1 - Comment fonctionne UAC ?
Sous Vista, les membres du groupe local administrateurs ont 2 jetons de sécurité ( Token ), un token complet ainsi qu'un token restreint ( filtré).
Le token filtré est le token complet auquel on a retiré tous les privilèges.
Vous pouvez le visualiser en vous loguant en tant que membre du groupe administrateurs et en lançant whoami /all dans 2 invites de commande (cmd.exe) différentes :
_ une première en lançant simplement cmd.exe,
_ l'autre en exécutant cmd.exe par un clic droit "lancer en tant qu'administrateur".
Vérifiez que le token dans l'invite de commande non élevée n'a aucun privilèges.
Les utilisateurs qui ne sont pas membres du groupe local administrateur ont quand à eux un seul token.
Les utilisateurs membres du groupe local administrateurs tournent par défaut avec leur token restreint. Lorsqu'une tâche nécessite un privilège élevé, UAC demande la permission d'utiliser le token complet ( élévation de privilèges).
En fonction du paramétrage UAC, cela peut être fait de manière transparente ( no prompt ), par consentement ou saisie de mot de passe.
[center]
[/center]
Le mode par défaut pour les membres du groupe administrateurs est celui du consentement ( Admin Approval Mode ).
Le compte intégré administrateur tourne lui quant à lui avec son token complet, il n'a donc pas besoin de donner son consentement pour utiliser un autre token.
L'élévation de privilège s'opère donc pour les comptes disposant de 2 tokens.
Un utilisateur standard n'ayant qu'un token restreint, UAC ne leur proposera pas d'utiliser un autre token et l'utilisateur recevra un Access Denied ou équivalent en tentant d'exécuter une tache nécessitant des privilèges plus élevés.
Par contre, s'il exécute une application "en tant qu'administrateur", il ne passe pas par le mécanisme UAC. En effet, cela crée tout d'abord un nouveau Token d'administration complet qui est alors utilisé pour lancer l'application ( CreateProcessAsUser auquel on passe le token d'administrateur en paramètre).
C'est pourquoi l'exécution d'une invite de commande "en tant qu'administrateur" vous ouvre en fenêtre dans laquelle vous avez les privilèges complets.
2 - Pourquoi obtient-on des accès refusés tout en étant membre du groupe administrateur local ?
Exemple :
Je suis membre du groupe local administrateurs en mode Admin Approval (demande de prompt pour élévation) et pourtant lorsque je lance bcdedit ou diskpart dans une invite de commande, je reçois un access denied. Windows ne devrait-il pas me demander la confirmation d'exécution ?
Les développeurs d'application pour Vista doivent fournir un fichier d'entête (manifest) qui décrit entre autre le niveau d'exécution requis par l'application ( c'est à dire le choix d'utilisation du token complet ou restreint ).
Il y a 3 niveaux d'éxécution :
_ AsInvoker : signifie que l'application doit s'exécuter avec le token actuel de l'appelant et donc ne pas demander d'élévation de privilèges.
_ requireAdministrator : signifie que l'application doit s'exécuter avec un token complet d'administration et donc UAC peut vous demander l'accès au token complet si vous tournez avec le token restreint.
_ highestAvailable : l'application fonctionne avec le privilège le plus haut auquel l'utilisateur accède.
Diskpart et bcdedit demandent le niveau d'exécution AsInvoker.
Si l'administrateur lance une invite de commande avec son token restreint, et lance bcdedit ou diskpart par exemple, le contexte d'exécution est celui du token restreint et comme AsInvoker ne demande pas d'élévation de privilèges, un refus d'accès (accès denied) est retourné.
En lançant cmd.exe par un clic droit et "Run as administrator", le token utilisé pour lancer bcdedit ou diskpart est alors le token complet.
Vous pouvez déterminer le niveau d'exécution requis par chaque tache d'administration fournie par Microsoft en examinant les fichiers programmes :
- Téléchargez strings.exe de sysinternals.
- Dans %WINDIR%System32, lancez strings.Exe *.exe | findstr -i "AsInvoker"
- Dans %WINDIR%System32, lancez strings.Exe *.exe | findstr -i "highestAvailable"
- Dans %WINDIR%System32, lancez strings.Exe *.exe | findstr -i "requireAdministrator"
Par exemple :
- bcdedit requiert AsInvoker.
- mmc requiert highestAvailable.
- defrag requiert requireAdministrator.
3 - Quelles sont les différences entre le compte intégré (builtin) administrateur et les membres du groupe Administrateurs?
Par défaut, le compte intégré administrateur est désactivé et n'apparait pas dans la fenêtre de Logon. (il n'est pas utilisable et ne possède pas de mot de passe)
Par défaut, les membres du groupe local Administrateurs exécutent les applications avec leur Token restreint et doivent approuver toute demande d'exécution avec des privilèges plus élevés : ( Mode Admin Approval ).
Le compte intégré administrateur exécute les applications directement avec son token complet, UAC n'a donc bas besoin de rentrer en jeu.
4 - Comment désactiver UAC pour les membres du groupe Administrateurs ?
Vous pouvez désactiver cette fonctionnalité en éditant les stratégies de sécurité avec secpol.msc ou gpedit.msc.
Naviguez jusqu'à Configuration Ordinateur
Paramètres Windows
Paramètres de sécurité
Stratégies locales
Options de sécurité.
désactivez la stratégie "Contrôle compte utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur" ("Run all administrators in Admin Approval Mode" ).
Rebootez ou lancez gpupdate /force puis fermez / ouvrez votre session pour prendre en compte ces changements.
5 - Comment désactiver UAC pour un utilisateur ?
_ Panneau de configuration :
Pour un utilisateur, vous pouvez désactiver l'utilisation d'UAC en utilisant le Panneau de Configuration :
Panneau de configuration
Comptes utilisateurs
activer ou désactiver le contrôle de compte UAC(pop up UAC)
décochez "Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
6 - Comment désactiver UAC complètement ?
_ Base de registre :
La clef de la base de registre est :
:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]
"EnableLUA"=dword:00000000
_ en utilisant MSCONFIG :
Démarrer / Executer MSCONFIG,
Cliquez sur l'onglet Tools
Sélectionnez Disable UAP, et cliquez sur Launch
Redémarrez l'ordinateur
8 - Le compte intégré Administrateur (ou Administrator) n'apparait pas dans la fenêtre de Logon. Est-il possible de le faire apparaitre ?
Ce compte apparait lorsqu'il n'y a pas de membres dans le groupe local Administrateurs.
Il est également possible de le faire apparaitre en ajoutant un clé de registre pour le compte administrateur dans HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList.
Ajoutez une nouvelle valeur nommée Administrateur et positionnez la valeur à 1.
Pour le cacher de la fenêtre d'accueil, positionnez cette valeur à 0.
9 - Au cours d'une même session, je voudrais donner mon consentement une seule fois lorsque j'exécute plusieurs fois la même application, est ce possible ?
Microsoft ne l'a pas prévu.
L'idée d'UAC est d'empêcher un code malveillant de s'exécuter sans votre consentement si vous désirez bénéficier de cette protection UAC.
Donner son consentement une fois pour toute pourrait conduire un code malveillant à utiliser à votre insu et de manière silencieuse un contexte de sécurité plus élevé que le votre ( token complet ).
10 - Comment savoir si UAC va demander une confirmations en lançant un programme / une icône / un menu ?
Microsoft a conçu tout un jeu d'icônes et logos que les développeurs doivent inclure dans leur programmes, en voici des exemples :
Icône :
User resource: IDI_SHIELD
Bouton :
Button_SetElevationRequired(hwndButton)
Lien :
Layout IDI_SHIELD next to syslink
Load IDI_SHIELD and set as command link icon
Menu contextuel :
Icon support
11 - J'exécute runas /user:admin cmd.exe, admin étant un membre du groupe administrateurs et cela me génère un token restreint. Ne devrais-je pas recevoir un token complet?
L'implémentation actuelle de UAC ne permet pas une élévation de privilèges en ligne de commande, ceci afin d'éviter une utilisation par script.
Cette décision est consistante avec le runas fourni dans XP/2003, qui ne permettait déjà plus de spécifier un mot de passe en ligne de commande.
12 - Est-il possible, temporairement, d'éviter le mécanisme UAC ?
Pour cela, il faut faire tourner le shell avec un token complet d'administrateur au lieu d'un token d'utilisateur final ou d'un token filtré.
- Lancez une invite de commande par un click droit runas administrator.
- Killez explorer.exe.
- Dans l'invite de commande administrateur, lancez un nouvel explorer ( explorer.exe).
Ce nouveau shell hérite alors du token complet de l'administrateur.
Les processus enfant alors lancés au travers de ce nouveau shell sont donc éxécutés directement avec un token complet, sans passer par le mécanisme d'élévation UAC.
13 - Comment UAC gère l'ouverture de session ?
Depuis la RC (Release Candidate 1) les applications qui nécessitent une élévation de privilège sont bloquées.
Dans ce cas l'utilisateur est prévenu par un message dans la barre des taches après la démarrage.
[center]
[/center]
Dans ce cas en cliquant sur le message l'utilisateur peut éxécuter l'application qui a été bloquée ou choisir les applications à autoriser.
Voici les sources de programmes bloquées :
Menu démarrage utilisateur
clefs RUN du registre utilisateur
Menu démarrage machine
clefs RUN de la machine
Quelques exceptions :
les clefs RUNOnce (pour permettre la fin de l'installation d'un programme après redémarrage)
les applications imposées par les stratégies systèmes dans les clefs RUN
14 - Comment exécuter une application en mode élevé rapidement ?
Si vous avez besoin de lancer régulièrement des applications en mode élevé :
Cliquez sur le bouton Démarrer
Dans la zone Rechercher saisissez le nom du programme que vous souhaitez lancer en mode élevé (cmd.exe, notepad
Appuyez sur Ctrl + Shift + Enter
Vous devez confirmer la demande d'élévation
15 - Pourquoi ne peut-on pas accéder aux partages administratifs ou fonctions d'administration (accès distant au registre, Gestion de l'ordinateur, ..) sous Vista ?
UAC interdit l'utilisation deprivilèges administrateur local par le réseau par défaut.
Il est possible de désactiver l'UAC pour l'accès à distance uniquement :
Démarrer, Exécuter puis tapez regedit
Ouvrez : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciessystem.
Créez une nouvelle valeur Dword nommée LocalAccountTokenFilterPolicy
Modifiez ça valeur hexadécimale à 1
Redémarrer l'ordinateur
Vous pourrez désormais accéder aux partages administratifs et administrer à distance le PC via les consoles MMC avec un compte membre du groupe Administrateurs.
Pour réactiver l'UAC pour l'accès à distance, il suffira de supprimer la valeur DWORD, ou de lui mettre la valeur 0
toutwindows.com
