Vista - UAC, baba sécu.

[Gof]

Bonjour tout le monde,

 

Je centralise ici quelques interventions de Jok disséminées dans quelques sujets Vista dans le sous forum Analyse rapports HijackThis, Eradication malwares. Elles me semblaient intéressantes et généralistes, et je pense qu'il sera plus facile pour tout le monde de les voir ainsi centralisées pour mieux les trouver, les questions revenant assez régulièrement. Peu de membres de l'equipe sécurité ont eu l'occasion de tester et de travailler sous ce système ; les avis et commentaires de Jok n'en sont que plus pertinents et formateurs pour tout le monde.

 

La forme de ce sujet est divisé en "billets", répondant à chaque fois à une question. Cela permet ainsi les commentaires et les annotations au sein du même sujet. Pour aller sur le billet correspondant à la question, cliquez sur la roue dentée devant chacune des questions. Un nouveau clic sur cette roue dentée vous ramènera sur ce post introductif-sommaire.

 

***

 

J'ai trois comptes, un administrateur protégé par un mot de passe fort avec lequel j'évite d'aller sur le Web (je coupe la carte Wi-Fi quand je l'utilise), un compte utilisateur normal protégé par un mot de passe simple (juste pour empêcher les indiscrets de venir y fouiner) et un compte invité pour les autres personnes qui souhaiteraient utiliser l'ordinateur. J'avais l'impression d'être paranoïaque avec cette protection, merci de me prouver qu'il n'en est rien ^^.

 

J'ai désactivé l'UAC parce que j'ai vu dans les astuces qu'il était possible de le désactiver sans avoir de gros inconvénients. C'est vrai que toutes ces demandes d'autorisation qui se cumulent aussi avec celles d'un antivirus sont un peu assomantes !

 

Mon pare-feu (Windows) me prévient et me demande une autorisation à chaque fois qu'une application tente d'accéder à Internet pour la première fois. Dans ces conditions, comment un virus pourrait passer outre? En se faisant passer pour une application déjà autorisée?

 

Utiliser un programme en mode administrateur (Firefox par exemple, ce qui est nécessaire pour installer des plugs-in ou faire le scan Panda en ligne) présente-t-il des risques? Et si oui, quels risques?

 

le pare feu Vista (le premier si j'ai bien compris, qui s'occupe d'ouvrir le passage à certain programmes) attache-t-il chaque programme à un port spécifique? Ou est ce que le port change à chaque utilisation du programme? Cette dernière solution me paraît plus sûre, mais je n'y connais pas grand chose.

 

Je rencontre actuellement un petit souci avec la nouvelle java que j'ai installé. en effet, elle ne veut pas se lancer dans le navigateur Ie7 mais elle marche très bien sous firefox et opera. pour que ça marche sous ie7 il faut que désactive le UAC de vista. (...)

Pour installer java j'ai désinstaller la précédente en passant par le panneau de configuration : ajout/suppression d'un programme. et j'ai télécharger sur le site de java.com la derniére version pour une installation hors ligne.

Sous ie7 ca marche pas le test sur le site de java par contre sur firefox2 et opera ca marche. Sachant que je suis déja aller voir sur les modules complémentaires de ie7 que java était activé et sur l'onglet "sécurité">"personnaliser le niveau" j'ai les "applet" java activés aussi. Et lorsque j'ai fait le test en désactivant l'UAC de vista et bien le java se lance dans ie7.

 

J'ai effectué toutes les manipulations mais rien à faire, j'ai toujours le souci : sous ie7 le test de java sur java.com echoue.

 

Les utilitaires, autonomes et portables, comme Atf-cleaner fonctionnent ils correctement. L'exécutable tourne sous Vista, mais je parle de nettoyer les bons dossiers, en tenant compte des différences d'arborescence entre XP et Vista ?

 

ma petite maman vient de s'acheter un nouvel ordi avec vista dessus.Je voudrais lui installer antivir et spybot,pensez vous que les deux soient compatibles entre eux et sutout avec vista.Ou sinon avez vous d'autres suggestions?

 

Installer Antivir sur un compte standard.

 

Le mode utilisateur : je dois vous avouer que cela ne change rien puisque pour l'instant, tout est sur ce compte. Enfin...tout est un grand mot car je n'ai pas grand chose sur ordi. [+ Demandes de conseils d'utilisation Antivir, Firefox, contrôle parental, centre de sécurité]

 

***

[Gof]

J'ai trois comptes, un administrateur protégé par un mot de passe fort avec lequel j'évite d'aller sur le Web (je coupe la carte Wi-Fi quand je l'utilise), un compte utilisateur normal protégé par un mot de passe simple (juste pour empêcher les indiscrets de venir y fouiner) et un compte invité pour les autres personnes qui souhaiteraient utiliser l'ordinateur. J'avais l'impression d'être paranoïaque avec cette protection, merci de me prouver qu'il n'en est rien ^^.

 

 

Jok : Je recommande de créer un autre compte d'utilisateur.

• Ce nouveau compte, laissez le en administrateur. Si vous êtes le seul à utiliser la machine, vous pourrez vous passer de mettre un mot de passe sur ce compte. Au contraire, si vous deviez être plusieurs à l'utiliser, il sera recommandé d'y adjoindre un pass.
  
• Quittez ensuite la session, et loguez vous sous le nouveau compte admin. Retournez dans les comptes utilisateurs, et passer votre véritable compte en utilisateur standard.
  
• Si vous avez besoin de faire des analyses en ligne avec Internet Explorer, inscrivez les sites dans la zone de confiance, cela va vous permettre de faire une analyse en ligne sous compte standard. Il est évident que vous devrez installer l'ActiveX sous compte admin.
  
• Si vous devez installer un pilote, ou un programme, vous pourrez lancer l'exécutable d'installation via le clic droit, et le menu contextuel "Lancer en tant qu'administrateur". Durant toute la durée d'installation, seul ce processus sera l'ayant droit du jeton temporaire admin, donc avec les droits correspondants.
  
• Tout bouton sur lequel vous verrez un "bouclier au logo Windows" déclenchera une demande d'élévation de privilèges administrateur. Cette demande se verra accordée avec l'inscription du pass administrateur, et validation. Si vous ne mettez pas de pass, pressez juste le bouton OK. Rien ne peut s'installer sans les privilèges administrateur. C'est le premier rempart de sécurité et sans doute le meilleur à l'heure actuelle.
  

• UAC est un peu encombrant au début, mais l'utilisateur patient est grandement récompensé par la suite. Le système reste sain dans l'ensemble; au point qu'il est parfois à se demander pourquoi et à quoi sert l'antivirus.
  

En cas de difficultés.

• Il est important de persévérer, sous un compte standard. Pour savoir si UAC est actif, essayez d'installer un programme, ou de lancer un nettoyage de disque par exemple.
  

• Une autre manière c'est de faire un clic droit sur un raccourci, et choisir dans le petit menu => Exécuter en tant qu'administrateur. L'écran doit passer en obscurci, et une petite boite de dialogue doit vous demander le pass de l'administrateur inscrit sur l'ordinateur. Lorsque vous aurez mis le pass et validé, vous serez sous les droits de l'admin, mais juste le temps de l'utilisation de l'objet que vous avez lancé.
  

• Essayez ceci pour vous habituer :
  • Rendez vous sur cette page =>

http://www.ccleaner.com/download/builds.aspx
Utilisez ce lien marqué CCleaner v1.41.xxx - Basic
Enregistrez sur le bureau.
Faites un clic droit sur ccsetup141.exe (Ccleaner) et lancez "en tant qu'administrateur".
Mettez le pass demandé, et validez.
Le programme va s'installer, parce que les droits requis pour l'installation sont autorisés.
Attention durant cette installation, veillez à décocher les cases non voulues. Personnellement je ne laisse que les 2 cases du haut cochées, je décoche toutes les autres (ajouter un raccourci sur le bureau, et ajouter un raccourci dans le menu Démarrer).
Si vous ne trouvez pas de raccourci sur votre bureau, vous pourrez en créer un. Allez dans Ordinateur => Disque local C: => Programmes => CCleaner. Vous y trouverez ccleaner.exe. Clic droit dessus, et envoyer vers... Bureau (créer un raccourci). De votre bureau, vous pourrez le lancer, soit en tant qu'administrateur, ou simplement pour nettoyer votre propre répertoire.

[Gof]

J'ai désactivé l'UAC parce que j'ai vu dans les astuces qu'il était possible de le désactiver sans avoir de gros inconvénients. C'est vrai que toutes ces demandes d'autorisation qui se cumulent aussi avec celles d'un antivirus sont un peu assomantes !

 

Jok : UAC ne devient "embêtant" que lorsque vous voulez intervenir sur le (ou des) fichier (s) système (s). Un exemple frappant est l'utilisation des propriétés ou paramètres de l'antivirus par exemple. Pour remédier à ça, vous avez la fonction de surveillance avancée. Cette fonction vous permet de donner des autorisations partielles ou complètes sur des éléments du système. Jetez y simplement un oeil, vous vous apercevrez vite que vous pourrez gérer plus finement les programmes et autres logiciels utiles.

• Activer simplement le contrôle parental, puis Contrôle utilisateur, puis configurer la manière dont "user X" utilisera l'ordinateur. Vous trouverez pleins de manières d'affiner le tout. Bref ça s'appelle Administrer correctement un ordinateur. Et ça concerne tous les systèmes NT, pas seulement Windows Vista.
  

• La ligne de conduite prioritaire :Que ce soit sous Windows NT ou GNU/Linux, il ne faut pas utiliser de compte de type administrateur pour se promener sur la toile ! C'est vrai pour le passé comme le futur. Créez vous un compte limité, à vous et autres utilisateurs du PC, la sécurité de votre ordinateur ne s'en portera que mieux, ainsi que celle des autres usagers d'Internet.
  

[Gof]

Mon pare-feu (Windows) me prévient et me demande une autorisation à chaque fois qu'une application tente d'accéder à Internet pour la première fois. Dans ces conditions, comment un virus pourrait passer outre? En se faisant passer pour une application déjà autorisée?

 

Jok : La manière d'opérer du malware sera toujours relative à la catégorie dans laquelle il se situe.

• Il essaiera de se faire passer pour un autre programme, c'est ce qu'on rencontre sur des fichiers dont l'orthographe est sujette à caution, exemple Isass.exe par rapport à lsass.exe, ou encore svchost.exe et scvhost.exe.
  
• La technique de l'injecteur est aussi utilisable par certains, quoique ils deviennent plus rares (à mon avis), l'ennui dans ce cas là, c'est que l'antivirus doit être capable de "nettoyer" le fichier original, ce qui veut dire ôter la partie infectieuse, et juste elle.
  
• Celle que l'on rencontre le plus souvent actuellement est issue des propriétés même du compte administrateur. Un administrateur, de par les droits lui étant conférés (par winlogon entres autres) passe outre la permission firewall. Ainsi par exemple, vous installez un antivirus, qui lui même va mettre une librairie dll sous contrôle de winlogon. Ceci va permettre à l'antivirus de se mettre à jour, même si un compte limité est actif, et seulement lui.
  
• Dernière technique, et c'est la plus inquiétante, le rootkit (son extention est fichier.sys). Dans ce cas, vous avez le malware qui réussit à s'installer en mode "driver". L'ennui, le driver est chargé avant winlogon.
  

• Le firewall de Vista (en fait vous en avez 2) est configuré par défaut, vous autorisez le programme xx, le passage s'ouvre pour ce programme. Le firewall caché, vous le retrouverez dans les fonctions avancées du pare-feu Windows. Pour le configurer, vous devrez avoir des connaissances de TCP/IP, un peu à la manière de iptables sous GNU/Linux, mais sous interface graphique. Lui fera du Outbound / Inbound basé sur les regles que vous aurez configurées.
  

[Gof]

Utiliser un programme en mode administrateur (Firefox par exemple, ce qui est nécessaire pour installer des plugs-in ou faire le scan Panda en ligne) présente-t-il des risques? Et si oui, quels risques?

 

Jok : Si vous devez pour une raison ou pour une autre, utiliser un scan en ligne par exemple, que ce scan en ligne nécessite un ActiveX (nous sommes donc avec Internet Explorer)

• Sous Vista, vous pouvez installer ce module sous compte administrateur, puisque UAC vous demandera le mot de pass lors de l'installation du module. Comme vous êtes toujours sous la même instance IE, ça ne pose pas de problèmes autres que ça.
  
• Par contre sous XP, la technique diffère. Là et toujours pour pouvoir utiliser l'activeX, vous devez l'installer sous compte administrateur, puis déclarer le site éditeur de cet ActiveX comme étant un site de confiance, ou si vous voulez, il sera en trusted zone. La seule exception sous XP sera Windows Update; Vous devrez impérativement être logué sous compte admin pour mettre à jour, ou permettre plus précisément, l'installation des mises à jour. En ayant ajouté simplement le site windows update microsoft dans la trusted zone, vous pourrez analyser votre système, et déterminer si des mises à jour sont disponibles ou installables. Pour le faire, il faudra passer par le compte admin.
  
• Concernant Mozilla Firefox, vous n'avez pas ce problème. Chaque utilisateur inscrit sur le système aura dans son propre répertoire, les spécificités propres à son utilisation. En clair, chaque compte dispose d'un sous répertoire Mozilla dans Application Data. Vous pouvez donc installer les modules complémentaires directement, sous réserve, que ce même module ne dépasse pas votre propre répertoire, et les droits admis sur ce répertoire.
  

[Gof]

le pare feu Vista (le premier si j'ai bien compris, qui s'occupe d'ouvrir le passage à certain programmes) attache-t-il chaque programme à un port spécifique? Ou est ce que le port change à chaque utilisation du programme? Cette dernière solution me paraît plus sûre, mais je n'y connais pas grand chose.

 

Jok : Le procédé d'ouverture de port (s) est transparent.

• Le port destination du paquet IP est déterminé par le serveur distant (http 80, pop3 110, smtp 25,...) que l'on cherche à joindre et ce si les RFC sont respectées de part et d'autre. Rien n'empêche techniquement d'envoyer du http à destination de tcp 110. Le port source utilisée par l'application cliente est aléatoire (plus ou moins) et se trouve au dessus des ports systèmes (> 1024) (précision de Greywolf)
  La seule action que vous aurez à faire, sera juste de donner l'autorisation de passage pour les applications.
  La documentation de Windows s'est grandement améliorée avec Vista, et devient un peu plus complète et abordable techniquement. Un effort a été fourni pour justement permettre une meilleure compréhention de l'aide fournie.
  

[Gof]

Je rencontre actuellement un petit souci avec la nouvelle java que j'ai installé. en effet, elle ne veut pas se lancer dans le navigateur Ie7 mais elle marche très bien sous firefox et opera. pour que ça marche sous ie7 il faut que désactive le UAC de vista. (...)

Pour installer java j'ai désinstaller la précédente en passant par le panneau de configuration : ajout/suppression d'un programme. et j'ai télécharger sur le site de java.com la derniére version pour une installation hors ligne.

Sous ie7 ca marche pas le test sur le site de java par contre sur firefox2 et opera ca marche. Sachant que je suis déja aller voir sur les modules complémentaires de ie7 que java était activé et sur l'onglet "sécurité">"personnaliser le niveau" j'ai les "applet" java activés aussi. Et lorsque j'ai fait le test en désactivant l'UAC de vista et bien le java se lance dans ie7.

 

Jok : Je suppose que votre compte sous lequel vous vous connectez est un compte de type administrateur. Il faudrait vérifier que IE7 est bien reconnu et utilisable.

• Logo Vista>Panneau de configuration (basculer vers l'affichage classique) ou si vous ne basculez pas, ce sera dans Options supplémentaires. Vous devriez trouver l'icône Java. Double clic dessus, l'interface va s'ouvrir. Vous êtes dans la configuration de Java machine.
  
• Choisissez l'onglet Avancé. Vous avez une liste avec des signes + devant. Clic sur celui devant Java par défaut des navigateurs. Seront listés ici tous les navigateurs pour lesquels Java est actif ou non. Vérifiez que Microsoft Internet Explorer est bien listé, et sa case cochée. Si ce n'était pas le cas, cochez la case, puis Appliquer.
  
• Vous avez aussi en onglet Général, le bouton Paramètres réseau. Vérifiez que Utiliser les paramètres du navigateur est cochée à l'exclusion de toute autre, et surtout pas connexion directe.
  
• En dessous vous avez aussi une zone Fichiers Internet Temporaires et le bouton Paramètres. Cliquez dessus puis cliquez sur le bouton rétablir les valeurs par défaut. Ok pour refermer.
  
• De temps à autres, vous pourrez revenir dans cette interface pour supprimer les fichiers temporaires du cache.
  

[Gof]

J'ai effectué toutes les manipulations mais rien à faire, j'ai toujours le souci : sous ie7 le test de java sur java.com echoue.

 

Jok : Créez s'il vous plait un nouveau compte d'utilisateur, que vous allez laisser en type administrateur.

• Affectez lui un mot de passe, 6 caractères minimum. Ces caractères peuvent être des minuscules, majuscules ou chiffres. Le mieux serait de faire un mélange facilement mémorisable pour vous.
  
• Ensuite rendez vous dans le panneau de configuration, et désinstallez Java. Une fois désinstallé, vérifiez l'absence du répertoire Java dans le dossier Programmes, si le dossier est présent, supprimez le. Rendez vous dans Windows>Prefetch et supprimez tout sauf le sous dossier ReadyBoost.
  
• Téléchargez une nouvelle version, mais ne l'installez pas encore. Laissez la sur le bureau. Mettez vous aussi un mot de passe pour votre session utilisateur.
  
• Redémarrez la machine. Connectez vous sous le compte administrateur nouvellement créé. Rendez vous dans les comptes d'utilisateurs, et modifiez le type de compte que vous utilisiez avant, en compte standard. Veillez à ce que UAC reste actif.
  
• Quittez la session administrateur. Lancez la vôtre comme utilisateur normal. Tous vos paramètres seront encore en place, sauf que vous êtes à présent un utilisateur comme un autre.
  
• Cliquez avec le bouton droit sur l'exécutable de java, et "Exécutez en tant que administrateur", UAC va se déclencher, puis vous demander le mot de passe administrateur. Vous le lui donnerez, et l'installation débutera, avec les droits requis. L'installation terminée, ces droits cesseront aussi.
  
• Lancez Internet Explorer, et règlez le niveau de sécurité. Pour Internet en général, l'option par défaut est un peu trop restrictive. Je l'ai règlé sur "Moyenne". Si vous avez installé un module ActiveX d'un site antivirus en ligne, vous devez le mettre dans les sites de confiance, pour pouvoir l'utiliser.
  
• UAC vous demandera à chaque fois le mot de passe administrateur si le besoin est requis. Un peu de temps d'adaptation sera nécessaire, mais croyez moi :
  • 1) ça en vaut la peine
    2) la sécurité s'en trouve décuplée
    3) petit à petit, vous ne serez plus embêté par UAC. La raison en est que vous allez éviter avec le temps, de déclencher UAC.
    

  [*]Si vous devez faire des maintenances, faites les sous compte administrateur, et hors Internet (mis à part Windows Update). Pour finir, je continue de recommander l'utilisation de FireFox comme navigateur par défaut, avec mise en place de Adblock Plus comme module complémentaire, et abonnement sur le fournisseur français. le confort de navigation est excellent ainsi.

[Gof]

Les utilitaires, autonomes et portables, comme Atf-cleaner fonctionnent ils correctement. L'exécutable tourne sous Vista, mais je parle de nettoyer les bons dossiers, en tenant compte des différences d'arborescence entre XP et Vista ?

 

Jok : Je confirme. L'exécutable se lance et se paramètre exactement comme sous XP.

• Il peut être lancé en mode User, le nettoyage ne se fera que pour l'utilisateur ayant lancé cet utilitaire.
  
• Mais il peut aussi être lancé en mode RunAs (admin). Dans ce cas, il sera un nettoyeur générique accédant aux répertoires du système dans son ensemble.
  

• Si plusieurs utilisateurs sont sur le système, je recommande de le placer dans un répertoire partagé, ou dans les programmes, puis simplement ajouter un raccourci sur le bureau de l'utilisateur, à moins que l'on ne préfère l'avoir dans le menu démarrer. Là aussi les 2 modes de lancement sont possibles, avec le clic simple pour le mode user, et le clic droit "Exécuter en tant qu'administrateur". Voir "Pour s'entraîner et s'habituer, avec CCleaner" du

post#2.

[Gof]

ma petite maman vient de s'acheter un nouvel ordi avec vista dessus.Je voudrais lui installer antivir et spybot,pensez vous que les deux soient compatibles entre eux et sutout avec vista.Ou sinon avez vous d'autres suggestions?

 

Jok : Comprenons-nous bien...

• Qu'est ce qu'un antivirus ?
  

• C'est un logiciel destiné avant tout à protéger mon disque dur de tout malware connu (parce que pour ce qui est des inconnus... vous repasserez tous), l'antivirus ne pourra me protéger vraiment que de ce qu'il connait, ce qu'il ne connait pas, c'est le "on laisse passer, on verra bien après.
  Après c'est l'heuristique qui va prendre le relais. Heuu et le bouclier web ? Lui non plus ne me protègera pas bien. Avast par exemple laisse passer pas mal de choses, ensuite seulement il tentera de réparer les dégats. Il n'est pas seul en cause, Nod32 (qui reste tout de même un de mes préférés, mis à part Antivir), c'est pareil.
   
  Alors je vais être clair dans mes propos. La meilleure protection, ce sera toujours l'utilisateur. Il est évident qu'il peut très bien se faire aider ou seconder par un antivirus; dès lors cet antivirus passera au second plan. Donc installez lui Antivir, et seulement cela. Ceci ce sera pour les premiers temps. Il faut optimiser votre Windows Vista.
   
  L'optimiser veut dire, désactiver les services inutiles du démarrage, enlever également du démarrage toute application qui n'en a pas besoin.
  paramétrer correctement Vista, pour qu'il soit le plus simple et confortable possible dans son utilisation courante. Cette utilisation courante doit se faire sous compte limité donc un compte de type standard.
  La règle : Toute installation de logiciel, pilote (ceci désigne aussi les rootkit), application quelle qu'elle soit (ceci désigne aussi les malware) nécessite des droits administrateur !
  Durant tout le temps qu'il va vous falloir pour optimiser le tout, utilisez un antivirus. Si le module de antivir vous gêne durant la période où vous serez sous compte utilisateur standard, désactivez le guard du démarrage.
  Laissez en place les autres protections telles UAC, utilisez Firefox au lieu de Internet Explorer, nettoyez toujours vos cookies, et autres fichiers internet temporaires. ATF-Cleaner est très bien pour ça. 2 ou 3 clics et c'est fait, ça prend 30 secondes. N'installez pas de logiciels douteux, n'utilisez pas de logiciels de type Peer&Peer. Ne lisez pas vos mail en html, mais en texte clair. Pour les pièces jointes, analysez les systématiquement avec un antivirus en ligne ou votre Antivir s'il est en place. Personnellement j'utilise Gmail, qui me fait le tri entre ce qui est bon ou non, et il s'en sort pas trop mal je dois dire. Pour terminer, je ne provoque pas d'envois vers mon adresse courriel, je ne laisse donc pas trainer mon adresse gmail sur les forum et de manière ouverte. Si vous avez des questions, vous trouverez certainement la réponse sur le forum.
   
  Donc oui, durant tout le temps qu'il va falloir à votre mère pour s'habituer à Vista, mettez lui Antivir, qui est tout à fait autonome dans son fonctionnement, mis à part peut être le "guard".
  

• Pour une sécurité optimale sous Vista.
  

• - 1 compte administrateur sous pass
  - 1 compte utilisateur standard sous pass également.
  

• Que votre maman et tout utilisateur inscrit, utilise ce compte standard, pour toutes les tâches. Si elle veut utiliser des droits et privilèges supérieurs, elle peut se les octroyer via le clic droit sur l'exécutable à lancer, et choisir dans le menu contextuel => Exécuter en tant qu'administrateur.
   
  Les reglages de bureau doivent être fait avant le passage sous compte standard, ça facilite la bascule, vers ce compte. Pour répondre à la question, Antivir seul sera amplement suffisant, mais il faut le paramétrer convenablement. Il faut qu'il soit en quelque sorte autonome. (...) Cependant, ce n'est pas le facteur déterminant. Vous ne devez pas vous appuyer sur les outils de défense et sécurité existants, mais sur votre comportement vis à vis de l'utilisation de votre système d'exploitation, ainsi qu'Internet. Je l'ai déjà indiqué plus haut (la phrase est en rouge).
  

• 1. Activer le compte Administrateur ! Ou si vous ne désirez pas le faire, créez un compte qui fera partie du groupe administrateur.
  • Procédure : cela se fait en 2 étapes.
    A. Orbe (menu démarrer) => Clic droit sur Ordinateur et choisir Gérer. Rendez-vous dans la section Utilisateurs et groupes locaux clic sur la petite fléche devant, puis Utilisateurs.
    Si Administrateur se trouve dans la liste. Faites un double clic dessus (ou clic droit et Propriétés) et décochez la case devant => Le compte est désactivé
    Si vous êtes plusieurs sur le poste, et que vous ne voulez pas que d'autres puissent utiliser ce compte pour modifier la gestion, mettez y un mot de passe que vous pourrez facilement retenir, mais que sera difficile à trouver pour qui que ce soit d'autre).
    Si Administrateur n'est pas dans la liste, clic simple sur Utilisateurs, et aller dans le menu (en haut) Action et choisir Nouvel utilisateur, renseignez les champs tels que voulus. Puis validez. Refermez cette fenêtre.
     
    B. Orbe => Panneau de configuration => Ajouter ou supprimer des comptes d'utilisateurs
    Cliquer sur le nouveau compte créé et Modifier le type de compte Donnez lui le statut administrateur. Valider en clic sur Modifier...
    

2. Redémarrer la machine. Et identifiez vous sur le nouveau compte créé. Retournez dans le panneau de configuration, et basculez vos autres comptes en compte de type standard.

 

Normalement, toutes les propiétés et paramétrages de vos comptes respectifs sont préservés. Si pour une raison, ou pour une autre vous deviez avoir des problèmes, activez le controle parental sur les comptes et donnez des droits sur les logiciels spécifiques aux utilisateurs. Vous trouverez très facilement comment faire, au besoin, nous sommes toujours là.

 

Un très bon conseil; utilisez ATF Cleaner, et nettoyez tous les jours ou tous les 2 jours vos fichiers temporaires.

Si vous avez besoin de partager des fichiers et dossiers entres utilisateurs, servez vous des dossiers nommés Public. Ce dossier est accessible à tout utilisateur inscrit sur le système. Pour moi c'est une excellente protection (la premier et principale en fait). Dès lors que vous n'installez pas de logiciel d'origine non controlé, ou analysé au préalable, vous ne devriez pas avoir trop de problèmes d'ordre sécurité. Autrement dit, installez des logiciels et programmes sûrs.

 

Si vous avez besoin de droits administrateur de façon ponctuelle, utilisez le clic droit sur l'exécutable, ou le raccourci de l'exécutable "lancer en tant qu'administrateur". Tout autre outil devient secondaire après ça, mis à part le firewall, qui lui reste une nécessité absolue.