Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La protection de l’administrateur est une fonctionnalité de sécurité de plateforme dans Windows 11 conçue pour garantir que les utilisateurs s’exécutent avec le moindre privilège nécessaire, en augmentant les droits d’administrateur uniquement lorsque cela est nécessaire et uniquement avec l’approbation explicite de l’utilisateur. Cette fonctionnalité fonctionne sur le principe du privilège minimum, en maintenant les utilisateurs dans un état privilégié et en accordant des droits d’élévation juste-à-temps uniquement en cas de besoin.
Dans le paysage numérique d’aujourd’hui, les utilisateurs disposant de droits d’administrateur sur Windows disposent de puissantes fonctionnalités pour modifier les configurations et apporter des modifications à l’échelle du système susceptibles d’affecter la posture de sécurité globale d’un appareil Windows 11. Les privilèges administratifs créent un vecteur d’attaque important. Les acteurs malveillants exploitent souvent ces privilèges pour obtenir un accès non autorisé aux données utilisateur, compromettre la confidentialité et désactiver les fonctionnalités de sécurité du système d’exploitation à l’insu de l’utilisateur.
La protection de l’administrateur résout ce problème en exigeant des utilisateurs qu’ils vérifient leur identité avec Windows Hello’authentification intégrée. Il applique cette vérification avant d’autoriser les actions qui nécessitent des privilèges d’administrateur, telles que l’installation de logiciels, la modification des paramètres système tels que l’heure ou le Registre, et l’accès aux données sensibles.
Avantages
La protection de l’administrateur offre plusieurs avantages clés :
Sécurité renforcée : En exigeant l’autorisation explicite de l’utilisateur pour chaque tâche d’administration, la protection de l’administrateur protège Windows contre les modifications accidentelles par les utilisateurs et les modifications par des programmes malveillants. Il permet de s’assurer que les utilisateurs sont conscients des actions potentiellement dangereuses avant qu’elles ne se produisent, fournissant une couche supplémentaire de défense contre les menaces.
Contrôle utilisateur : la protection de l’administrateur exige que les utilisateurs décident explicitement s’ils souhaitent qu’une application particulière s’exécute avec des privilèges élevés. Cela permet de garantir que seules les applications autorisées peuvent apporter des modifications système, ce qui réduit le risque de modifications accidentelles ou malveillantes.
Réduction des programmes malveillants : les logiciels malveillants s’appuient souvent sur des privilèges d’administrateur pour modifier les paramètres de l’appareil et exécuter des actions nuisibles. La protection de l’administrateur interrompt la chaîne de destruction des attaques, car les logiciels malveillants ne peuvent plus acquérir en mode silencieux des privilèges d’administrateur.
Configuration requise
La protection administrateur sera bientôt disponible sur Windows 11 appareils. La fonctionnalité précédemment répertoriée dans la mise à jour non liée à la sécurité d’octobre 2025 (KB5067036) a été rétablie et sera déployée à une date ultérieure.
Fonctionnement de la protection de l’administrateur
À la base, la protection de l’administrateur fonctionne sur le principe du privilège minimum. Lorsqu’un utilisateur se connecte à Windows, il reçoit un jeton d’utilisateur privilégié. Toutefois, lorsque des privilèges d’administrateur sont nécessaires, Windows demande à l’utilisateur d’autoriser l’opération. Une fois autorisé, Windows utilise un compte d’utilisateur masqué, généré par le système et séparé par un profil pour créer un jeton d’administrateur isolé. Ce jeton est émis au processus demandeur et est détruit une fois le processus terminé, ce qui garantit que les privilèges d’administrateur ne sont pas persistants.
La protection de l’administrateur introduit une nouvelle limite de sécurité avec prise en charge pour corriger les bogues de sécurité signalés. Les modifications architecturales garantissent que personne ne peut accéder ou falsifier le code ou les données des sessions avec élévation de privilèges sans autorisation appropriée.
Certaines applications peuvent s’appuyer sur des droits d’administrateur toujours présents et sur le profil élevé accessible lors de l’exécution sans élévation de privilèges. Avec cette nouvelle approche, certains scénarios de ces applications peuvent avoir besoin de mises à jour pour fonctionner correctement avec le modèle de sécurité renforcée. Nous collaborons activement avec les développeurs d’applications pour les aider à s’adapter, en veillant à ce que vos expériences préférées restent transparentes tout en protégeant votre système. Pour obtenir des conseils sur le développement de vos applications, consultez Améliorer la sécurité de vos applications avec la protection de l’administrateur .
En fin de compte, ces modifications visent à rendre Windows plus sécurisé pour vous, afin que vous puissiez profiter de fonctionnalités puissantes avec plus de tranquillité d’esprit.
Principaux points forts de l’architecture
Élévation juste-à-temps : les utilisateurs restent privilégiés et se voient accorder des droits d’élévation juste-à-temps uniquement pendant une opération d’administration. Le jeton d’administration est ignoré après utilisation et recréé lorsqu’une autre tâche nécessitant des privilèges d’administrateur est effectuée.
Séparation des profils : la protection administrateur utilise des comptes d’utilisateur masqués, générés par le système et séparés par des profils pour créer des jetons d’administration isolés. Cela permet de s’assurer que les programmes malveillants de niveau utilisateur ne peuvent pas compromettre la session avec élévation de privilèges, ce qui fait de l’élévation une limite de sécurité.
Aucune élévation automatique : les utilisateurs doivent autoriser de manière interactive chaque opération d’administration. Cela garantit que l’utilisateur administrateur garde le contrôle total et que les privilèges d’administrateur ne sont pas abusés.
intégration Windows Hello : la protection administrateur est intégrée à Windows Hello pour une autorisation simple et sécurisée.
Configuration
La protection de l’administrateur peut être activée par le biais de plusieurs méthodes :
- catalogue de paramètres Microsoft Intune (préversion)
- CSP
- Stratégie de groupe
- paramètres Sécurité Windows (préversion)
Intune
GPO
CSP
Sécurité WindowsRemarque
- Cette option est actuellement disponible en préversion. Il sera déployé pour tout le monde progressivement.
- La protection de l’administrateur peut être configurée avec des stratégies fournisseur de services de configuration (CSP) à l’aide de Intune. Utilisez une stratégie personnalisée pour configurer :
- UserAccountControl_TypeOfAdminApprovalMode [activer]
- UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [configurer l’invite]
Pour configurer des appareils à l’aide de Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres répertoriés sous la catégorie Local Policies Security Options:
- Comportement du contrôle de compte d’utilisateur de l’invite d’élévation pour la protection de l’administrateur
- Type de contrôle de compte d’utilisateur du mode d’approbation Administration
Affectez la stratégie à un groupe de sécurité qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Important
Un redémarrage est nécessaire pour que la protection administrateur prenne effet.
Surveillance et création de rapports d’événements
Pour suivre les élévations, la protection administrateur a deux nouveaux événements de suivi d’événements pour Windows (ETW) sous le fournisseur Microsoft-Windows-LUA existant avec GUID {93c05d69-51a3-485e-877f-1806a8731346}:
| ID d’événement | Nom de l’événement | Description |
|---|---|---|
| 15031 | Élévation approuvée | Journalisé lorsqu’un utilisateur s’authentifie correctement et qu’une élévation est accordée |
| 15032 | Élévation refusée/échec | Journalisé lorsque l’élévation est refusée, échoue ou expire |
Éléments consignés
- Identificateur de sécurité (SID) de l’utilisateur qui a déclenché l’élévation
- Nom et chemin d’accès de l’application
- Résultat de l’élévation (approuvé, refusé, délai d’expiration)
- Compte d’administrateur géré par le système utilisé pour effectuer la tâche
- Méthode d’authentification (par exemple, mot de passe, code confidentiel, Windows Hello)
Comment capturer ces événements
Activer le fournisseur Microsoft-Windows-LUA (GUID :
{93c05d69-51a3-485e-877f-1806a8731346})Utiliser Logman ou WPR (Windows Performance Recorder) pour démarrer une session de suivi
Filtre pour les ID d’événement
15031et15032Analyser le fichier .etl obtenu à l’aide de Windows Analyseur de performances ou de votre outil préféré
Voici un exemple de commande :
logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets
Résolution des problèmes
Utilisez des comptes système local ou de service dédiés pour les tâches planifiées ou les scripts définis pour s’exécuter « avec les privilèges les plus élevés ». Essentiellement, reconcevoir les scripts pour éviter de s’attendre à un jeton d’administrateur always-on. Tout flux de travail qui suppose qu’une session d’administration est disponible doit être ajusté.
Lorsque les applications s’exécutent avec élévation de privilèges avec protection de l’administrateur, les informations d’identification de Sign-On unique (SSO) de la session standard ne sont pas disponibles pour la session avec élévation de privilèges. Toute authentification de domaine ou cloud doit être rétablie dans cette session avec élévation de privilèges.
Lecteurs réseau/ressources inaccessibles à partir d’applications avec élévation de privilèges. Installez-le dans le contexte utilisateur pour activer les invites d’informations d’identification réseau. S’il est essentiel d’installer une application avec élévation de privilèges, copiez les fichiers d’installation sur un lecteur local avant de l’élever.
Les données de paramètres pour les applications ne sont pas réparties sur les profils réguliers (non élevés) et élevés. N’élever que les applications dont vous avez vraiment besoin. Envisagez de configurer ces applications pour utiliser des répertoires de données courants accessibles aux deux profils (si possible).
Étendue de la protection de l’administrateur : comptes d’administrateur sur un appareil. L’ouverture de session à distance, les profils itinérants ou les administrateurs de sauvegarde ne sont pas dans l’étendue.
Certaines applications n’affichent pas l’icône de lancement dans le menu Démarrer après l’installation. Si vous avez installé avec élévation de privilèges, vous devez accéder manuellement à l’emplacement d’installation :
AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>Si la mise à jour de l’une de vos applications est bloquée, désactivez temporairement la fonctionnalité. (Un redémarrage est nécessaire).
Quand ne pas activer cette fonctionnalité :
- Pour les appareils qui nécessitent Hyper-V ou Sous-système Windows pour Linux (WSL).
- Si vous utilisez des applications qui ne peuvent pas accéder aux extensions Edge ou aux fichiers partagés entre les profils. Par exemple : certains programmes d’installation (utilisant WebView2 en interne) peuvent demander des autorisations élevées, même lorsqu’ils sont lancés normalement en affichant « Microsoft Edge ne peut pas lire et écrire dans son répertoire de données ».