En tant que lecteur , vous avez sûrement déjà ouvert un logiciel en tant qu'administrateur sous Windows – peut-être aussi récemment qu'aujourd'hui – de sorte que la fonction ne vous est probablement pas étrangère. Cependant, nous étions curieux d'en savoir plus sur ce qui se passe sous le capot de Windows lorsque vous indiquez au système d'exploitation de lancer un programme en tant qu'administrateur et sur la raison pour laquelle ce processus est nécessaire.
Ceux d'entre vous qui sont passés de XP à Vista se souviendront probablement de l'introduction du "Contrôle de l'accès des utilisateurs" (UAC) ou du "Contrôle obligatoire de l'intégrité" (MIC). La fonctionnalité de sécurité, qui fait toujours partie du système d'exploitation de Microsoft, vous avertit lorsque le logiciel tente d'apporter des modifications à votre système et vous explique pourquoi les applications nécessitent parfois un accès "élevé".
Lorsque vous vous connectez à Windows, un jeton contenant des informations d'identification, notamment vos groupes d'utilisateurs et vos privilèges, tels que les autorisations de lecture, d'écriture et d'exécution, est attribué à votre compte.
Parmi les informations contenues dans ce jeton, il y a un niveau d'intégrité utilisé par le système d'exploitation pour déterminer la fiabilité d'objets tels que des fichiers, des clés de registre afin d'informer les utilisateurs lors du lancement des installations et d'isoler les processus des accès inutiles aux fichiers système. .
Note de l'éditeur: Cette fonctionnalité a été publiée le 8 octobre 2018. Elle est tout aussi pertinente et à jour aujourd'hui qu'elle ne l'était à l'époque. Nous l'avons donc intégrée dans notre initiative #ThrowbackThursday.
Le mécanisme de contrôle obligatoire de l’intégrité (MIC) de Windows comporte au moins six niveaux d’intégrité différents: installateur non approuvé, faible, moyen, élevé, système et approuvé.
Par défaut, un compte d'utilisateur standard a une intégrité moyenne, qui correspond au niveau maximal disponible pour un processus à créer lorsque vous ouvrez un fichier exécutable sans fournir un accès élevé via les informations d'identification de l'administrateur.
Lorsque vous cliquez avec le bouton droit sur un fichier ou un programme et que vous choisissez "Exécuter en tant qu'administrateur", ce processus (et uniquement ce processus) est lancé avec un jeton d'administrateur, offrant ainsi une autorisation d'intégrité élevée pour les fonctionnalités pouvant nécessiter un accès supplémentaire à vos fichiers Windows. etc.
Les différents niveaux d'intégrité Windows:
- Intégrité non fiable: attribué aux processus anonymes.
- Faible intégrité: couramment utilisé pour les logiciels Web tels que les navigateurs.
- Intégrité moyenne: appliquée aux utilisateurs standard et utilisée pour la plupart des objets.
- Intégrité élevée: accès de niveau administrateur, nécessite généralement une élévation.
- Intégrité du système: Réservé au noyau Windows et aux services principaux.
- Programme d'installation approuvé: utilisé pour les mises à jour Windows et les composants système.
Les processus commencés par l'ouverture d'un fichier exe d'un compte Windows avec une autorisation moyenne auront ce niveau d'intégrité sauf si le fichier exécutable est défini sur faible, et les développeurs sont encouragés à utiliser le niveau d'accès le plus faible possible, évitant idéalement les cas où le logiciel nécessitera une intégrité élevée pour contrecarrer les utilisateurs non autorisés. code (malware) de prendre racine.
La conception "des moindres privilèges" est appliquée aux comptes d’administrateur de Windows, qui reçoivent des jetons standard et de niveau administrateur lors de la connexion, en utilisant un accès à l’intégrité standard / moyenne lorsque cela est possible au lieu de élevé.
Bien que Microsoft recommande de ne pas exécuter les programmes en tant qu'administrateur et de leur accorder un accès sans haute intégrité sans motif valable, il est nécessaire d'écrire de nouvelles données dans Program Files pour qu'une application à installer nécessite toujours un accès administrateur avec UAC activé, tandis que des logiciels tels que les scripts AutoHotkey aura souvent besoin du statut élevé pour fonctionner correctement.
Voici tous les moyens que nous avons pu trouver pour ouvrir des fichiers exécutables avec un accès administrateur (intégrité élevée) sous Windows 10, y compris des méthodes permettant de configurer le logiciel pour qu'il s'ouvre toujours avec un accès élevé:
Façons d'exécuter un programme en tant qu'administrateur sous Windows
Commençons par le plus évident: vous pouvez lancer un programme en tant qu'administrateur en cliquant avec le bouton droit de la souris sur le fichier exécutable et en choisissant "Exécuter en tant qu'administrateur".
Comme raccourci, en maintenant Maj + Ctrl en double-cliquant sur le fichier, le programme sera également lancé en tant qu'administrateur.
Séparément, tenant seulement Shift pendant que vous faites un clic droit sur le fichier ajoutera "Exécuter en tant qu'utilisateur différent …" dans le menu contextuel, ce qui ouvrira un écran où vous pourrez saisir les informations d'identification d'un autre utilisateur, y compris le compte d'administrateur (le nom d'utilisateur est Administrator et ne sera peut-être pas associé à un mot de passe). pas appliqué un).
Ces emplacements ont également des raccourcis vers l'accès administrateur …
Le menu Démarrer: Cliquez avec le bouton droit de la souris sur un exécutable comme partout ailleurs pour pouvoir lancer un programme en tant qu'administrateur.
Barre de tâches: Cliquez sur un programme de votre barre des tâches pour ouvrir la liste de sauts, puis cliquez-droit sur le fichier exe de ce menu pour l'option admin.
Explorateur de fichiers: Sélectionnez le fichier dans l'explorateur de fichiers> cliquez sur Gérer dans le menu du ruban, cliquez sur "Exécuter en tant qu’administrateur".
Exécuter l'invite: Entrez cette ligne dans Exécuter (touche Windows + R): RunAs.exe / user: Administrateur "cmd.exe"
Invite de commande: À partir de la ligne de commande, entrez ceci avec l'emplacement de votre fichier: runas / utilisateur: administrateur "C: Utilisateurs Desktop fichier.exe"
Gestionnaire des tâches: Cliquez sur Fichier > Exécuter une nouvelle tâche > Cochez la case à côté de "Créer cette tâche avec des privilèges d'administrateur" > Entrez l’emplacement de votre fichier (exemple: C: Utilisateurs Desktop fichier.exe)
Planificateur de tâches: Lors de la création d'une nouvelle tâche (Action> Créer une tâche), activez ces paramètres dans l'onglet "Général": "Exécuter si l'utilisateur est connecté ou non" et "Run avec les privilèges les plus élevés"
Notez que la méthode d'invite de commande ne fonctionnait pas jusqu'à ce que nous ayons activé le compte Administrateur et modifié un autre paramètre autorisant la saisie de la commande sans mot de passe:
- Rechercher Démarrer ou courir pour compmgmt.msc > Allez dans Utilisateurs et groupes locaux> Utilisateurs> double-cliquez sur Administrateur et décochez "Le compte est désactivé"
- Rechercher Démarrer ou courir pour gpedit.msc > Accédez à Configuration de l'ordinateur> Paramètres Windows> Stratégies locales> Options de sécurité> Double-cliquez sur l'option. Comptes: limitez l'utilisation de mots de passe vierges aux comptes locaux pour vous connecter en ligne à la console. et choisissez Désactiver
De plus, dans la même section de l'éditeur de stratégie de groupe (gpedit.msc) que nous venons de mentionner, vous trouverez une gamme d'options permettant d'affiner les paramètres de contrôle de compte d'utilisateur de Windows (faites défiler l'écran jusqu'au bas).
Comment définir des programmes pour qu'ils commencent toujours en tant qu'administrateur
Étant donné la philosophie de Microsoft consistant à fournir des programmes avec le moins d'accès possible, il est généralement déconseillé de configurer une application pour qu'elle s'exécute toujours en tant qu'administrateur, mais elle est parfois pratique lorsque le logiciel nécessite toujours une élévation. Vous n'avez donc pas à sauter à chaque fois. Voici quelques moyens pour y parvenir:
Toujours exécuter en tant qu'administrateur à partir d'un raccourci: Cliquez avec le bouton droit sur un fichier de raccourci> onglet Raccourci> Avancé> Cochez la case "Exécuter en tant qu'administrateur".
Notez que vous pouvez créer un fichier de raccourci en faisant un clic droit sur le fichier exe principal, et que si vous copiez le raccourci dans C: Utilisateurs AppData Roaming Microsoft Windows Menu Démarrer Programmes Démarrage le programme démarrera automatiquement avec Windows lors de la connexion.
Toujours exécuter en tant qu'administrateur via les propriétés de compatibilité: Cliquez avec le bouton droit sur un fichier exe> Propriétés> onglet Compatibilité> cochez la case "Exécuter ce programme en tant qu'administrateur".
Toujours exécuter en tant qu'administrateur via l'éditeur de registre:
- Aller vers: HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion AppCompatFlags Layers
- Si "Couches" est manquant, faites un clic droit AppCompatFlags et ajoutez une nouvelle clé nommée Couches
- Cliquez avec le bouton droit sur Couches (le dossier ou dans le volet de droite) pour créer une nouvelle valeur de chaîne.
- Met le nom de la valeur comme le chemin complet de l'exe fichier
- Ensemble données de valeur comme ~ RUNASADMIN
Prime
#1 Les logiciels tiers, y compris MicEnum, généreront une liste de fichiers / dossiers Windows et leurs niveaux d'intégrité, y compris la possibilité de définir un nouveau niveau d'intégrité et de parcourir les vues de dossier et de registre.
Process Explorer (illustré dans l'intro de cet article) permet également d'afficher les niveaux d'intégrité si vous cliquez avec le bouton droit de la souris sur la barre horizontale avec CPU, Octets privés, etc. et ouvrez les propriétés (cochez la case en regard de Niveaux d'intégrité).
# 2 Sur une nouvelle installation Windows, le premier compte d'utilisateur créé est un compte d'administrateur local, tandis que les comptes suivants sont des utilisateurs standard. Par défaut, le compte administrateur intégré est désactivé. Vous pouvez activer le compte pour qu'il soit disponible lorsque vous vous connectez à Windows en entrant cette ligne dans l'invite de commande (utilisez "no" pour le désactiver à nouveau): administrateur utilisateur net / actif: oui
# 3 Microsoft propose différents utilitaires, tels que Elevation PowerToys et PsExec, qui peuvent également être utilisés pour obtenir un accès administrateur, mais au-delà de la portée de ce guide.