Le contrôle des comptes utilisateurs est un mécanisme de sécurité, apparu depuis Windows Vista, qui sécurise Windows à travers une virtualisation des accès utilisateurs.
En clair, lorsque vous lancez des programmes, ces derniers sont lancés avec les droits utilisateurs, si vous utilisez un compte administrateur, les programmes sont lancés en administrateur.
Le contrôle des comptes utilisateurs est une barrière qui permet de lancer les applications sans les droits administrateurs, depuis une session administrateur.
L’utilisateur peut forcer l’exécution en administrateur.
Ce mécanisme se nomme aussi UAC pour User Account Control
Table des matières
Comprendre les droits administrateurs
Comme cela est expliqué dans l’introduction, lorsque vous lancé une application, celle-ci hérité des permissions issues de l’utilisateur.
Si vous lancez une application avec un utilisateur administrateur, l’application possède les droits administrateur.
Si vous lancez une application avec le compte invité, qui est un compte restreint, l’application ne possède pas de permissions élevées.
Les droits administrateurs permettent, d’après peu prêt tout faire, vous pouvez écrire dans tous les dossiers et notamment le dossier Program Files et Windows, vous pouvez tuer tous les processus (sauf les services Windows), créer de nouveaux/supprimer des services Windows.
Cela peut poser des problèmes de sécurité, puisque sur Windows, par défaut le compte créé à l’installation est administrateur.
Notamment, cela posait des problèmes avec les Web Exploits puisque le navigateur est lancé par l’administrateur, vous surfez, un WEB Exploit lance un virus, ce dernier hérité des droits du navigateur WEB lancé en administrateur…..
… le programme malveillant possède donc les droits administrateurs et peut s’installer tranquillement avec des droits élevés.
Pour palier à cela, Microsoft a introduit le contrôle des comptes utilisateurs dites UAC.
Pour vérifier quel utilisateur sont administrateur, le place simple est d’utiliser la commande netplwiz qui donne la liste des utilisateurs et la colonne utilisateur/administrateurs :
Comprendre le contrôle de comptes utilisateur (UAC)
Le contrôle des comptes est un système de virtualisation des droits administrateurs.
Si vous lancez un programme depuis un compte administrateur, l’application ne possède en fait, pas les droits administrateurs.
Une application peut demander d’obtenir les droits administrateurs ou l’utilisateur peut lancer une application avec les droits administrateur par un clic droit puis exécuter en tant qu’administrateur.
Une popup du Contrôle des comptes utilisateurs s’ouvrent alors et l’utilisateur doit confirmer, en cliquant sur Oui pour donner les droits.
L’application est alors lancée avec un jeton administrateur.
Pour tester, lancez simplement, le bloc-note de Windows et tentez d’enregistrer votre document dans un dossier système, par exemple Program Files ou le dossier Windows. Vous aurez un message qui vous indique que vous n’avez pas les autorisations.
Maintenant, lancez le Bloc-note par un clic droit puis Exécuter en tant qu’administrateur.
Puis la fameuse popup du contrôle des comptes utilisateur s’ouvre, vous devez cliquer sur Oui pour confirmer la montée en droit de l’application.
Si vous tentez à nouveau d’enregistrer votre fichier texte dans un dossier système, cela sera possible.
C’est entre pour cela que si vous désirez éditer le fichier HOSTS de Windows, vous devez lancer l’éditeur par un clic droit puis Exécuter en tant qu’administrateur, sinon vous aurez un message d’erreur « accès refusé » à l’enregistrement.
La popup des contrôles des comptes utilisateurs avec le message : Voulez-vous autoriser cette application à apporter des modifications à votre ordinateur ?
Pour écrire dans les dossiers systèmes (dossiers Windows, Program Files) de la partition C de Windows, vous devez donc lancer un jeton administrateur, sinon vous obtiendrez un message « accès refusé ».
Les différences sont visibles facilement sur Process Explorer, depuis l’onglet Security où les privilèges s’affichent.
Sans le jeton administrateur, on constate que le Bloc-note (notepad.exe) a pour parent explorer.exe et un Deny sur le groupe administrateurs.
La liste des privilèges en bas est sur Disable.
avec le jeton administrateur, ce n’est pas la même chose, notepad.exe est lancé par svchost.exe
Le groupe administrateurs est le propriétaire, on constate aussi dans que la liste des privilèges est plus longue et certains sont activés (Enable).
Ainsi donc, le navigateur WEB n’est pas lancé avec les droits administrateurs.
Dans le cas où Mozilla Firefox lance une popup du contrôle des comptes utilisateurs, il peut s’agir d’une mise à jour du navigateur.
Les logiciels malveillant tente de contourner la restriction UAC, soit en bouclant sur la demande, l’utilisateur n’a aucun choix que de répondre Oui.
Soit avec des mécanismes plus vieux, par exemple avec Sirefef, il y a quelques années : ZeroAccess social engeenering contre l’UAC via Adobe Flash
Présentation de l’UAC en vidéo :
Forcer l’UAC sur une application
Si vous en avez marre d’effectuer un clic droit puis Exécuter en tant qu’administrateur, il est possible de forcer le lancement en administrateur.
Pour cela, sur le raccourci de lancement de l’application, faites un clic droit puis Propriétés.
Cliquez sur le bouton Avancé.
Dans la nouvelle fenêtre, cochez l’option : Exécuter en tant qu’administrateur
Au lancement de l’application, la popup des contrôles des comptes va alors se lancer systématiquement.
Programme bloqué par le contrôle de compte d’utilisateur
Parfois, il peut arriver que l’UAC bloque l’exécution de programmes, ainsi, vous vous retrouvez avec le message
Protection de l’ordinateur – Ce programme a été bloqué par votre protection.
Votre administrateur vous a refusé l’exécution de ce programme.
Dans ces cas précis, rendez-vous sur la page suivant pour débloquer l’exécution du programme : Programme bloqué par la protection de votre ordinateur : Editeur non approuvé
Comment désactiver le contrôle de compte d’utilisateur
Il est bien sûr possible de désactiver l’UAC, ce qui n’est pas conseillé, à ce propos, vous pouvez lire : UAC : Pourquoi ne pas le désactiver
Plusieurs méthodes sont données sur la page : Comment désactiver le contrôle des comptes utilisateur (UAC) de Windows
La méthode confidentielle :
Cela se fait depuis le Panneau de configuration puis Comptes d’utilisateurs
Cliquez sur le bouton « Modifier les paramètres du contrôle de compte de l’utilisateur »
Abaissez la jauge au minimum pour désactiver l’UAC.
Cliquez sur OK.
Un redémarrage de Windows est nécessaire.
Imprimer l'article en PDF