UAC : une future célébrité ! - Jean-Marc, XP Geek !

UAC : une future célébrité !

Published Saturday, June 03, 2006 5:21 PM

Sans avoir besoin d'y ajouter les bugs actuels qui devraient être résolus sous peu, cette feature de Vista qui consiste à dire à un administrateur qu'il n'en est pas vraiment un est promise à une célébrité désastreuse.

Qui aura donc la patience de valider chaque utilisation d'un droit d'administration alors qu'il est déjà administrateur ? Il y a là une incohérence majeure, et ce n'est pas la seule.

Pourquoi les boites de dialogue d'autorisations n'apparaissent pas toujours au même endroit ?

Pourquoi ne pas avoir créé un groupe UAC et y mettre par défaut tous les nouveaux utilisateurs, plutôt que de casser le groupe admin ?

Pourquoi ne pas faire un utilitaire genre "sudo" installable dans la barre de tâche et qui permettrai momentanément de mettre l'utilisateur en mode "administrateur complet", au besoin avec un timing qui rappelle à l'utilisateur de ressortir du mode "full admin" au bout d'un délai réglable ?

Alors, TOP au Hit Parade de la FAQ Vista : "Comment désactiver UAC ?"

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
"EnableLUA"=dword:00000000

et redémarrage.
(merci à MToo pour ce truc)

Et la cerise sur le gâteau, c'est qu'une fois que vous êtes débarrassé de l'UAC... vous désactivez aussi le mode protégé d'IE7+     :'(

Je sens que je vais continuer d'utiliser ce petit bijou nommé "DropMyRights"...

Alors les Microsoftees, à vous de jouer !

by jeanmarc
Filed under: , ,

Comments

# Laurent Gébeau (MToo) said on Saturday, June 03, 2006 4:29 PM

Rendons a César ce qui est à Cézar, c'est Jean Claude Bellamy qui a trouvé la clef, mais je vais travailler le sujet et remonter un feedback sur connect, je compte sur vos votes !!
Laurent

# jeanmarc said on Saturday, June 03, 2006 4:39 PM

Salut Laurent,

A vrai dire, je viens de m'apercevoir que l'on retrouve ce truc un peu partout sur le net :
http://www.google.fr/search?q=EnableLUA

Mais c'est pas grave, je préfère faire des liens chez les copains   ;-)

Pour le feedback, donne le lien, j'irai voir et surement voter.

.

# Félix le Chat said on Sunday, June 04, 2006 1:58 AM

Bonjour,

essayez ce fichier batch de 2 lignes et votre bureau sera encore plus sûr.

Rem On tue le Bureau
%SystemRoot%\system32\process -k explorer.exe
Rem On relance le tout avec le moins possible de droits
c:\dmr\DropMyRights.exe "c:\windows\explorer.exe " /u

Félix le Chat

# Félix le Chat said on Sunday, June 04, 2006 4:42 AM

Pour être un peu plus explicite, un petit complément concernant DropMyRights,  on peut :

1) utiliser les commutateurs : http://www.microsoft.com/france/msdn/securite/IE-privileges.mspx rien ou n = utilisateur normal [sans les droits d'administrateur], c = utilisateur contraint [sans les droits d'administrateur et d'utilisateur normal], u = utilisateur pas sûr [sans les droits d'administrateur, d'utilisateur normal et d'utilisateur contraint]... plus les droits sont restreints, moins l'éventuel attaquant a de facilités pour attaquer ;

2) en plus, tuer le bureau et le relancer aussitôt avec des droits restreints, tous les programmes lancés avec les droits restreints du bureau héritent des ces droits restreints,

a) on peut tuer avec le gestionnaire de tâches et relancer avec le raccourci traditionnel :  c:\dmr\DropMyRights.exe "c:\windows\explorer.exe " /u

b) ou faire un fichier batch (.bat) de 2 lignes actives :

Rem On tue le bureau avec process.exe http://www.beyondlogic.org/consulting/processutil/process203.zip
%SystemRoot%\system32\process -k explorer.exe
Rem On le relance avec le moins possible de droits
c:\dmr\DropMyRights.exe "c:\windows\explorer.exe " /u

c) Sous Xp on peut aussi le tuer avec taskkill  http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/taskkill.mspx?mfr=true

Rem On tue le bureau
%SystemRoot%\system32\taskkill /im explorer.exe
Rem On le relance avec le moins possible de droits
c:\dmr\DropMyRights.exe "c:\windows\explorer.exe " /u

Félix le Chat

# jeanmarc said on Sunday, June 04, 2006 4:50 AM

Salut Felix,

Merci de ton complément d'information.

Perso, je trouve que réduire les droits du bureau est exagéré. Je l'utilise pour tous mes programmes liés à Internet (ie, oe, virc, etc...)

JM
.

# Laurent Gébeau said on Tuesday, June 06, 2006 5:39 AM

Descendre les droits du bureau est pas mal (du reste c'est déja le cas sous XP me concernant : mes users ne sont pas admin).
Ensuite on ouvre un explorer ou un CMD en admin avec un runas et on gère.
Ce qui me gène c'est l'impossibilité de prédire le fonctionnement de UAC : on accède a un répertoire, une clef, ou on lance une appli et même si les ACL nous donnent le droit on a une fenetre de confirmation ou un accès refusé !!! Impossible à gérer ça dans un parc informatique !!!

Ce que je trouve dommage c'est que XP SP2 possède quasiement tous les outils pour gérer cela convenablement (je gère les 100 PC de mon parc de la sorte et j'ai très peu d'exception (des PowerUsers).
Je n'arrive pas bien a avoir de réponse à ma question :
est ce que UAC fonctionne en identifiant les applications ou en identifiant les accès (demande d'accès à HKML, demande d'accès à C:\Windows ....) pas très bien documenté à l'heure actuelle UAC... et pour cause ça change encore a chaque build !

Laurent