Microsoft a partagé plus de détails sur la nouvelle fonctionnalité de sécurité de protection de l’administrateur Windows 11, qui est disponible dans preview et utilise les invites d’authentification Windows Hello pour bloquer l’accès aux ressources système critiques.
Introduite pour la première fois le mois dernier dans une version préliminaire pour les initiés de Windows 11 dans le canal Canary, la protection de l’administrateur est conçue pour « protéger les droits d’administrateur flottants gratuits pour les utilisateurs administrateurs, leur permettant de continuer à exécuter toutes les fonctions d’administration avec des privilèges d’administrateur juste à temps. »
Plus précisément, une fois activée sur un appareil, cette fonctionnalité garantira que les personnes connectées au système ne disposent que des autorisations utilisateur standard et seront invitées à s’authentifier via Windows Hello à l’aide d’un code PIN ou d’une méthode biométrique lorsqu’elles tenteront de modifier le registre ou d’installer de nouvelles applications.
Ces invites d’authentification supplémentaires devraient être plus difficiles à contourner que la fonction de sécurité de contrôle de compte d’utilisateur (UAC) de la fenêtre afin qu’elles puissent empêcher les logiciels malveillants et les attaquants d’accéder à ces ressources critiques et de compromettre le système.
« Windows crée un jeton d’administrateur isolé temporaire pour effectuer le travail. Ce jeton temporaire est immédiatement détruit une fois la tâche terminée, garantissant que les privilèges d’administrateur ne persistent pas », a déclaré David Weston, vice-président de la société pour la sécurité des entreprises et des systèmes d’exploitation, chez Microsoft Ignite.
« La protection de l’administrateur permet de garantir que les utilisateurs, et non les logiciels malveillants, gardent le contrôle des ressources système. Cela perturbera également les attaquants car ils n’auront plus d’accès automatique et direct au noyau ou à une autre sécurité système critique sans autorisation spécifique de Windows Hello. »
Comme l’a partagé l’équipe Windows Insider en octobre, lorsque la fonctionnalité a été introduite pour la première fois, la protection de l’administrateur est désactivée par défaut et doit être activée via la stratégie de groupe.
Windows Hello est également utilisé pour l’authentification afin de bloquer l’accès aux fichiers stockés dans les dossiers Bureau, Documents et Images à l’aide du cryptage des données personnelles, une fonctionnalité introduite avec Windows 11 22H2 qui crypte les données afin que l’administrateur de l’appareil ne puisse même pas y accéder avant de s’authentifier.
Les administrateurs peuvent désormais également activer les stratégies Smart App Control et App Control for Business pour empêcher les utilisateurs de télécharger, d’installer et d’exécuter des applications et des pilotes malveillants.
« De nombreuses attaques sont dues au téléchargement par les utilisateurs d’applications et de pilotes non sécurisés ou non signés. Cela élimine les attaques telles que les pièces jointes malveillantes ou les logiciels malveillants d’ingénierie sociale », a ajouté Weston.
« Les administrateurs informatiques peuvent simplement sélectionner le modèle » stratégie signée et réputée » dans l’assistant de contrôle des applications. Cela permet à des millions d’applications vérifiées de s’exécuter quel que soit l’emplacement de déploiement. »