Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Windows : Désactiver les privilèges d'admin sécuriserait les ordinateurs
En empêchant l'installation de malwares

Le , par Katleen Erna, Expert éminent sénior
Désactiver les privilèges d'admin sécuriserait les ordinateurs, en empêchant l'installation de malwares

Une étude orchestrée par BeyondTrust s'est penchée sur les failles de sécurité atteignant les systèmes Microsoft.

Elle montre que les dangers des vulnérabilités peuvent être minimisés si les utilisateurs concernés attendent que les administrateurs des systèmes y appliquent les patchs mensuels fournis par Microsoft.

La découverte clé de ce travail est le fait qu'un système soit plus sûr si les droits d'administrateur sont supprimés.

Ces droits permettent à un individu d'endosser le rôle de responsable du système, et de l'administrer. Il peut alors contrôler quels logiciels et composants peuvent être installés sur l'ordinateur de l'utilisateur.

Malheureusement, les paramètres par défaut offrent ces privilèges à l'utilisateur sur sa propre machine. Comme certains malwares arrivent à pièger le système pour forcer un utilisateur avec de tels droits à l'installer, on comprend les menaces d'une telle organisation des choses.

Source : BeyondTrust 2009 Microsoft Vulnerability Analysis (en anglais)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lyche Lyche - Expert confirmé http://www.developpez.com
le 01/04/2010 à 10:10
Citation Envoyé par jaimepaslesmodozélés  Voir le message
Un gigantesque +1.
Et dire que des gens sont payés pour pondre ce genre de rapport...
Bon, ils ont au moins le mérite de ne pas dire d'ânerie (contrairement aux gars d'Olféo, par exemple ^^).

Tu sais, dans mon boulot j'ai vu des études de plusieurs millions d'€ sur plusieurs années pour comprendre des trucs qu'on nous apprend en cours.. Quand on pense que des grands patrons ont cautionnés ces études, c'est plus qu'a la limite du ridicule. Même concept ici ^^, c'est sur, ils disent pas de bêtise, mais en même temps, mis à part eux, tout le monde le savait déjà
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 01/04/2010 à 10:39
En gros ils vont inventer un gestionnaire de paquets
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 01/04/2010 à 13:30
Citation Envoyé par Katleen Erna  Voir le message
Elle montre que les dangers des vulnérabilités peuvent être minimisés si les utilisateurs concernés attendent que les administrateurs des systèmes y appliquent les patchs mensuels fournis par Microsoft.

"attendent" c'est là le problème , faut tout faire à leur place, autant que MS si colle...
Avatar de benzoben benzoben - Membre actif http://www.developpez.com
le 01/04/2010 à 15:16
Attention, ça me parait être un poisson d'avril tellement c'est gros!
Avatar de LSRouge LSRouge - Membre régulier http://www.developpez.com
le 01/04/2010 à 15:32
Ha, ca c'est possible!!
Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 01/04/2010 à 17:18
Vraiment un scoop, en effet.

Widnows Vista est quand même sorti depuis 2007, et les recommendations "ne tournez pas en Admin" datent de bien avant...
Avatar de ogaby ogaby - Membre actif http://www.developpez.com
le 01/04/2010 à 21:23
Citation Envoyé par Médinoc  Voir le message
Vraiment un scoop, en effet.

Widnows Vista est quand même sorti depuis 2007, et les recommendations "ne tournez pas en Admin" datent de bien avant...

Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a créé un compte administrateur puis te demande si tu veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.
Avatar de Franck SORIANO Franck SORIANO - Membre expert http://www.developpez.com
le 01/04/2010 à 22:41
Citation Envoyé par ogaby  Voir le message
Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a crée un compte administrateur puis te demande si veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.

C'est plus compliqué que ça. Car même si ne pas utiliser un compte admin pour l'usage courant de son Ordi semble une évidence, il y a très peu de développeurs qui ont appliqué ce principe dans leur applications.
Pendant des années, les logiciels qui ne considéraient pas que l'utilisateur avaient tous les droits, et qui de facto, n'obligent pas l'utilisateur à être administrateur pour travailler, ont été rarissimes (au moins pour le grand publique).

Maintenant c'est en train de changer avec l'UAC. Et Microsoft a poussé le bouchon jusqu'à faire en sorte que les administrateurs n'ont pas les droits administrateurs !
Ce qui d'ailleurs entraine également la conséquence "désactiver les droits administrateurs ne sécurisent pas la machine davantage, puisque de toute façon, les administrateurs n'ont déjà pas les droits admin".
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 02/04/2010 à 8:53
Citation Envoyé par ogaby  Voir le message
Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a crée un compte administrateur puis te demande si veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.

A l'époque où ma mère utilisait Xp je lui avais mis un compte utilisateur pour pas qu'elle fasse de conneries, du coup elle pouvait même pas imprimer...
Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 02/04/2010 à 8:59
Surtout que sous XP, le moyen le plus simple d'afficher un calendrier nécessite un privilège administrateur, et la version familiale ne contient pas l'IHM permettant de régler les privilèges...

Ni l'IHM permettant de donner aux non-administrateurs le droit d'écrire dans un sous-dossier de Program Files (exemple, les sauvegardes d'un jeu comme Starcraft), qui n'est disponible qu'en mode sans échec...

En gros, si l'on n'a pas les compétences d'un administrateur pour corriger cela (outils en ligne de commande, voire écriture d'un programme en C dans le cas des privilèges), trop de facteurs poussent à utiliser un compte admin dans la vie de tous les jours.
Avatar de JeromeBcx JeromeBcx - En attente de confirmation mail http://www.developpez.com
le 08/04/2010 à 17:14
Citation Envoyé par Médinoc  Voir le message
En gros, si l'on n'a pas les compétences d'un administrateur pour corriger cela (outils en ligne de commande, voire écriture d'un programme en C dans le cas des privilèges), trop de facteurs poussent à utiliser un compte admin dans la vie de tous les jours.

+1, et c'est le gros problème... En installant deux profils utilisateur/administrateur, on se retrouve très vite à basculer plusieurs fois par jours d'une session à l'autre, donc bon, au bout d'un moment, ça

Mais bon les utilisateurs s'y font... j'ai basculer mon chef en droit utilisateurs après plusieurs infections; les premiers jours ont été difficile, mais maintenant il s'y est fait

Cela reste tout de même une aberration qu'aucune information claire n'aiguille monsieur et madame lors de la création de comptes.
Offres d'emploi IT
Team leader abap (SAP)
K.P.I - Ile de France - Nanterre (92000)
Ingénieur fonctionnel Activ'Infinite
CTS_Nord - Ile de France - Paris (75000)
Master 2 - growth hacker
Alien6 - Ile de France - Villetaneuse (93430)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil