l’ordinateur n’est pas verrouillé n’importe qui peut donner les privilèges administrateur : il suffit de cliquer sur « Oui ».
Pour les valeurs 2, 4 ou par défaut, si l’ordinateur n’est pas verrouillé n’importe qui peut donner les privilèges administrateur : il suffit de cliquer sur « Oui ».
L'invite de consentement sans mot de passe de Windows |
De plus, pour la valeur par défaut, un hacker peut très bien injecter une DLL en se servant de makecab.exe et wusa.exe qui sont dans la liste blanche des programmes de Windows.
Modification du registre
Le chemin de la clé de registre à modifier est :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
Pour modifier directement la clé on pourrait créer un fichier .reg :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000001
Fichier .reg pour une demande d'identification sur le bureau sécurisé
Fichier .reg pour la configuration par défaut
Modification via Stratégie de sécurité locale
Pour les éditions professionnelles ou intégrales de Windows on pourra taper secpol.msc et naviguer vers Stratégies Locales > Options de sécurité > Contrôle de compte d’utilisateur et double cliquer sur "Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur"
et choisir une option dans le menu déroulant.
Conclusion
Le UAC est important pour sécuriser un poste de travail. Le fait de demander un mot de passe pour donner des privilèges à un programme est une bonne option pour sécuriser un peu plus Windows. La fenêtre de consentement simple ne permet pas d’éviter les erreurs (on peut cliquer sur « Oui » sans faire attention ou n'importe qui peut valider a votre place si l'ordinateur est déverrouillé).
Cependant si un ordinateur est souvent utilisé par différents utilisateurs (à la maison ou en entreprise) il serait plus judicieux de mettre en place un système multi-utilisateurs.
Cependant si un ordinateur est souvent utilisé par différents utilisateurs (à la maison ou en entreprise) il serait plus judicieux de mettre en place un système multi-utilisateurs.
Vidéo
Vous pouvez voir la procédure en vidéo.
Commentaires
Enregistrer un commentaire