Utilisation de Windows XP en mode utilisateur

par **svart** » 01 Sep 2005 15:18

Bonjour,

Je voulais faire un court compte-rendu d'un essai qu'il me paraissait important de faire : utiliser Windows XP Pro SP2 en mode utilisateur.

En effet, une règle importante de sécurité est le principe du moindre privilège, c'est-à-dire pour l'utilisateur du système, ne pas avoir de droits (lecture, écriture, exécution) supérieurs à la stricte nécessité de son utilisation. Pour quelle raison ? Par exemple, si un virus est exécuté depuis la boite email, ce dernier hérite des droits de l'utilisateur qui le lance. En ayant des droits limités, on complique la vie aux logiciels malfaisants. Il est presque impossible à un spyware de s'installer en mode utilisateur.

Or, la quasi-totalité des utilisateurs sont en mode administrateur. C'est le mode d'installation normal de windows. Pour avoir un compte utilisateur, il faut le créer volontairement. Premier mauvais point pour windows. Sur linux, du fait de son héritage Unix, le compte root est par principe distinct du compte utilisateur.

J'ai donc configuré mon compte habituel en utilisateur, histoire de voir si je pouvais conseiller au gens de faire ça.

Résumé court : c'est infernal. Aucune application ou presque n'est conçue pour fonctionner de cette façon. Il faut en permanence utiliser la fonction 'Executer en tant que..."' pour pouvoir simplement exploiter la plupart des logiciels (heureusement pas le navigateur ni les outils bureautiques).

- Impossible de graver un cd en mode limité.
- Impossible d'installer ou désinstaller un quelconque programme (normal)
- Impossible de changer le mode d'alimentation de l'ordinateur
- Impossible d'installer les mises à jour windows (grave car le mode automatique ne marche plus)
- La plupart des jeux ne fonctionnent pas (écriture interdite dans Program Files ou dans le registre)
- La plupart des logiciels sont mal conçus et tentent d'écrire dans Program Files ou Windows, ce qui est bloqué
- Impossible d'installer un pilote ou un matériel (pas de clé USB de cam ou autre)
- Impossible de supprimer les raccourcis du bureau stockés dans All Users
...

Bien sûr, une telle utilisation est plutôt sûre. Mais elle complique la vie au quotidien, d'autant que WIndows ne permet pas d'enregistrer les crédences admin automatiquement dans un raccourci : il faut faire clic droit, executer en tant que..., taper le mot de passe pour pouvoir continuer. Et ça ne marche pas toujours, par exemple dans le cas d'installateur qui lance un autre installateur. Ce dernier aura les droits utilisateurs, et n'aboutira pas.

On est donc obligé de passer par le compte admin, ce qui permet de s'affranchir de tous ces problème le temps d'une installation ou d'un réglages, sauf un problème : la gestion par profil. En effet, si je modifie le mode d'alimentation du poste en mode admin, cette modification n'est pas prise en compte dans les autres profils... Pour ce faire, je dois donc passer en administrateur, modifier le profil utilisateur, me relogguer, faire la modif, me délogger, repasser en admin, remodifier le profil...

Il doit avoir moyen de faire plus simple. Je ne suis pas spécialiste, mais Linux gère beaucoup mieux les autorisations et les profils, notamment par une architecture de répertoire mieux adaptée. Windows est à cheval entre deux façons de faire : les paramètres sont désormais stockées par profil (documents and settings...) mais les programmes sont toujous tous entassés dans Program Files.

Bref, tout ça pour dire qu'une meilleure gestion des risques informatiques sur Internet avec Windows ce n'est pas pour demain. Pourtant, restreintre les droits des utilisateurs par défaut sur XP permettrait de diminuer de beaucoup la propagation des virus et les intrusions.... Il m'est impossible de conseiller à mes clients d'utiliser ce mode. Ca peut aller pour un utilisateur averti (et patient) mais pas pour celui qui a déjà du mal quand on lui déplace un raccourci... or c'est une immense majorité d'utilisateurs !

C'est grand public ou c'est pas grand public, Windows ?

N'hésitez pas à laisser vos commentaires !

A+

par **popoch** » 04 Sep 2005 20:12

En entreprise, dans un environnement full Windows (Presence d un AD ou d un domaine NT) il n y a aucun pb.

Le mode utilisateur est correctement gere, le gros probleme, c est les applis. Elles sont ds la plus part des cas mal developpe et ne fonctionnent correctement qu avec des droits d admin local.

Si on enleve ca, alors tout fonctionne tres bien.

Enfin c est mon avis :wink:

par **Fesch** » 04 Sep 2005 22:27

Oui, mais si t'est en WinXP Home, l'utillisateur restrein n'êst que de la grosse m****. Je viens de tester tout juste moi aussi ... il y a par exemple Lazarus qui ne veut pas démarrer. Il y a aussi PHPed qui refuse son service. Il s'y rajoute encore d'autre ;-( ... mais bon.

D'ailleur ... est-ce que tout le monde est au courant que Linspire est en train de délivrer une version gratuite?

par **svart** » 05 Sep 2005 18:47

@Popoch : je n'ai pas essayé sur un domaine. En local le souci c'est d'écrire dans program files ou dans windows/ - ce qui est le cas de beaucoup de logiciels. Flash, par exemple, écrit un truc dans la base de registre à chaque démarrage, sur un emplacement où je n'ai pas ce droit => erreur. Ca marche mais on sent que c'est pas tout à fait bien conçu.

Mon souci c'est surtout pour les utilisateurs pas trop expérimentés, qui en gros ont l'alternative suivante : choper des spywares (mode admin) ou avoir des messages d'erreurs (mode user)

- y'aura l'option d'apprendre à se servir de l'ordinateur mais ça... :lol:

par **svart** » 18 Sep 2005 13:41

Complément d'info : http://www.windowsnetworking.com/articl ... ounts.html

Utilisation de Windows XP en mode utilisateur

Utilisation de Windows XP en mode utilisateur

Qui est en ligne ?