UAC : Pourquoi ne pas le désactiver

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 117053
Inscription : 10 sept. 2005 13:57

UAC : Pourquoi ne pas le désactiver

par Malekal_morte »

Voici une page consacrée à l'UAC de Windows.
L'UAC (User Access Control - en français Contrôle de comptes utilisateur) est certainement l'une des évolutions les plus significatives en matière de sécurité dans le monde Windows ces dernières années.
Cette page explique en quoi et à quoi sert l'UAC en matière de sécurité.

Avant de srue lancer dans la lecture, il est très vivement conseillé d'avoir lu la page : Pourquoi ne pas surfer avec les droits administrateur ? et éventuellement la page Les processus et services Windows afin d'avoir le minimum de compréhension sur le fonctionnement de ces derniers.

L'UAC c'est quoi et à quoi ça sert ?

Sous Windows XP, par défaut, les utilisateurs tournaient avec les droits administrateur, sans manipulation spécifique, les utilisateurs pouvaient modifier la configuration du système (modification de services, modification de clef du registre, supprimer des fichiers systèmes etc).
Cela posait de gros problèmes en matière de sécurité, puisque la simple ouverture d'un fichier permet l'installation de malwares sur le système.

Pour corriger cela Microsoft a mis en place, depuis la version Vista, l'UAC.
Tout utilisateur administrateur tourne avec un jeton restreint, il ne peut effectuer aucune modification du système.
Lorsque l'UAC se déclenche et que l'utilisateur accepte, l'utilisateur administrateur passe en jeton complet, il est alors possible de modifier le système.

Comme le montre la capture ci-dessous, l'utilisateur Malekal_morte est bien administrateur.
Une invite de commandes a été lancée, sans que l'UAC ne se soit manifesté, bien qu'il soit administrateur, il reçoit un message d'erreur lors de la tentative de suppression du fichier système C:\Windows\System32\svchost.exe
ou lorsqu'il veut lancer l'utilitaire de disque chkdsk.

Image

Nous allons maintenant déclencher l'UAC, pour cela, nous effectuons un clic droit puis nous cliquons sur Exécuter en tant qu'administrateur

Image

Le Contrôle des comptes utilisateur se lance, nous acceptons.

Image

La commande chkdsk auparavant interdite fonctionne maintenant.

(NOTE : un observateur averti aura remarqué que l'invite de commandes ne démarre plus depuis le profil de l'utilisateur mais depuis le dossier system32 ;))

Image

A travers cet exemple on voit bien qu'un utilisateur administrateur tourne en permanence avec un jeton restreint et ne peut pas effectuer de modification du système tant que l'UAC ne s'est pas déclenché et bascule l'utilisateur sur un jeton complet.
C'est pour cela qu'à partir de Windows Vista, lorsque vous ouvrez certains composants systèmes (notamment dans le panneau de configuration) ou lancez l'installation d'un nouveau programme, l'UAC se déclenche.

Lorsque l'utilisateur a compris l'utilité de l'UAC, ce dernier peut être un allié précieux contre les malwares.

L'UAC et les malwares

Un petit exemple avec les infections MSN

Image

Une fois n'est pas coutume, ce sera en vidéo.



La première vidéo à l'exécution du fichier image486.exe montre que ce dernier ne modifie pas le système (ou peut-être l'ajout d'un fichier malicieux dans le profil de l'utilisateur), aucune infection n'est active.

Dans la seconde vidéo :



On lance cette fois-ci image486.exe avec un jeton complet, comme on peut le constater cette fois-ci qu'un fichier winudpmgr.exe est droppé, c'est la partie active de l'infection qui se connecte au centre de contrôle et transformant le PC en Zombi.
Le fichier winudpmgr.exe est relancé à chaque démarrage du PC.

Conclusion : on voit bien l'intérêt de l'UAC. Si l'internaute se faisant duper par le social engineering croit télécharger un fichier image, en exécutant celui-ci sur un Windows Vista/Seven avec l'UAC activé, le malware ne s'installe pas sur le système.
Les auteurs de malwares auraient tout intérêt à ajouter dans leur dropper la demande d'ouverture de l'UAC car il y a de grandes chances que des internautes sur le nombre cliquent sur oui installant alors l'infection sur le système.

~~~

Un autre exemple avec des exploits sur des sites WEB

Toujours sous forme de vidéo :


Dans la première partie, après exécution du lien ,Internet Explorer qui a été lancé avec un jeton restreint lance à son tour le processus Acrobat Reader avec un jeton restreint, c'est une tentative d'exploitation de vulnérabilités sur Adobe Reader qui sur ce PC n'est pas à jour.
Au final, rien ne se passe, aucun nouveau processus n'arrive et Internet Explorer plante (c'est normal lors d'exploit que les navigateurs plantent).
Par la suite, le rapport HijackThis ne montre rien d'anormal (il faut surtout regarder la ligne F2 ;)).

Internet Explorer est ensuite relancé mais cette fois-ci avec un jeton complet.
On retourne sur le lien malicieux, Adobe Reader est à nouveau lancé par Internet Explorer avec cette fois un jeton complet.
Le résultat est différent, plusieurs nouveaux processus ~.exe apparaissent, ces derniers ont été téléchargés et lancés de manière automatique par Adobe Reader via l'exploitation de la vulnérabilité.

On lance HijackThis et cette fois-ci la ligne F2 est différente avec un fichier sdra64.exe.
Ce fichier va être lancé à chaque démarrage du PC et est relatif au Trojan.Zbot/Zeus
Une infection active a maintenant réussi à s'installer sur le système de manière automatique.

Conclusion

L'UAC permet de ne plus tourner de manière systématique avec des droits administrateur, ceci a pour effet d'augmenter la sécurité du PC, c'est ce qui manquait et était reproché à Windows XP.
Mais l'UAC a ses limites, qui sont les mêmes que les HIPS : l'utilisateur.
S'il est vraiment intéressant dans les deux exemples précédents, dans les attaques par le social engineering et notamment lorsque l'internaute croit installer un programme légitime, l'UAC n'est d'aucun secours.
En effet, si l'internaute installe un faux codec ou programme piégé avec un adware (exemple navipromo/Magic.Control) nécessairement une fenêtre du contrôle des utilisateurs va s'ouvrir et l'utilisateur va devoir accepter pour installer cette nouvelle application.
Le programme d'installation a alors les droits pour modifier le système et peux installer le composant infectieux.

Dans le cas aussi de certains cracks et notamment les patchs qui modifient les fichiers de l'application que l'on souhaite cracker (qui se trouve généralement dans Program Files), des droits systèmes sont nécessaires.
Si l'utilisateur lance alors le crack avec ces droits et si ce crack est infectieux, l'installation de la partie infectieuse pourra se faire.

Vous devez donc comprendre qu'il est dangereux d'exécuter des applications avec le jeton complet - de manière générale, toute application dont vous n'êtes pas certain et qui demandent le passage en jeton complet doit être refusée - Si un fichier inconnu se lance et demande les droits de jeton complet : REFUSEZ

Pour les utilisateurs qui ont désactivé l'UAC, ceci est une très grosse erreur, vous réduisez de manière plus que significative la sécurité de votre PC


Pour les utilisateurs qui ne peuvent vraiment pas saquer les alertes, il est possible pour les utilisateurs administrateurs de supprimer partiellement ces alertes via les stratégies locales.
L'UAC fera moins d'alertes et les processus de l'utilisateur administrateur continuent à tourner avec des privilèges restreints.
Vous réduisez la sécurité de votre ordinateur sans pour autant retomber au niveau de Windows XP, à vous de choisir entre "confort" et sécurité selon vos connaissances informatiques.

Pour toutes les versions de Windows Vista/Seven :
  • Téléchargez le fichier suivant, s'il s'ouvre sur le navigateur WEB, faites un clic droit puis Enregistrez la cible du lien sous, placez le fichier sur votre bureau : https://www.malekal.com/fichiers/window ... nAdmin.reg
  • Double-cliquez dessus et acceptez la fusion des données, vous obtenez un message vous indiquant que la fusion a réussi
  • Ouvrez le menu Démarrer, faites un clic droit puis Propriétés sur Mon Ordinateur
  • Cliquez à gauche sur le bouton Protection Système, aucun popup UAC ne doit s'ouvrir.
Pour les Windows Vista Pro et Ultimate seulement, via les stratégies locales :
  • Rendez-vous dans le Panneau de configuration puis Outils d'administration et enfin Stratégie de sécurité locale
  • Déroulez à gauche, Stratégies locales puis Options de Sécurité
  • Recherchez Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs
Image
  • Double-cliquez dessus
  • Positionnez à Elever les privilèges sans invite utilisateur
Image


Enfin pour aller plus loin dans la gestion des utilisateurs sur Windows, et si vous êtes plusieurs membres de la famille, il est conseillé pour les enfants de créer des comptes limités.


UAC : Utilisation avancée


Voici une partie sur l'utilisation avancée de l'UAC, ceci s'adresse aux utilisateurs avancés.


Lancer en permanence une application avec une élévation de privilèges

Certaines programmes peuvent avoir besoin des privilèges administrateur, afin de ne pas avoir à toujours faire un clic droit puis exécuter en tant qu'administrateur, il est possible de lancer ces programmes de manière permanente avec les droits administrateurs.
Ca peut être utile par exemple pour HijackThis ou taskmgr (afin de pouvoir killer tous les processus voulus).
  • Faites un clic droit sur le fichier de lancement puis Propriétés
  • Dans l'onglet Compatibilité, cochez en bas l'option Exécutez ce programme en tant qu'administrateur

Image


Lancer une élévation de privilèges par les touches raccourcis
  • Ouvrez le menu démarrer
  • Dans le champs de recherche, tapez la commande à lancer (par exemple, cmd ou notepad..)
  • Faites un CTRL+SHIFT et Entrée, l'invite de l'UAC s'ouvre.

Elever une application par une ligne de commande
  • Téléchargez le fichier Elevate (en haut) : https://technet.microsoft.com/en-us/mag ... 608f81890b
  • Décompressez par exemple dans C:\, cela va créer le dossier C:\Elevation
  • En tapant la commande C:\Elevation\Elevate\elevate cmd - l'invite de l'UAC s'ouvre
  • Eventuellement ajouter C:\Elevation dans le PATH

Activer/Désactiver l'UAC par une commande

Je vous le déconseille ;)

Voici une commande qui désactive l'UAC - pour désactiver l'UAC par les menus, voir la page Désactiver l'UAC de Windows Vista :

Code : Tout sélectionner

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
Réactiver l'UAC :

Code : Tout sélectionner

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f
Liens internes:

la gestion des utilisateurs sur Windows
Le compte Invite de Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »