Exporter (0) Imprimer
Développer tout

Présentation et configuration du contrôle de compte d'utilisateur dans Windows Vista

S'applique à: Windows Vista

Aujourd'hui, les entreprises sont confrontées à un défi complexe face à la standardisation des postes de travail. Ce défi est d'autant plus complexe que la plupart des utilisateurs sont connectés en tant qu'administrateur local sur leur ordinateur, ce qui leur permet d'installer et de désinstaller des applications, et d'ajuster les paramètres système et de sécurité à leur convenance. Par conséquent, les services informatiques ont généralement du mal à évaluer l'état et la sécurité de leurs environnements dans leur ensemble. D'autant plus que chaque application, lancée par ces utilisateurs, risque d'utiliser leur accès administratif pour écrire dans les fichiers système et le Registre, et pour modifier des données à l'échelle du système. Des tâches courantes, telles que la navigation sur le Web et la consultation des courriers électroniques, peuvent être risquées. Sans oublier que ces facteurs augmentent le coût total de possession d'une organisation.

Les services informatiques ont donc besoin d’une solution qui, d'une part, résiste aux attaques et qui, d'autre part, protège la confidentialité, l'intégrité et la disponibilité des données. Dans cette optique, l'équipe de développement de Microsoft® Windows VistaTM a décidé de modifier les interactions entre l'infrastructure de sécurité Windows de base et les applications. Ce processus est à l'origine du Contrôle de compte d'utilisateur (UAC).

Pourquoi le contrôle de compte d'utilisateur ?

Historique du compte administrateur Windows

Par défaut, lors de l'installation initiale de Microsoft Windows® XP, l'Assistant de configuration crée chaque compte d'utilisateur en tant qu'administrateur local. Avec ce type de compte, les utilisateurs peuvent installer, mettre à jour et exécuter des logiciels car le compte d'administrateur dispose d'un accès au système dans son intégralité. Lors de l'ajout d'un utilisateur au groupe local Administrateurs, celui-ci reçoit automatiquement tous les privilèges Windows. Un privilège définit le niveau d'autorisation qui affecte l'ensemble des stratégies de l'ordinateur. Par exemple, avec le privilège SeBackupPrivilege, l'utilisateur peut sauvegarder ses fichiers et ses répertoires. Toutefois, il ne faut pas confondre privilèges et autorisations : ces dernières s'appliquent aux objets tandis que les privilèges concernent uniquement les comptes d'utilisateurs. Les privilèges sont rassemblés et conservés dans le jeton d'accès de l'utilisateur qui contient également des données spécifiques à l'utilisateur à des fins d'autorisation ; Windows utilise les jetons d'accès pour vérifier les ressources auxquelles l'utilisateur peut accéder. Chaque ressource Windows est dotée d'une liste de contrôle d'accès qui enregistre les utilisateurs et les services autorisés à accéder à la ressource, ainsi que leur niveau d'autorisation. Le modèle d'autorisation de Windows utilise les données contenues dans le jeton d'accès pour savoir à quels éléments l'utilisateur peut ou ne peut pas accéder dans la liste de contrôle d'accès d'une ressource.

Les utilisateurs administratifs disposent automatiquement :

  • des autorisations de lecture, d'écriture et d'exécution pour l'ensemble des ressources ;

  • de tous les privilèges Windows.

noteRemarques
Windows Vista protège les fichiers et les dossiers %systemroot% à l'aide d'autorisations conçues pour la Protection des ressources Windows (WRP), uniquement accessibles via le service Système. Ainsi, les administrateurs peuvent lire les fichiers et les dossiers système sans pouvoir écrire dans ceux-ci. Veuillez noter qu'il s'agit d'une nouvelle fonctionnalité de Windows par rapport aux versions antérieures du produit.

Il semble évident que tous les utilisateurs ne devraient pas pouvoir lire, modifier et supprimer une ressource Windows quelle qu'elle soit. Néanmoins, de nombreux services informatiques n'ont pas d'autre choix que de faire de l'ensemble de leurs utilisateurs des administrateurs.

Voici quelques situations qui expliquent pourquoi les entreprises connectent les utilisateurs en tant qu'administrateur :

  • Installation d'applications (les membres du groupe Utilisateurs ne peuvent ni installer ni désinstaller des applications) : de nombreuses entreprises ne disposent pas de solutions de déploiement des applications, telles que Microsoft Systems Management Server® (SMS), Installation des logiciels de la stratégie de groupe (GPSI) ou une autre technologie de déploiement similaire. Ces entreprises permettent à leurs utilisateurs de se connecter en tant qu'administrateur pour qu'ils puissent installer les applications ad hoc spécialisées spécifiques à leur service (par exemple, une application de feuille de calcul personnalisée pour le service Marketing).

  • Applications Web personnalisées (contrôles ActiveX) : avec la croissance de la communauté des éditeurs de logiciels, les entreprises optent souvent pour des applications adaptées à leurs besoins professionnels spécifiques. Or, la plupart de ces applications incluent un navigateur Web frontal qui nécessite l'installation d'un contrôle ActiveX. Les contrôles ActiveX étant des fichiers exécutables susceptibles de comporter des logiciels malveillants, Windows empêche les membres du groupe Utilisateurs de les installer.

  • Baisse du coût total de possession perceptible (réduction du nombre d'appels au support technique par opposition à la réduction de la surface d'attaque) : les entreprises pensent généralement qu'elles réduiront le nombre d'appels au support technique ainsi que le coût en permettant à leurs utilisateurs d'installer leurs propres applications. Malheureusement, lorsque les postes de travail sont utilisés en tant qu'administrateur, le réseau est vulnérable aux attaques de logiciels malveillants, tels que les virus, les chevaux de Troie, les logiciels espions et certains logiciels publicitaires. Un logiciel malveillant peut exploiter l'accès au système d'un compte d'administrateur local pour endommager des fichiers, modifier des configurations système, voire transmettre des informations confidentielles hors du réseau.

Pour limiter l'impact négatif potentiel des logiciels malveillants, tous les utilisateurs doivent être connectés en tant qu'utilisateur standard. En effet, le compte d'utilisateur standard est doté de droits et de privilèges minimaux, nécessaires à la réalisation de tâches élémentaires sur le Bureau. Toutefois, alors que Windows XP propose un compte d'utilisateur standard par défaut, de nombreuses tâches quotidiennes, telles que la modification du fuseau horaire et l'installation d'une imprimante, nécessitent des privilèges d'administrateur. Les utilisateurs doivent également être administrateurs par défaut pour de nombreuses applications qui vérifient l'appartenance au groupe Administrateurs avant leur exécution. Les systèmes d'exploitation Windows 95 et Windows 98 ne proposaient pas de modèle de sécurité utilisateur. Ainsi, les développeurs d'applications concevaient leurs applications en supposant qu'elles seraient installées et exécutées en tant qu'administrateur. Un modèle de sécurité utilisateur a été créé pour Windows NT, mais tous les comptes d'utilisateurs ont été générés par défaut en tant qu'administrateur. Par ailleurs, un utilisateur standard qui travaille sur un ordinateur Windows XP doit utiliser l'option Exécuter en tant que ou se connecter en tant qu'administrateur pour installer des applications et effectuer d'autres tâches d'administration.

Avant le développement de Windows Vista, aucune solution intégrée au système d'exploitation Windows ne permettait à l'utilisateur de passer d'un compte d'utilisateur standard à un compte d'administrateur sans fermer la session, changer d'utilisateur ou utiliser l'option Exécuter en tant que. Par conséquent, la plupart des utilisateurs continuent à naviguer sur le Web et à consulter leur messagerie électronique en tant qu'administrateur.

Réduction du coût total de possession

Grâce au contrôle de compte d'utilisateur, les utilisateurs peuvent se connecter facilement en tant qu'utilisateur standard, ce qui garantit l'intégrité des environnements informatiques, y compris des fichiers système, des journaux d'audit et des paramètres système. Par ailleurs, les administrateurs n'ont plus besoin de consacrer autant de temps à autoriser des tâches sur chaque ordinateur. Les économies de temps ainsi obtenues peuvent être consacrées à la maintenance globale du système, ce qui réduit le coût total de possession de la plate-forme logicielle d'entreprise. Enfin, les administrateurs informatiques ont un meilleur contrôle sur leurs licences logicielles car ils peuvent garantir que seules les applications autorisées sont installées. Ainsi, ils n'ont plus à se soucier de l'existence de logiciels sans licence ou malveillants susceptibles de menacer leur réseau, de bloquer le système en entraînant des pertes de données, ou d'engendrer des problèmes juridiques liés à la licence.

Fonctionnement du contrôle de compte d'utilisateur

Pour résoudre les problèmes liés à la connexion en tant qu'utilisateur standard, Microsoft a cherché à simplifier ce type de connexion pour tous les acteurs concernés.

L'équipe de développement de Windows Vista s'est appuyée sur une stratégie double :

  1. Collaborer avec les développeurs de logiciels Microsoft et tiers pour supprimer les demandes excessives des applications pour un accès aux ressources Windows en tant qu'administrateur.

  2. Modifier fondamentalement l'interaction des applications, exécutées par des utilisateurs standard, avec le système d'exploitation en activant des stratégies de sécurité pour le contrôle des accès.

Le contrôle de compte d'utilisateur est une caractéristique clé de Windows Vista et un élément fondamental de la vision globale de Microsoft sur la sécurité.

Affiner les modes utilisateur

Windows Vista propose deux types de comptes d'utilisateurs : le compte d'utilisateur standard et le compte d'administrateur. Le compte d'utilisateur standard correspond au compte d'utilisateur standard des versions antérieures de Windows. Les utilisateurs standard ont des privilèges administrateur et des droits utilisateur limités : ils ne peuvent ni installer ni désinstaller des applications dans %systemroot%, ni modifier les paramètres système ou effectuer d'autres tâches d'administration. Toutefois, ils peuvent exécuter ces opérations en fournissant des informations d'identification d'administration valides au besoin. Avec l'activation du contrôle de compte d'utilisateur, les membres du groupe local Administrateurs se connectent avec le même jeton d'accès que les utilisateurs standard. Un processus peut utiliser le jeton d'accès administrateur complet uniquement si un membre du groupe local Administrateurs lui donne son autorisation. Ce processus est à la base du mode d'approbation Administrateur.

Le tableau suivant présente quelques-unes des tâches que peut effectuer un utilisateur standard et celles qui nécessitent l'élévation vers un compte d'administrateur.

 

Utilisateurs standard Administrateurs

Établir une connexion au réseau local

Installer et désinstaller des applications

Établir et configurer une connexion sans fil

Installer le pilote d'un périphérique (par exemple, un appareil photo)

Modifier les paramètres d'affichage

Installer les mises à jour Windows

Les utilisateurs ne peuvent pas défragmenter le disque dur, un service s'en charge à leur place

Configurer le contrôle parental

Lire des fichiers multimédias sur CD-ROM/DVD (configurables via la stratégie de groupe)

Installer un contrôle ActiveX

Graver des fichiers multimédias sur CD-ROM/DVD (configurables via la stratégie de groupe)

Ouvrir le panneau de configuration du Pare-feu Windows

Modifier l'arrière-plan du Bureau pour l'utilisateur actuel

Modifier le type de compte d'un utilisateur

Ouvrir le panneau de configuration des Propriétés de dates et d'heures et modifier le fuseau horaire

Modifier les paramètres du contrôle de compte d'utilisateur dans le composant logiciel enfichable Éditeur de stratégie de sécurité (secpol.msc)

Utiliser le Bureau à distance pour se connecter à un autre ordinateur

Configurer l'accès au Bureau à distance

Changer le mot de passe de leur compte d'utilisateur

Ajouter ou supprimer un compte d'utilisateur

Configurer les options d'alimentation de la batterie

Copier ou déplacer des fichiers dans le répertoire Program Files ou Windows

Configurer les options d'accessibilité

Planifier des tâches automatisées

Restaurer les fichiers sauvegardés d'un utilisateur

Restaurer les fichiers système sauvegardés

Synchroniser l'ordinateur avec un appareil mobile (SmartPhone, ordinateur portable ou assistant numérique personnel)

Configurer les mises à jour automatiques

Connecter et configurer un périphérique Bluetooth

Naviguer dans le répertoire d'un autre utilisateur

Migration à partir du groupe Utilisateurs avec pouvoir

Le groupe Utilisateurs avec pouvoir de Windows XP a été créé pour permettre aux membres du groupe d'effectuer des tâches système telles que l'installation d'applications sans nécessiter d'autorisations d'administrateur complètes. Dans ce cadre, les utilisateurs avec pouvoir étaient également autorisés à écrire dans certaines zones du système de fichiers et du Registre qui nécessitent normalement un accès administrateur. Les comptes d'utilisateurs avec pouvoir permettaient un certain degré de compatibilité entre les applications. Malheureusement, cette solution ne répondait pas à un problème fondamental : les applications nécessitant des privilèges et des droits utilisateur excessifs. Le contrôle de compte d'utilisateur ne s'appuie pas sur le groupe Utilisateurs avec pouvoir et les autorisations accordées au groupe Utilisateurs avec pouvoir de Windows XP ont été supprimées de Windows Vista. Il permet aux utilisateurs standard d'effectuer toutes les tâches de configuration courantes. Toutefois, le groupe Utilisateurs avec pouvoir reste accessible pour une compatibilité avec les versions antérieures de Windows. Pour utiliser le groupe Utilisateurs avec pouvoir sous Windows Vista, un nouveau modèle de sécurité doit être appliqué. Celui-ci modifie les autorisations par défaut sur les dossiers système et le Registre pour fournir au groupe en question les mêmes autorisations que sous Windows XP.

Mode d'approbation Administrateur

L'activation du mode d'approbation Administrateur sur un compte d'administrateur permet de sécuriser les tâches d'administration des utilisateurs en distinguant les opérations d'un utilisateur standard de celles d'un administrateur. Par exemple, la modification du Registre système devrait toujours être propre à un administrateur tandis que la navigation sur Internet devrait être propre à un utilisateur standard. Le modèle de jetons d'accès du contrôle de compte d'utilisateur souligne d'autant plus cette distinction. L'application ou l'élément qui souhaite utiliser le jeton d'accès administrateur complet de l'utilisateur demande le consentement de l'administrateur en mode d'approbation Administrateur.

Architecture du contrôle de compte d'utilisateur

Vu de l'extérieur, l'ouverture de session de Windows Vista ressemble à celle de Windows XP. Or, ses processus internes ont été radicalement modifiés. L'illustration suivante montre la différence entre l'ouverture de session d'un administrateur et celle d'un utilisateur standard.

UAC logon process

Lorsqu'un administrateur ouvre une session, l'utilisateur reçoit deux jetons d'accès : un jeton d'accès administrateur complet et un jeton d'accès utilisateur standard « filtré ». Par défaut, lorsqu'un membre du groupe local Administrateurs ouvre une session, ses privilèges d'administrateur Windows sont désactivés et ses droits utilisateur élevés sont supprimés, ce qui donne un jeton d'accès utilisateur standard. Ce jeton d'accès est ensuite utilisé pour ouvrir le poste de travail, c'est-à-dire Explorer.exe., le processus parent qui fournit un jeton d'accès à tous les autres processus initiés par l'utilisateur. Ainsi, toutes les applications sont exécutées par défaut en tant qu'utilisateur standard sauf si l'utilisateur donne son consentement ou ses informations d'identification pour permettre à l'application d'utiliser son jeton d'accès administrateur complet. Par opposition à ce processus, lorsqu'un utilisateur standard ouvre une session, seul un jeton d'accès utilisateur standard est créé. Ce jeton d'accès est ensuite utilisé pour ouvrir le poste de travail.

Dans ce cadre, tout utilisateur membre du groupe Administrateurs peut à présent ouvrir une session, naviguer sur le Web et consulter sa messagerie électronique à l'aide d'un jeton d'accès utilisateur standard. Lorsqu'il veut effectuer une tâche qui nécessite le jeton d'accès administrateur, Windows Vista effectue automatiquement une demande d'autorisation. Cette demande est nommée une invite d'élévation et son comportement peut être configuré par l'intermédiaire du composant logiciel enfichable Éditeur de stratégie de sécurité (secpol.msc) et via la stratégie de groupe. Pour plus d'informations sur l'ajustement des paramètres de la stratégie de groupe du contrôle de compte d'utilisateur, voir la section « Configuration des paramètres du contrôle de compte d'utilisateur ».

noteRemarques
Le terme « élévation », utilisé régulièrement dans ce document, désigne le processus de Windows Vista qui demande le consentement ou les informations d'identification de l'utilisateur afin d'utiliser son jeton d'accès administrateur complet.

Toute application qui nécessite le jeton d'accès de l'administrateur doit lui demander son consentement pour l'utiliser. La seule exception concerne la relation entre les processus parents et les processus enfants. Les processus enfants héritent du jeton d'accès de l'utilisateur que leur fournissent leurs processus parents. Toutefois, les processus parents et enfants doivent disposer du même niveau d'intégrité.

En effet, Windows Vista protège les processus en leur attribuant des niveaux d'intégrité qui correspondent à des degrés de confiance. Les applications à intégrité élevée, telles que l'application de partition du disque dur, exécutent des tâches qui modifient les données système. Les applications à basse intégrité, comme le navigateur Web, effectuent des opérations qui sont susceptibles de compromettre le système d'exploitation. Dans ce cadre, Windows Vista empêche les applications à basse intégrité de modifier les données des applications dotées de niveaux d'intégrité élevés.

Lorsqu'un utilisateur standard tente d'exécuter une application qui nécessite un jeton d'accès administrateur, le contrôle de compte d'utilisateur lui demande des informations d'identification valides. La section « Expérience utilisateur du contrôle de compte d'utilisateur » décrit ce processus en détail.

Le schéma suivant présente l'architecture du contrôle de compte d'utilisateur.

UAC architecture

Service Informations d'application AIS

Le service Informations d'application AIS est un service SYSTÈME qui simplifie le lancement des applications qui nécessitent un ou plusieurs privilèges ou droits utilisateur élevés pour s'exécuter, telles que les tâches d'administration, ainsi que le lancement des applications qui exigent des niveaux d'intégrité plus élevés. Il favorise le lancement de ces applications en leur créant un processus et utilise le jeton d'accès administrateur complet de l'utilisateur, lorsqu'une élévation est nécessaire, et (en fonction de la stratégie de groupe) demande le consentement de l'utilisateur pour ce faire. Il s'agit d'un nouveau service pour Windows Vista.

Virtualisation

Les administrateurs système tentent depuis longtemps de verrouiller les systèmes de leurs environnements d'entreprise. C'est pourquoi de nombreuses applications métier ont été conçues pour ne pas exiger un jeton d'accès administrateur complet. Ainsi, les administrateurs informatiques ne devront pas remplacer la plupart des anciennes applications qui s'exécutent sur de nouvelles versions de Windows lors de l'exécution du système d'exploitation avec le contrôle de compte d'utilisateur.

Windows Vista inclut une technologie de virtualisation des fichiers et des Registres pour les applications incompatibles avec le contrôle de compte d'utilisateur et qui ont nécessité par le passé un jeton d'accès administrateur pour s'exécuter correctement. Grâce à la virtualisation, même les applications incompatibles avec le contrôle de compte d'utilisateur seront compatibles avec Windows Vista. En effet, lorsqu'une application incompatible avec le contrôle de compte d'utilisateur tente d'écrire dans un répertoire protégé, tel que Program Files, le contrôle de compte d'utilisateur lui fournit sa propre vue virtualisée de la ressource qu'elle tente de modifier, via une stratégie de copie à l'écriture. La copie virtualisée est conservée dans le profil de l'utilisateur. Ainsi, une copie séparée du fichier virtualisé est créée pour chaque utilisateur qui exécute l'application incompatible.

La technologie de virtualisation évite que l'exécution des applications incompatibles n'échoue silencieusement ou de façon non-déterministe. Enfin, le contrôle de compte d'utilisateur propose également une technologie de virtualisation des fichiers et des Registres, ainsi que la journalisation par défaut pour les anciennes applications qui tentent d'écrire dans des zones protégées.

noteRemarques
La virtualisation ne s'applique pas aux applications élevées qui s'exécutent avec un jeton d'accès administrateur complet.

La plupart des tâches des applications se dérouleront correctement grâce aux fonctionnalités de virtualisation. Toutefois, même si la virtualisation permet à la grande majorité des anciennes applications de s'exécuter, il s'agit d'une mesure à court terme et non d'une solution à long terme. En ce sens, les développeurs devraient modifier leurs applications pour les rendre compatibles au plus vite avec le programme Windows Vista Logo, au lieu de compter sur la virtualisation des fichiers, des dossiers et du Registre.

Pour des conseils sur la conception d'applications compatibles avec le contrôle de compte d'utilisateur, les éditeurs de logiciels peuvent consulter le document suivant : Windows Vista Development Requirements for User Account Control Compatibility (en anglais).

noteRemarques
La technologie de virtualisation ne sera pas prise en charge sur les applications Windows natives 64 bits. Ces applications doivent être compatibles avec le contrôle de compte d'utilisateur et écrire les données dans les emplacements adéquats.

noteRemarques
La virtualisation est désactivée pour les applications marquées avec un niveau de privilège dans leur manifeste.

Niveaux d'exécution demandés

Sous Windows Vista, le manifeste d'application (un fichier XML qui décrit et identifie les assemblys côte à côte, partagés et privés, qui doivent être liés par une application au moment de l'exécution) inclut à présent des entrées qui favorisent la compatibilité des applications avec le contrôle de compte d'utilisateur. Les applications administratives qui incluent une entrée dans ce manifeste demanderont l'autorisation de l'utilisateur pour accéder à son jeton d'accès. Toutefois, la plupart des applications administratives antérieures à Windows Vista pourront s'exécuter normalement sans aucune modification à l'aide de correctifs de compatibilité, et ce même si elles ne disposent pas d'une entrée dans le manifeste. Les correctifs de compatibilité sont des entrées de base de données utilisées par les applications incompatibles avec le contrôle de compte d'utilisateur pour être opérationnelles sous Windows Vista.

Toutes les applications compatibles avec le contrôle de compte d'utilisateur devraient se voir ajouter un niveau d'exécution demandé à leur manifeste. Si l'application exige un accès administratif au système, il suffira de la marquer avec le niveau d'exécution demandé « administrateur ». Le système identifiera ce programme en tant qu'application administrative et effectuera les étapes d'élévation nécessaires. Grâce aux niveaux d'exécution demandés, le système peut savoir quels sont les privilèges spécifiques nécessaires à une application. Si vous rencontrez une application qui nécessite un accès administratif pour fonctionner correctement sous Windows Vista, voir la section « Configuration des applications antérieures à Windows Vista en vue de leur compatibilité avec le contrôle de compte d'utilisateur ».

Technologie de détection des programmes d'installation

Les programmes d'installation sont des applications qui déploient les logiciels et qui écrivent, pour la plupart, dans les répertoires système et les clés de Registre. Généralement, ces emplacements protégés du système sont uniquement inscriptibles par un utilisateur administrateur, ce qui signifie que les utilisateurs standard n'ont pas les droits suffisants pour installer des programmes. Windows Vista détecte les programmes d'installation de manière heuristique et demande les informations d'identification ou l'accord de l'utilisateur administrateur pour s'exécuter avec des privilèges d'accès. Windows Vista détecte également de manière heuristique les programmes de mise à jour et de désinstallation. Notez que l'un des objectifs de conception du contrôle de compte d'utilisateur consiste à empêcher l'exécution des programmes d'installation sans l'approbation de l'utilisateur puisqu'ils écrivent dans des zones protégées du système de fichiers et du Registre.

La technologie de détection des programmes d'installation s'applique uniquement aux éléments suivants :

1. les exécutables 32 bits ;

2. les applications qui ne disposent pas de l'attribut RequestedExecutionLevel ;

3. les processus interactifs qui s'exécutent en tant qu'utilisateur standard et dont le LUA est activé.

Avant la création d'un processus 32 bits, les attributs suivants sont examinés pour vérifier s'il s'agit d'un programme d'installation :

  • le nom de fichier inclut des mots clés tels que "install," "setup," "update," etc. ;

  • des mots clés dans les champs suivants de version des ressources : Fournisseur, Nom de la société, Nom du produit, Description du fichier, Fichier d'origine, Nom interne et Nom d'exportation ;

  • des mots clés dans le manifeste côte à côte incorporés au fichier exécutable ,

  • des mots clés dans les entrées spécifiques StringTable liées dans le fichier exécutable ;

  • des attributs clés dans les données RC liées dans le fichier exécutable ;

  • des séquences d'octets ciblées au sein du fichier exécutable.

noteRemarques
Les mots clés et les séquences d'octets sont issus de caractéristiques communes remarquées sur plusieurs technologies de programmes d'installation.

Veillez à étudier ce document de manière approfondie, notamment la section « Étape 5 : Créer et intégrer un manifeste de l'application avec votre application ».

noteRemarques
Le paramètre Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation doit être activé pour permettre la détection des programmes d'installation. Ce paramètre est activé par défaut et peut être configuré à l'aide du composant logiciel enfichable Gestionnaire de stratégie de sécurité (secpol.msc) ou via la stratégie de groupe (gpedit.msc).

Pour des informations générales et une vue d'ensemble de Microsoft Windows Installer, consultez le site MSDN à l'adresse suivante : (http://go.microsoft.com/fwlink/?LinkId=30197).

Modifications principales apportées aux fonctionnalités

Les mises à jour suivantes reflètent les modifications principales qui ont été ajoutées aux fonctionnalités de Windows Vista.

Le contrôle de compte d'utilisateur est activé par défaut

Ainsi, vous pouvez rencontrer des problèmes de compatibilité avec certaines applications qui n'ont pas été mises à jour pour l'élément de contrôle de compte d'utilisateur de Windows Vista. Si l'application nécessite un jeton d'accès administrateur (une erreur « Accès refusé » s'affiche lorsque vous essayez d'exécuter l'application), vous pouvez exécuter le programme en tant qu'administrateur en utilisant l'option Exécuter en tant qu'administrateur du menu contextuel (clic droit). Cette opération est présentée dans la section « Exécution des programmes en tant qu'administrateur ».

Tous les comptes d'utilisateurs suivants sont créés en tant qu'utilisateur standard

Les comptes d'utilisateurs standard et les comptes d'administrateurs profitent de la sécurité renforcée du contrôle de compte d'utilisateur. Par défaut, sur les nouvelles installations, le premier compte d'utilisateur créé est un compte d'administrateur local en mode d'approbation Administrateur (contrôle de compte d'utilisateur activé). Tous les comptes suivants sont créés en tant qu'utilisateur standard.

Le compte d'administrateur intégré est désactivé par défaut sur les nouvelles installations

Le compte d'administrateur intégré est désactivé par défaut sous Windows Vista. Si Windows Vista constate, lors d'une mise à jour de Windows XP, que le compte d'administrateur intégré est le seul compte d'administrateur local actif, le système d'exploitation garde le compte actif en le plaçant en mode d'approbation Administrateur. Par défaut, le compte d'administrateur intégré ne peut pas ouvrir de session sur l'ordinateur en mode sans échec. Reportez-vous aux sections suivantes pour plus d'informations.

Non-membre du domaine

Si au moins un compte d'administrateur local est actif, le mode sans échec ne permettra pas l'ouverture d'une session avec le compte d'administrateur intégré qui est désactivé. Seul un compte d'administrateur local peut être utilisé. Toutefois, si le dernier compte d'administrateur local est rétrogradé, désactivé ou supprimé par erreur, le mode sans échec permettra l'ouverture d'une session à l'aide du compte d'administrateur intégré désactivé pour une récupération d'urgence.

Membre du domaine

Dans tous les cas, le compte d'administrateur intégré désactivé ne peut pas ouvrir de session en mode sans échec. Seul un compte d'utilisateur membre du groupe Admins du domaine peut ouvrir une session sur l'ordinateur pour créer un administrateur local s'il n'en existe aucun.

ImportantImportant
Si un compte d'administrateur du domaine n'a jamais ouvert de session auparavant, vous devez démarrer l'ordinateur en Mode sans échec avec prise en charge réseau puisque les informations d'identification n'ont pas été mises en cache.

noteRemarques
Une fois l'ordinateur disjoint, il repassera au mode non-membre du domaine décrit ci-dessus.

Les invites d'élévation sont affichées par défaut sur le Bureau sécurisé

Sous Windows Vista, les demandes de consentement et d'informations d'identification sont affichées par défaut sur le Bureau sécurisé.

Nouveaux paramètres de sécurité du contrôle de compte d'utilisateur et modifications du nom des paramètres de sécurité

La section « Configuration des paramètres du contrôle de compte d'utilisateur » décrit en détail les stratégies de sécurité du contrôle de compte d'utilisateur.

Standard User Analyzer

Les administrateurs informatiques et les développeurs d'applications peuvent utiliser l'outil Standard User Analyzer pour tester la compatibilité de leurs applications avec le contrôle de compte d'utilisateur. Cet outil crée un journal des opérations élevées d'une application qui échoueraient en temps normal si elles étaient exécutées en tant qu'utilisateur standard. Ce journal fournit une feuille de route pour ajuster ces tâches et rendre les applications conformes au contrôle de compte d'utilisateur. Par ailleurs, le paramètre Auditer le suivi des processus de Windows Vista peut être utilisé pour déterminer les applications qui ne s'exécutent pas en tant qu'utilisateur standard dans un environnement d'entreprise. Pour éviter que l'expérience utilisateur Windows ne soit perturbée par le contrôle de compte d'utilisateur, Microsoft recommande de tester l'ensemble des éléments et des applications à l'aide de ces outils. La section « Configuration des applications antérieures à Windows Vista en vue de leur compatibilité avec le contrôle de compte d'utilisateur » fournit davantage d'informations sur ces outils ainsi que des conseils et des procédures de configuration.

Expérience utilisateur du contrôle de compte d'utilisateur

L'expérience utilisateur est différente pour les utilisateurs standard et les administrateurs en mode d'approbation Administrateur lorsque le contrôle de compte d'utilisateur est activé. Les sections suivantes présentent ces différences en détail et expliquent la conception de l'interface utilisateur du contrôle de compte d'utilisateur.

Méthode d'exécution recommandée de Windows Vista, cette interface est la plus sécurisée et permet de faire de votre compte d'utilisateur principal un compte d'utilisateur standard. L'exécution en tant qu'utilisateur standard est également nécessaire pour maximiser la sécurité d'un environnement géré. Grâce à l'élément d'élévation intégré au contrôle de compte d'utilisateur, les utilisateurs standard effectuent facilement leurs tâches d'administration en fournissant des informations d'identification valides pour un compte d'administrateur local. L'élément d'élévation par défaut pour les utilisateurs standard est nommé demande d'informations d'identification.

L'alternative à l'exécution en tant qu'utilisateur standard est l'exécution en tant qu'administrateur en mode d'approbation Administrateur. Avec l'élément d'élévation intégré au contrôle de compte d'utilisateur, les membres du groupe local Administrateurs accomplissent facilement leurs tâches en donnant leur accord. L'élément d'élévation par défaut pour le compte d'administrateur en mode d'approbation Administrateur est nommé demande de consentement. Le comportement des invites d'élévation du contrôle de compte d'utilisateur peut être configuré à l'aide du composant logiciel enfichable Éditeur de stratégie de sécurité locale (secpol.msc) et via la stratégie de groupe. La section « Administration du contrôle de compte d'utilisateur à l'aide de l'Éditeur de stratégie de sécurité locale et de la stratégie de groupe » décrit en détail les paramètres de sécurité du contrôle de compte d'utilisateur et leur valeur.

Les demandes de consentement et d'informations d'identification

Lorsque le contrôle de compte d'utilisateur est activé, Windows Vista demande soit le consentement soit les informations d'identification d'un compte d'administrateur valide avant de lancer un programme ou une tâche qui nécessite un jeton d'accès administrateur complet. Cette demande empêche ainsi l'installation silencieuse d'une application malveillante.

La demande de consentement

La demande de consentement s'affiche lorsqu'un utilisateur tente d'effectuer une tâche qui nécessite son jeton d'accès administrateur. Voici une copie d'écran de la demande de consentement du contrôle de compte d'utilisateur.

Consent prompt

L'exemple suivant montre comment s'affiche la demande de consentement avant l'exécution d'une opération d'administration.

Pour visualiser la demande de consentement
  1. Ouvrez une session Windows Vista en tant qu'administrateur en mode d'approbation Administrateur.

  2. Cliquez sur le bouton Démarrer, cliquez avec le bouton droit sur Poste de travail, puis sélectionnez Gérer dans le menu.

  3. Lorsque la demande de consentement du contrôle de compte d'utilisateur s'affiche, cliquez sur Continuer.

La demande d'informations d'identification

La demande d'informations d'identification s'affiche lorsqu'un utilisateur standard tente d'effectuer une tâche qui nécessite un jeton d'accès administrateur. Le comportement de cette demande par défaut pour l'utilisateur standard peut être configuré à l'aide du composant logiciel enfichable Gestionnaire de stratégie de sécurité (secpol.msc) et via la stratégie de groupe. Les administrateurs peuvent également être invités à fournir leurs informations d'identification en paramétrant la valeur Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur sur Demande d'informations d'identification.

Voici une copie d'écran d'un exemple de demande d'informations d'identification du contrôle de compte d'utilisateur.

Credential prompt

L'exemple suivant montre comment le système demande à un utilisateur standard de fournir ses informations d'identification lorsqu'il tente d'effectuer une tâche d'administration.

Pour visualiser la demande d'informations d'identification
  1. Ouvrez une session Windows Vista en tant qu'utilisateur standard.

  2. Cliquez sur le bouton Démarrer, cliquez avec le bouton droit sur Poste de travail, puis sélectionnez Gérer dans le menu.

  3. Lorsque la demande d'informations d'identification du contrôle de compte d'utilisateur s'affiche, cliquez sur le nom d'utilisateur de l'administrateur concerné, entrez le mot de passe de ce compte, puis cliquez sur Envoyer.

Invites d'élévation liées aux applications

Les invites d'élévation du contrôle de compte d'utilisateur sont codifiées par couleur pour correspondre aux différentes applications, ce qui permet de connaître immédiatement le risque potentiel qu'elles représentent. Lorsqu'une application tente de s'exécuter avec un jeton d'accès administrateur complet, Windows Vista commence par analyser le fichier exécutable pour en identifier l'éditeur. Dans un premier temps, les applications sont séparées en trois catégories en fonction de l'éditeur du fichier exécutable : Windows Vista, éditeur approuvé (signé), et éditeur non approuvé (non signé). Le schéma suivant illustre comment Windows Vista choisit la couleur de l'invite d'élévation affichée. L'illustration ci-dessous montre en détail la logique de l'invite d'élévation pour les niveaux de confiance correspondants.

Application aware elevation prompts

Voici les détails du codage en couleurs de l'invite d'élévation :

  • Arrière-plan rouge et icône bouclier rouge : l'application provient d'un éditeur bloqué ou a été bloquée par la stratégie de groupe.

  • Arrière-plan bleu/vert : l'application est une application administrative Windows Vista, comme un panneau de configuration.

  • Arrière-plan gris et icône bouclier couleur or : l'application a été signée avec la technologie Authenticode et est considérée comme une application de confiance par l'ordinateur local.

  • Arrière-plan jaune et icône bouclier rouge : soit l'application n'est pas signée, soit elle est signée sans être reconnue comme étant une application de confiance par l'ordinateur local.

Les invites d'élévation en couleurs correspondent aux boîtes de dialogue en couleurs dans Microsoft Internet Explorer.

Icône bouclier

Certains panneaux de configuration, tels que le panneau de configuration des Propriétés de dates et d'heures, comportent un mélange d'opérations administrateur et utilisateur standard. Par exemple, les utilisateurs standard peuvent visualiser l'horloge et modifier le fuseau horaire mais doivent justifier d'un jeton d'accès administrateur complet pour modifier l'heure locale du système. Voici une copie d'écran du panneau de configuration des Propriétés de dates et d'heures.

Shield icon

Si un utilisateur souhaite modifier l'heure, il doit cliquer sur le bouton de l'icône bouclier. Celui-ci demande au système de lancer le processus avec un jeton d'accès administrateur complet, qui nécessite une invite d'élévation du contrôle de compte d'utilisateur.

Sécurisation de l'invite d'élévation

La sécurité du processus d'élévation est renforcée en dirigeant l'invite vers le Bureau sécurisé. Sous Windows Vista, les demandes de consentement et d'informations d'identification sont affichées par défaut sur le Bureau sécurisé. Seuls les processus Windows y ont accès. En plus des recommandations appliquées aux administrateurs et aux utilisateurs standard, Microsoft conseille vivement de maintenir le paramètre Contrôle compte d'utilisateur : Passer au Bureau sécurisé lors d'une demande d'élévation actif pour renforcer les niveaux de sécurité.

Ainsi, lorsqu'un fichier exécutable demande une élévation sur le Bureau interactif (également nommé le Bureau de l'utilisateur), l'invite s'affiche sur le Bureau sécurisé. Le Bureau sécurisé crée une image Alpha Blend du Bureau de l'utilisateur et affiche une invite d'élévation en surbrillance avec sa fenêtre d'application appelante correspondante. Lorsque l'utilisateur clique sur Continuer ou Annuler, le Bureau de l'utilisateur s'affiche de nouveau.

Il est important de savoir qu'un logiciel malveillant peut s'afficher par-dessus le Bureau interactif et présenter une imitation du Bureau sécurisé. Toutefois, lorsque le paramètre est configuré pour demander l'autorisation, le logiciel malveillant n'obtiendra pas l'élévation, même si l'utilisateur clique sur Continuer dans l'imitation. Si le paramètre est configuré pour demander les informations d'identification, le logiciel malveillant qui imite la demande d'informations pourra recueillir les informations d'identification de l'utilisateur. Notez que le logiciel malveillant n'obtient pas pour autant des privilèges élevés et que le système est doté d'autres protections qui empêchent les logiciels malveillants d'utiliser l'interface utilisateur de façon automatique, même à l'aide d'un mot de passe qu'ils auraient recueilli.

ImportantImportant
Un logiciel malveillant peut afficher une imitation du Bureau sécurisé. Toutefois, ce scénario n'est possible que si un utilisateur a installé auparavant le logiciel malveillant sur l'ordinateur. Les processus nécessitant un jeton d'accès administrateur ne peuvent pas s'installer silencieusement lorsque le contrôle de compte d'utilisateur est activé. Ainsi, l'utilisateur doit explicitement donner son accord en cliquant sur Continuer ou en fournissant ses informations d'identification administrateur. Le comportement spécifique de l'invite d'élévation du contrôle de compte d'utilisateur dépend de la stratégie de groupe.

Ce paramètre est activé par défaut sous Windows Vista et peut être configuré au niveau local à l'aide du composant logiciel enfichable Éditeur de stratégie de sécurité (secpol.msc), ou de façon centralisée via la stratégie de groupe. La section « Administration du contrôle de compte d'utilisateur à l'aide de l'Éditeur de stratégie de sécurité locale et de la stratégie de groupe » décrit en détail les paramètres et les configurations disponibles.

Maintien des applications antérieures à Windows Vista

Certaines applications, toutefois, ne pourront pas faire l'objet de modifications pour plusieurs raisons. Le contrôle de compte d'utilisateur est doté de protections intégrées pour ces applications antérieures à Windows Vista, y compris les niveaux d'exécution demandés et la virtualisation des fichiers, des dossiers et du Registre.

Développement des applications compatibles avec le contrôle de compte d'utilisateur pour Windows Vista

L'exécution des applications avec des droits utilisateur et des privilèges moindres est un principe largement répandu à travers la communauté des développeurs. Toutefois, il a souvent été négligé par les fournisseurs d'applications qui préfèrent s'attacher à simplifier l'utilisation des logiciels ou à affiner l'interface utilisateur.

De nombreux développeurs devront modifier leurs applications pour leur permettre de fonctionner correctement avec le contrôle de compte d'utilisateur. Par exemple, les applications qui exigent inutilement des droits d'administration devront faire l'objet de modifications pour être compatibles. Cela permettra aux utilisateurs standard d'exécuter sous Windows Vista de nombreuses applications qu'ils ne peuvent actuellement pas exécuter eux-mêmes.

Microsoft fournit aux développeurs d'applications des directives et des outils pour simplifier le processus de modifications. Pour plus d'informations, voir la page MSDN relative à la compatibilité des applications (http://go.microsoft.com/fwlink/?LinkId=49973) (en anglais).

Malgré ces modifications, certaines tâches nécessiteront encore un jeton d'accès administrateur complet (comme la gestion des comptes d'utilisateurs, l'installation de pilotes de périphériques, l'exécution des logiciels de gestion d'entreprise, etc.). Avec Windows Vista, les développeurs devront choisir le niveau d'accès (standard ou administratif) de leur application pour certaines tâches spécifiques. Lorsqu'une application n'a pas besoin d'un jeton d'accès administrateur complet pour une tâche, elle doit être écrite pour nécessiter uniquement des vérifications d'accès utilisateur standard. Par exemple, une application compatible avec le contrôle de compte d'utilisateur devrait écrire ses fichiers de données sur le profil de l'utilisateur, et non sur l'arborescence du répertoire Program Files.

Programme Windows Vista Logo

Le programme Windows Vista Logo sera un facteur important pour la création d'applications compatibles avec le contrôle de compte d'utilisateur. Celui–ci imposera des normes de certification strictes, offrant ainsi aux clients la garantie que les produits certifiés s'intègreront correctement à Windows Vista.

La certification du programme Windows Vista Logo offre un avantage concurrentiel et une crédibilité aux éditeurs de logiciels. En effet, en achetant des applications certifiées, les clients sauront qu'elles sont intégralement compatibles avec Windows Vista et que l'éditeur de logiciels s'engage à conserver l'intégrité et la sécurité de leurs données. Microsoft crée actuellement des outils bêta en vue d'aider les éditeurs qui génèrent et signent des manifestes à gérer les flux. La certification du logo sera intégrée à l'application, en mettant la certification bien en évidence. Pour plus d'informations sur le processus de certification du programme Windows Vista Logo, voir la page d'accueil relative à ce programme.

Déploiement des applications pour les utilisateurs standard

L'une des tâches les plus complexes pour les entreprises consiste à contrôler l'installation des applications. À l'aide d'outils de déploiement tels que Microsoft Systems Management Server (SMS), les services informatiques centralisent le déploiement de leurs applications et réduisent le coût total de possession global de l'entreprise. L'introduction du modèle utilisateur du contrôle de compte d'utilisateur sous Windows Vista renforce l'impact de SMS sur le coût total de possession et simplifie la gestion.

Optimisation de la sécurité du déploiement des applications

Les services informatiques peuvent utiliser les trois niveaux de sécurité suivants pour leur scénario de déploiement des applications :

  • Haute sécurité : toutes les applications sont regroupées et déployées à l'aide de SMS, de GPSI ou d'une autre technologie de déploiement similaire.

  • Sécurité moyenne : les applications sont installées par le service informatique au cas par cas.

  • Basse sécurité : les utilisateurs standard installent leurs applications à leur convenance.

Voici des scénarios qui correspondent à ces trois niveaux de sécurité.

Haute sécurité : toutes les applications sont déployées à l'aide de SMS, de GPSI ou d'une autre technologie de déploiement similaire.

Dans ce scénario, l'ensemble des applications, systèmes d'exploitation et correctifs de sécurité sont installés à l'aide d'une technologie de déploiement. Voici quelques-uns des avantages liés à l'utilisation de technologies telles que SMS et GPSI dans ce cadre :

  • Simplicité d'administration : grâce à l'administration centralisée des applications, le service informatique conserve facilement une liste des applications installées, ce qui lui permet d'empêcher l'installation d'applications indésirables.

  • Réduction des installations de logiciels malveillants : les logiciels malveillants sont souvent « intégrés » à des logiciels légitimes. Ainsi, en empêchant les utilisateurs d'installer les logiciels par eux-mêmes, les administrateurs pourront éviter l'installation de logiciels malveillants.

  • Baisse du coût total de possession global : vous réduisez l'installation de logiciels malveillants et vous limitez le nombre de logiciels malveillants sur les emplacements définis par l'utilisateur.

Ce niveau de sécurité est soumis aux conditions suivantes :
  • Microsoft SMS 4.0 est installé sur un serveur dédié (si SMS est votre technologie de déploiement des applications. Dans le cas contraire, appliquez cette condition à la technologie que vous avez choisie).

  • Tous les utilisateurs ont des comptes d'utilisateurs standard qu'ils utilisent pour ouvrir leur session.

  • Les administrateurs de domaine possèdent deux comptes : un compte d'utilisateur standard et un compte d'administrateur de domaine sur lequel le contrôle de compte d'utilisateur est activé.

  • Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est activé et son administration est centralisée à l'aide de la stratégie de groupe.

  • Le paramètre Contrôle compte d'utilisateur : Passer au Bureau sécurisé lors d'une demande d'élévation est activé et son administration est centralisée à l'aide de la stratégie de groupe.

  • Le paramètre Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard est configuré sur Demande d'informations d'identification et son administration est centralisée à l'aide de la stratégie de groupe.

Avantages : ce type de configuration pour le contrôle de compte d'utilisateur offre plusieurs avantages. En centralisant l'administration des paramètres de sécurité du contrôle de compte d'utilisateur à l'aide de la stratégie de groupe, les services informatiques préservent la stratégie de l'ordinateur local qui ne peut pas être modifiée pour contourner la stratégie du service. Les utilisateurs ouvrent leur session en tant qu'utilisateur standard et ne connaissent ni le nom d'utilisateur ni le mot de passe d'un compte d'administrateur local. Ainsi, ils ne peuvent pas modifier les paramètres système, ni installer de logiciels, légitimes ou malveillants, ou encore falsifier des données, que ce soit de manière intentionnelle ou non. Toutefois, ils peuvent encore installer et mettre à jour leurs applications avec SMS. Les avantages spécifiques du déploiement des logiciels via SMS ont été évoqués précédemment, dans cette même section.

Sécurité moyenne : les applications sont installées par le service informatique au cas par cas

Le niveau de sécurité « moyen » est le plus difficile à gérer. Dans ce scénario, tous les utilisateurs doivent soumettre une demande au support technique chaque fois qu'ils souhaitent installer une application. Le support technique doit alors soit utiliser le Bureau à distance pour installer l'application, soit entrer les informations d'identification directement sur l'ordinateur de l'utilisateur concerné. En théorie, le service informatique doit savoir quelles applications ont été installées sur chaque ordinateur mais leur suivi peut être complexe. Par ailleurs, si un utilisateur standard prend connaissance des informations d'identification d'un compte d'administrateur local, ne serait-ce qu'une seule fois, la stratégie de sécurité de l'entreprise risque d'être compromise.

Basse sécurité : les utilisateurs installent leurs applications à leur convenance

Ce scénario comprend trois configurations possibles. Les configurations suivantes sont présentées par niveau de sécurité décroissant, le premier étant le mieux sécurisé :

  1. Les utilisateurs sont des utilisateurs standard qui connaissent le nom et le mot de passe d'un administrateur local.

    1. Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est activé.

    2. Les utilisateurs ouvrent leur session avec leur compte d'utilisateur standard. Lorsqu'ils souhaitent effectuer une tâche d'administration, ils fournissent les informations d'identification d'un compte d'administrateur local lors de la demande d'informations d'identification du contrôle de compte d'utilisateur.

    3. Impact : le service informatique ne peut, en aucun cas, surveiller les installations d'applications ni l'état d'intégrité de l'ordinateur. Par ailleurs, les utilisateurs peuvent encore installer par erreur des logiciels malveillants en fournissant leurs informations d'identification pour un fichier exécutable qu'ils ne peuvent pas identifier.

  2. Les utilisateurs sont des administrateurs locaux.

    1. Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est activé.

    2. Les utilisateurs ouvrent leur session avec leur compte d'administrateur et donnent leur consentement lors de l'affichage de la demande de consentement du contrôle de compte d'utilisateur s'ils souhaitent effectuer des tâches d'administration.

    3. Impact : bien que le contrôle de compte d'utilisateur soit activé, tous les utilisateurs ouvrent leur session en tant qu'administrateur. Ils peuvent ainsi facilement installer des logiciels, manipuler les paramètres système et contourner la stratégie de sécurité de leur ordinateur. Par ailleurs, le service informatique ne peut, en aucun cas, surveiller les installations d'applications ni l'état d'intégrité de l'ordinateur.

  3. Le contrôle de compte d'utilisateur est désactivé et les utilisateurs sont des administrateurs locaux.

    1. Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est désactivé.

    2. Les utilisateurs ouvrent leur session avec leur compte d'administrateur et effectuent des tâches d'administration.

    3. Impact : lorsque le contrôle de compte d'utilisateur est désactivé, les utilisateurs ne sont pas notifiés lorsque des applications administratives tentent d'utiliser leur jeton d'accès administrateur. Ainsi, le service informatique ne peut, en aucun cas, surveiller les installations d'applications ni l'état d'intégrité de l'ordinateur. Par ailleurs, des logiciels malveillants peuvent s'installer de façon silencieuse puisque le système ne demande ni le consentement, ni les informations d'identification des utilisateurs avant l'exécution d'un fichier exécutable.

Test d'applications pour l'utilisateur standard

Afin de fournir plus d'applications davantage compatibles avec le compte d'utilisateur standard, les développeurs doivent veiller à tester leurs applications en tant qu'utilisateur standard. Pour des instructions sur la procédure de test des applications compatibles avec Windows Vista, vous pouvez consulter le document Windows Vista Development Requirements for User Account Control Compatibility (en anglais).

Reconditionnement des applications

Windows Installer 4.0 a été conçu pour être entièrement fonctionnel et compatible avec le contrôle de compte d'utilisateur. Les administrateurs système qui doivent personnaliser et reconditionner des applications peuvent utiliser FLEXnet AdminStudio 7 SMS Edition pour reconditionner leurs logiciels avec Windows Installer en vue d'un déploiement avec SMS. Grâce à la solution FLEXnet AdminStudio 7 SMS Edition, les entreprises préparent, publient et distribuent des packages logiciels à l'aide de SMS 2003 sans jamais utiliser la console du serveur SMS, ce qui accroît de manière significative l'efficacité des opérations d'administration.

FLEXnet AdminStudio 7 SMS Edition fournit un outil de reconditionnement, basé sur un Assistant, qui simplifie la conversion de tous les types d'installations, y compris les installations Windows Installer InstallScript difficiles à reconditionner, en packages 100 % Windows Installer. L'outil de reconditionnement inclut : InstallMonitor qui permet le reconditionnement sans avoir à réaliser de captures instantanées, SmartScan qui permet d'extraire un maximum d'informations des installations InstallScript lors de la conversion vers des programmes d'installation Windows Installer, Setup Intent qui permet de vérifier qu'aucun fichier important ne manque dans les programmes Windows Installer et Packaging Process Assistant qui permet de vous orienter vers le processus de reconditionnement approprié.

Vous pouvez télécharger gratuitement FLEXnet AdminStudio 7 SMS Edition sur le site SMS (http://go.microsoft.com/fwlink/?LinkId=71355).

Les ressources suivantes fournissent d'autres informations sur le reconditionnement des logiciels :

Scénario de déploiement du contrôle de compte d'utilisateur

Dans cette section, nous étudierons un scénario de déploiement du contrôle de compte d'utilisateur pour Litware, Inc., une entreprise de taille moyenne. Ce scénario illustre les problèmes qui pourraient survenir lors de l'exécution d'un environnement Windows Vista sur lequel le contrôle de compte d'utilisateur est activé.

Litware, Inc (entreprise moyenne)

Après l'installation de Windows Vista sur un ordinateur du site du siège social de Litware, Inc, un utilisateur ouvre une session en tant qu'administrateur en mode d'approbation Administrateur. Il navigue alors sur un dossier partagé qui contient les applications métier spécifiques à son service. Ce partage comporte un dossier pour chaque application et le logiciel utilise plusieurs technologies différentes pour installer les applications, y compris Windows Installer, bootstrapper.exe et un programme d'installation de type xcopy.

Avec un parc de 2 500 postes de travail Windows XP, Litware, Inc. a décidé de se mettre à niveau vers Windows Vista pour bénéficier du contrôle de compte d'utilisateur. Le service informatique doit trouver une solution pour installer les différentes applications métier de l'entreprise en tant qu'utilisateur standard. Toutefois, les obstacles suivants sont identifiés :

  • Aucun employé du service informatique ne sait utiliser le composant Installation des logiciels de la stratégie de groupe (GPSI) ou Microsoft Systems Management Server (SMS). De ce fait, la société devra investir dans une formation pour l'un des membres du personnel.

  • La conversion des applications métier en vue de leur installation avec Windows Installer pourrait s'avérer onéreuse car la société ne dispose d'aucun outil pour effectuer le processus. Par exemple : « Nous pouvons conditionner toutes les applications mais les paramètres d'installation sont difficiles à configurer. »

  • Le service informatique a développé quelques scripts de connexion pour effectuer l'installation des applications mais ne souhaite pas consacrer le temps, les ressources, ni les efforts nécessaires à leur création.

Solutions pour l'administrateur en mode d'approbation Administrateur

Ce problème ne s'applique pas uniquement à Windows Vista. Les entreprises cherchent depuis longtemps à installer leurs applications en tant qu'utilisateur standard, avec différents degrés de réussite. Les solutions suivantes sont présentées par niveau de préférence croissant : bonne solution, très bonne solution et solution optimale.

Bonne solution

Laissez les utilisateurs installer les applications à partir du partage existant et servez-vous de la technologie heuristique de détection des programmes d'installation pour identifier les applications métier en tant que programmes d'installation. Celle-ci fera alors appel au niveau d'exécution demandé élevé. L'élévation silencieuse est désactivée. Ainsi, aucune demande de consentement ou d'informations d'identification ne s'affichera pour les utilisateurs qui exécuteront silencieusement le jeton d'accès administrateur complet lors de l'exécution d'applications à partir de ces partages.

Pour plus d'informations sur la détection heuristique des programmes d'installation sous Windows Vista, voir la section « Technologie de détection des programmes d'installation ».

Malheureusement, cette approche a ses limites. Dans certains cas, la technologie de détection des programmes d'installation de Windows Vista pourrait identifier une application comme étant un programme d'installation et l'élever automatiquement. Or, des problèmes de compatibilité pourraient survenir si cette application n'a pas été conçue pour être installée sur l'environnement Windows Vista.

Très bonne solution

Lorsqu'une société consacre davantage de ressources au verrouillage de son environnement, l'une des premières tâches du service informatique consiste à répertorier les applications des ordinateurs. Dans ce scénario, les applications ont déjà été rassemblées dans un emplacement unique : un partage réseau. Grâce au regroupement de ces applications, les problèmes évoqués sont simples à résoudre : il suffit de marquer les programmes d'installation avec un niveau d'exécution demandé pour qu'ils s'exécutent en tant qu'administrateur. Pour ce faire, il convient d'ajouter des entrées à la base de données de compatibilité des applications. Par ailleurs, vous pouvez marquer les applications pour qu'elles s'exécutent avec un niveau d'exécution demandé inférieur si elles sont identifiées à tort en tant que programmes d'installation.

Enfin, vous pourriez créer un script qui parcourt le partage et marque l'ensemble des applications avec le niveau RunAsAdmin de la base de données de compatibilité de l'application. Pour des instructions sur le marquage des applications avec les niveaux d'exécution demandés, voir la section « Marquage des applications avec les niveaux d'exécution demandés en vue de leur compatibilité »".

Les marquages de la base de données de l'application sont associés à un objet de stratégie de groupe qui est déployé par la suite à l'échelle de l'entreprise avec la stratégie de groupe. Une fois cette stratégie déployée, les utilisateurs auront la garantie que leurs applications sont marquées de façon adéquate pour s'exécuter avec le niveau d'exécution demandé explicitement défini.

Solution optimale

Le personnel informatique connaissant désormais les applications installées par les utilisateurs, le service informatique peut commencer à contrôler leur installation et empêcher l'installation d'applications supplémentaires. Il convient de commencer par désactiver l'outil de détection des programmes d'installation et de créer des marquages de niveau d'exécution demandé explicites pour chaque application qui installe un produit dans la société. Il est sous-entendu ici que le service informatique connaît désormais les applications qui seront installées par les utilisateurs. Par ailleurs, chaque application est marquée avec un niveau d'exécution demandé : la technologie de détection des programmes d'installation n'est ainsi plus nécessaire.

L'installation des applications est à présent mieux contrôlée. Ainsi, plus besoin d'installer les logiciels à partir d'un CD-ROM ou d'un autre support externe : tout est à portée de main sur le réseau. Pour empêcher les utilisateurs d'installer des applications qui utilisent Windows Installer à partir d'un support externe amovible, effectuez la procédure suivante pour activer le paramètre Éviter l'utilisation de la source de support amovible pour toutes les installations dans le fichier Modèles d'administration de Windows Installer :

Pour éviter l'utilisation de la source de support amovible pour toutes les installations
  1. Cliquez sur Démarrer, Panneau de configuration, double-cliquez sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory.

  2. Dans le volet de la console, développez Configuration utilisateur, Modèles d'administration, puisComposants Windows et sélectionnez Windows Installer.

  3. Dans le volet d'informations, cliquez avec le bouton droit sur Éviter l'utilisation de la source de support amovible pour toutes les installations et sélectionnez Propriétés.

  4. Dans Propriétés, sélectionnez Activer, puis cliquez sur OK.

noteRemarques
Lorsque le paramètre Éviter l'utilisation de la source de support amovible pour toutes les installations est activé, un message indiquant que la fonctionnalité n'a pas été trouvée lorsqu'un utilisateur tente d'installer un programme à partir d'un support amovible tel que les CD-ROM, les disquettes et les DVD, s'affiche.

noteRemarques
Le paramètre Éviter l'utilisation de la source de support amovible pour toutes les installations s'applique même lorsque l'installation s'exécute dans le contexte de sécurité de l'utilisateur.

ImportantImportant
Comme susmentionné, si l'utilisateur final s'exécute en tant qu'administrateur, rien ne garantit que les paramètres déployés par le service informatique sont actifs sur l'ordinateur en question. Les utilisateurs administratifs peuvent contourner les paramètres de différentes façons : ce n'est qu'une question de temps, d'expérience et de détermination.

Le regroupement des applications au sein d'un partage réseau unique présente un autre avantage : il permet en effet de signer tous les fichiers binaires. Une fois l'ensemble de ces fichiers signés, vous pouvez fournir à votre entreprise un niveau de sécurité supplémentaire en activant le paramètre Contrôle compte d'utilisateur : Élever uniquement les exécutables signés et validés.

Enfin, vous pouvez ajouter des stratégies de restriction logicielle pour empêcher l'utilisation des exécutables non autorisés.

Solutions utilisateur standard

Les solutions suivantes sont présentées par niveau croissant de préférence : bonne solution, très bonne solution et solution optimale.

Très bonne solution

Le service informatique doit supposer que les utilisateurs standard ne pourront pas, de manière générale, installer des applications et que leur jeton d'accès aura un ensemble limité de droits utilisateur. Par ailleurs, ils ne pourront plus s'exécuter en tant qu'administrateur : un service qui s'exécutera en tant qu'administrateur modifiera l'état du système à leur place. Heureusement, Windows propose un service d'installation pour ce faire : Windows Installer Server. Le système d'exploitation comporte également une extension du composant Installation des logiciels de la stratégie de groupe, utilisée pour distribuer les applications vers l'ordinateur d'un utilisateur sans nécessiter son intervention.

Pour plus d'informations, voir la documentation relative à l'extension du composant Installation des logiciels de la stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=71356) (en anglais)

Autrement, vous pouvez déployer les applications à l'aide d'une technologie telle que SMS. Le concept fondamental reste le même : l'utilisateur standard a besoin d'un service principal pour accomplir les tâches pour lesquelles il ne dispose pas des privilèges ou des droits utilisateur.

Pour des instructions sur le déploiement des applications avec SMS, voir TechNet (http://go.microsoft.com/fwlink/?LinkId=71357) (en anglais).

Pour utiliser l'extension du composant GPSI, les applications doivent être distribuées dans des programmes d'installation Windows. Pour convertir les fichiers binaires d'un programme d'installation d'une application en un programme d'installation Windows, vous devez d'abord « reconditionner » l'application. Ce processus consiste, entre autres, à définir les paramètres propres à l'application et à comprendre l'ordre d'exécution approprié des différents événements. Certains outils, tels que l'outil DevStudio d'InstallShield, ont été conçus pour vous aider dans cette tâche.

Parfois complexe, le reconditionnement des applications peut mobiliser des équipes entières. Pour plus d'informations sur le reconditionnement des applications, voir la section « Reconditionnement des applications ».

Solution optimale

Ce scénario évoque les nombreux facteurs à prendre en compte lors du déploiement logiciel. Généralement, chaque utilisateur a besoin d'un ensemble d'applications métier de base sur son ordinateur. Il s'agit de logiciels à cibler en vue d'un déploiement à l'échelle de l'entreprise via GPSI Publishing ou Advertisement. Il serait judicieux de créer, dans une entreprise disposant d'un grand nombre d'ordinateurs déployés, une bibliothèque d'images dans laquelle ces applications seraient déjà installées.

Vous pouvez créer une image pour un déploiement de masse à l'aide de l'Outil de préparation système (sysprep.exe), inclus dans Windows. Il vous permet de créer une image qui comporte toutes les applications de base nécessaires et de la déployer sur tous les ordinateurs de l'environnement. Grâce à ce type de déploiement, les ressources du réseau ne sont pas affectées par des installations multiples. Enfin, servez-vous des unités d'organisation de chaque département pour diffuser les packages supplémentaires auprès des utilisateurs à l'aide de GPSI.

Configuration des paramètres du contrôle de compte d'utilisateur

Maintenant que vous comprenez le fonctionnement du contrôle de compte d'utilisateur et que vous connaissez les problèmes potentiels liés au déploiement de Windows Vista dans votre environnement, nous allons vous expliquer comment configurer le contrôle de compte d'utilisateur pour optimiser la sécurité et la facilité d'utilisation.

Cette section présente en détail les deux méthodes de configuration principales du contrôle de compte d'utilisateur :

Administration du contrôle de compte d'utilisateur à l'aide de l'Éditeur de stratégie de sécurité locale et de la stratégie de groupe

Avant Windows Vista, les utilisateurs standard travaillant sur un PC ou dans le cadre d'un environnement de réseau pouvaient installer des applications. À l'époque, le fait que les administrateurs pouvaient créer des paramètres de stratégie de groupe pour limiter les installations d'applications, sans pour autant limiter les installations par défaut pour les utilisateurs standard, constituait la principale différence. Cette option leur est proposée aujourd'hui avec l'environnement de contrôle de compte d'utilisateur et ils peuvent utiliser la stratégie de groupe pour définir une liste des périphériques et des déploiements autorisés.

L'objet de stratégie de groupe compte neuf paramètres pouvant être configurés. Les sections suivantes présentent en détail les différents paramètres des objets de stratégie de groupe du contrôle de compte d'utilisateur ainsi que des recommandations.

Contrôle du compte d'utilisateur : Mode Approbation administrateur pour le compte Administrateur intégré

Ce paramètre détermine si le contrôle de compte d'utilisateur s'applique au compte d'administrateur intégré par défaut.

noteRemarques
Le compte d'administrateur intégré est désactivé par défaut pour les installations et les mises à niveau sur les ordinateurs membres du domaine.

Options de configuration :

  • Activé - L'administrateur intégré sera exécuté en tant qu'administrateur en mode d'approbation Administrateur.

  • Désactivé - L'administrateur s'exécute avec un jeton d'accès administrateur complet.

Valeur par défaut :

  • Désactivé pour les nouvelles installations et pour les mises à niveau lorsque l'administrateur intégré N'est PAS le seul administrateur local actif sur l'ordinateur.

  • Activé pour les mises à niveau lorsque Windows Vista détermine que le compte d'administrateur intégré est le seul compte d'administrateur local actif sur l'ordinateur. Dans ce cas, le compte d'administrateur intégré continue à être actif après la mise à niveau.

Recommandation : Dans une entreprise, nous vous recommandons de configurer ce paramètre sur Désactivé car les administrateurs de domaine disposent toujours d'un accès administratif à l'ordinateur.

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur

Ce paramètre indique comment le contrôle de compte d'utilisateur invite les administrateurs à élever des privilèges.

Options de configuration :

  • Aucune invite - L'élévation est automatique et silencieuse. Cette option permet à un administrateur en mode d'approbation Administrateur d'effectuer une opération qui nécessite l'élévation sans consentement ni informations d'identification. Remarque : ce scénario N'est PAS recommandé et devrait uniquement être utilisé dans les environnements les plus limités.

  • Demande de consentement - Une opération qui nécessite un jeton d'accès administrateur complet demandera à l'administrateur en mode d'approbation Administrateur de choisir Continuer ou Annuler. Si l'administrateur clique sur Continuer, l'opération se poursuivra avec le privilège disponible le plus élevé.

  • Demande d'informations d'identification - Une opération qui nécessite un jeton d'accès administrateur complet demandera à l'administrateur en mode d'approbation Administrateur d'entrer son nom d'utilisateur et son mot de passe. Si les informations d'identification de l'utilisateur sont valides, l'opération se poursuivra avec le privilège applicable.

Valeur par défaut : Demande de consentement

Recommandation : Nous vous recommandons de définir cette valeur sur Demande de consentement car il se peut qu'une personne malveillante imite l'invite d'élévation. Si l'invite d'élévation est falsifiée et si l'administrateur donne son consentement en cliquant sur Continuer, la personne malveillante pourra uniquement élever le processus unique. Toutefois, si l'invite d'élévation est falsifiée lorsque le paramètre est configuré sur Demande d'informations d'identification, la personne malveillante pourra obtenir l'accès au nom d'utilisateur et au mot de passe de l'administrateur.

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard

Ce paramètre détermine si le contrôle de compte d'utilisateur invite les utilisateurs standard à élever des privilèges et comment il va procéder.

Options de configuration :

  • Aucune invite - Aucune invite d'élévation n'est émise et l'utilisateur ne peut pas effectuer de tâches d'administration sauf s'il utilise Exécuter en tant qu'administrateur ou s'il ouvre une session avec un compte d'administrateur.

  • Demande d'informations d'identification - Une opération qui nécessite un jeton d'accès administrateur complet demandera à l'utilisateur d'entrer son nom et son mot de passe d'administrateur. Si les informations d'identification de l'utilisateur sont valides, l'opération se poursuivra avec le privilège applicable.

Valeur par défaut : Demande d'informations d'identification

Recommandation : Pour une entreprise qui utilise actuellement des postes de travail utilisateur standard, nous vous recommandons de configurer ce paramètre sur Aucune invite. Ce paramètre contribue à réduire les appels au support technique.

Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation

Ce paramètre contrôle si Windows Vista utilise une méthode heuristique pour identifier les applications d'installation. Lorsqu'un utilisateur exécute un programme d'installation, Windows identifie le programme en tant qu'application d'installation et lance à l'utilisateur une invite d'élévation.

Options de configuration :

  • Activé - L'utilisateur doit donner son consentement ou fournir ses informations d'identification lorsque Windows Vista détecte un programme d'installation.

  • Désactivé - Les installations d'applications ne s'exécutent pas et, soit elles n'avertissent pas l'utilisateur du problème, soit elles affichent un message d'erreur qui peut ne pas être clair ou utile à l'utilisateur pour déterminer la raison de l'échec de l'installation.

Valeur par défaut : Activé

Recommandation : Pour les entreprises équipées de postes de travail utilisateur standard et qui ont mis en œuvre une technologie d'installation déléguée telle que GPSI ou SMS, nous vous recommandons de configurer ce paramètre sur Désactivé. Si votre organisation ne bénéficie pas d'une technologie d'installation déléguée, nous vous recommandons de configurer ce paramètre sur Activé afin de réduire les appels à votre support technique. Vous pouvez également configurer ce paramètre sur Désactivé et demander à vos utilisateurs de cliquer avec le bouton droit sur les fichiers d'installation, puis de cliquer sur Exécuter en tant qu'administrateur afin d'élever le processus.

Contrôle compte d'utilisateur : Élever uniquement les exécutables signés et validés.

Ce paramètre détermine si Windows Vista doit vérifier si un programme est signé avant d'être élevé. Cette vérification est effectuée une fois le processus lancé de manière interactive (par ex., un utilisateur qui double-clique sur un fichier d'installation sur le Bureau). Si l'application n'est pas signée, [ERROR MESSAGE]. Si l'application est signée, mais que la signature n'est pas valide, [ERROR MESSAGE].

Options de configuration :

  • Activé - Seuls les fichiers exécutables signés sont exécutés. Cette stratégie applique des vérifications de signature PKI sur toutes les applications interactives qui requièrent une élévation de privilège.

    noteRemarques
    Les administrateurs d'entreprise peuvent contrôler la liste autorisée des applications administratives via le remplissage de certificats dans le magasin d'éditeurs approuvés des ordinateurs locaux.

  • Désactivé - Les applications signées et non signées s'exécutent.

Valeur par défaut : Désactivé

Recommandation : [NEED]

Contrôle de compte d'utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Ce paramètre contrôle si une application aux privilèges moindres peut communiquer avec des applications exécutées à un niveau de privilèges supérieur. uiAccess est un attribut figurant dans le fichier de manifeste d'une application, que le développeur fournit avec l'application.

Options de configuration :

  • Activé - Windows empêche les applications exécutées à partir du répertoire Program Files ou Windows d'accéder à des processus de privilèges supérieurs à moins que leurs manifestes ne définissent l'attribut uiAccess sur True. Les listes de contrôle d'accès dans les répertoires Program Files et Windows sont configurées par défaut afin d'empêcher les utilisateurs standard de modifier le contenu des répertoires. Si le fichier de manifeste d'une application la définit comme une application uiAccess, mais que celle-ci ne se trouve pas dans le répertoire Program Files ou Windows, Windows n'exécutera pas l'application avec le privilège supplémentaire pour accéder au processus de privilèges supérieurs (par ex., bien que le développeur ait identifié l'application comme nécessitant l'attribut uiAccess, celle-ci a été installée à un emplacement non sécurisé qui peut être modifié par les utilisateurs standard).

  • Désactivé - Windows ne vérifie pas si le programme est installé sous le répertoire Program Files ou Windows et l'application est lancée avec le jeton d'accès utilisateur complet lors de l'approbation de l'utilisateur.

Valeur par défaut : Activé

Recommandation : Nous vous recommandons de configurer ce paramètre sur Activé. Si ce paramètre est activé, Windows empêche les applications aux privilèges moindres installées dans des emplacements non sécurisés d'accéder aux applications aux privilèges supérieurs.

Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur

Ce paramètre détermine si Windows crée deux jetons d'accès pour les administrateurs (utilisateur standard et administrateur) et si les utilisateurs standard peuvent élever une application au niveau administrateur.

Remarque   Vous devez redémarrer votre ordinateur si vous modifiez cette valeur.

Options de configuration :

  • Activé - Une invite s'affiche pour les administrateurs et les utilisateurs standard lorsqu'une application tente de s'exécuter en tant qu'administrateur. Le paramètre Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur détermine l'affichage de l'invite pour l'utilisateur.

  • Désactivé - Aucune invite ne s'affiche pour les utilisateurs lorsqu'une application tente de s'exécuter en tant qu'administrateur et l'application s'exécute automatiquement avec le jeton d'accès administrateur complet de l'utilisateur. De ce fait, le contrôle de compte d'utilisateur est globalement éteint et le service Informations d'application AIS qui est désactivé ne redémarre pas automatiquement. Par ailleurs, le Centre de sécurité Windows indique à l'utilisateur connecté que la sécurité globale du système d'exploitation a été réduite et lui permet d'activer le contrôle de compte d'utilisateur par lui-même.

Valeur par défaut : Activé

Recommandation : Nous vous recommandons de configurer ce paramètre sur Activé. Si ce paramètre est désactivé, les administrateurs ignorent si une application s'exécute en tant qu'administrateur (y compris les logiciels malveillants) et les utilisateurs standard ne peuvent pas exécuter des applications en tant qu'administrateur.

Contrôle compte d'utilisateur : Passer au Bureau sécurisé lors d'une demande d'élévation

Ce paramètre détermine si l'invite d'élévation s'affiche sur le Bureau de l'utilisateur ou sur le Bureau sécurisé.

Options de configuration :

  • Activé - L'invite d'élévation du contrôle de compte d'utilisateur s'affiche sur le Bureau sécurisé, une zone qui ne peut recevoir que des messages de processus Windows. Si ce paramètre est activé et si une application demande une élévation de droits administrateur, l'arrière-plan du Bureau est grisé et l'utilisateur voit l'invite d'élévation. L'utilisateur ne peut pas interagir avec tout autre élément du Bureau tant qu'il n'a pas approuvé ou refusé l'élévation, soit en cliquant sur Continuer ou Annuler dans le cas d'une demande de consentement, soit en fournissant les informations d'identification valides de l'administrateur, soit en cliquant sur Annuler dans le cas d'une demande d'informations d'identification.

  • Désactivé - L'invite d'élévation du contrôle de compte d'utilisateur s'affiche sur le Bureau interactif (de l'utilisateur).

Valeur par défaut : Activé

Recommandation : Nous vous recommandons de configurer ce paramètre sur Activé. Si l'invite d'élévation ne s'affiche pas sur le Bureau sécurisé, une personne malveillante peut éventuellement imiter l'invite d'élévation afin d'élever un logiciel malveillant. Nous vous recommandons également d'utiliser ce paramètre avec le paramètre Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur configuré sur Demande de consentement. Cette configuration réduit les risques qu'une personne malveillante collecte les informations d'identification d'un administrateur en affichant une demande d'informations d'identification falsifiée.

Contrôle de compte d'utilisateur : inscrire de manière virtuelle les échecs d'écriture des fichiers et du Registre par emplacement utilisateur

Ce paramètre définit les paramètres de virtualisation des applications 32 bits. La virtualisation ne s'applique pas aux applications 64 bits.

Options de configuration :

  • Activé - Si une application 32 bits ne comportant pas de manifeste tente d'écrire dans un emplacement protégé tel que le répertoire Program Files, la virtualisation redirige ces opérations vers un emplacement du système de fichiers et du Registre accessible par tous les utilisateurs. Ce paramètre permet aux utilisateurs standard d'exécuter des applications antérieures à Windows Vista qui ont nécessité par le passé l'exécution du programme par l'utilisateur en tant qu'administrateur.

  • Désactivé - Si une application 32 bits ne comportant pas de manifeste tente d'écrire dans un emplacement protégé tel que le répertoire Program Files, l'écriture échoue et l'application échoue également silencieusement.

Valeur par défaut : Activé

Recommandation : Ce paramètre doit rester activé dans les environnements où des logiciels qui ne sont pas complètement compatibles avec le contrôle de compte d'utilisateur doivent être exécutés. Toute application non administrative 32 bits sans manifeste ou sans entrée de base de données n'est pas compatible avec le contrôle de compte d'utilisateur. De nombreuses entreprises doivent exécuter un logiciel antérieur à Windows Vista et, par conséquent, ce paramètre doit rester configuré sur Activé.

Configuration des paramètres de la stratégie de groupe du contrôle de compte d'utilisateur

Pour configurer les paramètres de la stratégie de groupe du contrôle de compte d'utilisateur, procédez comme suit : vous devez être connecté en tant que membre du groupe local Administrateurs. Vous pouvez également effectuer cette opération en tant qu'utilisateur standard en fournissant des informations d'identification valides d'un compte d'administrateur.

Pour configurer les paramètres de la stratégie de groupe du contrôle de compte d'utilisateur :
  1. Cliquez sur le bouton Démarrer, tapez secpol.msc dans la zone Rechercher, puis appuyez sur Entrée.

  2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

  3. Dans Paramètres de sécurité, développez Stratégies locales, puis sélectionnez Options de sécurité.

  4. Dans le volet d'informations (volet droit), cliquez avec le bouton droit sur le paramètre du contrôle de compte d'utilisateur concerné et sélectionnez Propriétés.

  5. Choisissez la valeur appropriée pour le paramètre dans la liste déroulante.

noteRemarques
Si vous modifiez le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur, vous devez redémarrer l'ordinateur pour que le paramètre soit pris en compte. Tous les autres paramètres de la stratégie de groupe du contrôle de compte d'utilisateur sont dynamiques et ne nécessitent pas le redémarrage de l'ordinateur.

Audit des élévations d'application et de la création de processus

Le paramètre Auditer le suivi de processus permet de contrôler en temps réel les élévations de processus. Par exemple, en activant l'audit du suivi de processus avec la stratégie de groupe, le service informatique peut être averti à chaque fois qu'un administrateur en mode d'approbation Administrateur, ou un utilisateur standard, élève un processus en processus administrateur complet.

Pour auditer le suivi de processus
  1. Cliquez sur le bouton Démarrer, tapez secpol.msc dans la zone Rechercher, puis appuyez sur Entrée.

  2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

  3. Dans le volet de la console, développez Stratégies locales, puis sélectionnez Stratégie d'audit.

  4. Dans le volet d'informations, cliquez avec le bouton droit sur Auditer le suivi de processus et sélectionnez Propriétés.

  5. Dans Propriétés de l'audit du suivi de processus, sélectionnez Réussite.

Le paramètre Auditer l'utilisation des privilèges permet de contrôler en temps réel la création de processus élevés.

Pour auditer l'utilisation des privilèges
  1. Cliquez sur le bouton Démarrer, tapez secpol.msc dans la zone Rechercher, puis appuyez sur Entrée.

  2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

  3. Dans le volet de la console, développez Stratégies locales, puis sélectionnez Stratégie d'audit.

  4. Dans le volet d'informations, cliquez avec le bouton droit sur Auditer l'utilisation des privilèges et sélectionnez Propriétés.

  5. Dans Propriétés de l'audit de l'utilisation des privilèges, sélectionnez Réussite, puis cliquez sur OK.

Services du contrôle de compte d'utilisateur

Le service suivant est associé au contrôle de compte d'utilisateur.

 

Service Description

Service Informations d'application AIS

Ce service simplifie l'exécution des applications interactives avec un jeton d'accès administrateur complet sous Windows Vista.

Si ce service est désactivé, les utilisateurs ne peuvent pas démarrer leurs applications avec les privilèges d'administrateur supplémentaires dont ils peuvent avoir besoin pour effectuer certaines tâches utilisateur. Ainsi, les applications qui nécessitent un jeton d'accès administrateur complet peuvent ne pas fonctionner correctement à moins que le service Informations d'application ne soit activé.

Observations relatives à la sécurité du contrôle de compte d'utilisateur

Chaque service informatique doit étudier attentivement les observations relatives à la sécurité du contrôle de compte d'utilisateur. Les paramètres de la stratégie de groupe du contrôle de compte d'utilisateur leur permettent de choisir une configuration pour le contrôle de compte d'utilisateur. Toutefois, nous attirons leur attention sur quelques facteurs à prendre en compte avant la création d'une stratégie de sécurité.

Imitation de l'invite d'élévation

Windows Vista inclut un nouveau paramètre de sécurité qui empêche l'imitation de l'invite d'élévation. Dans le cadre de ce nouveau paramètre (Contrôle compte d'utilisateur : Passer au Bureau sécurisé lors d'une demande d'élévation), le Bureau de l'utilisateur actif bascule vers le Bureau sécurisé lorsqu'un processus demande l'élévation. Le Bureau sécurisé étant uniquement accessible aux processus Windows principaux, il ne peut pas communiquer avec des logiciels malveillants. Ainsi, les invites d'élévation qui s'affichent sur le Bureau sécurisé ne peuvent pas être contrôlées par les applications du Bureau de l'utilisateur. Sous Windows Vista, toutes les élévations s'effectuent par défaut sur le Bureau sécurisé.

Définition d'un mot de passe pour le compte d'administrateur intégré

Les éléments suivants décrivent l'état du compte d'administrateur intégré sous Windows Vista :

  • Désactivé pour les nouvelles installations et pour les mises à niveau lorsque l'administrateur intégré N'est PAS le seul administrateur local actif sur l'ordinateur. Le compte d'administrateur intégré est désactivé par défaut pour les installations et les mises à niveau sur les ordinateurs membres du domaine.

  • Activé pour les mises à niveau lorsque Windows Vista détermine que le compte d'administrateur intégré est le seul compte d'administrateur local actif sur l'ordinateur. Dans ce cas, le compte d'administrateur intégré continue à être actif après la mise à niveau. Le compte d'administrateur intégré est désactivé par défaut pour les installations et les mises à niveau sur les ordinateurs membres du domaine.

Si le compte d'administrateur intégré est désactivé, Microsoft vous recommande vivement de définir un mot de passe pour le compte afin d'empêcher toute attaque hors connexion.

Désactivation du contrôle de compte d'utilisateur

Si vous désactivez le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur, vous désactivez également le contrôle de compte d'utilisateur. Les fichiers et les dossiers ne sont plus virtualisés sur les emplacements définis par l'utilisateur pour les applications incompatibles avec le contrôle de compte d'utilisateur et tous les administrateurs locaux sont automatiquement connectés avec leur jeton d'accès administrateur complet. Lorsque ce paramètre est désactivé, Windows Vista revient essentiellement au modèle utilisateur Windows XP. Certaines applications incompatibles avec le contrôle de compte d'utilisateur recommandent de le désactiver. Or, la désactivation n'est pas nécessaire puisque Windows Vista inclut une technologie de virtualisation des dossiers et du Registre par défaut pour les applications incompatibles et antérieures à Windows Vista. Lorsque le contrôle de compte d'utilisateur est désactivé, votre ordinateur est vulnérable aux installations de logiciels malveillants. Si ce paramètre est modifié, il convient de redémarrer le système pour que la modification soit prise en compte.

Désactivation des paramètres de la stratégie de groupe du contrôle de compte d'utilisateur non utilisés

Dans quel cas désactiver la virtualisation :

La virtualisation est une technologie de jonction qui permet aux applications incompatibles avec le contrôle de compte d'utilisateur de fonctionner correctement sous Windows Vista. Lorsque le service informatique sait qu'il n'exécutera que des applications compatibles, le paramètre de la stratégie de groupe Contrôle de compte d'utilisateur : inscrire de manière virtuelle les échecs d'écriture des fichiers et du Registre par emplacement utilisateur devient superflu.

Dans quel cas désactiver la détection des programmes d'installation :

Les programmes d'installation écrivent dans des zones protégées telles que le répertoire Program Files. C'est pourquoi le modèle Win32 exige qu'ils s'exécutent dans le contexte d'un compte d'administrateur. Le paramètre Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation fait appel à une invite d'élévation lorsqu'un programme d'installation est détecté. Or, l'élévation sur les programmes d'installation est superflue pour les entreprises qui verrouillent leurs postes de travail et sur lesquels toutes les applications disponibles sont déployées avec SMS ou une autre technologie de déploiement. En effet, l'élévation sera automatiquement effectuée par le service d'installation qui s'exécute en tant que SYSTÈME.

Tâches d'administration sur des ordinateurs distants

Tout utilisateur membre du groupe Administrateurs de domaine, ou d'un autre groupe réseau disposant des mêmes privilèges, ne doit utiliser son compte d'administrateur que lorsqu'il effectue des tâches d'administration. Le scénario suivant illustre ce concept de manière plus approfondie :

Carol Philips, membre du service technique chez Litware, Inc., possède deux comptes d'utilisateur de domaine : un compte d'administrateur de domaine et un compte d'utilisateur de domaine standard. Son compte d'administrateur de domaine appartient au groupe local Administrateurs de sa station de travail. Ses superviseurs lui ont demandé de n'utiliser son compte d'administrateur de domaine que lorsqu'elle effectue des tâches nécessitant un jeton d'accès administrateur complet. Ainsi, Carol se connecte à sa station de travail et utilise soit Exécuter en tant que soit les services Terminal Server si elle doit effectuer des tâches d'administration. Un jour, Carol s'aperçoit que son disque dur n'a pas été sauvegardé depuis longtemps. Elle utilise Exécuter en tant que pour ouvrir une ligne de commande, elle entre les informations d'identification de son compte d'administrateur, tape secedit à l'invite de commande et appuie sur Entrée. Elle navigue en même temps sur le Web en tant qu'utilisateur standard et télécharge accidentellement un logiciel malveillant. Or, Carol naviguait sur Internet avec un compte d'utilisateur standard : le logiciel malveillant ne peut donc pas endommager les autres ordinateurs de son réseau.

Configuration des applications antérieures à Windows Vista en vue de leur compatibilité avec le contrôle de compte d'utilisateur

La dernière et la plus importante étape de configuration du contrôle de compte d'utilisateur consiste à vérifier que vos logiciels sont compatibles ou qu'ils ont été configurés par le service informatique pour être opérationnels avec Windows Vista.

Les nouvelles applications compatibles avec le programme Windows Vista Logo doivent s'exécuter avec un compte d'utilisateur standard ou, dans le cas d'une application administrative, disposer d'une entrée dans leur manifeste. Lorsqu'un utilisateur tente de lancer une application disposant d'une entrée dans son manifeste, Windows Vista indique à l'utilisateur qu'il essaie d'activer une application administrative et lui demande son consentement. Pour plus d'informations sur le programme Logo de Microsoft, visitez la page d'accueil du programme Microsoft Windows Logo (http://go.microsoft.com/fwlink/?LinkId=71358) (en anglais).

Le déploiement de Windows Vista pourrait gêner le fonctionnement de certaines applications métier existantes. Ces applications sont probablement incompatibles avec Windows Vista en raison des améliorations qui lui ont été apportées. Pour résoudre ce problème, Microsoft fournit l'outil Application Compatibility Toolkit, qui identifie les problèmes de compatibilité et contribue à la création de correctifs de compatibilité (ces petites portions de code qui sont utilisées pour résoudre les problèmes de compatibilité).

Par ailleurs, certains programmes devront peut-être effectuer des opérations d'administration pour être opérationnels sous Windows Vista. Pour ce faire, le programme en question doit être marqué pour demander le consentement des utilisateurs avant de s'exécuter avec un jeton d'accès administrateur complet. Cela consiste à marquer une application avec un niveau d'exécution demandé. Application Compatibility Toolkit 5.0 a été conçu pour créer et installer ces entrées de base de données de compatibilité, ce qui simplifie le mécanisme de marquage.

Pour plus d'informations sur la compatibilité des applications et sur Application Compatibility Toolkit 5.0, visitez TechNet (http://go.microsoft.com/fwlink/?LinkId=23302).

Marquage des applications avec les niveaux d'exécution demandés en vue de leur compatibilité

Le niveau d'exécution demandé d'une application dépend des opérations qu'elle effectue au niveau du système. Voici les trois niveaux d'exécution demandés disponibles :

RunAsInvoker : L'application doit être exécutée avec les mêmes privilèges et droits utilisateur Windows que le processus parent, ce qui équivaut à ne pas avoir de base de données de compatibilité pour l'application. L'application démarre avec les mêmes privilèges que le processus parent qui la lance, ce qui réduit son exposition aux risques. En effet, le processus parent des applications est généralement Explorer.exe qui s'exécute en tant qu'application utilisateur standard. Les applications RunAsInvoker initiées par une commande cmd.exe exécutée en tant qu'administrateur complet s'exécuteraient « en tant qu'appelant » avec un jeton d'accès administrateur complet.

RunAsHighest :

  • L'application doit s'exécuter avec les droits utilisateur et les privilèges Windows les plus élevés accessibles à l'utilisateur actuel, sans que l'utilisateur soit nécessairement un administrateur. Ce marquage est utilisé pour deux classes d'applications.

  • L'application, qui peut être exécutée autant par les administrateurs que les utilisateurs standard, adapte son comportement en fonction des privilèges et des droits disponibles.

  • L'application nécessite des privilèges et des droits supérieurs à ceux d'un utilisateur standard sans qu'il soit pour autant membre du groupe local Administrateurs. Prenez, par exemple, les utilisateurs appartenant au groupe Opérateurs de sauvegarde. Ils ne peuvent pas exécuter les applications qui exigent un jeton d'accès administrateur complet, mais ils peuvent exécuter les applications de sauvegarde. Dans ce cas, les applications de sauvegarde antérieures à Windows Vista devraient être marquées avec le niveau d'exécution RunAsHighest.

RunAsAdmin : L'application ne doit être exécutée que pour les administrateurs, avec un jeton d'accès administrateur complet, et ne s'exécutera pas correctement dans le contexte d'un utilisateur standard. Ce marquage de niveau d'exécution demandé est réservé aux applications antérieures à Windows Vista qui exigent que l'utilisateur soit membre du groupe local Administrateurs. L'une des différences entre Windows Vista et les versions antérieures du système d'exploitation, telles que Windows XP, est que le système d'exploitation veille à ce que l'application soit exécutée avec le jeton d'accès administrateur complet si celle-ci est marquée RunAsAdmin dans la base de données de compatibilité. Si Windows Vista ne peut pas accéder à un jeton d'accès administrateur complet, l'application n'est pas démarrée.

Marquage de virtualisation

Les services informatiques peuvent utiliser le paramètre suivant pour contrôler la virtualisation des fichiers et des dossiers.

NoVirtualization : l'application doit s'exécuter sans virtualiser les fichiers et les dossiers. Le paramètre NoVirtualization peut être activé pour deux raisons :

  1. Réduire la surface d'attaque : les applications qui autorisent la virtualisation sont sujettes aux attaques initiées par d'autres applications utilisateur standard. Aucun mécanisme sous Windows Vista ne permet de différencier les applications qui sont autorisées à écrire dans des emplacements virtuels spécifiques. En désactivant la technologie de virtualisation des applications qui fonctionnent correctement en tant qu'utilisateur standard, vous réduisez considérablement les risques d'attaques par des logiciels malveillants (qui s'exécutent en tant qu'utilisateur standard).

  2. Réduire le temps et les coûts liés au débogage des données virtualisées. Si vous savez que l'application fonctionne correctement en tant qu'utilisateur standard, vous simplifierez son débogage en désactivant la virtualisation. En effet, le personnel informatique n'aura pas à vérifier l'emplacement réel et l'emplacement virtualisé pour étudier ses données de configuration.

Marquage de la base de données de compatibilité de l'application et comportement du lancement de l'application

L'exécution et l'obtention d'un jeton d'accès administrateur complet par une application dépendent de deux facteurs : le niveau d'exécution demandé de l'application dans la base de données de compatibilité de l'application et les droits et privilèges du compte d'utilisateur qui a lancé l'application. Les tableaux suivants identifient les comportements possibles au moment de l'exécution en fonction de l'association de ces deux facteurs.

Administrateur en mode d'approbation Administrateur

 

Jeton d'accès du processus parent Stratégie de consentement Aucun ou RunAsInvoker RunAsHighest RunAsAdmin

Utilisateur standard

Aucune invite

L'application se lance en tant qu'utilisateur standard

L'application se lance avec un jeton d'accès administrateur complet ; aucune invite

L'application se lance avec un jeton d'accès administrateur complet ; aucune invite

Utilisateur standard

Demande de consentement

L'application se lance en tant qu'utilisateur standard

L'application se lance avec un jeton d'accès administrateur complet ; demande de consentement

L'application se lance avec un jeton d'accès administrateur complet ; demande de consentement

Utilisateur standard

Demande d'informations d'identification

L'application se lance en tant qu'utilisateur standard

L'application se lance avec un jeton d'accès administrateur complet ; demande d'informations d'identification

L'application se lance avec un jeton d'accès administrateur complet ; demande d'informations d'identification

Administrateur (contrôle de compte d'utilisateur désactivé)

N/A

L'application se lance avec un jeton d'accès administrateur complet ; aucune invite

L'application se lance avec un jeton d'accès administrateur complet ; aucune invite

L'application se lance avec un jeton d'accès administrateur complet ; aucune invite

Compte d'utilisateur standard

 

Jeton d'accès du processus parent Stratégie de consentement RunAsInvoker RunAsHighest RunAsAdmin

Utilisateur standard

Aucune invite

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

L'application ne se lance pas

Utilisateur standard

Demande d'informations d'identification

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

Demande d'informations d'identification d'administrateur avant l'exécution de l'application

Utilisateur standard (contrôle de compte d'utilisateur désactivé)

N/A

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

L'application ne se lance pas

Utilisateur standard ayant des privilèges supplémentaires (opérateur de sauvegarde, par exemple)

 

Jeton d'accès du processus parent Stratégie de consentement RunAsInvoker RunAsHighest RunAsAdmin

Utilisateur standard

Aucune invite

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

L'application ne se lance pas

Utilisateur standard

Demande d'informations d'identification

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

Demande d'informations d'identification d'administrateur avant l'exécution de l'application

Utilisateur standard (contrôle de compte d'utilisateur désactivé)

N/A

L'application se lance en tant qu'utilisateur standard

L'application se lance en tant qu'utilisateur standard

L'application ne se lance pas

Utilisation d'Application Compatibility Toolkit 5.0 pour la création de correctifs d'application

Application Compatibility Toolkit 5.0, fourni gratuitement par Microsoft, permet aux services informatiques de créer des correctifs de compatibilité pour leurs applications. L'outil Application Compatibility Toolkit a été perfectionné pour Windows Vista. Il permet de créer des entrées de base de données de correctifs de compatibilité, utilisées pour marquer les applications avec un niveau d'exécution demandé.

Les procédures décrites dans cette section utilisent les trois outils suivants, compris dans le téléchargement d'Application Compatibility Toolkit 5.0 :

  • Compatibility Administrator : cet outil à interface graphique aide les administrateurs de l'entreprise à créer des correctifs de compatibilité des programmes pour les applications antérieures à Windows Vista.

  • Sdbinst.exe : cet outil de ligne de commande permet aux administrateurs d'installer les correctifs de compatibilité des applications antérieures à Windows Vista.

  • Standard User Analyzer : cet outil à interface graphique permet aux administrateurs de l'entreprise d'identifier les applications ayant des problèmes de compatibilité.

Respectez la procédure suivante pour identifier les dépendances d'administration des applications et pour les marquer avec les niveaux d'exécution demandés :

noteRemarques
Pour plus d'informations sur le marquage approprié des applications, voir la section « Marquage des applications avec les niveaux d'exécution demandés en vue de leur compatibilité ».

Étape 1 : Installer l'outil Application Verifier.

Téléchargez gratuitement l'outil Application Verifier sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=41326) (en anglais). L'outil Application Verifier est indispensable à l'installation de Microsoft Standard User Analyzer, composant d'Application Compatibility Toolkit.

Étape 2 : Installer Application Compatibility Toolkit 5.0.

Téléchargez gratuitement Application Compatibility Toolkit 5.0 sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=23302).

Étape 3 : Utiliser l'outil Standard User Analyzer pour identifier les anciennes applications administratives qui ne s'exécutent pas correctement sous Windows Vista.

La procédure suivante explique comment identifier ces applications à l'aide de l'outil Standard User Analyzer.

Pour identifier les problèmes de compatibilité des applications antérieures à Windows Vista
  1. Ouvrez une session en tant qu'utilisateur standard sur un ordinateur Windows Vista.

  2. Cliquez sur Démarrer, Tous les programmes, Microsoft Application Compatibility Toolkit 5.0, Outils de développement et de test, puis sur Standard User Analyzer.

  3. Dans Standard User Analyzer, sous Application cible, spécifiez le chemin d'accès complet pour l'application à tester ou cliquez sur Parcourir pour localiser le fichier exécutable du programme avec l'Explorateur Windows.

  4. Cliquez sur Exécuter, puis fournissez les informations d'identification de l'administrateur lors de la demande correspondante Contrôle de compte d'utilisateur.

  5. Une fois l'application de test lancée, exécutez vos tâches d'administration standard et refermez l'application lorsque vous avez terminé.

  6. Dans l'outil Standard User Analyzer, examinez le récapitulatif de chaque onglet. Ces données vous permettent d'identifier les problèmes de compatibilité éventuels du programme.

Les tests de l'outil Application Verifier peuvent également être effectués en tant qu'administrateur en cas de problème de privilège. Par exemple, si l'application, qui est exécutée en tant que non-administrateur, rencontre une violation d'accès et se referme, vous aurez uniquement testé les chemins de code jusqu'au moment de la violation d'accès. En exécutant cette application en tant qu'administrateur, vous pourrez, dans certains cas, ignorer la violation d'accès et exécuter les chemins de code restants. Ainsi, les journaux prendront en compte les opérations qui auraient normalement échoué en tant qu'utilisateur standard.

Étape 4 : Déterminer le niveau d'exécution demandé de chaque application.

Utilisez les données collectées au cours de la troisième étape pour déterminer le niveau d'exécution demandé approprié de l'application.

noteRemarques
Pour déterminer le niveau d'exécution demandé approprié de l'application, voir la section Marquage des applications avec les niveaux d'exécution demandés en vue de leur compatibilité.

ImportantImportant
Indiquez uniquement un niveau d'exécution demandé qui doit permettre à l'application de fonctionner correctement sous Windows Vista sans demander un accès administratif superflu pour un niveau d'exécution plus élevé.

Après avoir identifié les problèmes de compatibilité d'une application avec l'outil Application Vérifier, procédez comme suit pour marquer l'application avec un niveau d'exécution demandé.

Étape 5 : Exécuter l'outil Compatibility Administrator afin de créer une base de données de correctifs de compatibilité de l'application.

Pour cette procédure, configurez le paramètre Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur sur Demande de consentement.

Pour marquer une application administrative avec l'outil Compatibility Administrator
  1. Ouvrez une session Windows Vista en tant qu'administrateur en mode d'approbation Administrateur.

  2. Cliquez sur Démarrer, Tous les programmes, Accessoires, cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur. Cliquez ensuite sur Continuer à l'affichage de l'invite d'élévation du contrôle de compte d'utilisateur.

  3. Dans l'Invite de commandes, tapez « C:\program files\Microsoft Application Compatibility Toolkit\Compatibility Administrator\Compatadmin.exe » et appuyez sur Entrée.

  4. Dans Compatibility Administrator, cliquez sur l'icône Corriger.

  5. Sur la page Créer un correctif d'application, sous Informations de programmes, entrez le nom du programme pour Nom du programme à corriger, puis le nom du fournisseur pour Nom du fournisseur pour ce programme et enfin l'emplacement du fichier du programme pour Emplacement du fichier du programme. Cliquez ensuite sur Suivant.

  6. Dans Modes de compatibilité, sélectionnez Aucun, puis cliquez sur Suivant.

  7. Pour Correctifs de compatibilité, sélectionnez le niveau d'exécution demandé souhaité et cliquez sur Suivant.

  8. Dans Informations de correspondance, sélectionnez les informations de correspondance pour l'application et cliquez sur Terminer.

  9. Cliquez sur Fichier, puis sur Enregistrer.

  10. Entrez un nom pour la base de données d'Application Compatibility et cliquez sur OK.

  11. Dans Enregistrer le nom de la base de données, indiquez un nom pour le fichier de la base de données et cliquez sur Enregistrer.

noteRemarques
En sélectionnant SIZE et PE_CHECKSUM sur la page Informations de correspondance de l'Assistant Créer un correctif d'application, vous garantissez que le correctif ne sera pas appliqué par erreur à d'autres applications ayant le même nom.

noteRemarques
Choisissez un nom descriptif qui vous aidera à identifier le correctif de compatibilité de l'application. Une fois le correctif installé avec l'outil de la ligne de commande sdbinst.exe, le nom inséré ici s'affiche dans Programmes et fonctionnalités du Panneau de configuration.

noteRemarques
Chaque base de données de compatibilité créée peut comporter un ou plusieurs correctifs pour les applications ciblées.

Étape 6 : Tester le correctif de compatibilité en l'installant sur un ordinateur avec la commande sdbinst.exe.

Pour installer le correctif de compatibilité de l'application
  1. Cliquez sur Démarrer, Tous les programmes, Accessoires, cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur. Cliquez ensuite sur Continuer lorsque la demande de consentement du Contrôle de compte d'utilisateur s'affiche.

  2. Dans l'Invite de commandes, tapez « cd %windir% » et cliquez sur Entrée.

  3. Dans l'Invite de commandes, tapez « sdbinst.exe databaseName.sdb » et cliquez sur Entrée.

Suppression du correctif de la base de données de compatibilité d'une application

Un administrateur peut supprimer les entrées précédemment installées d'une base de données de compatibilité via le paramètre Programmes et fonctionnalités dans le Panneau de configuration. La désinstallation d'entrées d'une base de données de compatibilité est pratique si l'application n'est plus utilisée dans l'environnement mais que le correctif existe encore, ou si le correctif lui-même doit être modifié.

Pour supprimer le correctif de compatibilité d'une application
  1. Ouvrez une session Windows Vista en tant qu'administrateur en mode d'approbation Administrateur.

  2. Dans la Page d'accueil du Panneau de configuration, sous Programmes, sélectionnez Désinstaller un programme, puis cliquez sur Continuer lorsque la demande de consentement du Contrôle de compte d'utilisateur s'affiche.

  3. Cliquez avec le bouton droit sur le correctif de compatibilité de l'application et sélectionnez Supprimer.

Déploiement des correctifs de compatibilité des applications avec la stratégie de groupe

Cette section explique comment déployer les correctifs de la base de données de compatibilité des applications, créés dans la section Exécution de compatAdmin.exe, à l'aide de la stratégie de groupe. Le service informatique doit effectuer les étapes suivantes :

  1. Créer un programme d'installation personnalisé sous forme de script Microsoft Visual Basic Script (VBScript).

  2. Créer un package Windows Installer pour chaque base de données .sdb.

  3. Signer le package Windows Installer avec la technologie Authenticode.

  4. Tester le package Windows Installer.

  5. Déployer le package Windows Installer à l'aide de la stratégie de groupe.

Créer un programme d'installation personnalisé sous forme de script Microsoft Visual Basic Script (VBScript)

Avant de créer le package Windows Installer, le service informatique doit créer un script VBScript qui effectue l'installation personnalisée. Ce processus ne doit être effectué qu'une seule fois et le même fichier script peut être utilisé pour tous les packages Windows Installer.

Voici un exemple de script :

'-------------------------------------------------------------------------------------- '  Filename         : setsdb.vbs '  Description      : Installs SDB entry in appcompat database '  Version          : 1.0 '-------------------------------------------------------------------------------------- ' History: '   07-19-2005:  Created version 1.0

dim Ws myCmdArgs = Session.Property("CustomActionData") setDir = "%ComSpec% /C sdbinst.exe -q " & chr(34) & myCmdArgs & chr(34) set Ws = CreateObject("WScript.Shell") retval = Ws.Run( setDir, 2, true )

Créer un package Windows Installer pour chaque base de données .sdb avec Visual Studio 2005

L'exemple suivant illustre comment créer un package Windows Installer afin de déployer les correctifs de compatibilité avec Microsoft Visual Studio 2005.

Pour créer le package Windows Installer
  1. Cliquez sur Démarrer, Tous les programmes, puis double-cliquez sur Visual Studio 2005.

  2. Dans Visual Studio, cliquez sur Fichier, puis sur Nouveau projet.

  3. Sur la page Nouveau projet, développez Autres projets et sélectionnez Projet d'installation et de déploiement dans le volet gauche. Sélectionnez Projet d'installation dans le volet droit, entrez un nom pour le déploiement du correctif de compatibilité de l'application, puis cliquez sur OK.

  4. Dans Explorateur de solutions dans le volet droit, cliquez avec le bouton droit sur le nom du projet de déploiement, pointez sur Ajouter, puis sur Fichier….

  5. Dans Ajouter des fichiers, recherchez l'emplacement du fichier de la base de données .sdb, puis cliquez sur Ouvrir.

  6. Répétez les étapes 4 et 5 et ajoutez le nom du script VBScript d'action personnalisée que vous avez créé précédemment.

  7. Dans Explorateur de solutions dans le volet droit, cliquez avec le bouton droit sur le nom de votre projet de déploiement, pointez sur Afficher, puis sur Actions personnalisées.

  8. Sous l'onglet Actions personnalisées, cliquez avec le bouton droit sur le dossier Valider, puis cliquez sur Ajouter une action personnalisée.

  9. Dans Sélectionner un élément dans le projet, double-cliquez sur le dossier Application, sélectionnez le fichier VBScript, puis cliquez sur OK.

  10. Cliquez avec le bouton droit sur l'action Valider appelée setsdb.vbs dans le volet gauche, puis cliquez sur la fenêtre Propriétés.

  11. Ajoutez la ligne suivante à la propriété CustomActionData : [ProgramFilesFolder][Manufacturer]\[ProductName]\[FILENAME].sdb.

    noteRemarques
    Pas de barre oblique inverse (\) entre [ProgramFilesFolder] et [Manufacturer]

  12. Dans le menu Fichier, cliquez sur Générer, puis sur Générerla solution. Une fois la création terminée, le package Windows Installer est placé dans le dossier de débogage.

Signer le package Windows Installer avec la technologie Authenticode

Une fois le package Windows Installer créé par le service informatique, Microsoft recommande sa signature Authenticode avant son déploiement via la stratégie de groupe. Ce document suppose que le service informatique a déjà créé une clé de signature pour l'entreprise qu'il utilise pour signer ses packages de déploiement Windows Installer. Les outils de signature et de vérification utilisés dans les exemples suivants sont inclus dans le kit de développement logiciel (SDK) Microsoft .NET Framework (http://go.microsoft.com/fwlink/?LinkId=32131).

Voici un exemple de signature d'un package Windows Installer à l'aide de la clé de signature de l'entreprise :

signcode –v <path>yourkey.pvk –spc <path>yourkey.spc (deployment package).msi

Pour inclure un horodateur dans la signature, ajoutez le paramètre suivant à la ligne de commande :

–t http://timestamp.verisign.com/scripts/timstamp.dll 

Le service informatique peut vérifier la signature avec la commande suivante :

ckhtrust (deployment package).msi

Si le fichier est validé et si le certificat de signature provient d'un certificat d'éditeur approuvé dans votre environnement, chktrust.exe renvoie simplement un code de réussite.

Pour plus d'informations sur la technologie Microsoft Authenticode, voir la documentation sur MSDN (http://go.microsoft.com/fwlink/?LinkId=71361) (en anglais).

Tester le package Windows Installer

Une fois le package Windows Installer créé par le service informatique, celui-ci peut le tester en copiant son fichier sur un ordinateur cible et en double-cliquant dessus afin d'ouvrir l'Assistant Installation de Microsoft Windows. Voici un exemple de procédure de test d'un package Windows Installer.

Pour tester le package Windows Installer
  1. Localisez le fichier Windows Installer (.msi) et double-cliquez dessus pour lancer l'installation.

  2. Sur la page [NameofWindowsInstallerPackage] Sélectionner le dossier d'installation, sélectionnez le dossier d'installation et cliquez sur Suivant.

  3. Sur la page Confirmer l'installation, cliquez sur Suivant.

  4. Sur la page Installation terminée, cliquez sur Fermer.

  5. Cliquez sur Démarrer, Panneau de configuration, puis double-cliquez sur Programmes et fonctionnalités.

  6. Dans le panneau de configuration Programmes et fonctionnalités, vérifiez que le programme d'installation et les entrées du correctif de compatibilité d'application sont visibles.

Déployer le package Windows Installer à l'aide de la stratégie de groupe

Grâce à la stratégie de groupe, le service informatique peut garantir que tous les correctifs de compatibilité d'application qu'il créé peuvent être déployés automatiquement sur tous ses ordinateurs clients. Cette section contient les étapes de base à suivre pour configurer ce déploiement. Pour plus d'informations sur la mise en place de déploiements via la stratégie de groupe, voir la documentation sur Technet (http://go.microsoft.com/fwlink/?LinkId=71349) (en anglais).

La première étape consiste à placer le package de déploiement Windows Installer sur un partage de fichiers accessible à tous les ordinateurs qui doivent recevoir le correctif. Il peut s'agir du domaine entier ou de quelques unités d'organisation. Microsoft recommande au service informatique de vérifier que le package Windows Installer comporte l'entrée appropriée de la liste de contrôle d'accès sur le partage de fichiers afin de limiter l'accès aux ordinateurs ciblés.

Une fois le fichier Windows Installer en place, effectuez la procédure suivante. Pour ce faire, connectez-vous en tant qu'administrateur de domaine.

Ajouter la stratégie de groupe à Active Directory
  1. Cliquez sur Démarrer, pointez sur Tous les programmes et sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur le nom du domaine dans le volet de la console (gauche), puis cliquez sur Propriétés.

  3. Sur la page Propriétés, cliquez sur l'onglet Stratégie de groupe.

  4. Sous l'onglet Stratégie de groupe, cliquez sur Nouveau et entrez un nom pour le nouvel objet de stratégie de groupe.

  5. Mettez en surbrillance le nouvel objet de stratégie de groupe et cliquez sur Propriétés.

  6. Étant donné que les correctifs de compatibilité sont appliqués aux ordinateurs du domaine et non aux utilisateurs, activez la case à cocher Désactiver les paramètres de configuration de l'utilisateur. Si une boîte de dialogue de confirmation apparaît, cliquez sur Oui.

  7. Cliquez sur l'onglet Sécurité et ajoutez les listes de contrôle d'accès nécessaires afin de permettre l'accès aux ordinateurs du domaine. Veillez à ce que les options Lire et Appliquer la stratégie de groupe soient sélectionnées, puis cliquez sur OK.

  8. Sur la page Propriétés, cliquez sur Modifier.

  9. Dans l'Éditeur d'objet de stratégie de groupe, dans le volet de la console, développez Configuration ordinateur, puis Paramétrage de logiciels.

  10. Dans le volet d'informations, cliquez avec le bouton droit sur Installation de logiciels, cliquez sur Nouveau, puis sur Package.

  11. Sélectionnez le package à déployer dans la boîte de dialogue Ouvrir, puis cliquez sur Ouvrir.

  12. Dans Déploiement du logiciel, sélectionnez Attribué, puis cliquez sur OK.

  13. Fermez l'Éditeur d'objet de stratégie de groupe.

  14. Fermez la page Propriétés.

  15. Quittez l'application Utilisateurs et groupes Active Directory.

noteRemarques
Dans le cadre de l'étape 12 de la procédure, le package est installé sur les ordinateurs cibles sans nécessiter l'intervention d'un utilisateur. Le package Windows Installer sélectionné s'affichera dans l'Éditeur d'objet de stratégie de groupe.

Test et vérification du déploiement du package Windows Installer

Respectez la procédure suivante pour tester le déploiement du package Windows Installer.

Pour tester le déploiement du package Windows Installer
  1. Redémarrez l'un des ordinateurs membres du domaine.

  2. Avant l'affichage de l'écran de connexion utilisateur, la stratégie de groupe doit automatiquement installer le package Windows Installer sur l'ordinateur.

Respectez la procédure suivante pour vérifier le déploiement du package Windows Installer.

Pour vérifier le déploiement du package Windows Installer
  1. Connectez-vous à l'ordinateur, qui a été redémarré, en tant qu'administrateur en mode d'approbation Administrateur.

  2. Cliquez sur Démarrer et sur Panneau de configuration.

  3. Dans Page d'accueil du Panneau de configuration, cliquez sur Programmes, puis sur Programmes installés.

  4. Dans Modifier ou supprimer un programme, vérifiez que le package Windows Installer et l'entrée de la base de données de compatibilité ont été installés.

Résumé

Le contrôle de compte d'utilisateur offre une nouvelle solution pour renforcer la sécurité des ordinateurs en modifiant de façon radicale l'interaction des applications avec le système d'exploitation et ses fichiers. Microsoft travaille actuellement avec les développeurs pour continuer ses innovations et créer des technologies qui minimisent l'impact des logiciels malveillants. Grâce au contrôle de compte d'utilisateur et à l'utilisation de Windows en tant qu'utilisateur standard, les organisations et leurs utilisateurs finaux sont nettement moins exposés aux risques de sécurité qui peuvent endommager le système. Avec la sortie de Windows Vista, Microsoft a développé un mécanisme qui leur permet d'exécuter les applications en mode utilisateur standard et d'effectuer des tâches de configuration système courantes qui, auparavant, nécessitaient un jeton d'accès administrateur complet.

Commentaires

Veuillez transmettre vos commentaires sur ce document et tout autre document relatif au contrôle de compte d'utilisateur à la liste des commentaires sur la documentation relative au contrôle de compte d'utilisateur. L'équipe chargée du contrôle de compte d'utilisateur fera tout son possible pour répondre à vos questions et à vos commentaires.

Pour en savoir plus sur le contrôle de compte d'utilisateur

  • Pour savoir comment améliorer la conception de leurs applications en vue de leur compatibilité avec le contrôle de compte d'utilisateur, les développeurs peuvent consulter le document Windows Vista Development Requirements for User Account Control Compatibility (http://go.microsoft.com/fwlink/?LinkId=66021) (en anglais) sur MSDN.

  • Le document Getting Started with User Account Control in Windows Vista (http://go.microsoft.com/fwlink/?LinkID=66021) (en anglais) sur Technet fournit des informations sur le contrôle de compte d'utilisateur aux directeurs et aux responsables informatiques, ainsi que des informations sur les environnements de test.

  • Les éditeurs de logiciels, les professionnels de l'informatique et les personnes qui souhaitent en savoir plus sur le contrôle de compte d'utilisateur peuvent consulter le blog de l'équipe chargée du contrôle de compte d'utilisateur (http://go.microsoft.com/fwlink/?LinkID=62676) (en anglais). Vos commentaires et vos questions sont les bienvenus.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft