Fin 2006, Microsoft a annoncé il ne faut donner à utilisateur ou à un fragment de code que les privilèges dont il a besoin pour effectuer un travail – rien de moins, mais surtout rien de plus.
Un code malveillant peut faire des ravages quand il opère dans le contexte de sécurité d’un compte hautement privilégié, et les processus hautement privilégiés peuvent faire beaucoup plus de dégâts quand ils sont compromis ou simplement bogués. Alors que Vista a été annoncé, le moment est venu de réévaluer le concept à la lumière de nouvelles fonctionnalités grâce auxquelles il nous sera beaucoup plus facile de mieux honorer le moindre privilège. Voyons donc comment le moindre privilège a évolué, puis plongeons-nous dans les nouvelles fonctions Vista, y compris UAC et AAM (Admin Approval Mode), qui fournissent à Windows une dynamique plus comportementale.
Windows Vista fait sien le moindre privilège
XP et les OS antérieurs ont pour inconvénient d’exiger un utilisateur très discipliné pour honorer le moindre privilège, de la part des utilisateurs et des administrateurs. Ainsi, les administrateurs XP qui veulent honorer le moindre privilège doivent créer deux comptes : un compte utilisateur simple (appelé aussi compte limité) et un compte avec des privilèges au niveau administrateur (aussi appelé compte privilégié).
Ensuite, ils doivent s’obliger à utiliser le compte limité pour leur travail quotidien – surfer sur le Web, lire le courrier électronique, travailler avec des documents Microsoft Office – et ne passer à leur compte de privilèges supérieurs que pour aborder des tâches administratives. Il est vrai que dans XP et Windows 2000, Microsoft a facilité la navette entre les sessions de logon, mais il est encore beaucoup plus facile pour les administrateurs d’utiliser un compte privilégié pour leur travail quotidien.
L’utilisation d’un seul compte signifie aussi que l’utilisateur administratif ne doit mémoriser et maintenir qu’un jeu de références. Dans XP et Win2K, Microsoft a intégré efficacement des outils de moindre privilège comme le service Secondary Logon, FUS (Fast User Switching) et la commande Runas dans l’UI (user interface) Windows. Pour plus d’informations sur ces améliorations, voir l’article « Quand le moindre… peut le plus ».
Le principal obstacle est le fait que non seulement les administrateurs XP mais aussi de simples utilisateurs XP utilisent généralement un compte unique avec des privilèges au niveau administrateur. Il n’est pas du tout facile de travailler dans XP avec un compte limité, parce que l’OS n’autorise pas les comptes utilisateur limités à effectuer des tâches administratives simples comme changer le fuseau horaire d’un système, installer de nouvelles polices ou changer les options des Power Users.
Pour cette raison, l’administrateur se résigne souvent à octroyer des privilèges administratifs à de simples utilisateurs. La figure 1 montre le message d’avertissement XP qui apparaît quand un utilisateur de compte limité essaie de changer l’heure du système. Il résulte de tout cela que les utilisateurs et administrateurs XP moyens qui préfèrent la facilité d’utilisation à la sécurité et qui ne veulent pas faire constamment la navette entre deux comptes utilisateur, laissent leurs systèmes ouverts à une large variété d’attaques.
Entre nous, combien de fois avez-vous utilisé le compte administrateur local intégré pour vous connecter à votre station de travail XP autonome ?
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !