Contrôle de compte d’utilisateur: mode d’approbationAdministrateur pour le compteAdministrateur intégré

S’applique à

  • Windows10

Décrit les bonnes pratiques, l’emplacement, les valeurs, la gestion de la stratégie et les considérations en matière de sécurité pour le contrôle de compte d’utilisateur: mode d’approbation d’administrateur pour le paramètre de stratégie de sécurité du compte d’administrateur intégré .

Référence

Ce paramètre de stratégie détermine le comportement du mode d’approbation administrateur pour le compte d’administrateur intégré. Lorsque le mode d’approbation administrateur est activé, le compte d’administrateur local fonctionne comme un compte d’utilisateur standard, mais il a la possibilité d’élever les privilèges sans se connecter à l’aide d’un autre compte. Dans ce mode, toutes les opérations qui nécessitent une élévation de privilèges affichent une invite qui permet à l’administrateur d’autoriser ou de refuser l’élévation de privilèges. Si le mode d’approbation d’administrateur n’est pas activé, le compte d’administrateur intégré exécute toutes les applications par défaut avec les privilèges d’administration complets. Par défaut, le mode d’approbation administrateur est défini sur Disabled.

Notes

Si un ordinateur est mis à niveau à partir d’une version antérieure du système d’exploitation Windows et que le compte d’administrateur est le seul compte sur l’ordinateur, le compte d’administrateur intégré reste activé, et ce paramètre est également activé.

Valeurs possibles

  • Activé

    Le compte d’administrateur intégré se connecte en mode d’approbation Administrateur de sorte que toutes les opérations nécessitant une élévation de privilèges affichent une invite qui permet à l’administrateur d’autoriser ou de refuser l’élévation de privilèges.

  • Désactivé

    Si le mode d’approbation d’administrateur n’est pas activé, le compte d’administrateur intégré exécute toutes les applications par défaut avec les privilèges d’administration complets.

Bonnes pratiques

Notes

Après avoir activé le mode d’approbation administrateur, vous devez d’abord vous connecter. Vous pouvez également utiliser gpupdate/force à partir d’une invite de commandes avec élévation de privilèges.

Localisation

Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Désactivé
Paramètres effectifs par défaut du contrôleur de domaine Désactivé
Paramètres effectifs par défaut du serveur membre Désactivé
Paramètres effectifs par défaut de l’ordinateur client Désactivés

Gestion des stratégies

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie deviennent efficaces sans redémarrage de l’appareil lors de leur enregistrement local ou distribué via une stratégie de groupe.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

L’un des risques que la fonctionnalité UAC tente d’atténuer est le fait que les logiciels malveillants qui s’exécutent sous des informations d’identification élevés sans que l’utilisateur ou l’administrateur ne connaissent son activité. Un vecteur d’attaque pour les programmes malveillants consiste à découvrir le mot de passe du compte d’administrateur, car ce compte d’utilisateur a été créé pour toutes les installations de Windows. Pour résoudre ce problème, le compte d’administrateur intégré est désactivé sur les ordinateurs exécutant au moins Vista. Sur les ordinateurs exécutant au moins Windows Server 2008, le compte d’administrateur est activé, et le mot de passe doit être changé lors du premier enregistrement de l’administrateur. Dans une installation par défaut d’un ordinateur exécutant au moins Vista, si l’ordinateur n’est pas joint à un domaine, le premier compte d’utilisateur que vous créez possède les autorisations équivalentes d’un administrateur local.

Contre-mesure

Activez le contrôle de compte d’utilisateur: mode d’approbation d’administrateur pour le paramètre de compte d’administrateur intégré si vous avez activé le compte d’administrateur intégré.

Impact possible

Les utilisateurs qui se connectent à l’aide du compte d’administrateur local sont invités dès qu’un programme demande une élévation de privilèges.

Rubriques associées