Comment modifier les paramètres de contrôle du compte utilisateur dans Windows

Le Contrôle de Compte Utilisateur (User Account Control ou UAC) est une fonctionnalité de Windows qui intervient lorsqu’un programme tente d’obtenir les privilèges administrateur. UAC va donc demander à l’utilisateur si le programme peut avoir les droits administrateurs ou non. Cette fonctionnalité a été ajoutée depuis Windows Vista et est présente par défaut. Pour personnaliser cette fonctionnalité, on peut modifier le registre. Vous pouvez voir la procédure en vidéo.





Pourquoi modifier cette fonctionnalité ?

Plusieurs raisons peuvent être invoquées :
  • Vous avez envie de sécuriser votre ordinateur.
  • Vous prêtez votre ordinateur à quelqu’un (un ami, de la famille…) et vous ne voulez pas que cette personne modifie Windows.
  • Vous voulez enlever cette fenêtre embêtante.

Valeur de la clé ConsentPromptBehaviorAdmin dans le registre


Il existe 6 valeurs dword pour cette clé.


Valeur de la clé Comportement de l’invite d’élévation
0 Aucune demande (non recommandé)
1 Demande de mot de passe sur le bureau sécurisé
2 Demande de consentement sur le bureau sécurisé
3 Demande de mot de passe
4 Demande de consentement
5 Demande de consentement pour les applications non-windows (par defaut)


Le plus sécurisé est de mettre la valeur 1. Chaque fois qu’un programme demandera des privilèges, l’utilisateur devra entrer le mot de passe de l’administrateur.

L'invite de consentement avec mot de passe de Windows
L'invite de consentement avec mot de passe de Windows

Le moins contraignant et le moins sécurisé est de mettre la valeur 0. Tous les programmes auront alors les privilèges administrateur sans demander le consentement (problème de sécurité majeur)

Pour les valeurs 2, 4 ou par défaut, si l’ordinateur n’est pas verrouillé n’importe qui peut donner les privilèges administrateur : il suffit de cliquer sur « Oui ».

L'invite de consentement sans mot de passe de Windows
L'invite de consentement sans mot de passe de Windows


De plus, pour la valeur par défaut, un hacker peut très bien injecter une DLL en se servant de makecab.exe et wusa.exe qui sont dans la liste blanche des programmes de Windows.

Modification du registre

Le chemin de la clé de registre à modifier est :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin


Pour modifier directement la clé on pourrait créer un fichier .reg :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000001


Fichier .reg pour une demande d'identification sur le bureau sécurisé
Fichier .reg pour la configuration par défaut

Modification via Stratégie de sécurité locale

Pour les éditions professionnelles ou intégrales de Windows on pourra taper secpol.msc et naviguer vers Stratégies Locales > Options de sécurité > Contrôle de compte d’utilisateur et double cliquer sur "Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur"


et choisir une option dans le menu déroulant.

Conclusion

Le UAC est important pour sécuriser un poste de travail. Le fait de demander un mot de passe pour donner des privilèges à un programme est une bonne option pour sécuriser un peu plus Windows. La fenêtre de consentement simple ne permet pas d’éviter les erreurs (on peut cliquer sur « Oui » sans faire attention ou n'importe qui peut valider a votre place si l'ordinateur est déverrouillé).
Cependant si un ordinateur est souvent utilisé par différents utilisateurs (à la maison ou en entreprise) il serait plus judicieux de mettre en place un système multi-utilisateurs.

Vidéo

Vous pouvez voir la procédure en vidéo.

Commentaires