janvier 3, 2021

Comment désactiver le contrôle de compte dutilisateur (UAC) sur Windows Server

  • 09/08/2020
  • 8 minutes de lecture
    • D
    • s

Cet article explique comment désactiver le contrôle de compte dutilisateur (UAC) sur Windows Server.

Version originale du produit: Windows Server 2012 R2
Numéro de la base de connaissances dorigine: 2526083

Résumé

Dans certaines circonstances, la désactivation de lUAC sur Windows Server peut être une pratique acceptable et recommandée. Ces circonstances se produisent uniquement lorsque toutes les conditions suivantes sont remplies:

  • Seuls les administrateurs sont autorisés à se connecter au serveur Windows de manière interactive sur la console ou à laide des services Bureau à distance.
  • Les administrateurs se connectent au serveur Windows uniquement pour effectuer des fonctions dadministration système légitimes sur le serveur.

Si lune de ces conditions nest pas vraie, lUAC doit rester activé. Pour Par exemple, si le serveur active le rôle Services Bureau à distance afin que les utilisateurs non administrateurs puissent se connecter au serveur pour exécuter des applications, lUAC doit rester activé. De même, lUAC doit rester activé si les administrateurs exécutent des applications à risque sur le serveur, telles que les navigateurs Web, la messagerie électronique clients, ou clients de messagerie instantanée, ou si les administrateurs effectuent dautres opérations qui devraient être effectuées à partir dun système dexploitation client tel que Windows 7.

Remarque

  • Ce guide sapplique uniquement aux systèmes dexploitation Windows Server.
  • UAC est toujours d est activé sur les éditions Server Core de Windows Server 2008 R2 et les versions ultérieures.

Plus dinformations

UAC a été conçu pour aider les utilisateurs Windows à passer à lutilisation standard droits dutilisateur par défaut. UAC comprend plusieurs technologies pour y parvenir. Ces technologies incluent les éléments suivants:

  • Virtualisation de fichiers et de registres: lorsquune application héritée tente décrire dans des zones protégées du système de fichiers ou du registre, Windows redirige silencieusement et de manière transparente laccès à une partie du système de fichiers ou du registre que lutilisateur est autorisé à modifier. Cela permet à de nombreuses applications qui nécessitaient des droits administratifs sur les versions antérieures de Windows de sexécuter correctement avec uniquement les droits dutilisateur standard sur Windows Server 2008 et les versions ultérieures.
  • Élévation du même poste de travail: lorsquun utilisateur autorisé exécute et élève un programme , le processus résultant se voit accorder des droits plus puissants que ceux de lutilisateur du bureau interactif. En combinant lélévation avec la fonction de jeton filtré de lUAC (voir la puce suivante), les administrateurs peuvent exécuter des programmes avec des droits dutilisateur standard, puis élever uniquement les programmes qui nécessitent des droits dadministration avec le même compte dutilisateur. (Cette fonction délévation pour le même utilisateur est également connu sous le nom de mode dapprobation administrateur.) Les programmes peuvent également être démarrés avec des droits élevés en utilisant un autre compte utilisateur afin quun administrateur puisse effectuer des tâches administratives sur le bureau dun utilisateur standard.
  • Jeton filtré: lorsquun utilisateur qui dispose de privilèges administratifs ou dautres privilèges puissants ou dappartenance à un groupe se connecte, Windows crée deux jetons daccès pour représenter le compte dutilisateur. Le jeton non filtré possède toutes les appartenances et privilèges de groupe de lutilisateur, tandis que le jeton filtré représente lutilisateur avec léquivalent des droits dutilisateur standard. Par défaut, ce jeton filtré est utilisé pour exécuter les programmes de lutilisateur. Le jeton non filtré est associé uniquement aux programmes élevés. Un compte qui est membre du groupe Administrateurs et qui reçoit un jeton filtré lorsque lutilisateur se connecte est appelé un compte administrateur protégé.
  • Isolation des privilèges de linterface utilisateur (UIPI): UIPI empêche un programme à privilèges inférieurs denvoyer des messages de fenêtre tels que des événements de souris ou de clavier synthétiques à une fenêtre qui appartient à un processus à privilèges plus élevés et, ce faisant, de contrôler le processus à privilèges plus élevés.
  • Internet Explorer en mode protégé (PMIE): PMIE est une fonction de défense en profondeur dans laquelle Windows Internet Explorer fonctionne en mode protégé à faibles privilèges et ne peut pas écrire dans la plupart des zones du système de fichiers ou du registre. Par défaut, le mode protégé est activé lorsquun utilisateur navigue sur des sites dans le Zones Internet ou Sites restreints. Avec PMIE, il est plus difficile pour les logiciels malveillants qui infectent une instance en cours d’exécution d’Internet Explorer de modifier les paramètres de l’utilisateur, par exemple en se configurant pour démarrer chaque fois que l’utilisateur se connecte. Le PMIE ne fait pas partie de lUAC. Cependant, cela dépend des fonctionnalités UAC telles que UIPI.
  • Détection du programme dinstallation: lorsquun nouveau processus est sur le point dêtre démarré sans droits administratifs, Windows applique une heuristique pour déterminer si le nouveau processus est susceptible dêtre une installation héritée programme. Windows suppose que les programmes dinstallation hérités sont susceptibles déchouer sans droits administratifs.Par conséquent, Windows invite de manière proactive lutilisateur interactif pour lélévation. Si lutilisateur ne dispose pas dinformations didentification administratives, il ne peut pas exécuter le programme.

Si vous désactivez le contrôle de compte dutilisateur: exécutez tous les administrateurs dans le paramètre de stratégie Mode dapprobation administrateur, cela désactive tous les Fonctionnalités UAC décrites dans cette section. Ce paramètre de stratégie est disponible via la stratégie de sécurité locale de lordinateur, les paramètres de sécurité, les stratégies locales, puis les options de sécurité. Les applications héritées disposant de droits dutilisateur standard qui sattendent à écrire dans des dossiers protégés ou des clés de registre échoueront. Les jetons filtrés ne sont pas créés et tous les programmes s’exécutent avec tous les droits de l’utilisateur connecté à l’ordinateur. Cela inclut Internet Explorer car le mode protégé est désactivé pour toutes les zones de sécurité.

L’un des les idées fausses courantes sur lUAC et sur lélévation du même poste de travail en particulier sont quelles empêchent les logiciels malveillants dêtre installés ou dobtenir des droits dadministration. Premièrement, les logiciels malveillants peuvent être écrits pour ne pas exiger de droits administratifs, et les logiciels malveillants peuvent être écrits pour écrire uniquement dans des zones du profil de lutilisateur. Plus important encore, lélévation du même poste de travail dans lUAC nest pas une limite de sécurité et peut être détournée par un logiciel non privilégié qui sexécute sur le même poste de travail. Lélévation du même poste de travail doit être considérée comme une fonctionnalité pratique, et du point de vue de la sécurité, ladministrateur protégé doit être envisagé léquivalent de ladministrateur. En revanche, lutilisation du changement rapide dutilisateur pour se connecter à une autre session à laide dun compte administrateur implique une limite de sécurité entre le compte administrateur et la session utilisateur standard.

Pour une session Windows serveur sur lequel la seule raison de louverture de session interactive est dadministrer le système, lobjectif de moins dinvites délévation nest pas réalisable ou souhaitable. Les outils dadministration du système nécessitent légitimement des droits administratifs. Lorsque toutes les tâches de l’utilisateur administratif nécessitent des droits administratifs et que chaque tâche peut déclencher une invite d’élévation, les invites ne sont qu’un obstacle à la productivité. Dans ce contexte, ces invites ne permettent pas et ne peuvent pas promouvoir l’objectif d’encourager le développement d’applications. qui nécessitent des droits dutilisateur standard. De plus, ces invites naméliorent pas la sécurité. Au lieu de cela, ces invites encouragent simplement les utilisateurs à cliquer sur les boîtes de dialogue sans les lire.

Ces instructions sappliquent uniquement aux serveurs bien gérés sur lesquels seuls les utilisateurs administratifs peuvent se connecter de manière interactive ou via les services Bureau à distance, et uniquement à exécuter des fonctions administratives légitimes. Si les administrateurs exécutent des applications à risque telles que des navigateurs Web, des clients de messagerie ou des clients de messagerie instantanée ou exécutent dautres opérations qui doivent être effectuées à partir dun système dexploitation client, le serveur doit être considéré comme équivalent à un système client. Dans ce cas, lUAC doit rester activé en tant que mesure de défense en profondeur.

De plus, si des utilisateurs standard se connectent au serveur sur la console ou via les services Remote Desktop pour exécuter des applications, en particulier des navigateurs Web, LUAC doit rester activé pour prendre en charge la virtualisation des fichiers et du registre ainsi que Internet Explorer en mode protégé.

Une autre option pour éviter les invites délévation sans désactiver lUAC consiste à définir le contrôle de compte dutilisateur: Comportement de linvite délévation pour les administrateurs dans Admin Stratégie de sécurité du mode dapprobation pour élever sans invite. En utilisant ce paramètre, les demandes délévation sont approuvées silencieusement si lutilisateur est membre du groupe Administrateurs. Cette option laisse également PMIE et dautres fonctionnalités UAC activées. Cependant, toutes les opérations qui nécessitent des droits administratifs ne demandent pas délévation. Lutilisation de ce paramètre peut entraîner lélévation de certains programmes de lutilisateur et dautres non, sans aucun moyen de les distinguer. Par exemple, la plupart des utilitaires de console qui nécessitent des droits dadministration sattendent à être démarrés à partir dune invite de commandes ou dun autre programme déjà élevé. Ces utilitaires échouent simplement lorsquils sont démarrés à une invite de commande qui nest pas élevée.

Effets supplémentaires de la désactivation de lUAC

  • Si vous essayez dutiliser lExplorateur Windows pour accédez à un répertoire dans lequel vous ne disposez pas des autorisations de lecture, lExplorateur vous proposera de modifier les autorisations du répertoire pour lui accorder laccès permanent à votre compte utilisateur. Les résultats dépendent de lactivation ou non de lUAC. Pour plus dinformations, voir Quand vous cliquez sur Continuer pour accéder au dossier dans lExplorateur Windows, votre compte dutilisateur est ajouté à lACL du dossier.
  • Si lUAC est désactivé, lExplorateur Windows continue dafficher les icônes de bouclier UAC pour les éléments qui nécessitent une élévation et dinclure Exécuter en tant quadministrateur dans le menus contextuels des applications et raccourcis dapplications. Comme le mécanisme délévation UAC est désactivé, ces commandes nont aucun effet et les applications sexécutent dans le même contexte de sécurité que lutilisateur connecté.
  • Si lUAC est activé, lorsque lutilitaire de console sexécute.exe est utilisé pour démarrer un programme à laide dun compte dutilisateur soumis au filtrage des jetons, le programme sexécute avec le jeton filtré de lutilisateur. Si lUAC est désactivé, le programme qui est démarré sexécute avec le jeton complet de lutilisateur.
  • Si lUAC est activé, les comptes locaux soumis au filtrage des jetons ne peuvent pas être utilisés pour ladministration à distance via des interfaces réseau autres que Remote Desktop (par exemple, via NET USE ou WinRM). Un compte local qui authentifie sur une telle interface obtient uniquement les privilèges qui sont accordés au jeton filtré du compte. Si lUAC est désactivé, cette restriction est supprimée. (La restriction peut également être supprimée en utilisant le paramètre LocalAccountTokenFilterPolicy décrit dans KB951016.) La suppression de cette restriction peut augmenter le risque de compromission du système dans un environnement où de nombreux systèmes ont un local administratif compte qui a le même nom dutilisateur et mot de passe. Nous vous recommandons de vous assurer que dautres mesures datténuation sont employées contre ce risque. Pour plus dinformations sur les mesures datténuation recommandées, voir Atténuation des attaques Pass-the-Hash (PtH) et autres vols dinformations didentification, versions 1 et 2.
  • PsExec, contrôle de compte dutilisateur et limites de sécurité
  • Lorsque vous sélectionnez Continuer pour laccès aux dossiers dans lExplorateur Windows, votre compte utilisateur est ajouté à lACL du dossier (KB 950934)

admin
0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Archives

Articles récents