Microsoft introduit une couche de sécurité supplémentaire pour les comptes administrateurs dans Windows 11 afin de limiter les abus de droits et bloquer les logiciels malveillants.
Microsoft travaille sur une nouvelle fonction de sécurité pour Windows 11 appelée Administrator Protection, annonce-t-elle dans un blog. Cette fonction vise à mieux protéger les utilisateurs disposant de droits d’administrateur contre les modifications système indésirables et les attaques de logiciels malveillants. La fonction est actuellement disponible pour les testeurs du programme Windows Insider.
Vérification supplémentaire
La sécurité renforcée pour les administrateurs applique plus strictement le principe du least privilege. Les utilisateurs ne reçoivent plus de droits d’administrateur permanents par défaut. Lorsqu’ils effectuent une action nécessitant ces droits, Windows demande une vérification supplémentaire via Hello. Cela s’applique aux actions telles que l’installation de logiciels, la modification de l’heure système ou la modification du registre.
Lorsqu’un utilisateur approuve une telle action, Windows crée un jeton d’administrateur temporaire et isolé via un compte système caché. Ce jeton est automatiquement détruit une fois la tâche terminée. Cette approche vise à empêcher les logiciels malveillants d’obtenir subrepticement des droits élevés et de modifier les paramètres système à l’insu de l’utilisateur.
Administrator Protection fonctionne de manière totalement indépendante des contrôles de compte standard, qui servent plutôt de sécurité complémentaire. Microsoft souligne que cette nouvelle couche constitue une frontière de sécurité distincte avec sa propre architecture.
Gestion et déploiement
Les administrateurs informatiques peuvent activer Administrator Protection via les paramètres locaux, la stratégie de groupe ou des outils de gestion mobile comme Microsoft Intune. Dans la stratégie de groupe, la fonction peut être activée via la politique Admin Approval Mode with Administrator protection. Il est également possible de personnaliser le comportement de l’invite, par exemple si les utilisateurs doivent saisir un mot de passe ou simplement donner leur autorisation.
Pour un déploiement à grande échelle au sein des organisations, Intune offre une prise en charge via le catalogue de paramètres. Un redémarrage de l’appareil est nécessaire après l’activation. Selon Microsoft, l’objectif est d’activer cette fonction par défaut dans Windows 11 prochainement.
Le géant technologique invite les organisations à tester la fonction dès maintenant et à fournir des retours. Avec cette mesure, Microsoft vise à réduire le nombre d’incidents où des personnes malveillantes abusent des droits d’administrateur. On estime qu’il y a quotidiennement 39 000 cas de vol de jetons.
Microsoft est en train de revoir en profondeur la sécurité de Windows. Parmi les autres mesures prévues figurent l’exclusion des logiciels externes du noyau Windows et un « mode de récupération rapide ». Le fiasco Crowdstrike d’il y a un an n’est pas oublié.