La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des sécurités sur les comptes User Access Control

Publié parAbel Ducharme Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "Gestion des sécurités sur les comptes User Access Control"— Transcription de la présentation:

1 Gestion des sécurités sur les comptes User Access Control

2 User Access Control User access control ( UAC) se traduit contrôle de compte utilisateur Nouvelle fonction de sécurité induit par Windows Vista et reprise sous Windows 2008.

3 Fonctionnement idéal sous Windows XP
Ms recommande aux utilisateurs d'effectuer des tâches courantes en tant que non-administrateurs. Ceci demande dans la pratique d’avoir deux comptes, un avec les privilèges d’administrations, l’autre un compte de niveaux utilisateurs. Pour lancer une opération nécessitant les privilèges il faut utiliser l'option « Exécuter en tant que » ou runas en ligne de commande.

4 Les comptes Administrateurs disposent de deux jetons de sécurités :
Principe de UAC Les comptes Administrateurs disposent de deux jetons de sécurités : un avec des faibles privilèges le second avec les privilèges administrateur Lors du lancement de l’OS et à l’ouverture de session, seul le jeton de niveau user est chargé. Dés qu’un logiciel demande des privilèges Administrateur, UAC présente une invite de demande de confirmer l’action à l’utilisateur.

5 Inconvénient N°1 du Contrôle de compte utilisateur
L'UAC est un outil de sécurité qui, selon Microsoft, avertit l'utilisateur des modifications qui vont être faites sur le système et lui donne la possibilité de les refuser et qui,  selon ses détracteurs, passe sa vie à demander à l'utilisateur s'il est vraiment sûr de vouloir cliquer sur un bouton.

6 Contournement de l’invite UAC
Pour éviter la demande d’élévation de privilège, on peut lancer un programme directement avec le jeton de sécurité « Administrateurs » (un clic droit sur le raccourci et on choisit l’option « Exécuter en tant qu’Administrateur »).

7 Elévation de privilège sans UAC…
A partir d’un compte sans privilège d’Administration, le lancement d’un logiciel avec l’option Exécuter en tant qu’administrateur, propose de choisir un compte Admin pour le lancement du programme, le compte Admin est alors chargé avec le jeton de sécurité le plus haut.

8 Exception pour runas Cependant si on lance la commande runas, par exemple runas /user :pc01\Admin cmd, le résultat et le lancement se fait avec le jeton du compte mais en mode bas privilège.

9 Partage administratif et Windows Vista
UAC bloque également les partages administratifs à partir d’un accès distant.

10 Cas du compte Administrateur /Administrator
Le compte Administrateur ( ou Administrator ) est désactivé dans la configuration Out Of Box de Vista /Seven, on peut néanmoins l’activer et lui affecter un mot de passe. Ce compte n’est pas concerné par la fonctionnalité UAC mais c’est le seul et il s’agit d’un paramètre stocké en GPO locale.

11 Ouvrir une session avec le compte User1 Lancer une invite de commande
TP 01 Créer un compte User1 qui sera membre du groupe Utilisateur & 1 compte Admin membre d’Administrateurs Ouvrir une session avec le compte User1 Lancer une invite de commande Exécuter la commande defrag c : Ouvrir une session sous le compte Admin et lancer une session d’invite de commande ( cmd ) Lancer la commande defrag c : Lancer le menu Invite de commande avec l’option Exécuter en tant qu’administrateur Lancer alors la commande defrag c :

12 Créer un compte Admin qui soit membre du groupe Administrateurs
TP 02 Créer un compte Admin qui soit membre du groupe Administrateurs Ouvrir une session avec le compte Admin A l’aide du bloc note essayer de rajouter une entrée dans le fichier host comme par exemple serv23 (fichier host =c:\windows\system32\drivers\etc\hosts Lancer le bloc note en tant qu’Administrateur et refaire le test précédent Regarder qui à les permissions ntfs pour écrire le fichier host Conclusion …

13 TP 02 Connecter vous sur la machine Vista
Vérifier que le compte Administrateur local de la machine est désactivé. Activer le compte, et affecter lui un mot de passe Sur une machine distante, on essaye de se connecter au partage administratif de Windows Vista. Pour cela on vérifie que le réseau en place est un réseau privé, et que le partage des fichier est activé. On peut éventuellement tester cela sur un partage simple que l’on crée. Par la suite on essaye de se connecter sur le partage C$ de l’ordinateur à l’aide des comptes suivants User1 Admin Administrateur

14 Désactivation de UAC Méthode 1 : Au niveau d’un poste de travail
Lancer la commande msconfig…et dans le menu Outil On ne peut désactiver UAC pour un utilisateur unique ! (On a triché dans la copie d’écran elle est sous Seven. )

15 Désactivation de UAC par le registre…
Disable UAC C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f Enable UAC C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

16 Désactiver uac sur un logiciel …
Pour désactiver l’uac sur un logiciel, il faut modifier dans la propriété avancée du raccourci.

17 Procédure : Désactive UAC pour l’accés distant uniquement
Il est possible de désactiver l'UAC pour l'accès à distance uniquement : Démarrer, Exécuter puis tapez regedit Ouvrez : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system. Créez une nouvelle valeur Dword nommée LocalAccountTokenFilterPolicy Modifiez sa valeur hexadécimale à 1 Redémarrez l'ordinateur Vous pourrez désormais accéder aux partages administratifs et administrer à distance le PC via les consoles MMC avec un compte membre du groupe Administrateurs. Pour réactiver l'UAC pour l'accès à distance, il suffira de supprimer la valeur DWORD, ou de lui mettre la valeur 0

18 Troubleshooting Certains logiciels ou certaines installations de logiciel vont échouer à cause de UAC Pour contourner il faut soit désactiver UAC ou alors se connecter avec le compte Administrateur. En effet si un logiciel ne sait pas demander l’élévation de privilège il va renvoyer un message d’erreur et s’arrêter. Un logiciel peut se lancer correctement mais effectuer des lancement d’autres modules exécutables qui vont échouer à cause de UAC

19 On lance ensuite les programmes et les logiciels demandées.
Bonux Pour contourner quelques minutes le UAC on lance explorer.exe en tant qu’Administrateur On lance ensuite les programmes et les logiciels demandées.

Télécharger ppt "Gestion des sécurités sur les comptes User Access Control"

Présentations similaires

D/ Partage et permission NTFS

D/ Partage et permission NTFS
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.

1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.

Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Messagerie collaborative Mobilité et Fonctions avancées du Webmail.

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏

Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏
Janvier 2011. Janvier 2011 Mercredi 26 Sauter l ’intro Les Ateliers Informatiques du Lien L AtIn Découverte de l'informatique familiale Découverte Informatique.

Janvier Janvier 2011 Mercredi 26 Sauter l ’intro Les Ateliers Informatiques du Lien L AtIn Découverte de l'informatique familiale Découverte Informatique.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.

Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.
EDMODO Qu’est-ce qu’est EDMODO ?  Edmodo est une plateforme dont l’apparence ressemble beaucoup à celle de Facebook, mais qui est entièrement dédié à.

EDMODO Qu’est-ce qu’est EDMODO ?  Edmodo est une plateforme dont l’apparence ressemble beaucoup à celle de Facebook, mais qui est entièrement dédié à.
A9 - Utilisation de composants avec des vulnérabilités connues.

A9 - Utilisation de composants avec des vulnérabilités connues.
Mode d’emploi TÉLÉINSCRIPTION. D ES T ÉLÉ - SERVICES À LA T ÉLÉ - INSCRIPTION TINSCRIPTIONS OBJECTIFS : pour les parents d’élèves :  Prendre connaissance.

Mode d’emploi TÉLÉINSCRIPTION. D ES T ÉLÉ - SERVICES À LA T ÉLÉ - INSCRIPTION TINSCRIPTIONS OBJECTIFS : pour les parents d’élèves :  Prendre connaissance.
Module S41 Chapitre 11  Configuration de Windows XP Professionnel pour l'informatique mobile.

Module S41 Chapitre 11  Configuration de Windows XP Professionnel pour l'informatique mobile.
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Module S41 Chapitre 6 Résolution des problèmes liés au processus d'amorçage et au système.

Module S41 Chapitre 6 Résolution des problèmes liés au processus d'amorçage et au système.
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Chapitre10 Prise en charge des utilisateurs distants

Chapitre10 Prise en charge des utilisateurs distants
Rappels et présentation du réseau local

Rappels et présentation du réseau local
ATS8500 Standalone Downloader.

ATS8500 Standalone Downloader.
Chapitre 7 Configuration de l'environnement du bureau

Chapitre 7 Configuration de l'environnement du bureau

Présentations similaires

Annonces Google