Selon Microsoft Learn, Microsoft présente « Administrator protection », une fonctionnalité de sécurité de Windows 11 conçue pour faire respecter le principe du moindre privilège en n’accordant les droits administrateur que sur demande et avec approbation explicite via Windows Hello.
• Fonctionnement et architecture: Les utilisateurs se connectent avec un jeton déprivilegié, puis Windows crée à la demande un jeton admin isolé via un compte système caché et séparé du profil, uniquement pour l’opération en cours. L’élévation est explicitement autorisée par l’utilisateur (pas d’auto‑élévation), l’admin token est détruit à la fin du processus, et l’élévation constitue une nouvelle barrière de sécurité. Intégration à Windows Hello pour une authentification simple et sécurisée.
• Bénéfices mis en avant: Sécurité renforcée (prévention des changements accidentels et des abus par des malwares), contrôle utilisateur explicite des élévations, réduction du malware en brisant la chaîne d’attaque liée à l’acquisition silencieuse de privilèges admin.
• Disponibilité et configuration: La fonctionnalité sera bientôt disponible sur Windows 11; elle avait été listée dans la mise à jour non‑sécurité d’octobre 2025 (KB5067036) puis retirée pour un déploiement ultérieur. Configuration possible via Intune Settings Catalog (Preview), CSP, Stratégie de groupe, et Windows Security Settings (Preview). Paramètres cités: “User Account Control Behavior Of the Elevation Prompt for Administrator Protection” et “User Account Control Type Of Admin Approval Mode”. Un redémarrage est requis pour prise d’effet.
• Supervision et journalisation: Deux nouveaux événements ETW sous le fournisseur Microsoft-Windows-LUA (GUID {93c05d69-51a3-485e-877f-1806a8731346}) — ID 15031 « Elevation Approved » et 15032 « Elevation Denied/Fail ». Journalisation de: SID de l’utilisateur, nom/chemin de l’application, résultat (approuvé/refus/timeout), compte admin géré par le système, méthode d’authentification (mot de passe, PIN, Windows Hello). Exemple de capture: logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets.
• Limitations, dépannage et périmètre: Recommander l’usage de comptes SYSTEM ou de services dédiés pour les tâches planifiées « avec les privilèges les plus élevés »; SSO non disponible entre session standard et élevée (ré-authentification requise); lecteurs/réseaux non accessibles depuis les apps élevées (préférer l’installation en contexte utilisateur ou copier localement avant élévation); paramètres applicatifs non partagés entre profils. Hors périmètre: connexions à distance, profils itinérants, admins de secours. Cas de non‑activation: appareils nécessitant Hyper‑V ou WSL, applications ne pouvant accéder aux extensions Edge ou aux fichiers partagés entre profils (ex. certains installateurs WebView2). Problèmes connus: icônes absentes du menu Démarrer après installation élevée (accès manuel au dossier), blocage de mises à jour d’applications nécessitant la désactivation temporaire (avec redémarrage).
Type d’article: mise à jour de produit visant à présenter une nouvelle fonctionnalité de sécurité et ses modalités de déploiement/administration.
🔗 Source originale : https://learn.microsoft.com/en-us/windows/security/application-security/application-control/administrator-protection/?tabs=intune#system-requirements