Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Prise en main de la Protection Administrateur sur Windows 11

tuto Windows 11 Administrator Protection
  • 26 juin 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

La sécurité des comptes administrateurs est un enjeu important dans les environnements informatiques. Windows 11 s’apprête à introduire une nouvelle fonctionnalité nommée Administrator Protection, ou en français, la Protection de l’administrateur, pour renforcer la posture de sécurité de ces comptes privilégiés. Découvrons cette nouveauté.

Les comptes administrateurs, qu’ils soient locaux ou de domaine, sont des cibles de choix pour les acteurs malveillants. Une compromission de ces comptes peut mener à une prise de contrôle totale d’un système, à des exfiltrations de données, voire même au déploiement d’un ransomware.

Sur Windows, les élévations de privilèges sont gérées par un mécanisme de sécurité : UAC (User Account Control). Ce dernier demande à l’utilisateur une confirmation avant l’exécution d’opérations nécessitant des privilèges élevés. Cependant, la réalité est différente : certaines attaques et techniques permettent de contourner cette protection, ce qui en revient à exposer les comptes administrateurs.

Avec la fonctionnalité Administrator Protection, Windows 11 va bénéficier d’une nouvelle approche pour la gestion des privilèges. Elle modifie la façon dont les élévations de privilèges sont gérées, en se basant sur le principe du “moindre privilège” et en isolant davantage les opérations administratives.

Depuis plusieurs mois, cette nouvelle fonctionnalité de sécurité est disponible pour Windows 11, par l’intermédiaire des versions en cours de développement (programme Windows Insiders). Elle devrait être intégrée à une version stable de Windows 11 à l’avenir. Vous devez utiliser Windows 11 Build 27718 (ou supérieur), disponible via le canal Canary à l’heure actuelle.

II. Protection de l’administrateur : ce que ça change

La fonctionnalité Administrator Protection correspond à une évolution du contrôle de compte utilisateur (UAC) sur Windows 11. Il s’agit d’une exclusivité pour Windows 11, non disponible avec Windows 10, ni même Windows Server 2025. L’idée générale étant d’appliquer le principe du moindre privilège au niveau des privilèges “Administrateur” de Windows.

Voici ses principales caractéristiques :

Un compte administrateur “spécial” : un compte administrateur local, caché et géré par le système, est utilisé pour générer un jeton d’élévation isolé. Ce jeton est totalement séparé du profil utilisateur actif, empêchant les malwares de l’exploiter. Ce compte a un identifiant de sécurité unique (SID) et il est géré par le système : System Managed Administrator Account (SMAA). Ce ne sera pas pour autant ce nom de compte qui sera utilisé sur votre machine.

Jeton administrateur à usage unique (Just-in-Time) : un jeton temporaire est créé uniquement lors d’une action nécessitant les droits admin, puis supprimé une fois la tâche terminée. Il est régénéré à chaque nouvelle demande d’élévation.

Fin de l’élévation automatique de l’UAC : les élévations automatiques, souvent utilisées par certains processus système, sont supprimées. Désormais, chaque action d’administration exige une validation explicite de l’utilisateur. Ceci tend à limiter les risques d’actions effectuées par des malwares.

Intégration avec Windows Hello : l’utilisation conjointe avec Windows Hello (reconnaissance faciale, empreinte digitale, ou code PIN) est recommandée pour une utilisation fluide de cette couche de sécurité.

Source : Microsoft

Avec Administrator Protection, les applications lancées avec élévation utilisent un compte administrateur isolé (SMAA), doté de son propre profil. Contrairement au modèle UAC traditionnel où les processus élevés et non élevés partageaient fichiers et registre, ce n’est plus le cas. Cette séparation bloque certaines attaques, comme, par exemple, via le détournement du registre.

Ce n’est pas anodin, car cette modification implique que chaque contexte de sécurité dispose de sa propre ruche dans le Registre Windows (HKEY_CURRENT_USER distinct). Conséquence directe : les paramètres utilisateur (couleur, police, etc.) ne sont pas partagés.

Remarque : les développeurs doivent tester leurs apps pour assurer la compatibilité avec ce nouveau mécanisme de sécurité. Il n’est pas à exclure qu’il y ait des effets de bord avec certaines applications.

III. Configuration de la Protection de l’administrateur sur Windows 11

La protection de l’administrateur peut être activée manuellement sur un ordinateur, via les paramètres de sécurité, mais aussi via une stratégie de groupe Active Directory ou une politique Microsoft Intune.

Note : pour rappel, la Protection de l’administrateur est disponible dans la version Insider Preview Build 27718 (Canary Channel) de Windows 11, ou une version supérieure.

A. Via les paramètres de Windows 11

Commençons par évoquer la configuration via les paramètres de Windows 11. Suivez ces étapes :

1. Ouvrez les Paramètres de Windows 11.

2. Accédez à la section Confidentialité et sécurité.

3. Cliquez sur Sécurité Windows, puis sur Protection du compte.

4. Localisez l’option Protection de l’administrateur(-trice) et cliquez sur le lien Paramètres de protection de l’administrateur

5. Activez la fonctionnalité en cliquant simplement sur le bouton prévu à cet effet. Attention, un redémarrage de Windows est nécessaire pour que les modifications prennent effet.

6. Redémarrez votre PC.

B. Via les stratégies de groupe (GPO)

Pour les déploiements à grande échelle au sein d’une organisation, la configuration par stratégie de groupe Active Directory est la méthode à privilégiée. Dans ce but, Microsoft a intégré 2 paramètres de GPO pour permettre de configurer la protection de l’administrateur. Vous pouvez aussi retrouver ces paramètres dans la stratégie de groupe locale.

1. Ouvrez l’Éditeur de stratégie de groupe de votre domaine Active Directory et créez une nouvelle GPO.

2. Modifiez la stratégie et parcourez les paramètres de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

3. Ici, vous devez configurer un paramètre de stratégie intitulé : “Contrôle de compte d’utilisateur : Configurer le type de mode d’approbation Administration”, et choisissez la valeur nommée “Mode d’approbation Administrateur avec une protection des privilèges améliorée”. Ce n’est pas très explicite avec la version française, mais cela correspond à Administrator Protection.

4. Au même endroit, vous devez configurer un second paramètre pour affirmer que l’utilisateur sera obligé de saisir des identifiants pour approuver les demandes d’élévation de privilèges. Ainsi, configurez ce paramètre : “Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs qui s’exécutent avec une protection de privilèges améliorée.” – Vous devez choisir l’option “Demande d’informations d’identification sur le bureau sécurisé” pour renforcer la sécurité.

Voilà, la stratégie de groupe est prête ! Vous n’avez plus qu’à la lier sur les unités d’organisation pour cibler vos machines.

IV. La protection de l’administrateur en pratique

Sur Windows, si vous effectuez une action nécessitant des privilèges administrateur (ou que vous ouvrez un programme en tant qu’administrateur), vous n’avez qu’à cliquer sur “Oui” pour valider (dans le cas où vous êtes administrateur de la machine).

Lorsque la protection de l’administrateur est activée, vous devez systématiquement vous connecter même si votre compte est administrateur de la machine. Cette authentification peut être effectuée soit avec un compte du domaine (avec les privilèges d’administration des postes), soit avec un compte local / compte Microsoft. Il est également possible de s’appuyer sur Windows Hello.

Ici, la validation est effectuée avec le compte Florian, un administrateur de la machine.

Il est intéressant de noter que l’élévation de privilèges n’est pas effectuée avec mon compte utilisateur, mais avec un compte spécial nommé : ADMIN_Florian. La commande whoami permet de mettre en évidence cette particularité. Ainsi, il y a une séparation entre ce compte et le compte principal.

Une analyse des processus avec Process Explorer montre bien que le processus Windows Terminal a été lancé par le compte ADMIN_Florian.

L’isolation des paramètres est également constatable. L’ouverture d’un Bloc-notes en tant qu’administrateur montre qu’il n’y pas d’héritage avec le thème sélectionné par l’utilisateur connecté sur Windows. De plus, le pop-up de premier lancement du Bloc-notes s’affiche. Sur une machine Windows 11 sans cette protection, il y a une mutualisation des paramètres, qu’une application soit lancée en tant qu’administrateur ou non.

V. Conclusion

La Protection de l’administrateur dans Windows 11 vise à remédier à certaines vulnérabilités inhérentes au modèle traditionnel de l’UAC de Windows. C’est une avancée pour la sécurité des postes de travail, car elle offre une protection accrue contre certaines attaques, même pour les utilisateurs qui travaillent avec des comptes administrateurs.

Pour les développeurs, il y a aussi un réel enjeu : concevoir des applications qui minimisent le besoin d’élévation de privilèges (et éviter les dépendances aux élévations automatiques bannies par ce nouveau mécanisme de sécurité).

Il ne reste plus qu’à attendre que cette fonctionnalité soit intégrée à une version stable de Windows 11. Pour approfondir le sujet, vous pouvez consulter cet article :

Qu’en pensez-vous ?

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *