Comment configurer votre PC Windows 11 pour la protection de l'administrateur

Ces dernières années, les comptes administrateurs de Windows ont été de plus en plus ciblés par les auteurs de logiciels malveillants et les voleurs de données d’identification. Pour faire face aux menaces persistantes, Windows 11 déploie une fonctionnalité de protection de l’administrateur. Elle fournit un accès élevé « juste à temps » aux utilisateurs basé sur des jetons Windows Hello. Voici comment la configurer sur votre PC Windows 11 dès qu’elle sera disponible.

Qu’est-ce que la protection de l’administrateur dans Windows 11

La protection de l’administrateur est une fonctionnalité de sécurité dans Windows 11 qui sécurise la sécurité de votre appareil au-delà du Contrôle d’accès utilisateur (UAC). Au lieu d’accorder à un utilisateur admin des autorisations illimitées, le système génère des jetons temporaires et isolés. Une fois votre tâche d’administrateur terminée, le jeton est détruit. À partir de mai 2025, cette fonction ne sera pas disponible dans la version générale de Windows 11.

Les jetons s’authentifient via Windows Hello et sont invisibles pour l’utilisateur, qui ne voit qu’un code PIN Windows Hello ou des données biométriques. Pour prévenir les abus, ils existent pour la durée d’une seule demande admin. De cette façon, les logiciels malveillants ne peuvent apporter aucune modification à votre appareil car ils ne peuvent pas accéder à la couche cachée sous la sécurité Windows.

Chaque opération admin doit être autorisée séparément via la vérification à deux étapes dans Windows Hello. Même si vous êtes l’utilisateur le plus privilégié d’un réseau, le système vous attribue maintenant le niveau d’accès le « moins privilégié ». Cela ajoute une couche de sécurité robuste contre le vol de données d’identification, comme les menaces Windows NTLM.

Remarque : la fonction de protection de l’administrateur n’est pas disponible pour les utilisateurs de Windows 10 car elle nécessite un accès au module de plateforme sécurisée (TPM).

Comment activer la protection de l’administrateur sur votre appareil Windows 11

La fonction sera déployée progressivement à tous les utilisateurs de Windows 11 (Home/Pro, etc.) sur la version 27774 et ultérieure. Vérifiez Paramètres -> Système -> À propos -> Spécifications Windows -> Version du système d’exploitation. Actuellement, elle est sur la version Insider Canary, donc il faut continuer à vérifier les mises à jour de Windows 11.

Pour déclencher le flux de travail de protection de l’administrateur, vous devrez passer d’un compte utilisateur standard à un compte administrateur. Pour cela, tapez Win + R et entrez netplwiz. Double-cliquez sur votre compte utilisateur connecté, tel que « Administrateur ».

Sous Appartenance au groupe, vous pouvez constater que vous utilisez un compte Administrateur. Si vous êtes à un niveau Utilisateur standard, modifiez-le, cliquez sur Appliquer -> OK, puis déconnectez-vous de votre session de connexion et redémarrez.

Ensuite, vous devez configurer Windows Hello comme méthode de connexion sur votre appareil. Allez dans Paramètres -> Comptes -> Options de connexion, et sous PIN (Windows Hello), configurez votre PIN préférée. Confirmez-la, puis cliquez sur OK.

Utiliser un PIN avec Windows Hello fonctionne pour la plupart des utilisateurs. Si disponible, vous pouvez également utiliser la reconnaissance faciale ou l’empreinte digitale.

Enfin, pour configurer la protection de l’administrateur dans Windows 11, lancez la sécurité Windows depuis le menu de recherche ou la barre des tâches.

Allez dans Protection des comptes -> Paramètres de protection de l’administrateur, qui se trouvent en bas de la page. Ici, vous devez activer l’interrupteur Protection de l’administrateur.

Une autre façon d’activer la protection de l’administrateur est via l’Éditeur de stratégie de groupe local (encore une fois, uniquement dans la version Insider de Windows 11 27774 ou ultérieure). Allez dans Configuration de l’ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Politiques locales -> Options de sécurité.

Maintenant, double-cliquez sur Contrôle des comptes d’utilisateurs : Configurer le type de mode d’approbation de l’administrateur -> Mode d’approbation de l’administrateur avec protection de l’administrateur. Là, vous devez choisir authentification Windows Hello sous Demander des identifiants sur le bureau sécurisé.

Avec les deux méthodes activées, une fois que vous initialisez une tâche liée à l’administrateur, le système affichera une invite de code PIN Windows Hello pour obtenir votre autorisation. Cela est beaucoup plus sûr que d’utiliser un mot de passe car l’autorisation réelle est invisible et se fait en arrière-plan. Après avoir terminé votre tâche, par exemple l’installation d’un logiciel nécessitant des autorisations, l’accès temporaire est retiré.

Il ne reste qu’une dernière condition mineure. Pour activer cette nouvelle fonctionnalité, vos profils utilisateur doivent fonctionner correctement. Si votre service de profil utilisateur échoue à la connexion, nous avons quelques façons de le remettre sur la bonne voie.