• Article

Windows Vista

Réalisez le rêve de tout non administrateur avec le contrôle des comptes utilisateur

Alex Heaton

 

Vue d'ensemble:

  • Pourquoi vous ne devriez pas opérer en tant qu'administrateur
  • Résolution des problèmes de tentative d'exécution en tant qu'utilisateur standard
  • Fonctionnement du contrôle des comptes utilisateur

L'objectif principal de la plupart des services informatiques est qu'un nombre moins élevé d'utilisateurs opèrent avec des privilèges administrateur. Cependant, bien que les administrateurs informatiques s'accordent généralement sur le fait que la restriction des utilisateurs à un compte utilisateur standard est la solution idéale, environ 80 % déploient leurs ordinateurs de bureau sous un compte administrateur, ce qui rend ces

ordinateurs plus sensibles aux logiciels malveillants et plus difficiles à gérer. Il n'est toutefois pas si facile de fuir le compte administrateur. Les obstacles potentiels auxquels vous ferez face si vous essayez d'y accéder sont nombreux.

Il y a tout d'abord le problème de compatibilité des applications. Étant donné qu'un grand nombre d'applications ont été créées et testées à l'aide de comptes administrateur, il est possible qu'elles ne s'exécutent même pas sous des comptes standard. (C'est très souvent le cas, car les applications tentent d'écrire dans des zones à accès restreint telles que le répertoire Program Files ou les clés de registre HKLM.)

Ensuite, les versions antérieures de Windows® étaient trop restrictives sur les paramètres que les utilisateurs étaient autorisés à configurer. Les utilisateurs standard ne pouvaient pas modifier le fuseau horaire, les paramètres de puissance, se connecter à des réseaux sans fil sécurisés ou installer les contrôles ActiveX® sans appeler le support technique, qui a des coûts associés.

Heureusement, Windows Vista™ résout ces problèmes. Et même si vos utilisateurs ne disposent pas de comptes administrateur, le Contrôle des comptes utilisateur (UAC, User Account Control) et d'autres technologies de gestion de Windows Vista facilitent la prise en charge et la gestion de ces ordinateurs de bureau, permettent une productivité plus importante pour les utilisateurs standard et procèdent sans la sécurité plus faible, conséquence de la modification des listes de contrôle d'accès (ACL, Access Control Lists)—méthode habituelle permettant de fournir aux utilisateurs un accès personnalisé supérieur. Examinons de plus près comment Windows Vista atténue certains de vos problèmes relatifs au contrôle d'accès.

La virtualisation améliore la compatibilité

Un grand nombre d'applications qui ne s'exécuteront pas en tant qu'utilisateur standard sous Windows XP pourront s'exécuter sans modification sous Windows Vista grâce aux fonctionnalités de virtualisation du registre et des fichiers. Sous Windows XP, un grand nombre d'applications échouent lorsqu'elles tentent d'écrire dans des zones protégées du système de fichiers et du registre auxquelles l'utilisateur standard n'est pas autorisé à accéder. Windows Vista améliorera la compatibilité en redirigeant les écritures (et les lectures consécutives de fichiers ou de registres) vers un emplacement spécial dans ce profil utilisateur. Par exemple, si une application essaie d'écrire sur C:\program files\contoso\settings.ini et que l'utilisateur n'est pas autorisé à écrire sur ce répertoire, l'écriture sera redirigée vers C:\Users\nom_utilisateur\AppData\Local\VirtualStore\Program Files\contoso\settings.ini. Si une application essaie d'écrire sur HKLM\Software\Contoso\, l'action serait automatiquement redirigée vers HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso. La figure 1 décrit le processus de redirection. De plus, le programme du logo Certified for Windows Vista nécessitera qu'une application s'exécute en tant qu'utilisateur standard sans avoir besoin de la virtualisation ; dans le cas contraire, le logo ne sera pas attribué à l'application.

Figure 1 Processus de virtualisation du registre et des fichiers

Figure 1** Processus de virtualisation du registre et des fichiers **

Les utilisateurs standard peuvent aller plus loin

Sous Windows Vista, les comptes utilisateur standard se sont vus attribuer des privilèges supplémentaires de façon à ce que les utilisateurs puissent effectuer des tâches fréquentes sans avoir à contacter le support technique et sans disposer de l'ensemble complet des autorisations fournies par le compte administrateur. Les nouveaux privilèges incluent la capacité à visualiser l'horloge système et le calendrier, modifier le fuseau horaire, modifier les paramètres de sécurité du réseau sans fil, modifier les paramètres de gestion de la puissance et télécharger et installer des mises à jour importantes depuis Windows Update.

De plus, le défragmentateur de disque est un processus automatiquement planifié dans Windows Vista. Les actions qui nécessitent des privilèges administrateur sont signalées par une icône en forme de bouclier, pour que les utilisateurs puissent voir quelles modifications de configuration ils peuvent et ne peuvent pas effectuer.

Installation du contrôle ActiveX

Les contrôles ActiveX peuvent être particulièrement fastidieux à gérer de manière centralisée, car ils peuvent être fréquemment mis à jour et doivent être réagencés avant de pouvoir être distribués via un programme de distribution de logiciel tel que SMS (Systems Management Server) ou via la stratégie de groupe. Windows Vista inclut un composant optionnel appelé service ActiveX Installer qui permet aux administrateurs informatiques d'utiliser la stratégie de groupe pour spécifier les sites Web à partir desquels les utilisateurs standard seront autorisés à installer les contrôles ActiveX. Pour utiliser le service ActiveX Installer, procédez comme suit :

  1. Activez le service ActiveX Installer sur les ordinateurs client. Vous pouvez activer le service via l'applet du panneau de configuration des fonctionnalités de Windows ou lors de la configuration de l'image du poste de travail.
  2. Dans la stratégie de groupe Active Directory, sélectionnez ActiveX Installer sous Configuration de l'ordinateur | Modèles d'administration | Composants Windows. Sélectionnez Activer. Après que la stratégie a été répliquée aux utilisateurs, ceux-ci pourront installer les contrôles à partir des sites spécifiés.

Étant donné que les contrôles ActiveX et un autre code exécutable peuvent effectuer des tâches malveillantes, utilisez judicieusement cette fonctionnalité ; utilisez-la uniquement pour les fournisseurs en lesquels vous avez confiance et uniquement sur des sites intranet sous contrôle strict.

Le service ActiveX Control Installer est également intégré à l'infrastructure de Windows Vista Eventing, vous pouvez donc être automatiquement notifié s'il existe des contrôles ActiveX que vos utilisateurs doivent installer. Lorsqu'un utilisateur standard essaie d'installer un contrôle qui n'a pas été approuvé, le service crée un événement dans le journal des applications. Sous Windows Vista, les tâches peuvent être configurées pour l'envoi automatique d'un courrier électronique ou l'exécution d'un autre programme dès le déclenchement d'un événement. Vous savez alors lorsqu'un utilisateur a besoin d'un contrôle et vous pouvez ajouter le site à la stratégie de groupe sans que l'utilisateur ne subisse de temps d'arrêt important. Sous Windows Vista, vous pouvez également souscrire à des événements depuis plusieurs ordinateurs de votre entreprise et générer une liste de tous les contrôles que vos utilisateurs essaient d'installer.

Installation du pilote d'un périphérique matériel

Les problèmes rencontrés par les utilisateurs lors de l'installation des pilotes de périphérique dont ils ont besoin lorsqu'ils sont en déplacement constituent une autre raison pour laquelle les autorisations administrateur restent populaires, en particulier pour les utilisateurs d'ordinateurs portables. La nouvelle infrastructure du magasin de pilotes de Windows Vista atténue ce problème en permettant un contrôle flexible sur les périphériques pouvant être installés par les utilisateurs standard. Tout d'abord, vous pouvez préremplir le magasin de pilotes à l'aide de pilotes approuvés afin que les utilisateurs puissent installer des périphériques autorisés lorsqu'ils en ont besoin. Ensuite, vous pouvez utiliser la stratégie de groupe pour accorder aux utilisateurs standard les autorisations d'installer des classes de périphériques tels que des imprimantes, ou même des ID spécifiques au périphérique matériel, tels que les périphériques flash autorisés.

Étant donné que le magasin de pilotes Windows Vista est un cache approuvé des pilotes tiers et intégrés sur le disque dur de chaque ordinateur client, les utilisateurs peuvent les installer sans privilèges administrateur. Pour tester des pilotes dans le magasin de pilotes, vous pouvez soit les injecter dans les images hors ligne, soit mettre à jour de façon dynamique les pilotes en clients en ligne sur le réseau. Pour les images hors ligne, utilisez le Gestionnaire de package pour tester de manière transparente des pilotes dans le magasin de pilotes.

Pour les images en ligne, utilisez les utilitaires de ligne de commande tels que pnputil.exe ou DevCon avec les applications de distribution de logiciel pour ajouter, mettre à jour ou supprimer des pilotes dans le magasin de pilotes. Pour rationaliser davantage et ajouter de la flexibilité au processus de test des pilotes, Windows Vista permet aux services informatiques et aux tiers de signer l'intégrité du package de pilotes.

Par défaut, seuls les utilisateurs disposant de droits administrateur peuvent ajouter des pilotes au magasin de pilotes. Les utilisateurs, et en particulier les utilisateurs itinérants, ont un besoin critique d'installer des périphériques tels que des imprimantes lorsqu'ils sont sur le terrain. Avec les nouveaux paramètres de stratégie de groupe, Windows Vista vous permet d'accorder aux utilisateurs standard la flexibilité dont ils ont besoin pour installer des périphériques autorisés même si les pilotes n'ont pas encore été testés dans le magasin de pilotes. Pour déléguer les privilèges de test au pilote du périphérique, ouvrez l'interface de stratégie de groupe et cliquez sur Configuration de l'ordinateur | Modèles d'administration | Système | Installation du pilote | Autoriser les non administrateurs à installer des pilotes pour ces périphériques. Vous aurez besoin de connaître le GUID des classes de périphérique que vous souhaitez faire tester et installer par les utilisateurs standard. Vous trouverez des classes de périphérique en ligne sur le site de MSDN® ou, si le périphérique est installé sur votre ordinateur, accédez à la fenêtre Gestionnaire de périphériques | Propriétés. Cliquez sur l'onglet Détails et sélectionnez le GUID Classe de périphérique dans la liste déroulante. Vous devez également vous assurer que les certificats utilisés pour signer les pilotes se trouvent déjà dans le magasin d'éditeurs approuvés de l'ordinateur client, qui peut être géré via la stratégie de groupe.

Ces avancées de Windows Vista offrent à présent aux utilisateurs standard la flexibilité dont ils ont besoin dans l'installation de périphériques afin que vous puissiez déplacer un plus grand nombre d'utilisateurs vers un environnement d'ordinateur de bureau géré.

Niveaux de verrouillage de l'ordinateur de bureau

Même avec ces améliorations du système d'exploitation Windows Vista, toutes les entreprises ne sont pas capables de déployer tous leurs ordinateurs de bureau Windows Vista avec des autorisations utilisateur standard. Certaines entreprises peuvent disposer d'applications qui nécessitent encore des privilèges administrateur ou peuvent avoir des utilisateurs, tels que les développeurs, ayant besoin d'installer leurs propres logiciels. D'accord. Windows Vista permet plusieurs niveaux de contrôle des ordinateurs de bureau, configurables via la sélection d'un compte utilisateur et la stratégie de groupe, offrant une facilité de gestion et une sécurité plus importantes qu'un compte administrateur complet sous Windows XP. La plupart des paramètres système liés aux paramètres UAC peuvent se trouver dans l'Éditeur de stratégie de sécurité (secpol.msc), présenté dans la figure 2.

Figure 2 Éditeur de stratégie de sécurité

Figure 2** Éditeur de stratégie de sécurité **(Cliquer sur l'image pour l'agrandir)

Le premier niveau de contrôle est appelé « Mode d'approbation administrateur ». Ce mode réduit la menace de certains types d'attaques malveillantes en lançant des programmes avec des privilèges utilisateur standard par défaut et en alertant l'utilisateur si un programme essaie de s'exécuter avec des privilèges administrateur. Dans ce mode, vous pouvez effectuer des audits via le journal d'événements lorsque l'utilisateur exécute un programme nécessitant des droits administrateur. N'oubliez pas que même si une application peut s'exécuter avec des privilèges utilisateur standard, ce mode n'offre pas la même sécurité qu'un vrai compte utilisateur standard. L'utilisateur dispose encore de privilèges administrateur et peut modifier les paramètres de la stratégie, installer des logiciels non approuvés et permettre l'installation de logiciels très malveillants tels qu'un rootkit.

Le niveau suivant se construit sur le premier, mais utilise la stratégie de groupe pour limiter l'élévation vers des programmes signés avec un certificat contenu dans le magasin d'éditeurs approuvés. Cela peut aider à empêcher les logiciels malveillants non signés d'obtenir des privilèges administrateur et empêcher les utilisateurs d'installer des logiciels arbitraires. Cependant, lors d'une exécution avec des comptes administrateur, les utilisateurs expérimentés et malhonnêtes ou les logiciels malveillants sophistiqués pourraient désactiver la stratégie, au moins de façon temporaire, pour effectuer des actions non autorisées. Par conséquent, ces deux premiers niveaux devraient être utilisés comme méthodes temporaires lors de la résolution de problèmes vous empêchant d'émettre de vrais comptes utilisateur standard.

Le niveau de sécurité suivant provient de la suppression d'utilisateurs des comptes administrateur et de leur définition en tant qu'utilisateurs standard. Une des fonctionnalités d'UAC est la boîte de dialogue Informations d'identification OTS (Over-the-Shoulder), à partir de laquelle les utilisateurs standard verront par défaut si le programme lancé nécessite des informations d'identification administrateur. Les utilisateurs standard ne peuvent plus effectuer cette action, toutefois s'ils connaissent le nom d'utilisateur et le mot de passe d'un administrateur, ils peuvent saisir ces informations et poursuivre l'action. Un scénario classique dans lequel cette fonctionnalité peut être utilisée implique un utilisateur d'ordinateur portable itinérant. Si, par exemple, l'utilisateur a un besoin urgent d'installer un composant du logiciel alors qu'il voyage, il pourrait appeler le support technique qui pourrait lui fournir le mot de passe d'un compte administrateur local, dans lequel l'utilisateur pourrait saisir et autoriser l'exécution du programme (voir la figure 3). Si vous fournissez le mot de passe administrateur à l'utilisateur, il est recommandé de disposer de processus et d'outils en place pour réinitialiser le mot de passe administrateur lorsque l'utilisateur se reconnecte au réseau et de se connecter aux programmes qui ont été exécutés à l'aide des informations d'identification administrateur. N'oubliez pas que si l'ordinateur a été infecté par un logiciel malveillant, l'administrateur peut être dupé et fournir des privilèges démonstrateurs à un logiciel malveillant à qui ils ne sont pas destinés.

Figure 3 Mot de passe administrateur obligatoire

Figure 3** Mot de passe administrateur obligatoire **(Cliquer sur l'image pour l'agrandir)

Vous pouvez également désactiver la boîte de dialogue d'informations d'identification à l'aide de la stratégie de groupe. Définition du contrôle des comptes utilisateur : Le comportement de l'invite d'élévation pour les utilisateurs standard est défini sur Interdire automatiquement les requêtes d'élévation (voir figure 4). Cette méthode est recommandée pour la plupart des entreprises qui déploient des ordinateurs de bureau d'utilisateurs standard pour configurer l'UAC. La plupart des entreprises utiliseraient cette méthode pour éviter que les utilisateurs n'appellent le support technique pour demander un mot de passe que le service informatique ne souhaite leur fournir.

Figure 4 Application bloquée par une stratégie de groupe

Figure 4** Application bloquée par une stratégie de groupe **(Cliquer sur l'image pour l'agrandir)

Pour le niveau de verrouillage d'ordinateur de bureau le plus élevé, vous pouvez utiliser l'UAC et les comptes utilisateur standard associés aux stratégies de restriction logicielle (SRP, Software Restriction Policies) Windows. Avec les SRP, les entreprises peuvent aller plus loin et empêcher tout logiciel de s'exécuter, ce qu'ils n'autorisent pas spécifiquement. Les SRP sont destinées à bloquer l'exécution de logiciels même s'ils répondent aux critères spécifiques basés sur le certificat Authenticode®, le hachage, le chemin d'accès ou la zone Internet. Les SRP sont gérées via la stratégie de groupe, et avec quelques manipulations, vous pouvez créer une stratégie très puissante pour empêcher l'installation et l'exécution de programmes non approuvés. Il est possible qu'une stratégie classique puisse interdire tous les exécutables sauf ceux trouvés dans les chemins suivants : %WINDIR% et %PROGRAMFILES%, et appliquer des stratégies à tous les utilisateurs sauf les administrateurs.

Avec cette stratégie en place, l'équipe informatique peut encore installer n'importe quel programme logiciel dans le répertoire Program Files sans avoir à ajouter chaque .exe à une whitelist (une liste d'éléments autorisés). Et puisque l'utilisateur standard n'a pas accès à ces répertoires, il ou elle ne peut pas le placer à l'endroit où il s'exécutera.

Vous pouvez avoir remarqué que le groupe Utilisateurs avec pouvoir n'a pas été mentionné. En effet, le groupe Utilisateurs avec pouvoir a été supprimé de Windows Vista. Certaines entreprises utilisaient le groupe Utilisateurs avec pouvoir afin d'essayer de limiter les privilèges administrateur. Alors que le fait qu'une personne devenant un utilisateur avec pouvoir peut empêcher celui-ci d'établir des configurations système non approuvées, il (ou un logiciel malveillant disposant d'informations d'identification utilisateur avec pouvoir) peut se voir accorder des droits supplémentaires et des autorisations et même des informations d'identification administratives complètes. C'est pourquoi Windows Vista dispose de deux types de comptes principaux : administrateur et utilisateur standard.

Infrastructure de gestion des ordinateurs de bureau

Grâce à la virtualisation du registre et des fichiers, la nouvelle infrastructure du magasin de pilotes et les autres fonctionnalités présentées auparavant faciliteront le déploiement des ordinateurs de bureau Windows Vista avec des comptes utilisateur standard. Cependant, même avec ces techniques, vous ne pourrez pas complètement prendre en charge un environnement utilisateur standard même si vous disposez de l'infrastructure de gestion—outils, processus et personnes—pour prendre en charge les utilisateurs qui ne peuvent pas procéder par eux-mêmes. Les problèmes que vous devez prendre en considération sont les suivants :

Installation de logiciel Si les utilisateurs ne peuvent pas installer des logiciels par eux-mêmes, vous devez leur fournir une autre méthode. Une méthode, qui ne nécessite aucun autre logiciel de gestion, consiste à utiliser la stratégie de groupe. Avec la stratégie de groupe, vous pouvez ajouter un programme à la liste Ajout/Suppression de programmes. Si un utilisateur installe un programme à l'aide de cette méthode, celui-ci se lancera avec les autorisations élevées nécessaires à l'utilisateur pour terminer l'installation. Pour une solution plus riche, vous pouvez utiliser SMS ou un produit identique. Certaines solutions vous autorisent même à créer des portails Web en libre-service dans lesquels les utilisateurs standard peuvent sélectionner et choisir le logiciel qu'ils souhaitent installer.

Mise à jour de logiciel Vous devrez disposer d'une méthode d'installation des mises à jour sur vos ordinateurs, autre que l'envoi d'un courrier électronique indiquant « Veuillez installer cette mise à jour ! » Pour gérer et déployer la plupart des mises à jour Microsoft, vous pouvez utiliser Windows Server Update Services, en téléchargement gratuit pour Windows Server. Pour déployer une plus large gamme de mises à jour, vous pouvez de nouveau envisager un produit de gestion des ordinateurs de bureau tel que SMS.

Processus de prise en charge et personnel Lorsqu'un utilisateur appelle le support technique concernant un problème de performances ou souhaite installer un élément nouveau, dans la plupart des cas vous ne pourrez pas parler de votre problème au téléphone, puisque le support peut ne pas disposer d'autorisations. Votre service informatique devra utiliser davantage l'assistance à distance et les outils d'administration à distance pour diagnostiquer les problèmes et modifier les paramètres. Même l'assistance à distance Windows fonctionnera différemment, car les utilisateurs standard connectés ne peuvent pas approuver les invites des actions qui nécessitent des privilèges administrateur, bien que l'équipe du support technique puisse utiliser le Bureau à distance pour effectuer des modifications administratives à distance.

Il sera important de disposer de processus transparents et efficaces pour manipuler les exceptions de stratégie. Admettons qu'une personne du service marketing ait besoin d'installer une version d'essai d'un nouvel outil de conception graphique qu'elle évalue pour son service. Qui fournit l'approbation pour installer ce logiciel—son responsable, son patron ou le directeur informatique ? Quels seront la méthode d'installation et le temps d'attente ? Nous suggérons de créer un simple workflow d'approbation intégré au système de suivi des problèmes du support technique. Un workflow de base pourrait se constituer comme suit :

  1. L'utilisateur soumet une requête pour installer un programme et le lien vers le programme d'installation (sur son disque dur local ou dans son lecteur de CD) et confirme que le logiciel n'a pas été obtenu de façon illégale et n'est pas utilisé à des fins malveillantes.
  2. La requête est envoyée au responsable pour approbation.
  3. La requête est transmise au responsable de l'application dans le service informatique, qui peut vérifier qu'il n'existe aucun problème de compatibilité, effectuer une analyse antivirus et s'assurer que l'entreprise n'a pas déjà acheté une licence de site pour ce programme ou un programme similaire à un autre éditeur.
  4. La requête est envoyée à un technicien de support qui va lancer l'installation à distance et avertir l'utilisateur lorsque le logiciel sera prêt à l'emploi.

Pour créer l'interface de workflow, vous pouvez scripter des pages Web dynamiques, obtenir un support technique commercial ou un package de suivi des problèmes. Selon l'environnement —géré ou non géré—, vous aurez également besoin d'un personnel différent. Heureusement, le nombre de techniciens nécessaires pour diagnostiquer physiquement ou changer l'image d'ordinateurs instables ou infectés sera moins important. Cependant, vous pourrez être contraint d'allouer initialement du personnel supplémentaire pour le déploiement et le packaging de logiciels.

Avec le temps, vous devriez avoir des coûts d'assistance moindres au fur et à mesure que les ordinateurs restent stables plus longtemps. Cependant il se peut que vous observiez une augmentation des appels au support technique de la part d'utilisateurs demandant de l'aide pour la configuration. Les appels au support technique diminueront après la configuration de vos images d'ordinateur et des stratégies de groupe à l'aide des paramètres requis par les utilisateurs.

Culture

Le dernier problème n'est pas d'ordre technologique, mais psychologique. Certains utilisateurs peuvent avoir une réaction négative quant à l'idée de ne pas disposer de privilèges administrateur. Mais je crois que la plupart des utilisateurs ne feront pas la différence. Et si vous déployez Windows Vista au moment de la mise en place des comptes utilisateur standard, les avantages en termes de productivité de la recherche intégrée Desktop Search, la nouvelle interface utilisateur Aero™ (glass) et les améliorations pour les utilisateurs itinérants compenseront tout inconvénient provenant du fait de ne pas être administrateur. Cependant, si des processus inadaptés entraînent un délai d'attente de plusieurs semaines pour obtenir l'autorisation d'installer un composant logiciel, vous pouvez alors vous attendre à ce que certains de vos employés soient mécontents.

Fondamentalement, il revient au service informatique de garantir la sécurité des éléments actifs de l'ordinateur, d'empêcher l'utilisation d'un logiciel sans licence et de mettre en œuvre la conformité avec les régulations gouvernementales et les stratégies internes. La plupart des entreprises trouveront que la seule méthode permettant d'effectuer ces procédures consiste à établir une nouvelle stratégie de restriction du nombre d'utilisateurs disposant de privilèges administrateur. Heureusement, vous trouverez cela plus facile à réaliser sur Windows Vista.

Ressources supplémentaires

Pour obtenir de l'aide sur la réduction des privilèges administrateur :

Alex Heaton est directeur produits au sein de l'équipe de sécurité Windows Vista. Auparavant, il était responsable principal des sites pour les sites Web de sécurité Microsoft, dont microsoft.com/protect. Il a également contribué au blog de l'équipe de contrôle des comptes utilisateur sur blogs.msdn.com/uac.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.