DropMyRights (DMR)

DropMyRights permet d'abaisser les droits lors d'un travail sous un compte avec droits administratifs, sous Windows XP (ce que Microsoft a définitivement corrigé à partir de Windows Vista et toutes les versions suivantes de Windows).

Perdre ses droits, inutiles et dangereux lorsque l'on n'en a pas besoin, c'est-à-dire tout le temps sauf à d'infimes rares exceptions, n'est pas quelque chose de frustrant ou une brimade, c'est de l'intelligence et de la prudence !

Le Web est la source de la quasi-totalité des attaques et de l'insécurité. Vous ne devez ni surfer sur le Web, ni consulter vos e-mails, ni accéder sous quelque forme que ce soit (messagerie instantanée, P2P, etc.) au Web lorsque vous êtes en privilèges d'Administrateur.

À partir de Windows Vista, même si vous vous êtes identifié sous un compte administratif (votre compte administrateur du système), tout ce que vous faites est exécuté avec des privilèges réduits. Il faut demander une élévation de privilège pour pouvoir utiliser les droits administratifs attachés au compte administrateur.

Pour en savoir plus sur ce fonctionnement, à partir de Windows Vista, lire :

• Contrôle de compte utilisateur (UAC)
  
• Ouvrir une invite de commande (Comment...)
  
• Comment exécuter un programme en tant qu'administrateur ?

L'incroyable risque sécuritaire que représente la folie de travailler avec un compte administratif existe pour toutes les versions de Windows antérieures à Windows Vista, dont Windows XP qui représente encore 20% des systèmes Windows installés à la date où Microsoft cesse de mettre à jour ce système (le 08.04.2014). À la moindre pénétration de votre ordinateur par un cybercriminel, il se retrouve avec les droits les plus élevés alors que vous-même n'en avez pas besoin et ne vous en servez pas !

Principe de moindre privilège : Un document PDF d'Assiste.com (47 pages - français)

Appliquer le principe de Moindre Privilège aux comptes utilisateurs sous Windows XP.
Ne s'applique qu'à Windows XP - À partir des versions suivantes de Windows, vous travaillez toujours en mode réduit même si votre compte est un compte administratif.

Le document suivant doit être lu pour bien s'imprégner du niveau de risques induits avec les privilèges d'administration (pas seulement sous Windows XP et antérieurs).

Le principe de moindre privilège ou comment protéger mon ordinateur en basculant mon compte administratif en compte utilisateur ?

Vous disposez, par défaut, de 4 profils de travail avec Windows XP. Créez un compte dans le profil « Utilisateurs » et travaillez sous ce compte. N'exploitez votre compte dans le profil « Administrateur » qu'exceptionnellement.

1. Administrateur
   Ont un droit d'accès illimité à l'ordinateur
   
2. Utilisateurs avec pouvoirs - ( Power User )
   Possèdent quelques droits administratifs sur une machine, comme partager des fichiers, installer des imprimantes locales, changer la date et l'heure du système. Ils possèdent des pouvoirs étendus pour accéder aux fichiers dans les répertoires système.
   
3. Utilisateurs - (Users)
   Ils possèdent des droits limités et totalement suffisants pour utiliser les applications et faire tout ce qui concerne le travail courant avec un ordinateur sous Windows. Ils ne peuvent effectuer des changements, accidentels ou volontaires, dans le système, ne peuvent ouvrir un port dans le pare-feu, ne peuvent lancer un service (ni en arrêter un). C'est un compte créé dans ce profil que vous devez utiliser, exclusivement, pour tout l'usage de votre ordinateur.
   
4. Invités
   Droits restreints par rapport aux droits « Utilisateurs ».
   

Que faire pour les irréductibles du contexte inutile et dangereux d'administrateur ? Utiliser DropMyRights !

DropMyRights permet de lancer certaines applications, choisies, dans un contexte de droits réduits bien que l'utilisateur soit identifié en tant qu'administrateur.

Techniquement, Windows XP et Windows Server 2003 (et les versions supérieures) permettent d'utiliser ce que l'on appelle des « jetons restreints » (« Restricted tokens ») grâce à une fonctionnalité nommée « Software Restriction Policy » (aussi appelée SAFER) qui permet d'exécuter du code avec moins de privilèges que ceux dont dispose le compte qui lance l'application. Ainsi, un administrateur peut lancer une application en tant qu'utilisateur normal en supprimant (restreignant) certains SIDs et privilèges du jeton au lancement du processus de cette application.

DropMyRights va vous permettre de créer des raccourcis de lancement des applications que vous choisissez. Chaque raccourci va lancer DropMyRights et c'est DropMyRights qui va lancer l'application dans un contexte à droits restreints. Vous créez donc autant de raccourcis que vous avez d'applications, surtout, toutes celles se connectant au Web. Les raccourcis habituels de lancement de vos applications en mode non sécurisé restent inchangés et vous pouvez toujours les utiliser (mais cela est vivement déconseillé).

Idée:
Nommez ces raccourcis du même nom que celui qui lance l'application de manière non sécurisée et ajoutez simplement un préfixe ou un suffixe, toujours le même, à ces noms, pour les distinguer. Par exemple :

• Internet Explorer DMR Internet Explorer ou Sécur Internet Explorer
  
• Outlook Express DMR OutLook Express ou Sécur OutLook Express
  
• Etc.

Ensuite, vous pouvez, accessoirement, créer un menu et grouper tous ces raccourcis de lancements sécurisés.

1. Télécharger DropMyRights
   Téléchargez DropMyRights et enregistrez-le dans un dossier à lui (par exemple c:\DropMyRights ou C:\dmr).
   
   
   
   Télécharger DropMyRights
   
   
   
   
   Télécharger DropMyRights
   
   
   
2. Vérifiez le téléchargement
   Vérifiez que le téléchargement n'est pas corrompu. Utilisez SummerPropreties (ou HashTab). Les condensats (Hashcodes) doivent être identiques à ceux donnés ci-dessus sous la rubrique « Taille » de la carte d'identité de DropMyRights.
   
   
3. Installez DropMyRights
   
   1. Faites un « double click » sur le fichier téléchargé (DropMyRights.msi) pour en lancer l'exécution. Les fichiers .msi utilisent l'installateur de Microsoft : Windows Installer dont vous devriez disposer (normalement).
      Nota : Windows Installer va tenter d'accéder au Web (aux serveurs de Microsoft), mais on ne voit pas pour quelle raison, donc on le lui interdit au niveau du pare-feu.
      
      
   2. Premier écran d'installation - cliquez sur le bouton Next.
      
      
      
      Installation de DropMyRights
      
      
      
   3. Second écran d'installation - Acceptez les conditions de licence et cliquez sur le bouton Next.
      
      
      
      Installation de DropMyRights
      
      
      
   4. Troisième écran d'installation - Choisissez un répertoire d'installation, par exemple C:\dmr\ et rendez-le exploitable par tous les utilisateurs de cet ordinateur en cochant le bouton radio Everyone. Cliquez sur le bouton Next.
      
      
      
      Installation de DropMyRights
      
      
      
   5. Quatrième écran d'installation - Windows Installer vous dit qu'il est prêt à installer DropMyRights - Cliquez sur le bouton Next.
      
      
      
      Installation de DropMyRights
      
      
      
   6. Cinquième écran d'installation - Attendez une dizaine de secondes environ.
      
      
      
      Installation de DropMyRights
      
      
      
   7. Sixième écran d'installation - C'est fini : DropMyRights est installé.
      
      
      
      Installation de DropMyRights
      
      
      
   8. Dans le répertoire d'installation, vous devez avoir ces 5 fichiers, dont le programme DropMyRights.exe (dont le chemin d'accès, dans cet exemple, est c:\dmr\DropMyRights.exe)
      
      
      
      Installation de DropMyRights
      
      
      
   9. Faites un « clic droit » (clic avec le bouton droit de la souris - ) sur DropMyRights.exe Créer un raccourci
      
      
   10. Faites un « clic droit » sur le raccourci Copier
   
   
4. Utilisez DropMyRights
   
   
   1. Créez un menu d'accueil sur votre bureau
      Nous allons créer des raccourcis permettant de lancer certaines applications en mode sûr. Il est possible de laisser traîner ces raccourcis sur le bureau de Windows, mais il est préférable et plus propre de les grouper. Nous allons donc créer un menu (un groupe - un dossier) pour accueillir ces raccourcis.
      « Clic droit » sur votre bureau Nouveau Dossier appelez-le, par exemple, « Navigation sûre DropMyRights »
      
      
      
      Utilisation de DropMyRights
      
      
      
      
      Utilisation de DropMyRights
      
      
      
   2. Insérer des raccourcis vers DropMyRights
      Nous allons mettre dans ce groupe plusieurs raccourcis vers DropMyRights - nous en aurons besoin tout à l'heure.
      Clic une fois sur ce nouveau dossier pour le sélectionner (ou double clic pour l'ouvrir - le résultat sera le même) « Clic droit » Coller (vous venez de coller dedans la copie du raccourci vers DropMyRights que nous avions faite ici).
      Refaites « clic droit » Coller plusieurs fois. Vous devez obtenir ceci :
      
      
      
      Utilisation de DropMyRights
      
      
      
   3. Créez les raccourcis sûrs
      
      Allez, par exemple, au hasard, sur votre icône de lancement d'Internet Explorer
      « Clic droit » (clic avec le bouton droit de la souris) Propriétés (le champ « Cible » est déjà entièrement sélectionné) « Clic droit » sur le champ « Cible » Copier
      
      
      
      Utilisation de DropMyRights
      
      
      
      Sur votre bureau, ouvrez le dossier « Navigation sûre DropMyRights » « Clic droit » sur l'un des nombreux raccourcis DropMyRights.exe que l'on vient de créer Propriétés Dans le champ cible mettez le point d'insertion à la droite du chemin d'accès à DropMyRights (à la droite de « C:\dmr\DropMyRights.exe » dans l'exemple donné) insérez UN espace coller Appliquer Ok.
      
      C'est terminé, le raccourci pour une navigation un peu plus sûre qu'en mode « Administrateur » et prêt.
      
      
      
      Utilisation de DropMyRights
      
      
      
      Renommez ce raccourci, par exemple, en « DMR Internet Explorer »
      Clic sur le raccourci Saisissez le nom que vous voulez lui donner.
      
      
      
      Utilisation de DropMyRights
      
      
      (Dans le cas d'Internet Explorer c'est "C:\Program Files\Internet Explorer\iexplore.exe" - notez que des guillemets ouvrants et fermants entourent la valeur de ce champ, car ce chemin d'accès contient des caractères « espace ». Il n'y a pas de guillemet (ou ils sont inutiles) lorsque le chemin d'accès ne comporte pas d'espace).
      
      
      
   4. Personnaliser le raccourci
      Pour finir, éventuellement, une fois le raccourci créé, il suffit de cliquer sur Propriétés du raccourci « Changer icône » puis clic sur « Autres icônes » et choisir une icône dans la liste présentée pour personnaliser le raccourci.
      
      
      
      
      Affichage des raccourcis DropMyRights sous forme de liste
      
      
      
      
      
      Affichage des raccourcis DropMyRights sous forme d'icônes
      
      
      
      
   5. Recommencez
      Recommencez autant de fois que nécessaire, à partir de ce point, pour vos autres applications se rendant sur le Web.
      
      Les chemins d'accès montrés ici en exemple ne correspondent probablement pas aux vôtres. Vos applications sont, par défaut, installées dans le répertoire « Program Files » du disque système (généralement C:) et sont dans un sous répertoire du nom de l'application. Vous pouvez récupérer leurs chemins d'accès complets en faisant un « Clic droit » Propriété sur leurs icônes de lancement actuel.
      
      Exemples :
      Outlook Express : "C:\Program Files\Outlook Express\msimn.exe"
      Outlook : C:\ms_office\Office\OUTLOOK.EXE
      Firefox : C:\Navigateurs\Firefox\firefox.exe
      Thunderbird : C:\Courrieleurs\Thunderbird\thunderbird.exe
      Windows Media Player : "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1
      Etc.
      
      À la fin, vous obtenez un groupe, sur votre bureau, du genre de celui-ci (affichage en liste ou en icônes selon votre réglage de votre Explorateur de Windows) :
      
      

• Il y a incompatibilité entre DropMyRights et une connexion SSL (HTTPS) sous Internet Explorer. Si vous devez aller sur un site en mode SSL (HTTPS) avec Internet Explorer, par exemple votre banque, lancez votre navigateur en mode normal et pas en mode restreint. Cela semble fonctionner normalement avec Firefox (navigateur Web vivement recommandé) en mode restreint.
  http://blogs.msdn.com/paranoidmike/archive/2005/01/26/360704.aspx
  
  
• Dito ci-dessus : Il y a incompatibilité entre DropMyRights et une connexion SSL (HTTPS) avec Outlook et Outlook Express. Votre compte ****@gmail.com par exemple, qui utilise une connexion sécurisée SSL (HTTPS), devrait, selon la remarque ci-dessus, être joint en mode normal (non sûr) avec Outlook et Outlook Express et pas en mode restreint. Cela semble fonctionner normalement, y compris avec le commutateur « U », avec FoxMail (Foxmail lancé avec DropMyRights commutateur « U » accepte de relever des mails sur @gmail en mode SSL sur le port 995 nous fait remarquer « Félix le chat » sur nos forums).
  
  
• Allez sur Windows Update - (Microsoft Update - anciennement exclusivement sous Internet Explorer à cause de la technologie ActiveX - cette restriction n'existe plus, Microsoft ayant abandonné la technologie scélérate ActiveX), en mode normal (avec droits administratifs - sinon vos tentatives de modifications du système (mises à jour) en tant qu'utilisateur à droits restreints seraient, très logiquement, rejetées).
  
  

1. Il existe des options, dans DropMyRights, qui peuvent être insérées dans la ligne de commande. La syntaxe est :
   DropMyRights.exe {path} [N|C|U]
   
   
   • DropMyRights.exe est le chemin complet d'accès à DropMyRights.exe, comme nous l'avons vu ci-dessus. Dans nos exemples, c'est :
     C:\dmr\DropMyRights.exe
     
     
   • {path} est le chemin complet d'accès à l'application que DropMyRights doit lancer.
     Exemple :
     "C:\Program Files\Internet Explorer\iexplore.exe"
     C:\Utilitaires\quicktme\iTunes.exe
     
     [N|C|U] est l'option dont nous parlons ici. C'est un « argument » (un « commutateur ») qui est « passé » à DropMyRights. Vous pouvez faire suivre {path} (le chemin d'accès à DropMyRights) d'un espace puis de N ou C ou U.
     
     Utilisez le mode « Normal » (commutateur « N ») pour la plupart des applications et « Constrained » (commutateur « C ») pour surfer sur des sites hostiles ou des sites Web potentiellement dangereux.
     
     
     • Le commutateur N lance l'application en mode utilisateur normal. C'est la valeur par défaut si vous ne fournissez pas d'argument
       Exemple : les 2 lignes suivantes sont équivalentes :
       C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe"
       C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" N
       
       
     • Le commutateur C lance l'application en tant que « constrained user »
       Exemple :
       C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" C
       
       
     • Le commutateur U lance l'application en tant que « untrusted user ». Cela peut perturber certaines applications.
       Exemple :
       C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" U
       
       
2. Il existe une autre version de DropMyRights, appelée DropMyRights.NET qui est une réécriture en C# du DropMyRights originel de Michael Howard (Microsoft). Développée par « The Mentalis.org Team », sa syntaxe est :
   C:\...\DropMyRights.exe [N|C|U] {path} {command-line parameters}
   Attention à l'emplacement de l'option [N|C|U] qui n'est pas le même que dans le DropMyRights originel.
   
   Cette version apporte 2 petits « plus » :
   
   
   1. Lors du lancement d'une application avec DropMyRights originel, il y a un très bref affichage (à peine visible sur une machine rapide) d'une fenêtre. DropMyRights.NET évite cet affichage.
      
      
   2. DropMyRights.NET permet de passer des arguments à l'application lancée alors que le DropMyRights originel ne le permet pas (si vous en indiquez, ils sont simplement ignorés). Par exemple, le lancement de Windows Media Player se fait avec un switch qui, sous DropMyRights originel, est « oublié ». Dans la ligne suivante, /prefetch:1 est un argument passé à WMP que DropMyRights originel fait tomber alors que DropMyRights.NET le passe à WMP.
      
      Sous DropMyRights.NET, la syntaxe est :
      C:\dmr\DropMyRights.exe C "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1
      
      
3. Il existe d'autres utilitaires pour ne pas travailler en mode administrateur, comme RunAsAdmin par exemple. L'avantage de DropMyRights est qu'il n'y a aucune incidence sur des utilitaires de sécurité qui nécessitent une session en mode administrateur, son action se limitant aux seules applications dont on lui demande de contrôler le raccourci.
   
   
4. Sous Internet Explorer (sous Windows XP et Windows Server 2003 uniquement), il est possible de se rendre compte du mode sous lequel on travaille en installant la PrivBar de Aaron Margosis.
   
   
   
   la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
   
   
   
   
   
   la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
   
   
   
   
   
   la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
   
   
   
   • Téléchargez l'outil dans un emplacement sur votre disque dur.
     
   • Dézippez (décompressez) PrivBar.zip (double clic dessus) et choisissez un emplacement pour recevoir l'archive décompressée. Vous obtenez 2 fichiers : la Dll (PrivBar.dll) et son outil d'enregistrement (PrivBarReg.reg).
     
   • Copiez PrivBar.dll (« Clic droit » copier) et collez (« Clic droit » coller) dans un endroit accessible à tous les utilisateurs - par exemple dans le répertoire Windows (c:\windows par défaut).
     
   • En mode administrateur, faites Démarrer Exécuter et, dans la boîte de dialogue, saisissez (« path » étant le chemin d'accès à la dll) :
     
     regsvr32 path\PrivBar.dll
     
     
     
     Installation (enregistrement dans la Registre Windows) de la PrivBar
     
     
     Clic sur Ok
     
     
     
     Installation (enregistrement dans la Registre Windows) de la PrivBar
     
     
     
   • En mode administrateur, double cliquez sur PrivBarReg.reg pour enregistrer (installer) la PrivBar et cliquez sur Ok dans les 2 fenêtres qui vont s'ouvrir.
     
     
   • Dans Internet Explorer, autorisez cette nouvelle barre d'outils à s'afficher. Faites Affichage Barres d'outils Privbar.
     
     
     
     Installation (enregistrement dans la Registre Windows) de la PrivBar
     

1. ↑ Applying the Principle of Least Privilege to User Accounts on Windows XP
   Application du principe du moindre privilège aux comptes utilisateur sous Windows XP
   Browsing the Web and Reading E-mail Safely as an Administrator
   Naviguer sur Internet et lire ses E-mails de manière sécurisée en tant qu'administrateur
   PrivBar Update, d'Aaron Margosis - version mise à jour pour Windows Vista et 7 - remplace l'ancienne version et fonctionne également sous Windows XP et Windows Server 2003