Qu'est-ce que l'UAC ?
L'UAC est l'acronyme de User Access Control, présent dans le système d'exploitation Windows Vista et dont le rôle est décrit ainsi par Wikipedia:CITATIONCe mécanisme permet d'exécuter par défaut les programmes avec des droits restreints, évitant ainsi que des applications puissent tourner avec des droits administratifs, qui permettrait de modifier la sécurité du système d'exploitation.
A quels moments l'UAC intervient-elle ?
- pour le lancement ou installation de certains programmes demandant des droits administrateurs sans en avoir la certification UAC (liste mise au point et à jour par Microsoft)
- pour le lancement de tâches d'administration système
- pour une intervention sur des dossiers ou fichiers système
Que penser de l'UAC ?
Nous n'avons pas vocation sur Infomars à vouloir imposer un point de vue. Si vous faites une revue de presse sur le sujet, vous verrez que bien des auteurs en font une critique, plus ou moins vive, et plus ou moins fondée:
- L'élévation des droits est vécue comme très pesante par bien des utilisateurs: les demandes répétées d'autorisation ont le don de ralentir toute manoeuvre, et l'effet d'accumulation aboutit à ce que l'utilisateur accorde les droits demandés sans rien vérifier, ou à ce qu'il en arrive à désactiver cette fonction. Le SP1 a amélioré la situation en diminuant significativement le nombre de sollicitations, mais l'usage demeure un peu navrant parfois. Pourtant, c'est auprès des éditeurs de logiciels qu'il faut chercher la responsabilité de cette situation: bien des logiciels utilisent en effet des droits administrateur sans en avoir besoin, loin s'en faut, et constituent alors des failles potentielles inutiles dans le système où ils sont installés.
- La protection des fichiers système est également parfois montrée du doigt pour la lourdeur qu'elle entraîne dans la réalisation de certaines tâches déterminantes pour l'intégrité du système.
- Assez régulièrement, le reproche d'offrir l'illusion de la sécurité est fait aussi, rappelant ainsi que l'UAC n'est pas une parade absolue, loin de là, que l'utilisateur constamment sollicité pour accorder des droits ou non peut finir par être trompé de cette relative sécurité en se sentant à l'abri de tout, oubliant au passage que le facteur déterminant en matière de sécurité reste avant tout l'interface chaise-clavier.
Bref, bien des facteurs peuvent influer sur l'utilité réelle de l'UAC, ou sur la façon dont il est perçu: le niveau de pratique en informatique, les tâches habituellement réalisées, les logiciels utilisés, le poids des habitudes, ...
Je vous propose dans la suite quelques procédures qui vont permettre de moduler l'activité de l'UAC, ou de la désactiver. Toutes ces procédures sont réversibles, et devront faire l'objet d'une réflexion préalable à leur mise en place. Assurez-vous aussi d'avoir les droits administrateur pour vous lancer .
Désactiver l'UAC complètement - Désactiver l'élévation de privilèges:
Avec les outils windows:Cette procédure va vous permettre de désactiver l'UAC totalement et pour tous les comptes: rendez-vous dans le panneau de configuration, et suivez le guide en image ci-dessous:
Redémarrez pour que les modifications soient prises en compte.
Remarque: le centre de sécurité vous avertira du changement: en ouvrant la fenêtre de celui-ci, vous avez la possibilité de modifier la façon dont le centre de sécurité vous avertit: vous pouvez le désactiver. Personnellement, j'ai opté pour le laisser tel quel, mais j'ai masqué l'icône de la barre des tâches, ce qui préserve un accès rapide au centre de contrôle. Notez également que cette manière dont le centre de sécurité vous avertit est spécifique à chaque compte, contrairement à la désactivation de l'UAC décrite ci-dessus, qui concerne tous les comptes d'un coup.
En utilisant un logiciel de Tweak:Les modifications décrites consistent en des modifications du registre: on a parfois intérêt, par praticité, manque de temps ou de savoir-faire, à utiliser un utilitaire qui s'en charge à notre place.
- Tweak-uac: minimaliste et spécialisé.
- Xdntweaker: tout l'inverse.
- ou pour une simple et totale désactivation : vista4experts - Unlockforus
Les deux captures d'écran ci-dessous illustrent les fonctionnalités offertes par ces logiciels ainsi que leur simplicité d'utilisation:
Désactivations plus fines:
cela nécessitera de passer par des modifications de votre registre, mais si vous avez besoin de ces subtilités, vous en avez sans doute l'habitude. Inutile donc de vous rappeler le chemin de regedit, la nécessité de faire une sauvegarde, ...
Remarquons tout d'abord les emplacements et contenus des clés relatives à la désactivation totale de l'UAC:CITATIONHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
- valeur 00000000 : UAC désactivé (par défaut)
- valeur 00000001 : UAC activé
Voici maintenant la clé permettant de configurer les demandes d'élévations de privilèges:CITATIONHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
- valeur 0: Élévation des privilèges systématique (désactivation)
- valeur 1: Demande d'élévation de privilèges activée avec demande d'identification administrateur (login + mot de passe)
- valeur 2: Demande d'élévation de privilèges activée (par défaut)
Dans le même esprit, la clé concernant la protection des installations de logiciels:CITATIONHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
- valeur 0: Les demandes d'augmentation de privilièges sont désactivées.
- valeur 1: Les demandes d'augmentation de privilièges sont activées pour toute installation d'un programme nécessitant des droits administrateur. (par défaut)
Une clé intéressante d'un point de vue sécurité, quand une machine est utilisée par un public à protéger ou encadrer:CITATIONHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
- valeur 0: Elévation de privilèges refusée pour tout compte standard.
- valeur 1: Elévation de privilèges soumise à demande d'identification administrateur (login + mot de passe) (par défaut)
Une autre clé intéressante pour les mêmes raisons:CITATIONHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures
- valeur 0: Elévation de privilèges requise pour les exécutables non signés (par défaut)
- valeur 1: Elévation de privilèges interdite pour les exécutables non signés
Un batch qui règle également le problème avec élégance, proposé par tristan: (merci à lui !)CITATIONreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f
Remarque:
la valeur 1 active l´UAC
la valeur 0 désactive l´UAC
Il s'agit ici d'une désactivation totale, mais le batch est adaptable pour nuancer la désactivation.
Remarque: sur les versions Professionnelles et intégrales (et uniquement elles), deux outils permettent des actions directes sans passer par le registre: gpedit.msc, secpol.msc. Vous pourrez ainsi désactiver l'élévation en droit admin sans désactiver complètement l'uac ou désactiver l'uac pour les admins.
En savoir plus:
L'aide intégrée à Vista, bien sûr !
http://www.vulgarisa...que.com/uac.php
http://www.bellamyjc...svista.html#UAC
http://www.toutwindo...vista_uac.shtml
http://technet.micro...019(en-us).aspx (en anglais)