Pourquoi vous ne devez pas utiliser XP en mode Administrateur.
Utilisateurs et groupes sous Windows XP

par Jean-Paul Figer, ARMOSC

Publié le - Mis à jour le

vide

Principales rubriques

Cet article est un complément à l'article Partage et sécurité de fichiers dont la lecture est conseillée.

La sécurité d'un PC ne dépend pas d'un produit miracle. Elle dépend pour l'essentiel du comportement de l'utilisateur. C'est comme pour une voiture : le conducteur est en charge de la sécurité. ABS ou airbags ne servent qu'à limiter les conséquences d'un accident.

Le but de cet article est de donner quelques principes simples pour mieux comprendre les mécanismes de sécurité qui existent sous Windows XP et comment les mettre en oeuvre. Pour des manipulations détaillées, reportez-vous à l'aide de Windows.

Pour simplifier le contenu de cet article, nous supposerons être dans le cas Windows XP professionnel avec gestion de fichiers en NTFS. Utilisez le composant de gestion de l'ordinateur pour faire des essais en tapant
Démarrer, Exécuter.. cmd
puis
compmgmt.msc /s

Quelques définitions

  • Compte utilisateur
    Tout utilisateur d'un système Windows XP possède un compte utilisateur avec un nom et un mot de passe pour l'identifier. Il est conseillé de ne pas mettre un mot de passe vide. Pour éviter d'entrer son mot de passe à chaque ouverture de session, il faut installer TweakUI pour Windows XP puis aller dans logon, autologon.
  • Groupe
    Un groupe rassemble les utilisateurs qui ont des droits et des permissions identiques.
    Pour faciliter la gestion, il est très fortement conseillé de n'attribuer des droits et des permisions qu'à des groupes puis à classer les utilisateurs dans ces groupes.
  • Permissions
    Les permissions déterminent qui peut lire, écrire, modifier des fichiers et répertoires partagés ou non sur la machine et sur le réseau.
  • Droits (ou privilèges)
    Les droits s'appliquent à l'environnement système XP et matériel : mise à jour ou modification du système, accès à des imprimantes, connexions réseaux, ...

Ce qui se passe à l'ouverture d'une session

Il faut bien comprendre ce qui se passe à l'ouverture d'une session Windows XP. L'utilisateur fournit ses identifiants : nom et mot de passe. Si ces identifiants correspondent à ceux d'un utilisateur défini sur la machine, Windows exécute une instance du bureau, généralement Internet Explorer, dans le contexte de sécurité de l'utilisateur. Le contexte de sécurité de l'utilisateur comporte les droits et permissions attribués à cet utilisateur. Tous les programmes démarrés par cet utilisateur utiliseront le même contexte de sécurité. Un grand principe de sécurité consiste à n'accorder à un utilisateur que les droits justes suffisants pour effectuer son travail. En effet si l'utilisateur fait une erreur ou déclenche par mégarde un programme malveillant, les dégats possibles seront limités par le contexte de sécurité.

Groupes essentiels : Utilisateurs, Utilisateurs avec Pouvoir, Administrateurs.

Les machines qui exécutent Windows XP stockent dans une base de données locale autonome (SAM) les informations sur les utilisateurs et les groupes locaux. Si la machine rejoint un domaine, les utilisateurs du domaine sont fusionnés avec les utilisateurs locaux et le groupe des administrateurs du domaine est ajouté au groupe des administrateurs locaux.

Windows XP comporte trois groupes essentiels : Utilisateurs, Utilisateurs avec pouvoir, Administrateurs. C'est un membre du groupe Administrateurs qui peut attribuer l'appartenance d'un utilisateur à un groupe. Il existe beaucoup d'autres groupes crées par le système ou par des applications comme vous pouvez le voir dans l'exemple ci-dessus.
Les groupes contrôlés par un administrateur servent à attribuer les permissions sur les fichiers et les dossiers. 

  • Groupe Utilisateurs
    Les autorisations par défaut du groupe Utilisateur fournissent l'environnement le plus sûr pour exécuter des applications. Les membres du groupe Utilisateurs ont le contrôle complet sur la totalité de leurs fichiers, de leurs données (%userprofile%) et sur la partie du registre les concernant  (HKEY_CURRENT_USER). En revanche, ils ne peuvent pas modifier les paramètres du système d'exploitation ou les données d'autres utilisateurs. Toutefois, les autorisations Utilisateur ne permettent pas toujours d'exécuter correctement certaines applications sans accorder des droits supplémentaires adéquats. Les membres du groupe Utilisateurs sont uniquement assurés de pouvoir exécuter des programmes certifiés Windows.
  • Groupe Utilisateurs avec pouvoir
    Le groupe Utilisateurs avec pouvoir fournit une compatibilité ascendante pour l'exécution d'applications non certifiées Microsoft. Les membres du groupe Utilisateurs avec pouvoir peuvent exécuter tous les programmes et toutes les tâches du système sauf celles réservées au groupe Administrateurs.
    Les Utilisateurs avec pouvoir peuvent :
    • Exécuter toutes les anciennes applications, en plus des applications certifiées Microsoft,
    • Installer des programmes qui ne modifient pas les fichiers du système ou installer des services système,
    • Personnaliser des ressources système, telles que les imprimantes, l'heure, la date, les options d'énergie et  les autres ressources du Panneau de configuration,
    • Créer et gérer des comptes d'utilisateur et des groupes locaux
    • Arrêter et démarrer les services système qui ne sont pas démarrés par défaut.
  • Groupe Administrateurs
    Les membres du groupe Administrateurs ont tous les pouvoirs sur le poste de travail.
    L'utilisation du compte Administrateur doit être réservé à :
    • Installer le système d'exploitation et ses composants (pilotes, périphériques,...),
    • Installer Service Packs et Windows Packs et faire la mise à niveau du système,
    • Récupérer des fichiers devenus inaccessibles,
    • Gérer les journaux d'audit et de sécurité et les stratégies correspondantes,
    • Sauvegarder et restaurer le système.

    Attention, si vous ouvrez une session avec un nom de domaine, le groupe des Administrateurs s'enrichit automatiquement des administrateurs du domaine, du groupe des opérateurs de configuration du réseau et de tout groupe de domaine qui existe dans n'importe lequel des groupes administrateurs locaux.  Autant dire que vous perdez le contrôle de la sécurité de votre machine.

Pourquoi vous ne devez pas utiliser XP en mode Administrateur

Windows XP crée un compte Administrateur pendant la procédure d'installation. Il n'est expliqué nulle part dans la procédure d'installation la différence entre ce compte et un compte avec accès limité. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Les groupes spéciaux

Il existent beaucoup d'autres groupes dont certains ne sont pas visibles. Voici les principaux groupes qu'il faut connaître : 

  • Le groupe Opérateurs de sauvegarde
    Les membres de ce groupe peuvent sauvegarder et restaurer des fichiers sur la machine, indépendamment des autorisations protégeant ces fichiers. Ils peuvent également ouvrir une session sur le PC et l'arrêter. Ils ne peuvent pas modifier les paramètres de sécurité.
  • Le groupe Tout le monde
    Il contient tous les utilisateurs authentifiés sur le réseau. Contrairement à Windows NT4 et 2000, ce groupe ne contient pas le groupe Ouverture de session anonyme (ANONYMOUS LOGON).
  • Le groupe Invités
    Le groupe Invités est destiné à être utilisé par quelqu'un qui n'a pas de compte sur cet ordinateur. L'utilisateur n'a pas besoin de mot de passe. Il peut lire son courrier ou naviguer sur Internet. Il peut utiliser les programmes installés sur l'ordinateur mais ne peut ni en installer de nouveau ni bien sûr modifier la configuration.
  • Le groupe Interactif.
    Ce groupe contient les utilisateurs ayant actuellement ouvert une session sur l’ordinateur.
  • Le groupe Réseau.
    Ce groupe contient tous les utilisateurs qui accèdent actuellement au système par le réseau.
  • Le groupe Utilisateur de Terminal Server
    Ce groupe contient tous les utilisateurs ayant actuellement ouvert une session sur le système à l’aide de Terminal Server. Les autorisations par défaut attribuées au groupe ont été choisies pour autoriser un Utilisateur de Terminal Server à exécuter la plupart des programmes anciens (NT4 ou Windows 2000).

Conclusion

Je n'ai pas trouvé de documentation Microsoft simple et claire sur le sujet. J'ai eu beaucoup de mal à comprimer les tonnes d'informations en quelques lignes pratiques. Si j'ai oublié des points important ou si ce n'est pas suffisant ou pas assez clair, merci de me le signaler.

Envoyer vos remarques, suggestions ou questions à

Jean-Paul Figer
© Jean-Paul Figer, 1958-2013

J'ai travaillé pendant 40 ans à Capgemini. Cependant les opinions exprimées dans ces articles n'engagent que moi et ne représentent pas la position de Capgemini.

Pour être informé des nouveaux articles, inscrivez-vous avec votre adresse mail