Contrôle du compte d’utilisateur – Wikipedia

Cet article a été entré sur la page d’assurance qualité de l’équipe éditoriale de l’informatique en raison de défauts de contenu. Cela arrive à la qualité des articles du Sujet de l’informatique pour porter à un niveau acceptable. Aider à éliminer les défauts de cet article et participer au Discussion! ( + ) Raison: Très large à partir d’un style encyclopédique, également partiellement du plagiat texte .– Therandomip (discussion) 00:17, 14 décembre 2015 (CET)

Mot de passe d’enregistrement pour augmenter le droit

Le Contrôle de compte d’utilisateur ( Anglais Contrôle de compte d’utilisateur , Short UAC) est un mécanisme de sécurité de Microsoft Windows, qui a été introduit avec Windows Vista. Le contrôle du compte d’utilisateur a été introduit car de nombreux utilisateurs de Windows travaillent avec les privilèges de l’administrateur, qui ont été transférés directement aux applications démarrées jusqu’à Windows XP. Ce comportement était un excellent risque de sécurité car les logiciels malveillants ont également reçu des droits administratifs. Avec le contrôle actif du compte d’utilisateur, les applications ne reçoivent initialement que les droits d’un utilisateur normal, même si l’utilisateur a le privilège administrateur.

Si nécessaire, les demandes peuvent demander des droits administratifs de l’administrateur. L’administrateur doit accorder expressément l’augmentation de la droite. Le mécanisme est dû à celui connu parmi les systèmes UNIX Sudo Commande comparable. ^[d’abord]

Le comportement du contrôle du compte d’utilisateur est personnalisable. Par exemple, il peut être défini qu’au lieu d’un simple dialogue de confirmation, le mot de passe d’enregistrement doit être saisi pour augmenter le droit. ^[2]

Techniquement, le contrôle du compte utilisateur constitue la base du sable de programmes et de répertoires sous Windows. Il permet l’attribution de privilèges aux processus et l’isolation des processus et des fenêtres qui sont effectuées sur le même système avec des droits différents.

Dans le cadre des versions actuelles de Windows, un compte utilisateur avec les droits de l’administrateur est créé lors de l’installation. Bien que les droits des utilisateurs normaux soient suffisants pour une utilisation quotidienne, de nombreux utilisateurs ne créent pas de compte utilisateur supplémentaire avec des droits limités et exploitent plutôt leur PC avec le compte d’utilisateur, qui a des droits d’administrateur complets.

Étant donné que les processus «héritent» des droits de l’utilisateur, cela signifiait avant l’introduction du contrôle du compte d’utilisateur que chaque logiciel, y compris les logiciels malveillants, a été démarré avec des droits administratifs complets et avait donc un accès illimité au système.

Avec Windows Vista, qui a utilisé pour la première fois le cycle de vie de Microsoft Security Development, un mécanisme de sécurité a été introduit avec le contrôle du compte utilisateur sur le principe de le moins d’accès des utilisateurs ou Compte d’utilisateur moins privilégié (LUA) implémenter. Les membres du groupe des administrateurs reçoivent deux jetons lors de l’enregistrement: un en tant qu’administrateur et un en tant qu’utilisateur standard. Ces utilisateurs sont appelés «administrateurs protégés» (administrateurs protégés, PA). Ils fonctionnent généralement avec les droits des utilisateurs normaux, mais ils peuvent les augmenter si la tâche nécessite. Afin d’éviter la manipulation de l’augmentation du rectangle par les logiciels malveillants, cela a lieu sur le bureau sûr par défaut. ^{[3] [4]}

La commande de Runa a également été implémentée dans le contrôle du compte utilisateur. La commande permet d’effectuer des tâches d’administration avec un compte utilisateur normal. Pour ce faire, le compte et le mot de passe d’un administrateur doivent être entrés dans un dialogue. Cette requête UAC est appelée “invite d’entrée pour une augmentation des droits pour les utilisateurs standard” (ORS-épaule, OTS), tandis que l’augmentation du rectangle des administrateurs protégés est appelée “mode de confirmation de l’administrateur” (Admin Approval Fashion, AAM).

En plus d’une liste de contrôle d’accès (ACL) et des privilèges, qui étaient déjà disponibles en vertu de XP pour des droits plus fins (ou interdiction), le “niveau d’intégrité” a été ajouté à partir de Windows NT 6.0 (Vista). En allemand, cela a été traduit quelque peu malheureusement avec le «niveau de responsabilité», mais les «niveaux d’intégrité» sont également un terme commun. Le niveau de responsabilité est un mécanisme de sécurité la priorité devant la liste de contrôle d’accès, c’est-à-dire empêcher l’accès même s’il permettait à la liste de contrôle d’accès. Pour ce faire, chaque processus de son jeton d’accès donne un niveau d’intégrité (IL), qui est destiné à exprimer sa fiabilité. Avec les privilèges administratifs, le niveau de responsabilité élevée constitue les deux parties du “porte-clés administratif”, en plus de la liste de contrôle d’accès.

Niveaux d’intégrité [ Modifier | Modifier le texte source ]]

Chaque objet du système est situé sur l’une des cinq étapes, marquée par une étiquette dans son descripteur de sécurité. L’idée de base des niveaux d’intégrité (IL) est que les processus qui s’exécutent à un niveau inférieur ne peuvent pas décrire des objets avec un niveau supérieur (pas de rédaction). Un processus avec un niveau de responsabilité faible ne peut pas nuire aux données des utilisateurs debout sur “Medium” et certainement pas les composants du système encore plus élevés. Les accès du bas en haut sont limités, tandis que tout est autorisé au même niveau ou de haut en bas – dans le cadre de la liste de contrôle d’accès. Les cinq niveaux d’intégrité sont: ^[5]

Niveau de liaison système

Le niveau le plus élevé n’est que des processus système tels que svchost.exe, csrs.exe, winlogon.exe etc. et le système utilisateur ainsi que le système local, le service local et le service réseau.

Niveau de responsabilité élevée

Est le niveau des administrateurs de groupes d’utilisateurs, des opérateurs de sécurité, des opérateurs de configuration du réseau et des opérateurs de cryptographie. Ceci est nécessaire pour que leurs processus par l’isolement du privilège d’interface utilisateur (UIPI) ne puissent pas être influencés par les processus utilisateur standard.

Niveau de responsabilité moyenne

Est le niveau des utilisateurs standard (utilisateurs authentifiés). La plupart des dossiers et répertoires sur le disque dur ont ce niveau d’intégrité, ainsi que les processus de ces utilisateurs.

Niveau de responsabilité faible

Correspond au “mode protégé” d’Internet Explorer, qui a été le premier programme qui a utilisé ce sable. Sur le disque dur, il y a % UserProfile% AppDatalOcallow Une liste de faible niveau de responsabilité dans laquelle ces processus peuvent écrire. Dans le registre est inclus Hkcusoftwareappdatalow Un chemin de répertoire équivalent avec il “Low”. Le groupe d’utilisateurs “chacun” a également ce niveau de liaison.

Niveau de responsabilité non digne de confiance

Correspond à un sable dans le sable. Ce niveau d’intégrité est utilisé pour les inscriptions anonymes. Puisqu’il n’y a pas de chemin de répertoire avec cet IL par défaut, ces processus ne peuvent exister que dans la mémoire. Les onglets de Google Chrome Run Z. B. avec le descripteur de sécurité “Niveau de responsabilité non tendu” “. ^[6]

Les principaux objectifs du contrôle obligatoire de l’intégrité (MIC) sont la séparation des processus utilisateur standard des processus avec un droit accru, c’est pourquoi le modèle d’objet composant observe également les niveaux d’intégrité. En outre, les niveaux de responsabilité garantissent la protection de l’écriture dans le répertoire racine de l’ordinateur, tandis que, en revanche, les applications telles que Internet Explorer n’ont que des options de changement limitées pour les données et le profil des utilisateurs. Bien que généralement uniquement «aucune écriture» ne s’applique aux objets, la gestion des processus dans le noyau NT-6 «pas de lecture» et «pas de rédaction» définit les processus en cours d’exécution pour empêcher la manipulation des processus supérieurs. Il est uniquement possible de synchroniser, process_query_limited_information et process_terminate. ^[5]

Habituellement, chaque application obtient le droit du processus à partir duquel il a commencé. Cependant, cela signifierait que si un utilisateur démarre l’explorateur Internet, cela fonctionnerait également avec un niveau de responsabilité moyenne. Afin d’empêcher cela, il y a le token_mandator_policy_new_process_min Si cette entrée est définie, elle provoque des processus qui ne sont pas lancés au niveau d’intégrité plus élevé que le fichier EXE a été attribué. Étant donné que l’IEXplorer.exe n’est affecté qu’à l’IL “Low”, ce fichier n’est démarré que dans les utilisateurs normaux à ce niveau. ^[7] Lorsque l’administrateur UAC s’éteint, tous ses processus fonctionnent avec un niveau de responsabilité élevé, car le jeton administratif est affecté à chaque processus. Tous les documents et fichiers générés par cet administrateur ont ensuite le niveau d’intégrité “élevé”. Si le contrôle du compte d’utilisateur est maintenant en cours de réactivation, chaque processus / dossier qu’il a cliqué ne peut voir que le jeton utilisateur standard (IL “Medium”), c’est pourquoi il ne peut plus ouvrir ces fichiers sans droits d’administration. ^[8]

Le niveau de responsabilité d’un dossier s’applique à cela lui-même (héritage d’objet, OI) ou à l’ensemble du répertoire (héritage du conteneur, CI). ^[8] Si un fichier z. Suis % UserProfile% AppDatalOcallow Ou poussé un sous-répertoire de même, il reçoit le niveau de responsabilité faible, peu importe celui qu’il avait auparavant (gradation fournie). ^[9]

Privilèges [ Modifier | Modifier le texte source ]]

Les privilèges administratifs sont la deuxième partie du “porte-clés”. En vertu de la NT 6.0, les problèmes qui se sont posés lorsqu’ils travaillent avec un compte utilisateur standard ont été désamorcés en ajoutant de nouveaux privilèges et certaines tâches ne sont plus administratives. Sous XP n’a pas été distingué entre le fuseau horaire et le temps du système, bien que seuls ce dernier soit pertinent pour la sécurité. Depuis Vista, il existe donc une distinction entre le privilège de modifier le temps du système (Sesystem Time -Privilege) et le privilège de modifier le fuseau horaire (Settime ZonePrivilege). Les connexions Internet sans fil et les options énergétiques de l’ordinateur peuvent également être configurées sans droits d’administration. L’installation de mises à jour Windows critiques est désormais également possible en tant qu’utilisateur standard. Dans les réseaux d’entreprise, les pilotes et les éléments ActiveX peuvent également être installés sur certaines pages si cela a été publié par les administrateurs dans les directives de groupe. ^[dix] Les privilèges des groupes individuels peuvent être Démarrer> secpol.msc> Guidelines locales> Affecter les droits de l’utilisateur être affiché ou modifié. La liste suivante ne contient pas tous les privilèges et groupes de systèmes NT-6.x. Il ne sert qu’à illustrer les différences entre les administrateurs et les utilisateurs. ^[11]

Mécanisme [ Modifier | Modifier le texte source ]]

Architecture UAC: le blanc a été repris par XP, le bleu a été modifié, les pièces jaunes sont un nouveau développement

Le contrôle du compte d’utilisateur se compose du service d’information d’application (AIS), de la question UAC elle-même avec le bureau Safe, l’isolement de privilège d’interface utilisateur (UIPI), la détection d’installation et la virtualisation des applications / données. Bien que le processus de connexion des administrateurs ne diffère pas à l’extérieur de celui sur XP, l’autorité de sécurité locale (LSASS.exe) le reconnaît lors de l’enregistrement d’un membre du groupe administrateur et de la création de deux jetons Access: un jeton utilisateur et un jeton d’administration. Le jeton utilisateur est désormais utilisé pour démarrer le shell Windows. Explorer.exe est à nouveau le processus père, dont tous les autres processus dans la coquille obtiennent leurs jetons d’accès. Toutes les applications s’exécutent avec les droits de l’utilisateur comme si un utilisateur standard s’inscrivait. Si une demande est désormais effectuée de quels droits administratifs, le service d’information de demande (AIS) lance une requête UAC. En cas de refus, la demande ne sera pas démarrée et si l’approbation est approuvée, elle est effectuée avec le jeton d’administration. Si cette application accrue est terminée, le processus est également terminé avec une augmentation de droite. ^[douzième]

Une requête UAC est provoquée si un programme de son manifeste XML demande une augmentation des droits ou si la détection d’installation frappe. Cela utilise une heuristique qui reconnaît les routines d’installation, car les répertoires typiques ( %Fichiers de programme% , % systemroot% system32config ) ne peut être décrit que par les administrateurs. Updateroutinen et les routines désinstallées sont reconnues de la même manière. L’heuristique ne fonctionne que pour les programmes 32 bits s’ils ne demandent pas une augmentation manuelle du droit par DevideDExecutionLevel, et si LUA (utilisateur standard / administrateur protégé) est actif. Heuristik recherche des mots clés tels que “installer”, “configuration”, “mise à jour”, des mots clés tels que les fournisseurs, le nom de l’entreprise, le nom du produit, la description du fichier et les noms. De plus, les recherches sont recherchées des mots clés dans le manifeste côte à côte et dans le fichier chaînable, ainsi que certaines séquences bytese et certaines propriétés dans les données RC. ^[douzième] Si une application appelle les droits à l’administration, le processus suivant a lieu: la commande shellexcute (exemple app.exe) est sur AIS ( % Systemroot% system32appinfo.dll ) Publié. Ais, qui fonctionne dans svchost.exe, commence consentement.exe ( % Systemroot% system32sesent.exe ). Consent.exe fait une capture d’écran et utilise un effet absurde sur le bitmap. Ensuite, il est passé à un bureau virtuel qui n’appartient qu’au système local utilisateur (système), le bitmap s’insère en arrière-plan d’écran et la boîte de requête du contrôle du compte utilisateur est affichée. Ce processus est appelé un bureau sûr et empêche l’influence des logiciels malveillants sur la décision. ^{[13] [Note 2]}

Expiration de la bonne augmentation avec le service d’information sur l’application (AIS)

Si les quantités de Microsoft ont été signées numériquement et que l’image se trouve dans le répertoire du système Windows, l’en-tête de la boîte est bleu . Degré signifie que le programme a été signé numériquement, mais ne vient pas de Microsoft. Jaune signifie des applications / programmes non signés et pourrir apparaît dans les applications bloquées. L’icône, la description, le nom de fichier et l’éditeur apparaissent rapidement lors de la signature. Ceci est destiné à un obstacle pour les logiciels malveillants afin de rendre la prétention d’un logiciel sérieux plus difficile. La ligne de commande peut être affichée sous “Détails”, qui est transmis pour augmenter la droite. Le certificat peut également être consulté ici pour les requêtes UAC bleues. Si l’utilisateur appuie sur “NON” / “Annuler”, Windows envoie un accès au processus au processus qui a fait la demande. Si l’utilisateur est d’accord en appuyant sur “Oui” ou en entrant un mot de passe administratif, AIS CreateProcessSasuser (exemple app.exe) appelle pour démarrer le processus avec l’identité de l’administrateur. Parce que le processus a été démarré techniquement par AIS, une fonctionnalité est utilisée dans l’API Creatrocessasuser, qui lui permet de mettre l’ID de processus du père sur celle de la personne qui a initialement commencé le programme (et donc la demande). Par conséquent, les processus qui s’exécutent avec des droits accrus n’apparaissent pas comme des processus enfants à partir de l’hébergement des services AIS. ^[13]

En pratique, Schadware pourrait reproduire la requête UAC, qui n’a pas d’importance dans le mode d’approbation de l’administrateur (AAM), car un clic sur “Oui” n’aurait pas une augmentation de la droite. Les entrées de mot de passe sont plus problématiques, car cela peut être exploité par Trojans (KeyLogger). Microsoft a donc recommandé de demander une séquence d’attention sécurisée à l’épaule (OTS), ou de bloquer généralement ce type d’augmentation des droits. ^[13] Si un programme essaie d’écrire dans des chemins administratifs sans demander une augmentation de la droite, les répertoires et le registre sont virtualisés. Une copie de la même est décrite par le programme, par lequel cela dans le profil utilisateur sous % UserProfile% AppDatalocalVirtualStore ainsi que Hkcusoftwareclassesviirtualstore est stocké pour que chaque utilisateur reçoive sa propre copie. ^[14] Ceci est destiné à permettre à des applications plus anciennes d’être effectuées sans être perturbées. Ce n’est pas possible avec les applications 64 bits, comme c’est aussi si une question UAC a été répondu négativement. ^[douzième]

Certaines applications s’exécutent avec des droits accrus dans le même bureau que les applications faibles que les applications à faible niveau. Si un utilisateur est effectué par un utilisateur avec un droit accru (via OTS ou AAM), ce processus s’exécute dans un autre compte. Les processus plus profonds ne peuvent pas écrire de code dans le processus supérieur. Cependant, les applications inférieures pourraient envoyer les fausses entrées plus élevées pour les compromettre. Le sable à travers les niveaux d’intégrité est destiné à empêcher cela en restreignant des processus plus profonds dans leurs droits par rapport à des processus plus élevés. C’est ce qu’on appelle l’isolement de privilège d’interface utilisateur (UIPI). Les processus ne peuvent ouvrir les processus qu’avec le même niveau de responsabilité pour l’écriture. Afin d’éviter l’accès aux secrets de la RAM, les processus avec IL inférieur n’ont pas d’accès à la lecture aux processus avec un niveau de responsabilité plus élevé. ^[15] Cela signifie qu’il n’y a pas de processus plus profonds Validation de la poignée de fenêtre Exécuter à un processus plus élevé. Les commandes Envoyer le message ou Postmessage Les rapports de réussite sont renvoyés de l’API pour des processus plus élevés, tandis que les commandes sont rejetées en silence. Les crochets de filetage et les crochets de journal contre les processus avec un niveau de responsabilité plus élevé, ainsi que l’injection de DLL, ne sont pas possibles. ^[14]

Requête UAC [ Modifier | Modifier le texte source ]]

La requête UAC peut être terminée Démarrer> Contrôle de contrôle> Comptes d’utilisateurs et protection des jeunes> Comptes d’utilisateurs> Modifier les paramètres du contrôle du compte d’utilisateur Ajustez les préférences personnelles. Cependant, les options de sélection sont limitées à un curseur, où le niveau inférieur (Win7: UAC est éteint; de Win8: UAC a augmenté sans demande), deux étapes intermédiaires (UAC, avec la liste blanche pour les programmes Windows) et le plus haut niveau (UAC, sans liste blanche pour les programmes Windows). Les deux étapes supérieures activent le bureau sûr; Le deuxième niveau le plus élevé est choisi par défaut. ^[16]

Demande d’entrée de consentement

L’accès complet aux options de réglage du contrôle du compte utilisateur n’est disponible que dans les directives de sécurité locales (Secpol.MSC) Démarrer> secpol.msc> Lignes directrices locales> Options de sécurité . Les acheteurs d’une variante Windows bon marché telle que Home Basic et Home Premium n’ont pas d’interface utilisateur graphique telle que GPEDIT.MSC et SECPOL.MSC et doivent donc être réglées dans la base de données d’enregistrement (Regpedit.exe) HklmsoftwaremicrosoftwindowscurrentSionPolicessystem faire. Les options de réglage sont donc également données ci-dessous avec les valeurs d’enregistrement entre parenthèses. Les paramètres par défaut dans Windows NT 6.1 et supérieurs sont imprimés en gras. ^[17]

Il est intéressant que le mode d’approbation administratif ait également la possibilité de saisir le mot de passe d’enregistrement pour la bonne augmentation, comme avec Sudo L’affaire est. Vous pouvez choisir entre la normale (ConsentPromptBehaviorAdmin = 3) et le bureau sûr (ConsentpromptBehaviorAdmin = 1). L’option est également intéressante ValidateadmincoceSignatures , dans lequel seuls les programmes peuvent obtenir des droits d’administration qui sont signés et vérifiés numériquement. Ce n’est plus nécessaire pour Windows 8 et plus tard, car la fonction du filtre SmartScreen s’ouvre, qui démarre uniquement les programmes qui répondent à ces exigences et / ou à la réputation. Toutes les aides d’entrée (Uiaccess) doivent avoir une signature PKI de Vista, sinon elles ne seront pas acceptées. Les “listes de sécurité” (aperçuesuiapaths) ne peuvent être décrites que par les administrateurs. L’augmentation rectangulaire pour les utilisateurs standard n’avait à l’origine pas de bureau sûr (n’est pas répertorié dans la littérature plus ancienne), le saut de nombre de 1 à 3 peut illustrer cela.

Pour les paranoïques, il est toujours possible de demander à la séquence d’attention sécurisée (SAS) d’augmenter le droit. Pour faire cela, sous Démarrer> gpedit.msc> Modèles d’administration> Composants Windows> Interface utilisateur pour les informations de connexion L’option «chemin de confiance pour l’entrée d’enregistrement requise» sont activées. L’augmentation de la droite entrave le flux de travail, mais vise à empêcher la saisie des mots de passe. Si une demande est démarrée, les droits d’administration sont demandés, une boîte de dialogue “Windows Security” apparaît en premier, dans laquelle vous pouvez continuer ou annuler le processus. S’il est poursuivi, la demande doit être effectuée par la séquence d’attention sécurisée (SAS). Ce n’est qu’alors que la requête UAC disponible pour augmenter la droite. ^[18]

Faiblesses [ Modifier | Modifier le texte source ]]

Au cours du test bêta de Windows 7, Leo Davidson a découvert qu’environ 70 programmes Windows sans demande sont effectués avec des droits d’administrateur complets et ont démontré l’éventuelle expansion du droit. ^[19]

Stefan Kanthak a publié une preuve de concept pour étendre les droits au moyen de la détection de l’installation. ^[20]

Stefan Kanthak a montré une autre preuve de concept qui permet l’exécution de tout codes ainsi que l’expansion des droits au moyen de l’augmentation rectangulaire automatique découverte par Leo Davidson et le détournement de DLL. ^[21]

“Vozzie” a montré une autre preuve de concept, qui permet à l’expansion du droit d’augmenter un manifeste auto-made au moyen de l’augmentation automatique de la droite découverte par Leo Davidson. ^[22]

Développement [ Modifier | Modifier le texte source ]]

Dans le passé, le problème avec Windows Systems a toujours été qu’ils permettaient une séparation de l’utilisateur et de l’administrateur-konten pour les entreprises et le verrouillage des enfants, mais la plupart des ordinateurs (75%) sont des ordinateurs à place unique. Étant donné que chaque machine a besoin d’un administrateur et que la plupart des utilisateurs souhaitent également un contrôle total sur le système pour apporter des modifications, il n’y avait pratiquement que des administrateurs en tant qu’utilisateur. Cela a également eu un impact sur le logiciel, qui pourrait toujours supposer que l’utilisateur a des droits d’administration et peut apporter des modifications à travers le système. Le logiciel qui a été écrit pour cet environnement ne fonctionne pas si l’utilisateur n’est qu’un utilisateur standard, qui n’était pertinent que pour les entreprises et la protection de l’enfance à l’époque. Le logiciel qui obtient les droits de l’administrateur peut endommager le système, soit avec intention (malware), soit involontairement (logiciel mal programmé). ^[24] Les entreprises ont séparé le problème en partie en ajoutant ces utilisateurs au groupe PowerSer, qui ne sont plus disponibles sous Vista. ^[25]

Le contrôle du compte d’utilisateur doit atteindre deux objectifs: éliminer l’incompatibilité du logiciel et rendre les modifications du système claires pour l’utilisateur. Pour cette raison, l’administrateur protégé (Admin protégé, PA) a été introduit, qui est le premier compte sur le système par défaut. En créant deux jetons d’accès-un en tant qu’utilisateur standard, un en tant qu’administrateur – le problème des modifications inaperçus a été résolu. ^[24] Le chemin de l’administrateur à l’utilisateur était un logiciel pierreux avec un logiciel de troisième partie, car la plupart des applications n’ont pas été conçues pour les utilisateurs standard lors de l’apparition de Vista (Wes Miller dans le Microsoft Technet, mai 2008: “Mon défi pour vous: ressentez la douleur”). ^[25] Grâce aux données de télémétrie des clients, Microsoft a pu suivre le développement de logiciels de troisième partie face au contrôle du compte utilisateur.

Le nombre de demandes exécutées avec les droits d’administration pourrait être considérablement réduit. Cela a été reçu positivement par Microsoft car la vulnérabilité du système d’exploitation a été réduite. Le 1er août (2007) après la sortie de Vista, les clients de la télémétrie avaient une requête UAC dans 50% de leurs sessions (période de l’exploitation forestière à l’exploitation forestière à l’exploitation forestière, max. 24 heures). Au cours de cette période, 775 312 ont demandé divers droits d’administration de programmes, selon lesquels les installations ont été ajoutées. Ici, il a été démontré que la plupart des logiciels avaient encore besoin de droits d’administration. Trois mois plus tard, le nombre est tombé à 350 000 par mois. Un an plus tard, en août 2008, il n’y avait que 168 149 invites UAC par mois. Le fait que la nouvelle installation et la configuration de l’ordinateur nécessitent plus de requêtes UAC. Les données du programme d’amélioration de l’expérience client ont également montré que de mai 2007 à juillet 2008, le nombre de séances avec une ou plusieurs requêtes UAC est passée de 50% à environ 33% (Vista SP1). ^[24]

Du point de vue de Microsoft, le problème suivant est apparu: puisque Windows peut intervenir dans le système d’exploitation, Windows a maintenant généré environ 40% de toutes les invites UAC. Étant donné que les programmeurs d’application ont fait leur travail, le rapport des requêtes UAC a changé. Les composants Windows ont produit 17 des 50 premières requêtes UAC dans Vista et 29 des 50 premiers de Vista SP1. Avec Vista SP1, des améliorations mineures ont été introduites pour réduire davantage les requêtes UAC. Le nouveau système d’exploitation Windows 7 a été considéré comme une opportunité d’effectuer des changements plus profonds afin de réduire davantage le nombre de requêtes UAC du système. C’était z. B. a également constaté que les utilisateurs avaient éteint l’UAC agacé, ou simplement en agitant les requêtes. Il a également été constaté dans un environnement de test que seulement 13% des participants pouvaient dire pourquoi le dialogue UAC est apparu. Pour les utilisateurs de télémétrie, il a également été observé que 89% des invites dans Vista et 91% des requêtes de Vista SP1 ont été répondues positivement. On craignait que les utilisateurs cliquent sur la boîte de dialogue UAC par habitude et ne décident pas consciemment de requêtes critiques. Un dialogue UAC plus informatif et une réduction des requêtes UAC de Windows ont été recherchés afin que les utilisateurs puissent mieux prêter attention aux invites Critical UAC. ^[24]

Avec Windows 7, la liste blanche UAC a donc été introduite. Les programmes qui figurent sur cette vaste liste reçoivent automatiquement les droits d’administration sans question UAC. Pour le dire simplement, ce sont presque tous les fichiers EXE sous % Homedrive% windowsSystem32 poser. MMC.EXE et surtout Rundll32.exe sont remarquables, sinon Virus.dll pourrait être démarré avec les droits de l’administration. Le programme % Homedrive% windowsehomemcx2prov.exe est également sur la liste blanche. Voici tous des programmes qui étaient sur la liste blanche à la sortie de Windows 7. ^[26] À l’exception des modifications mineures, le contrôle du compte utilisateur modifié de cette manière a été adopté dans toutes les versions Windows ultérieures. La liste blanche peut être désactivée si le contrôleur UAC est placé au plus haut niveau.

% Systemroot% ehomemcx2prov.exe
% SystemRoot% System32AdapterTroubleshooter.exe
% systemroot% system32bitlockerwizardelev.exe
% SystemRoot% System32BTHUDTASK.exe
% systemroot% system32chkntfs.exe
% systemroot% system32cleanmgr.exe
% systemroot% system32cliconfg.exe
% systemroot% system32compmgmtlauncher.exe
% systemroot% system32computerdefaults.exe
% systemroot% system32dccw.exe
% systemroot% system32dcomcnfg.exe
% systemroot% system32deviceeject.exe
% systemroot% system32deviceproperties.exe
% systemroot% system32dfrgui.exe
% systemroot% system32djoin.exe
% systemroot% system32eudcedit.exe
% systemroot% system32eventvwr.exe
% systemroot% system32fxsunatd.exe
% systemroot% system32hdwwiz.exe
% systemroot% system32ieunatt.exe
% SystemRoot% System32iscsicli.exe
% SystemRoot% System32issicpl.exe
% systemroot% system32lpksetup.exe
% systemroot% system32mdsched.exe
% systemroot% system32msconfig.exe
% systemroot% system32msdt.exe
% systemroot% system32msra.exe
% systemroot% system32Multidigimon.exe
% SystemRoot% System32NetPlwiz.exe
% systemroot% system32newdev.exe
% systemroot% system32ntprint.exe
% systemroot% system32ocsetup.exe
% systemroot% system32odbcad32.exe
% systemroot% system32 optionalfeatures.exe
% systemroot% system32perfmon.exe
% systemroot% system32printii.exe
% systemroot% system32rdpshell.exe
% systéroot% system32recdisc.exe
% systemroot% system32rrinstaller.exe
% systemroot% system32rstrui.exe
% systemroot% system32sdbinst.exe
% systemroot% system32sdclt.exe
% systemroot% system32shrpubw.exe
% systemroot% system32slui.exe
% systemroot% system32sndvol.exe
% systemroot% system32spinstall.exe
% systemroot% system32SystemPropertiesAdvanced.exe
% SystemRoot% System32SystemPropertiesComputerName.exe
% SystemRoot% System32SystemPropertiesDataExecutionPrevention.exe
% SystemRoot% System32SystemPropertiesHardware.exe
% systemroot% system32SystemPropertiesperformance.exe
% SystemRoot% System32SystemPropertiesProtection.exe
% systemroot% system32SystemPropertiesRemote.exe
% systemroot% system32taskmgr.exe
% systemroot% system32tcmsetup.exe
% systemroot% system32tpminit.exe
% systemroot% system32verifier.exe
% systemroot% system32wisptis.exe
% systemroot% system32wusa.exe
% SystemRoot% System32DriversToreFileRepositoryBth.inf_x86_Neutral_65c949576945C2A9FSQUIRT.exe
% SystemRoot% System32oObesetupsqm.exe
% SystemRoot% System32SYSPREPSYSPREP.EXE 

Déclencher une question UAC [ Modifier | Modifier le texte source ]]

Comme mentionné ci-dessus, en 2008, seulement 13% des participants ont pu dire dans un environnement de test avec Vista pourquoi le dialogue UAC est apparu. Sous Vista, le commentaire Lapidare dans la boîte UAC était: “Votre consentement est nécessaire pour poursuivre le processus”. À partir de Windows 7, le libellé “Souhaitez-vous autoriser les modifications à cet ordinateur via le programme suivant?”, Le plus adapté aux utilisateurs inexpérimentés. La question techniquement correcte est:

“Voulez-vous que le programme suivant obtienne les droits de l’administrateur?”

Plus précisément, sur Windows NT 6.0 et trois raisons, c’est décisif pour la raison pour laquelle une question UAC nécessite une augmentation de la droite: contrôle d’accès, niveaux de responsabilité et privilèges. La liste de contrôle d’accès de chaque fichier peut être affichée si dans l’explorateur Windows avec un fichier avec Cliquez avec le bouton droit> Propriétés> Sécurité Les autorisations des utilisateurs et groupes individuels sont consultés. Le système utilisateur (système local) et le groupe d’administrateurs ont un accès complet partout, le Mustermann de l’utilisateur est autorisé dans le répertoire de trame du système C: Windows (% Système Root%) et les répertoires d’installation C:Programme ou. C: Programme (x86) (% Fichiers du programme%) Lisez et exécutez uniquement. Les niveaux et privilèges d’intégrité ne sont malheureusement nulle part affichés dans l’interface utilisateur graphique normale telle que le gestionnaire de tâches. L’explorateur de processus de Microsoft est pratiquement impératif, car le niveau de responsabilité est indiqué ici pendant les processus en cours et les privilèges du processus peuvent également être affichés sous les détails. Les processus suivants nécessitent les droits de l’administrateur et déclenchent une question UAC:

• Si les programmes sont installés, puisque% des fichiers de programme% ne peuvent être décrits qu’avec les droits d’administration. Il en va de même pour le retrait, car la suppression n’est qu’une sorte de lettre.
• Lorsque les pilotes (DE) sont installés là-bas C: WindowsSystem32Drivers en dessous de% de racine du système% et ne peut être décrit qu’avec les droits d’administration. Le privilège du privilège Seloaddriver est également requis.
• Lorsque des éléments ActiveX (DE) sont installés là-bas C: Fichiers du programme téléchargées de Windowsdown en dessous de% Root du système%.
• Si le registre doit être rédigé en parties administratives. Ces fichiers (System.Dat, Software.Dat, Sam.Dat, Security.Dat, BCD-Template.dat et bien plus sont ci-dessous C: WindowsSystem32Config Et donc sous% Root du système%. C’est z. B. En cas de modifications du contrôle du compte d’utilisateur et de Windows met à jour le cas, car ceux-ci sont enregistrés dans Software.dat, et donc sous% Root du système%.
• Si des changements dans le contrôle du contrôle sont effectués, car cela nécessite des privilèges pratiquement toujours administratifs, par ex. B. Sesystymétimeprivilege (modifier le temps du système), le privilège Seback-uprivilege et le sestresor (restauration du système, etc.) et bien plus encore. Habituellement, il est également écrit dans des parties administratives du registre.
• Si des modifications du pare-feu Windows sont effectuées, car elles sont stockées quelque part sous% Root Root%. De plus, des privilèges tels que le privilège secrète U. nécessaire.
• Si un aperçu de l’ordre et des répertoires doit être pris, qui ne sont pas visibles pour les utilisateurs et / ou les données standard entre les répertoires d’utilisateurs.

Le répertoire% ProgramData%, qui est invisible par défaut, joue un rôle spécial. Ici, les utilisateurs ont un accès complet, % ProgramData% Microsoft Et ses sous-directaires ne peuvent être décrits que par les administrateurs. Pour des raisons d’auto-protection, les sous-dossiers Microsoft Antimalware et Windows Defender ne peuvent être lus et décrits que par les administrateurs, le système et l’installation de confiance. Les modifications de MSE ou Defender nécessitent donc des droits d’administration.

Mode protégé et AppContainer [ Modifier | Modifier le texte source ]]

Avec l’avènement du contrôle du compte utilisateur, il était clair que les logiciels malveillants essaieraient de s’en sortir avec les droits des utilisateurs standard. C’est là que les niveaux de responsabilité entrent dans l’image: tous les chemins administratifs sont de facto protégés par les listes et privilèges de contrôle d’accès de l’accès aux applications et aux utilisateurs en profondeur. Les niveaux de responsabilité affectent uniquement les processus en cours, qui sont protégés par l’UIPI (pas de lecture, pas de rédaction) par accès par le bas. Aucun répertoire ne soit protégé par le niveau d’intégrité (IL) “élevé”. Dans le développement de Vista, Microsoft était même conscient du problème à l’époque qu’un navigateur Web exécute dans le même contexte que l’énoncé salarial d’une entreprise. Les niveaux d’intégrité “bas” et “non fiables” sont donc utilisés pour le sable d’applications et leurs répertoires. ^[6]

Boîte de dialogue pour augmenter le bon “bas” sur “milieu”.

Avec Internet Explorer 7 à Vista, la première application a été créée, qui fonctionne avec un niveau de responsabilité faible. Comme déjà mentionné ci-dessus, il y a sur le disque dur % UserProfile% AppDatalOcallow Une liste de faible niveau de responsabilité dans laquelle ces processus peuvent écrire. Dans le registre est inclus Hkcusoftwareappdatalow un chemin de répertoire équivalent. Un processus de courtier ieUser.exe avec il “moyen” est nécessaire afin que les données du sandbox iexplorer.exe puissent accéder au profil utilisateur. ^[d’abord] En attendant, le sable a également été adopté par d’autres logiciels: dans le chrome, le Broker Process Chrome.exe fonctionne avec le niveau d’intégrité (IL) “Medium”, les onglets Chrome.exe avec “niveau de responsabilité non fiable”, c’est-à-dire. H. Sans écrire un accès au disque dur. Le lecteur Adobe a désormais un “mode protégé”, Microsoft Office 2010 “Vue protégé” etc. ^[6]

Si un fichier avec Il “Low” est déplacé de ces boîtes de sable dans un répertoire avec il “moyen” via la traînée et la chute, la “requête UAC pour les bras” apparaît dans l’image à droite, car il y aurait une augmentation rectangulaire de la responsabilité inférieure à moyenne. Cela n’a rien à voir avec le contrôle du compte d’utilisateur, car l’utilisateur standard lui-même a “moyen”, c’est-à-dire n’a pas besoin de droits d’administration pour augmenter les fichiers “à son niveau”. Le contrôle du compte d’utilisateur sous Windows Vista et 7 est pertinent en ce que le désactivation du même (ou de la travail avec le compte administrateur intégré, qui a le même effet) détruit ce sable. Token_mandator_policy_new_process_min n’est défini que pour les comptes d’utilisateurs et provoque des processus pour ne pas obtenir un niveau d’intégrité plus élevé que ce qui a été attribué. Si le contrôle du compte utilisateur est désactivé, tous les processus se voient attribuer des droits d’administration. Pour cette raison, la mode protégée de l’IE est éteinte lorsque l’UAC est désactivé.

Le contrôle du compte d’utilisateur n’est pas éteint sous Windows 8 si le contrôleur UAC est en bas. La bonne augmentation se déroule alors en silence à la demande d’une demande. Cela est nécessaire car le sable est forcé pour les applications Windows. Étant donné que de plus en plus d’applications Windows fonctionnent à un niveau de responsabilité faible, un chemin a également été recherché afin qu’ils ne puissent pas écrire dans les “faibles” répertoires d’une autre application. Par conséquent, chaque application Windows (ou vos fichiers et applications) se voit attribuer un identifiant de sécurité individuel (S-1-15-2 -2 -…). Cette capsule est appelée AppContainer. ^{[Note 3]} Ces applications sont sous % Programfiles% WindowsApps Déposé, le répertoire a un faible niveau de responsabilité. L’Internet Explorer est la seule application sous Windows 8 qui peut également s’exécuter en tant que programme de bureau dans un appactainer (“mode protégé étendu”). ^[27] Avec Windows 10, les AppContainers devraient également trouver leur chemin dans le bureau. Dans les deux systèmes d’exploitation, le contrôle du compte utilisateur ne peut être éteint que si les directives de sécurité locales (Secpol.MSC) “Exécutent tous les administrateurs du mode de confirmation de l’administrateur” sont définis sur “désactivé”. ^[6] Peu surprenant vient lorsqu’une application Windows doit être démarrée, un message d’erreur avec la demande de réactivation de l’UAC.

Lorsqu’un attaquant a accès à un compte avec un système Unix qui Sudo Sans restrictions et authentification supplémentaire, il a déjà gagné pratiquement, car cela lui donne des droits d’accès complet. Ce n’est pas différent avec Windows Vista et plus. ^[d’abord] Déjà lorsque Vista est apparu en 2007, Russinovich et Johansson ont clairement indiqué que le contrôle du compte d’utilisateurs n’était pas destiné aux nerfs ou comme protection contre les attaques sophistiquées contre l’expansion des droits. Vous avez donc eu le même problème sur lequel Unix travaille depuis 20 ans. En outre, l’UAC ne protège pas les processus plus élevés contre la manipulation par des processus inférieurs, car aucun sable complet n’a lieu, ce qui n’était pas non plus prévu. ^[28] Les logiciels malveillants avec les droits des utilisateurs s’exécutent dans des administrateurs protégés dans le même compte que l’augmentation des processus. Étant donné que de nombreuses applications écrivent et lisent dans le profil utilisateur, il peut y avoir un écart qui conduit à un droit d’être élargi. Russinovich a appelé z. B. L’attachement des programmes malveillants sur les extensions de coquille dans le registre pour saisir les droits de l’administration tôt ou tard. Les processus privilégiés partagent également la même salle de nom avec les processus utilisateur standard. Si Malware sait quand un processus privilégié (IL: High / System) accède à une certaine zone de mémoire, il pourrait injecter MalicCode dans le processus via un débordement de tampon. ^[13] Le moyen le plus simple consiste à déclencher un PROMPT UAC sous un nom mélodieux dans l’espoir que les utilisateurs inexpérimentés cliquent sur “Oui”. ^[13] Comme Jesper M. Johansson dans le TechNet Microsoft formulé en 2007:

En raison de ces options, le contrôle des comptes d’utilisateurs de Microsoft n’était pas considéré comme une barrière de sécurité. Microsoft décrit une barrière comme une barrière de sécurité à travers laquelle le code ou les données ne peut passer que si les directives de sécurité le permettent. Par exemple, un utilisateur standard ne peut pas manipuler les données d’un autre utilisateur ou les forcer à effectuer un certain code. Si cela était possible, ce serait un écart de sécurité dans Windows (ou un programme de troisième partie). Ce type strict de séparation ne se déroule pas dans le contrôle du compte d’utilisateur, en tant que compromis de commodité et de sécurité. C’est pourquoi les niveaux d’intégrité ne représentent pas une barrière de sécurité, car par défaut, seule aucune écriture ne s’applique. Le contrôle du compte d’utilisateur était principalement une commodité qui devrait faciliter la modification entre les comptes d’utilisateurs pour augmenter le droit. Sa principale préoccupation est que tous les utilisateurs ne travaillent qu’avec les droits des utilisateurs standard sur le principe de Compte d’utilisateur moins privilégié (Lua). ^{[13] [15]}

Une colonne de nombres veut les droits de l’administrateur

En 2011, quatre ans et une version de l’UAC plus tard (Windows 7), Microsoft a également vu un avantage pour les logiciels malveillants. Le malware a commencé à adapter son logiciel aux droits des utilisateurs standard. Pour la plupart des logiciels malveillants, ce n’était pas un problème. Le contournement de l’UAC s’est avéré très difficile pour les logiciels malveillants. Une partie du malware est donc transmise pour désactiver le contrôle du compte d’utilisateur afin d’éviter les mauvaises invites UAC du malware immédiatement après le redémarrage. Les virus Sality, Alureon Rootkits, FakePav, les vers Autostart, les chevaux de Troie bancaires, etc. ont été mentionnés pour modifier les paramètres de l’UAC, le malware a déjà besoin de droits d’administration, ce qui est possible via les exploits, un désactivation de l’UAC ou un clic “oui” au mauvais moment. Microsoft a réagi à cela en prenant soin de Microsoft Security Essentials si le logiciel modifie les paramètres UAC et l’utilise comme détection comportementale. Étant donné que les logiciels normaux fabriquent de moins en moins les requêtes UAC, l’identification du comportement est devenue plus facile. Étant donné que 23% de tous les ordinateurs infectés avaient désactivé le contrôle du compte utilisateur, les utilisateurs ont été invités à l’avoir activé. Il a été souligné à nouveau que l’UAC n’est pas conçu comme une protection contre le virus, mais la sécurité du système d’exploitation s’améliore. ^[29]

Le contrôle du compte d’utilisateur ne protège pas contre les logiciels malveillants en soi, il assure uniquement une séparation stricte entre les droits de l’utilisateur et de l’administrateur. Une requête UAC est réalisée chaque fois que la bordure doit être effectuée de bas en haut. La «protection» est que vous pouvez déterminer quel programme reçoit les droits d’administration et qui ne l’est pas. Tous les paramètres administratifs fabriqués à la main sur l’ordinateur peuvent également être effectués par le logiciel; La question est de savoir si vous le souhaitez. Avec les cochons dansants, les colonnes de chiffres et les caractères chinois qui veulent des droits de l’administrateur, il vaut mieux faire attention. Le PROMPT UAC sur l’image à droite vient z. B. à partir d’un logiciel malveillant qui le 30 décembre 2014 du Base de données Malc0de À des fins de test, a été téléchargée dans un TP Windows 10. Le malware est effectué lorsque l’utilisateur clique sur “Oui” ou éteint le contrôle du compte utilisateur. Près de deux jours plus tard, le soir du Nouvel An, le défenseur Windows a reconnu la colonne des chiffres comme Win32 / sality . Le filtre SmartScreen a été désactivé à des fins de test car elle aurait bloqué le malware en raison de l’absence d’un certificat PKI.

Comme mentionné ci-dessus, le contrôle du compte utilisateur n’est pas destiné à la protection contre les attaques sophistiquées contre l’expansion des droits. Le cadre Metasploit offre diverses façons de contourner l’UAC, ainsi que la possibilité de déclencher un PROMPT UAC sous un nom mélodieux et de demander effrontément des droits d’administration. Les variantes sans pop-up UAC fonctionnent tous avec le détournement de DLL et l’injection de DLL et utilisent l’augmentation du rectangle automatique par l’UAC-Whitelist (AutoElevate) sous Windows 7/8/ 8.1. Vista, en revanche, est immunisée. ^[30] Pour cette raison, il est logique de mettre le contrôleur UAC au plus haut niveau ou de travailler avec des comptes distincts. Jesper M. Johansson a mis la liste suivante des meilleures pratiques en 2007: ^[28]

1. ↑ Tous les administrateurs sont également des utilisateurs, c’est-à-dire Autrement dit, ils ont également son privilège de travail hurlant. Mais ne fait pas partie des privilèges du groupe des administrateurs
2. ↑ C’est aussi la raison pour laquelle la requête UAC n’apparaît pas pour les enregistreurs d’écran ou les applications Remotedesktop. Il se déroule sur un autre bureau que l’endroit où vous êtes enregistré.
3. ↑ Les détails n’ont pas à faire directement avec le contrôle du compte utilisateur, c’est pourquoi il ne lui est répondu que superficiellement. Que tout ce qui ressemble à une application Windows n’est pas non plus une, d. H. Un appactainer reste non mentionné ici. “Paramètres PC” z. B. a la conception d’applications, mais n’est pas un appactainer. Les détails doivent être dans l’article l’application Windows.
4. ↑ Étonnamment, l’option doit être sélectionnée si le “comportement de la demande de l’utilisateur pour les droits accrus pour les utilisateurs standard” l’option “rejeter les exigences pour les droits accrus”.

1. ↑ ^{un b c} Roger A. Grimes, Jesper M. Johansson: Sécurité Windows Vista: sécuriser Vista contre les attaques malveillantes . Wiley, 2007, ISBN 0-470-10155-5.
2. ↑ Danihalfin: Paramètres de la stratégie de sécurité du contrôle du compte utilisateur (Windows 10). Récupéré le 30 mai 2019 (Anglais américain).
3. ↑ Utilisateur dans Windows 7. (Pdf) com!, Août 2010, Consulté le 1er janvier 2015 .
4. ↑ Russell Smith: La sécurité des moindres privilèges pour Windows 7, Vista et XP . Édition emballée, 2010, ISBN 1-84968-004-3.
5. ↑ ^{un b} Comment le mécanisme d’intégrité est implémenté dans Windows Vista. Microsoft, Consulté le 1er janvier 2015 (Anglais).
6. ↑ ^{un b c d} Internes de sécurité Windows 8.1. Chris Jackson, 11 novembre 2014, Consulté le 1er janvier 2015 (Anglais).
7. ↑ Mécanisme de sécurité “Niveau d’intégrité” (IL). Winfaq, Consulté le 1er janvier 2015 .
8. ↑ ^{un b} Conception du mécanisme d’intégrité de Windows. Microsoft, Consulté le 1er janvier 2015 (Anglais).
9. ↑ À droite et justice – L’architecture de sécurité de Windows Vista, partie 1. C’t, octobre 2007, Consulté le 1er janvier 2015 .
10. ↑ Windows Vista. Technet Magazine, juin 2008, Consulté le 1er janvier 2015 (Anglais).
11. ↑ Martin Groteut: Windows Vista . Springs, 2007, ISBN 3-540-38882-6.
12. ↑ ^{un b c} Comprendre et configurer le contrôle du compte utilisateur dans Windows Vista. Microsoft Technet, Consulté le 1er janvier 2015 (Anglais).
13. ↑ ^{un b c d C’est F} À l’intérieur du contrôle du compte utilisateur de Windows Vista. Microsoft Technet, juin 2007, Consulté le 1er janvier 2015 (Anglais).
14. ↑ ^{un b} Exigences de développement des applications Windows Vista pour la compatibilité du contrôle des comptes d’utilisateurs. Microsoft, juin 2007, Consulté le 1er janvier 2015 (Anglais).
15. ↑ ^{un b} Psexec, contrôle du compte utilisateur et limites de sécurité. Microsoft Technet, février 2007, Consulté le 1er janvier 2015 (Anglais).
16. ↑ Contrôle du compte utilisateur (Contrôle UAC – Contrôle du compte utilisateur). Winfaq, Consulté le 1er janvier 2015 .
17. ↑ Directives de groupe UAC et paramètres de clés d’enregistrement. Microsoft Technet, Consulté le 1er janvier 2015 .
18. ↑ Windows 7: Ctrl + Alt + Del – nécessite d’appuyer pour approuver l’élévation de l’UAC. Windows SevenForums, septembre 2013, Consulté le 1er janvier 2015 (Anglais).
19. ↑ Leo Davidson: Liste blanche de Windows 7 UAC: – Problème d’injection de code – API anti-compétitives – Théâtre de sécurité. Récupéré le 25 août 2015 . Modèle: cite web / temporaire
20. ↑ Divulgation complète: Défense en profondeur – The Microsoft Way (partie 11): Escalade des privilèges pour les nuls. Consulté le 6 novembre 2022 (Anglais).
21. ↑ Divulgation complète: Défense en profondeur – La voie Microsoft (partie 31): L’UAC est pour la plantation binaire. Consulté le 6 novembre 2022 (Anglais).
22. ↑ BugTraq: Vulnérabilité de contournement UAC sur “Windows 7” dans Host Windows Script. Consulté le 6 novembre 2022 (Anglais).
23. ↑ Jouer dans un environnement sûr. Microsoft Technet, février 2007, Consulté le 1er janvier 2015 .
24. ↑ ^{un b c d} Windows d’ingénierie 7. Microsoft, octobre 2008, Consulté le 1er janvier 2015 (Anglais).
25. ↑ ^{un b} Les fichiers de bureau. Microsoft Technet, Mai 2008, Consulté le 1er janvier 2015 .
26. ↑ Paul Thurrott, Rafael Rivera: Secrets Windows 7 . Wiley, 2009, ISBN 0-470-50841-8.
27. ↑ Mode protégé étendu sur le bureau, c’est-à-dire. Microsoft, Consulté le 1er janvier 2015 .
28. ↑ ^{un b c} Watch de sécurité – L’impact à long terme du contrôle des comptes d’utilisateurs. Microsoft Technet, septembre 2007, Consulté le 1er janvier 2015 (Anglais).
29. ↑ L’UAC joue la défense contre les logiciels malveillants. Microsoft Technet, août 2011, Consulté le 1er janvier 2015 (Anglais).
30. ↑ Contrôle du compte utilisateur – Ce que les testeurs de pénétration devraient savoir. Raphael Mudge, mars 2014, Consulté le 1er janvier 2015 (Anglais).