Avec cette nouveauté, Microsoft veut renforcer l’accès aux privilèges administrateurs sur Windows 11
En marge de son événement Ignite 2024, Microsoft a partagé des informations supplémentaires sur la fonctionnalité "Administrator protection" pour Windows 11. Voici ce que l'on sait sur cette nouveauté destinée à renforcer l'accès aux privilèges administrateur d'un PC sous Windows.
Le 2 octobre 2024, dans Windows 11 Insider Preview Build 27718 disponible via le canal Canary du programme Windows Insiders, Microsoft a introduit pour la première fois la fonctionnalité "Administrator Protection" à son OS. À ce moment-là, Microsoft n'avait pas donné beaucoup de détails sur cette nouveauté : "Nous prévoyons de donner plus de détails sur cette fonctionnalité lors de la conférence Microsoft Ignite.", pouvait-on lire.
Désormais, nous y sommes, l'événement Microsoft Ignite 2024 se déroule en ce moment même, et des informations supplémentaires ont été dévoilées. Lorsque la fonctionnalité "Administrator Protection" est activée sur un PC Windows 11, elle renforce l'accès aux privilèges administrateur local. Ainsi, elle a pour objectif de garantir :
- Que l'utilisateur connecté à sa session dispose d'autorisations standards, et donc, qu'il n'agit pas directement en tant qu'administrateur.
- Que l'utilisateur soit invité à s'authentifier via Windows Hello à l'aide d'un code PIN ou de l'authentification biométrique, pour réaliser certaines opérations impliquant l'utilisation des privilèges administrateurs.
Nous pouvons citer plusieurs actions protégées par ce mécanisme : installation d'une application, modification du Registre, modification des paramètres du système, ou encore l'accès à des données sensibles.
"La protection de l'administrateur minimise le risque que l'utilisateur effectue par erreur une modification au niveau du système et, plus important encore, permet d'empêcher les logiciels malveillants d'apporter des modifications silencieuses au système à l'insu de l'utilisateur.", précise Microsoft dans un nouvel article.
La protection de l'administrateur : un nouveau modèle de sécurité
Le principe du moindre privilège a été appliqué par Microsoft pour concevoir cette nouvelle fonction de sécurité. Lorsqu'un utilisateur se connecte à sa session, il hérite d'un jeton sans privilège élevé. Ensuite, quand il aura besoin des privilèges de l'administrateur, Windows utilisera un compte d'utilisateur caché, généré par le système et séparé du profil pour créer un jeton d'administrateur isolé. Ce jeton est délivré au processus demandeur et est détruit une fois le processus terminé.
Ainsi, ce modèle de sécurité repose sur ce que l'on appelle le "Just-in-time elevation" pour que l'élévation de privilèges soit temporaire et uniquement pour la durée d'une opération d'administration. "Le jeton d'administration est jeté après utilisation et est recréé lorsqu'une autre tâche nécessitant des privilèges d'administration est effectuée.", précise Microsoft.
De plus, il en est terminé des élévations de privilèges automatiques. Quand cette fonctionnalité est activée, l'utilisateur doit autoriser de manière interactive chaque opération d'administration. Windows Hello joue un rôle clé puisqu'il simplifie la validation via la biométrie ou le code PIN, tout en assurant la sécurité du processus.
Comment activer la protection de l'administrateur ?
Cette fonctionnalité pourra être configurée via les paramètres de la machine locale, ainsi que par stratégie de groupe (GPO) et par l'intermédiaire de Microsoft Intune.
La firme de Redmond n'a pas précisé quand sera disponible cette nouveauté. Pour le moment, il convient de passer par les versions de tests de Windows 11 pour avoir un aperçu de cette fonctionnalité très intéressante pour renforcer la sécurité des postes de travail.
