Exporter (0) Imprimer
Développer tout

Nouveautés dans les contrôles de compte d’utilisateur

Mis à jour: juin 2009

S'applique à: Windows 7, Windows Server 2008 R2

Nouveautés dans les contrôles de compte d’utilisateur

Avant l’introduction du contrôle de comptes d’utilisateurs (UAC), un utilisateur qui ouvrait une session en tant qu’administrateur pouvait accéder à toutes les ressources système. Bien qu’un utilisateur administrateur puisse installer des logiciels autorisés, il peut également installer, accidentellement ou non, un programme malveillant. Un programme malveillant installé par un administrateur peut endommager totalement l’ordinateur et avoir des conséquences pour tous les utilisateurs.

Suite à l’introduction du contrôle de comptes d’utilisateurs, le modèle de contrôle d’accès a changé pour contribuer à réduire l’effet d’un programme malveillant. Lorsqu’un utilisateur souhaite activer une tâche administrateur ou un service, la boîte de dialogue Contrôle de compte d’utilisateur lui demande de cliquer sur Oui ou Non avant qu’il puisse bénéficier de tous les droits d’accès administrateur. Si l’utilisateur n’est pas administrateur, il doit fournir les paramètres d’identification d’un administrateur pour exécuter le programme. Comme le contrôle de compte d’utilisateur impose à un administrateur d’approuver l’installation des applications, les applications non autorisées ne peuvent pas être installées automatiquement ou sans l’accord explicite d’un administrateur.

Dans Windows® 7 et Windows Server® 2008 R2, la fonctionnalité UAC prévoit les améliorations suivantes :

  • Accroître le nombre de tâches qu’un utilisateur classique peut effectuer sans qu’elles soient validées par un administrateur.

  • Autoriser un utilisateur disposant des droits d’accès administrateur à configurer la fonctionnalité UAC dans le panneau de configuration.

  • Fournir des stratégies de sécurité locale supplémentaires pour qu’un administrateur en local puisse modifier les messages UAC en mode Approbation administrateur.

  • Fournir des stratégies de sécurité locale supplémentaires pour qu’un administrateur en local puisse modifier les messages UAC pour les utilisateurs standard.

À qui s’adresse la fonctionnalité UAC ?

La fonctionnalité UAC permet aux utilisateurs standard et aux administrateurs de protéger leurs machines lorsqu’elles hébergent des logiciels malveillants. Beaucoup plus expérimentés qu’auparavant, les utilisateurs peuvent désormais facilement mener leurs activités tout en protégeant leurs ordinateurs.

La fonctionnalité UAC permet aux administrateurs d’une entreprise de protéger un réseau en évitant l’introduction de logiciels malveillants.

Quels sont les avantages de ces nouvelles fonctions ?

Par défaut, un utilisateur standard et un administrateur accèdent à des ressources et utilisent des applications qui sont protégées au niveau d’un utilisateur standard. Lorsqu’un utilisateur ouvre une session sur un ordinateur, le système lui crée un jeton d’accès. Ce jeton d’accès contient des informations sur le niveau d’accès accordé à l’utilisateur, notamment des identificateurs de sécurité (SID) et des privilèges Windows particuliers.

Lorsqu’un administrateur ouvre une session, il génère deux jetons distincts : un jeton d’accès utilisateur standard et un jeton d’accès administrateur. Le jeton d’accès utilisateur standard contient les mêmes informations propres à l’utilisateur que le jeton d’accès administrateur, mais les privilèges d’administration Windows et les SID ont été supprimés. Le jeton d’accès utilisateur standard sert à démarrer les applications qui n’exécutent pas de tâches d’administration (applications utilisateur standard).

Lorsque l’utilisateur ouvre des applications qui requièrent des tâches administratives, il doit modifier ou renforcer le dispositif de sécurité (mode Approbation administrateur). Lorsque ce mode est activé, l’administrateur doit autoriser les applications sur des stations protégées grâce à ses droits d’accès. Les améliorations apportées à la fonctionnalité UAC dans Windows 7 et dans Windows Server 2008 R2 simplifient l’utilisation et la résolution des problèmes liés aux ordinateurs.

Réduction du nombre d’entrées UAC

Windows 7 et Windows Server 2008 R2 permettent de réduire le nombre de paramètres qu’un utilisateur standard et un administrateur doivent indiquer.

Pour réduire le nombre de paramètres qu’un administrateur local doit valider :

  • Les invites sont regroupées.

  • Les invites Internet Explorer pour exécuter les programmes d’installation sont fusionnées.

  • Les invites Internet Explorer pour installer les contrôles ActiveX® sont fusionnées.

Par défaut, la fonctionnalité UAC permet à un utilisateur standard d’effectuer les opérations suivantes sans qu’il soit nécessaire d’indiquer des paramètres :

  • Installer des mises à jour via le programme Windows Update.

  • Installer des pilotes téléchargés via Windows Update ou compris dans le système d’exploitation.

  • Accéder à des paramètres Windows. (toutefois, un utilisateur standard doit obtenir des droits d’accès spécifiques pour modifier des paramètres Windows).

  • Brancher des périphériques Bluetooth sur une machine.

  • Réinitialiser la carte réseau et effectuer des diagnostics et autres résolutions de problèmes.

Configuration de la fonctionnalité UAC via le panneau de configuration

Windows Vista® propose deux niveaux de protection UAC : activé ou désactivé. Windows 7 et Windows Server 2008 R2 intègrent deux niveaux d’invites qui s’apparentent au modèle de sécurité dans Internet Explorer. Si vous êtes connecté en tant qu’administrateur local, vous pouvez activer ou désactiver les invites UAC, ou demander à être prévenu en cas de modification sur l’ordinateur. Vous pouvez choisir quatre niveaux de notification :

  • Ne jamais m’avertir. Vous ne recevez aucun message lorsque des paramètres Windows sont modifiés ou lorsque vous installez un logiciel.

  • M’avertir uniquement lorsque des programmes tentent de modifier mon ordinateur. Aucun message ne s’affiche lorsque vous modifiez des paramètres Windows, mais vous recevez une notification lorsqu’un programme essaie de modifier la configuration de votre ordinateur.

  • Toujours m’avertir. Un message s’affiche lorsque vous modifiez des paramètres Windows et vous recevez une notification lorsqu’un programme essaie de modifier la configuration de votre ordinateur.

  • Toujours m’avertir et attendre une réponse. Vous devez effectuer toutes les tâches administrateur sur le bureau sécurisé. Cette option s’apparente à celle que propose Windows Vista.

Le tableau ci-dessous compare le nombre d’invites UAC pour les opérations effectuées par des utilisateurs dans Windows 7 et dans Windows Server 2008 R2. Il indique le nombre d’occurrences dans Windows Vista Service Pack 1.

 

Actions M’avertir uniquement lorsque des programmes tentent de modifier mon ordinateur. Toujours m’avertir.

Modifier les paramètres de personnalisation.

Pas d’invite

Moins d’invites

Gérer le bureau

Pas d’invite

Moins d’invites

Configurer et résoudre les problèmes d’un réseau

Pas d’invite

Moins d’invites

Utiliser la fonction Transfert de fichiers et paramètres Windows

Moins d’invites

Même nombre d’invites

Installer des contrôles ActiveX via Internet Explorer

Moins d’invites

Moins d’invites

Connecter des périphériques

Pas d’invite

Le système ne demande rien si les pilotes se trouvent sur Windows Update. Nombre d’invites identique si les pilotes ne se trouvent pas dans Windows Update

Utiliser le programme de mise à jour Windows Update

Pas d’invite

Pas d’invite

Configurer des sauvegardes

Pas d’invite

Même nombre d’invites

Installer ou supprimer un logiciel

Pas d’invite

Moins d’invites

Modification des messages UAC pour les administrateurs locaux

Si vous êtes connecté comme administrateur local, vous pouvez gérer les messages UAC dans les stratégies de sécurité locales en mode d’approbation d’administrateur.

  • Élever les privilèges sans invite utilisateur. Les applications administrateur et celles qui correspondent à des installations sont automatiquement gérées grâce au jeton d’accès administrateur complet. Toutes les autres applications seront automatiquement exécutées avec le jeton utilisateur standard.

  • Demande d’informations d’identification sur le bureau sécurisé. La boîte de dialogue Contrôle de compte d’utilisateur s’affiche sur le bureau sécurisé. Dans ce cas, pour qu’une application soit exécutée avec le jeton d’accès administrateur complet, l’utilisateur doit entrer des droits d’accès administrateur. Ce paramètre est en conformité avec les critères communs ou les stratégies d’entreprise.

  • Demande de consentement sur le bureau sécurisé. La boîte de dialogue Contrôle de compte d’utilisateur s’affiche sur le bureau sécurisé. Pour autoriser l’utilisation d’une application avec le jeton d’accès administrateur complet, il doit cliquer sur Oui ou Non dans la boîte de dialogue Contrôle de compte d’utilisateur. Si l’utilisateur n’est pas enregistré dans le groupe Administrateurs local, le système lui demande des droits d’accès. Ce paramètre est en conformité avec les critères communs ou les stratégies d’entreprise.

  • Demande d’informations d’identification. Ce paramètre s’apparente à la fonction Demande d’informations d’identification sur le bureau sécurisé, mais la boîte de dialogue Contrôle de compte d’utilisateur s’affiche sur le bureau.

  • Demande de consentement. Ce paramètre s’apparente à la fonction Demande de consentement sur le bureau sécurisé, mais la boîte de dialogue Contrôle de compte d’utilisateur s’affiche sur le bureau.

  • Demande de consentement pour les binaires non Windows. La boîte de dialogue Contrôle de compte d’utilisateur affiche sur le bureau tous les fichiers sans signature numérique certifiée par Windows.

Modification des messages UAC pour les utilisateurs standard

Si vous êtes connecté comme administrateur local, vous pouvez gérer les messages UAC dans les stratégies de sécurité locales en mode d’approbation d’administrateur.

  • Refuser automatiquement les demandes d’élévation de privilèges. Les applications administrateurs sont inopérantes. L’utilisateur reçoit un message d’erreur qui indique qu’une stratégie empêche l’application de fonctionner.

  • Demande d’informations d’identification. Il s’agit de l’option par défaut. Pour utiliser une application à l’aide du jeton d’accès administrateur, l’utilisateur doit indiquer des droits d’accès administratifs dans la boîte de dialogue Contrôle de compte d’utilisateur qui s’affiche sur le bureau.

  • Demande d’informations d’identification sur le bureau sécurisé. Pour utiliser une application à l’aide du jeton d’accès administrateur, l’utilisateur doit indiquer des droits d’accès administratifs dans la boîte de dialogue Contrôle de compte d’utilisateur qui s’affiche sur le bureau sécurisé.

Quelles sont les incidences de ces modifications ?

Conformément aux demandes des utilisateurs, les fonctions de contrôle UAC permettent d’effectuer des tâches quotidiennes avec moins d’invites. Elles permettent aux administrateurs de mieux les gérer.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft