Renforcer le contrôle de compte d’utilisateur

Renforcer le contrôle de compte d’utilisateur

Publié le 2 août 2013 par Aryx | Lu 1173 fois |
Cet article n'est pas encore noté

Pour renforcer la sécurité d’un ordinateur, il existe plusieurs types de logiciels. Il y a les anti-malwares qui scrutent les fichiers à la recherche de virus, vers et autres chevaux de Troie. Il y a aussi le pare-feu qui permet de gérer la sécurité des réseaux de l’ordinateur. Si ces logiciels sont efficaces dans leurs domaines respectifs, l’utilisateur est bien souvent la source principale de problèmes, car il peut modifier le système, installer des programmes dangereux, effacer des fichiers… Pour limiter ce danger, il existe dans Windows le "contrôle du compte d’utilisateur". Mais celui est par défaut trop permissif à cause d’un réglage donnant trop de privilège à un utilisateur. Le but de cet article est de limiter les actions permises par l’utilisateur et de renforcer l’action du "contrôle du compte d’utilisateur" en lui ajoutant un mot de passe.


Comprendre le problème

Le point sur le problème de sécurité

Par défaut, lors de l’installation de Windows où lorsque l’on achète un PC, l’utilisateur est invité à paramétrer sa future session. Il doit donc définir le nom de sa session d’utilisateur, choisir son mot de passe et lier ou non sa session avec un compte Microsoft (à partir de Windows 8). Et bien souvent, une fois ces réglages terminés, l’utilisateur se retrouve avec une session de type Administrateur; un type de session permettant à l’utilisateur de pouvoir tout faire comme installer des programmes potentiellement dangereux et modifier des réglages systèmes parfois critiques. Des permissions qui sont équivalent aux pleins pouvoirs sur l’ordinateur.

En fait, il n’y aura qu’une barrière à tout cela : le "contrôle du compte d’utilisateur" (également connu sous le nom de "UAC", de l’anglais "User Account Control "). Ce dernier se manifeste bien souvent par une petite fenêtre de ce genre :

controle-de-compte-utilisateur

L’utilisateur peut ensuite choisir si "Oui" ou "Non" il souhaite exécuter ce programme. Dans la plupart des cas, l’utilisateur sera ennuyé par ces messages à répétions, et cliquera très souvent sur "Oui" sans même avoir lu la fenêtre. Dans l’exemple de l’image ci-dessus, le programme "Interpréteur de commande Windows" est un programme qui peut faire beaucoup de dégâts s’il est mal utilisé. Il est donc risqué de laisser n’importe qui l’utiliser.

Lors de son introduction, les utilisateurs avaient plutôt tendance à vouloir désactiver le "contrôle de compte d’utilisateur", car ce dernier était très gênant. Or, il peut être un vrai rempart contre les programmes malveillants et l’utilisation détournée d’un ordinateur. Car, lorsqu’un programme est exécuté et qu’il ne demande pas d’autorisation via cet outil, c’est qu’il ne risque pas d’altérer l’ordinateur (il s’agit d’un risque, une probabilité; l’utilisation de l’outil peut aussi ne rien faire de grave).

Les types de compte utilisateurs sur Windows

Ces pleins pouvoirs qui sont accordés à l’utilisateur par défaut de Windows résultent en fait du type de compte disponible avec Windows. Il existe trois types de compte ayant chacun des privilèges différents et hiérarchisés.

Le compte de type administrateur

Ce type de compte possède toutes les autorisations nécessaires pour administrer l’ordinateur. Il peut donc :

  • modifier les paramètres de sécurité,
  • installer des logiciels pour tous les utilisateurs de l’ordinateur,
  • installer des nouveaux matériels.
  • accéder à tous les fichiers de l’ordinateur
  • modifier d’autres comptes d’utilisateurs.

Ainsi le compte de type administrateur ne doit être utilisé que ponctuellement pour gérer l’ordinateur, installer des programmes et des matériels. Il peut effectuer des modifications affectant d’autres utilisateurs.

Le compte de type utilisation standard

Le compte d’utilisation standard permet d’utiliser la plupart des fonctions d’un ordinateur, sauf si celles-ci ont des conséquences sur les autres ordinateurs. Il exige un l’autorisation d’un compte administrateur pour effectuer des modifications affectant les autres utilisateurs ou la sécurité de l’ordinateur.

fonctionnement-du-controle-de-compte-utilisateur

C’est le compte utilisateur qui devrait être utilisé de façon standard.

Le compte de type invité

Il s’agit du type de compte avec le moins de privilèges. Désactivé par défaut, il permet aux utilisateurs n’ayant pas de compte permanent sur l’ordinateur d’utiliser ce dernier. Néanmoins, cette utilisation se fait avec de nombreuses restrictions. L’invité ne pourra pas installer de programmes, ni de matériels et ne pourra pas définir de mot de passe de compte.

Il pourra tout de même utiliser certaines applications ne nécessitant pas de privilèges supérieurs.

L’idée de Microsoft

Avec ces trois types de compte disponible, on pourrait se demander pourquoi Windows donne autant de pouvoir au premier utilisateur après son installation? Pourquoi a-t-il des privilèges administrateurs alors que cela peut potentiellement être dangereux pour un utilisateur débutant ?

En fait, le premier compte créé est un compte administrateur pour pouvoir installer tout le matériel et les logiciels nécessaires au bon fonctionnement de l’ordinateur. C’est donc normal qu’il ait des privilèges administrateur.

Et c’est ensuite, que cet utilisateur/administrateur doit créer des comptes d’utilisateurs standards qui seront utilisés. Ces derniers auront des privilèges réduits, mais suffisant pour profiter de l'ordinateur.

installation-et-configuration-de-windows

On retrouve cette stratégie sur les smartphones/tablettes, mais sous un autre angle. En effet sur ces terminaux, le matériel est toujours déjà installé, et les mises-à-jours sont gérées par les constructeurs la plupart du temps. Du coup, pas la peine que l’utilisateur par défaut ait des privilèges administrateurs, ou "root" dans les distributions basés sur Unix, comme Android et IOS. En revanche, pour pouvoir modifier des paramètres qui ne sont pas accessibles à l’utilisateur classique, les techniques dites de "rootage" (pour les terminaux Android) ou de Jailbreak (pour les terminaux sous IOS) visent à permettre l’accès au niveau root/administrateur et donc à la partie système.

jailbreak-sn0wbreeze

Rétablir les niveaux de privilèges

L’objectif de cet article est donc de rétablir les niveaux de privilèges administrateur/utilisateur standard. Et cela sans perdre la session principale. Pour réaliser cela, il faudra dans un premier temps activer le compte administrateur de Windows, puis lui ajouter un mot de passe, en enfin changer le type de compte de votre session.

Au final, lorsqu'un utilisateur standard voudra modifier un paramètre de sécurité de l’ordinateur, installer un programme ou un matériel, il faudra qu’il demande la permission à l’administrateur (qui devra entrer son mot de passe). Cela augmentera grandement la sécurité de l’ordinateur.

Pour réaliser ces procédures, il y aura souvent deux approches :

  • Celle avec les programmes intégrés à Windows,
  • Celle avec l’invite de commande Windows

Activer le compte administrateur de Windows

L’activation du compte administrateur peut être réalisée de différentes façons selon l’édition de Windows que vous possédez. Les éditions suivantes de Windows peuvent activer le compte administrateur à l’aide de l’outil "Stratégie de sécurité locale" :

  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Edition Intégrale
  • Windows 7 Professionnel
  • Windows 7 Entreprise
  • Windows 7 Edition Intégrale
  • Windows 8 Professionnel
  • Windows 8 Entreprise

Les autres éditions (Windows Vista/7 Edition Familiales et Windows 8) n’intègrent pas cet outil par défaut. Pour ces éditions de Windows, il faudra passer par l’invite de commande pour activer le compte administrateur. Il ne faut pas s’inquiéter, cela n’aura rien de bien difficile.

Pour déterminer la version et l'édition de Windows installée, il suffit d’écrire "winver" dans la zone de recherche du menu démarrer et de valider (avec la touche Entrer) pour Windows Vista/7. Pour Windows 8, il faut écrire "winver" à l’écran d’accueil et valider avec la touche Entrer. Une fenêtre s’affiche alors vous indiquant clairement la version et l’édition de Windows présente sur votre ordinateur.

Winver-sur-Windows-8

Si vous ne possédez pas un des Windows listés plus haut, il faudra utiliser l'invite de commande. Accédez directement à la suite en cliquant ici.

Si vous possédez un de Windows listés plus haut, vous pouvez passer au titre suivant.

Avec les éditions professionnel/entreprise/intégrale

Pour ces éditions, il va être possible d’utiliser l’outil "Stratégie de sécurité locale". Il se trouve dans les Outils d’administration, ou en écrivant "secpol.msc" dans la zone de recherche du menu démarrer ou à l’écran d’accueil de Windows (pour Windows 8).

outils-administration-strategie-de-securite-locale

L’outil se présente sous forme d’une arborescence (un peu comme l’explorateur Windows) comprenant les réglages de nombreux paramètres.

Rendez-vous dans le dossier suivant : "Stratégies locales" (1) puis dans "Options de sécurité" (2). Là se trouve l’option "Comptes : statut du compte Administrateur" (3). Double cliquez pour afficher ses propriétés. Choisissez "Activé" (4) et à validez en cliquant sur "OK" (5).

activer-administrateur-strategie-de-securite-locale

Le compte administrateur est maintenant activé. Pour vous en rendre compte, vous pouvez retourner sur l’écran de connexion des utilisateurs en choisissant "Changer d’utilisateur" dans le menu démarrer (pour vous y rendre rapidement, effectuer la combinaison de touche WINDOWS+L).

Vous pouvez passer à l’étape suivante : Ajouter un mot de passe au compte administrateur.

Avec une autre édition de Windows

Les autres éditions de Windows ne possédant pas l’outil "Stratégie de sécurité locale", il va falloir utiliser une autre façon de faire. Il est possible d’activer le compte administrateur à l’aide d’une commande qui sera à entrer dans "l’invite de commandes".

Pour démarrer "l’invite de commandes", dans le menu démarrer ou l’écran d’accueil de Windows 8, tapez "cmd" dans la zone de recherche. "cmd.exe" apparait alors. Fait un clic-droit dessus, et cliquez sur "Exécuter en tant qu’administrateur" (ou "Exécuter comme administrateur" pour Windows 8).

invite-de-commande-en-mode-administrateur

"L’invite de commandes" Windows se lance alors, en mode administrateur.

Pour activer le compte administrateur, entrer la commande suivante :

net user Administrateur /active:yes

Un message confirmera la bonne activation du compte Administrateur.

invite-de-commande-activer-le-compte-administrateur

Remarque :

pour désactiver le compte administrateur, remplacez "yes" par "no". Ce qui donne la commande suivante :

net user Administrateur /active:no

Le compte administrateur est maintenant activé.

Ajouter un mot de passe au compte administrateur

Maintenant que le compte administrateur est activé, il va falloir lui ajouter un mot de passe. C’est ce mot de passe qu’il faudra entrer pour autoriser une application dans le contrôle de compte d’utilisateur (Veillez donc à ne pas perdre ce mot de passe).

Pour définir un mot de passe, deux solutions sont à votre disponibilité :

Gestionnaire des comptes utilisateur

Pour les Windows jusqu’à Windows 7

Ouvrez le menu démarrer et cliquez sur l’image de votre compte (en haut à droite du menu démarrer).

Le gestionnaire des comptes utilisateur s’ouvre alors. Choisissez "Gérer un autre compte".

La liste des utilisateurs apparait ensuite. Vous y retrouvez votre session, le compte Administrateur et le compte Invité (désactivé par défaut). Sélectionnez le compte administrateur nouvellement activé.

Il vous suffit alors de choisir "Créer un mot de passe" pour ajouter un mot de passe au compte administrateur.

Avec Windows 8

Rendez-vous à l’écran d’accueil et écrivez "modifier les comptes". La recherche ne trouve pas d’applications de ce nom, c’est normal car il s’agit d’un paramètre. Dans la barre de recherche à droite, cliquez sur "Paramètres". Cliquez ensuite sur "Modifier les comptes".

La liste des utilisateurs apparait ensuite. Vous y retrouvez votre session, le compte Administrateur et le compte Invité (désactivé par défaut). Sélectionnez le compte administrateur nouvellement activé.

gerer-les-compte-windows-8

Il vous suffit alors de choisir "Créer un mot de passe" pour ajouter un mot de passe au compte administrateur.

Vous pouvez passer à la prochaine étape : Changer le type de compte de votre session.

Invite de commandes Windows

Rendez-vous dans "l’invite de commandes" Windows comme décrit précédemment, toujours en tant qu’administrateur.

La commande générique pour changer le mot de passe d’une session est la suivante :

net user COMPTE-SESSION-WINDOWS Motdepasse

(Où Motdepasse est le mot de passe que vous souhaitez et COMPTE-SESSION-WINDOWS est le nom d'un utilisateur Windows).

Ici, il s’agit du compte administrateur, il vous faut alors entrer :

net user Administrateur Motdepasse

Remarque :

La commande pour supprimer le mot de passe est la suivante :

net user COMPTE-SESSION-WINDOWS *

Changer le type de compte de votre session

Pour changer le type de compte de votre session et passer à un compte de type "Utilisateur standard” deux solutions sont là aussi possible : en utilisant le gestionnaire des comptes utilisateur ou en passant l’invite de commandes Windows.

Gestionnaire des comptes utilisateur

Retournez à l’endroit où le mot de passe a été ajouté plus haut. Cliquez cette fois-ci sur le compte de votre session. Choisissez ensuite "Type de compte" (pour les Windows jusqu’à Windows 7) ou "Modifier le type de compte" (pour Windows 8). Il ne reste plus qu’à sélectionner "Utilisateur standard".

changer-le-type-de-compte

Invite de commandes Windows

Encore une fois, exécutez l’application "invite de commandes" en mode administrateur. La commande générique pour changer le type de compte en utilisateur standard est la suivante :

NET LOCALGROUP Administrateurs COMPTE-SESSION-WINDOWS /DELETE && NET LOCALGROUP Utilisateurs COMPTE-SESSION-WINDOWS /ADD

(Où COMPTE-SESSION-WINDOWS est le nom de votre session Windows)

La commande retire votre compte du groupe des administrateurs et le rajoute aux utilisateurs.

Le double "&" permet de lancer deux commandes à la suite.

Remarque :

Pour effectuer le chemin inverse, utilisez cette commande :

NET LOCALGROUP Administrateurs COMPTE-SESSION-WINDOWS /ADD <?php echo '&&';?> NET LOCALGROUP Utilisateurs COMPTE-SESSION-WINDOWS /DELETE

Conclusion

Fermez maintenant votre session Windows et reconnectez-vous. Dès lors, à chaque action qui nécessitera l’élévation des privilèges à ceux d’administrateur, un mot de passe sera demandé, celui de l’administrateur.

controle-de-compte-utilisateur-demande-mot-de-passe

Grace à l’activation du compte administrateur et le changement du compte principal pour un compte de type "utilisateur standard", votre ordinateur bénéficie d’une protection supplémentaire contre les erreurs de manipulation et les programmes indésirables. Le "contrôle de compte d’utilisateur" se rapproche en fait de ce qui se trouve dans les distributions Linux, qui sont souvent connues pour leur sécurité accrue. Microsoft propose donc un système complet qui évitera bien des problèmes. De plus, l’activation du compte administrateur pourrait également être utile en cas de problème sur votre session : il y aura ainsi toujours une session saine à partir de laquelle il vous sera possible d’utiliser des outils de maintenance.

Sources

Microsoft Community : http://answers.microsoft.com/fr-fr/windows/forum/windows_7-security/changer-ladministrateur/3d1da4d4-c408-4ba1-b485-8db777cd903d?msgId=48bd5b05-f437-4c3f-ba1d-1720b38e18cb

Remarque :

Cet article est une réécriture de l’article intitulé "Un mot de passe pour l’UAC" que j’avais écrit sur Next.Minesblogs en 2012. Cette première version était davantage centrée sur Windows 7.

À propos de Aryx

Passionné d'informatique et de nouvelles technologies, je m'interesse aussi à la politique, ma ville ainsi qu'à tout ce qui fait l'actu ! Fondateur de WolfAryx informatique. Suivre @Wolfaryx Google+
Ce contenu a été publié dans Informatique, Trucs et astuces, Windows 7, Windows 8, avec comme mot(s)-clé(s) , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Découvrir d’autres articles en relation

  • Le registre Windows
    Le registre Windows
    Malgré l'avancée des nouvelles technologies dans notre quotidien, beaucoup d'utilisateurs ne voient que bien souvent leur ordinateur comme une boite noire où la magie s'opère dès la pression du bouton "Power". Bien que la connaissance des processus qui se cachent … Continuer la lecture
  • Network Changer 2.0
    Network Changer 2.0
    Network Changer est un petit utilitaire permettant de modifier le type d’un réseau dans Windows. Très utile, cela permet d’améliorer la sécurité sur un réseau public, ou de profiter de la découverte du réseau et du partage de fichiers dans un réseau privé. Version 2.0
  • Introduction à l’invite de commandes Windows
    Introduction à l’invite de commandes Windows
    L'invite de commandes permet de réaliser tout un tas d’opération en passant d’interface graphique. L’intérêt de ces commandes de créer de petits programmes ou scripts afin d'automatiser vos réglages. Cet article présente les notions de base pour comprendre l'invite de commandes.
  • Accéder aux dossiers partagés Windows depuis Android
    Accéder aux dossiers partagés Windows depuis Android
    Les smartphones sont de nos jours de plus en plus évolués et constituent de vrais petits ordinateurs. À ce titre, ils peuvent également utiliser le réseau local pour récupérer des fichiers sur un ordinateur distant et même en déposer de nouveau. Rien de plus simple, avec l’application X-pore, un gestionnaire de fichiers pour Android.
  • Network Changer 1.0 : gérer les profils réseaux dans Windows
    Network Changer 1.0 : gérer les profils réseaux dans Windows
    Network Changer est un petit utilitaire permettant de modifier le type d’un réseau dans Windows. Très utile, cela permet d’améliorer la sécurité sur un réseau public, ou de profiter de la découverte du réseau et du partage de fichiers dans un réseau privé.
  • Installer Windows dans un disque dur virtuel
    Installer Windows dans un disque dur virtuel
    Il peut être intéressant quelque fois de disposer de plusieurs systèmes d’exploitation sur un ordinateur unique. Suivez ce guide pour pouvoir installer Windows dans un disque dur virtuel et ainsi éviter de corrompre votre installation actuelle.

Noter cet article

0/5 (Pas de votant)
0/5 (Pas de votant)

2 réponses à Renforcer le contrôle de compte d’utilisateur

  1. maintenance informatique dit :
    16 août 2013 à 13 h 57 min

    Merci pour cet article. Il est vrai que l’utilisateur lui-même constitue la première faille en termes de sécurité informatique. Tout se joue alors au niveau des paramètres du compte utilisateur avant même que n’interviennent les logiciels protecteurs.

    Répondre
  2. Bruno dit :
    23 mai 2014 à 20 h 06 min

    C’est une approche judicieuse et intelligente, surtout si l’on pense à la fragilité de nos pcs vis à vis les dangers innovatifs d’Internet. J’ai fait ce changement et je lance désormais mon pc avec le Compte Standard muni de mot de passe. Maintenant, toute modification du pc se fait avec l’autorisation de l’Administrateur, et donc un deuxième mot de passe. Beaucoup plus sûr. J’ai remarqué que sous Win 8.1 si vous avez uniquement le Compte Administrateur (c’était mon cas, car je suis le seul propriétaire et utilisateur) Windows vous empêche d’opter pour le Compte Standard. Il vous oblige à créer un deuxième Compte Administrateur (ce que j’ai fait ; lui aussi avec son mot de passe, bien entendu). Ensuite vous vous attribuez le compte Standard et quand vous redémarrez le pc vous avez le choix entre les deux comptes. Vous continuez bien sûr comme Standard et là vous avez la protection plus complète décrite par Aryx. A qui j’adresse mes remerciements.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *