Ce qui suit ne concerne que Windows VISTA
Par contre, sauf précision explicite, les articles des chapitres consacrés à WindowsNT4 , Windows 2000 et Windows XP/2003 s'appliquent aussi à Windows VISTA

Les différentes versions de VISTA

Windows VISTA est un système d'exploitation faisant suite à Windows XP.
Il est sorti le 7 décembre 2006 pour les professionnels et le 30 janvier 2007 pour le grand public.

Il existe 5 versions différentes, se distinguant par la présence ou non de certaines fonctionnalités.

Usage personnel          
Usage professionnel          
Version

(Nom US)
Fonctionnalités		 Familiale
basique
Home basic		 Familiale
Premium
Home Premium		 Professionnelle
 
Business		 Entreprise

Enterprise		 Intégrale
 
Ultimate
interface Aero
Sauvegarde planifiée
Jeux Premium
Media Center
Gravure DVD
Movie Maker
Restauration ordinateur
Connexion à un domaine
Bureau à distance
Chiffrement disque
Clichés instantanés
Multilingue

Mise à jour possible depuis :

  
Windows 2000 Nouvelle installation Nouvelle installation Nouvelle installation Nouvelle installation Nouvelle installation
Windows XP familial
Windows XP professionnel Nouvelle installation Nouvelle installation
Windows XP professionnel 64 Nouvelle installation Nouvelle installation Nouvelle installation Nouvelle installation Nouvelle installation
Windows XP Tablet PC Nouvelle installation Nouvelle installation
Windows XP Media Center Nouvelle installation Nouvelle installation Nouvelle installation

Remarques :

Outil de vérification de compatibilité d'un PC avec VISTA

Microsoft a créé un outil (Microsoft Windows Vista Upgrade Advisor) qui analyse un PC AVANT l'installation de VISTA et détermine si on peut ou non installer VISTA sur ce PC, et si oui quelles fonctionnalités seront ou non disponibles.

Cet outil est désormais disponible dans toutes les langues, dont le français.
Il n'est utilisable qu'avec avec les versions 32 bits de Windows XP et Windows Vista.

Il est également possible d'accéder à ce lien depuis la 1ère fenêtre d'installation de Vista depuis XP (si le PC a accès à Internet)

Une fois que Vista Upgrade Advisor est téléchargé et exécuté, on obtient cet écran :

Il suffit d'appuyer sur le bouton Démarrer l'analyse, et l'analyse s'effectue automatiquement.


Elle peut être très longue (suivant le matériel installé, le nombre de partitions installées, ...)
(45 minutes sur un de mes PC)

 

Après avoir appuyé sur le bouton Afficher les détails on peut lire le diagnostic :

Il est de plus suggéré la version la plus adéquate (ici Vista Professionnel), en fonction du système d'où l'on vient (ici XP Professionel) et du matériel installé.

Les résultats sont ensuite détaillés en 3 catégories (Système, Périphériques, Programmes) dans lesquelles sont signalées les éventuels problèmes.
Par exemple :

SYSTÈME
 Détection d'espace libre insuffisant
sur la partition principale

Aero non
supporté
Périphérique inconnu
 
Logiciel à désinstaller avant installation de VISTA, mais réinstallable après (sans garantie)
 

 
Logiciel à désinstaller avant installation de VISTA, et non réinstallable après.
Logiciel que l'on peut conserver, mais pouvant présenter des problèmes mineurs.
Logiciel ayant reçu le logo VISTA

Tous ces résultats peuvent être enregistrés dans un fichier UpgradeAdvisorTaskList.mht (au format mhtml)


 

Comment désactiver UAC (User Access Control)

UAC (User Access Control) est une fonctionnalité de sécurité apparue dans VISTA, censée renforcer la protection du système contre des malveillances ou erreurs.

Elle est activée par défaut, et se révèle très contraignante à l'usage, car la plupart des tâches administratives dont on a l'habitude sous les versions précédentes de  Windows NT (NT4, 2000, XP, 2003) se voient interdites, et dans les meilleurs cas provoquent l'ouverture d'une boite de dialogue demandant si on autorise ou non l'action concernée.

A distance c'est encore plus gênant : p.ex., un administrateur ne pourra pas, depuis une machine distante, copier un fichier dans un dossier (par exemple "Program Files") de la machine locale, même s'il a toutes les permissions pour le faire !

UAC a été conçu uniquement pour des utilisateurs débutants ou non spécialistes, et est inadapté aux utilisateurs expérimentés et/ou professionnels .

C'est pourquoi je désactive systématiquement cette fonctionnalité.

Le mode opératoire est assez simple, car cette désactivation a été prévue :
(le système sous lequel ont été faites les captures d'écran étant une version US, les libellés sont ici en anglais)

Ouvrir le panneau de configuration
Comptes d'utilisateurs

Cliquer sur le lien
Activer ou désactiver le contrôle des comptes d'utilisateur

 
Décocher la case d'utilisation de UAC
Redémarrer Windows pour que la modification soit prise en compte
Après redémarrage, ouvrir le panneau de configuration Sécurité / Vérifier l'état de sécurité de cet ordinateur

 
Vérifier que UAC est bien désactivé

Cliquer sur le lien
Modifier la manière dont le Centre de sécurité m'avertit

 
Sélectionner la 3ème option
"Ne pas m'avertir et ne pas afficher l'icône"

et surtout ne pas se laisser impressionner ni dissuader par la remarque "non recommandé" !

 

 
Ce paramétrage évitera les rappels incessants et se voulant culpabilisants signalant la désactivation d'UAC.

Ces paramètres sont stockés dans les clefs suivantes de la Base de registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 
valeur 00000000 : UAC désactivé
valeur 00000001 : UAC activé

HKLM\SOFTWARE\Microsoft\Security Center\Svc\<CLSID du compte concerné>\EnableNotifications
valeur 00000000 : Notifications désactivées et aucune icône
valeur 00000001 : Notifications désactivées mais icône affichée
entrée absente   : Notifications activées 

Il existe d'autres clefs, qui permettent de paramétrer UAC plus finement (en gras la valeur par défaut) :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  0 Élévation des privilèges sans demander confirmation
  1 Demande d'identification d'administrateur (nom + mot de passe)
  2 Demande de consentement (accepter/refuser)  

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures
  0 Exécution normale des exécutables non signés
  1 Seuls les exécutables signés pourront subir une élévation de privilèges

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
0 Il n'y a pas de changement de bureau quand on élève les privilèges
  1 On passe sur bureau sécurisé quand on élève les privilèges (1)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
  0 Le compte "Administrateur" n'est pas soumis aux approbations
  1 Le compte "Administrateur" est soumis aux approbations d'élévation de privilèges comme les autres administrateurs.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
  0 Sous un compte standard, toute demande d'élévation de privilèges sera refusée
  1 Sous un compte standard, toute demande d'élévation de privilèges sera soumise à la saisie d'un nom et mot passe administrateur

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
  0 la virtualisation (2) des dossiers et clefs est désactivée
  1 la virtualisation des dossiers et clefs est activée

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
  0 l'installation d'un programme se fait comme sous XP et précédemment
  1 si l'installation d'un programme nécessite d'être sous un compte administrateur, une demande d'élévation de privilège aura lieu.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
  0 L'élévation de privilège pour des applications UIAccess (3) aura lieu même si elles ne sont pas installées dans des emplacements sécurisés (4).
  1 L'élévation de privilège pour des applications UIAccess n'aura lieu que si elles sont installées dans des emplacements sécurisés.

 

(1) Cela occasionne un écran noir fugitif.
(2)  La virtualisation permet à une application lancée sous un compte standard de ne pas générer d'erreur si elle tente d'écrire dans des dossiers ou clefs
interdits en écriture (p.ex. %programfiles%, HKLM, ...).
Ainsi une écriture de fichier dans %programfiles% se fera en réalité dans %LOCALAPPDATA%\VirtualStore .
(3) Une application UIAccess ("Accès à l'interface utilisateur") est une application qui nécessite un haut niveau de privilèges, lequel est défini dans son fichier manifest  par la présence de  l'attribut uiAccess égal à "true" dans la balise requestedExecutionLevel  :
...
<trustInfo
  xmlns=”urn:schema-microsoft-com:asm.v3”>
  <security>
    <requestedPrivileges>
      <requestedExecutionLevel
        Level=”requireAdministrator”
        uiAccess=”true”/>
    </requestedPrivileges>
  </security>
</trustInfo>
(4) Les emplacements sécurisés désignent les dossiers %systemroot%\system32 et %programfiles% (sous-dossiers compris)

 

La rumeur sur l'impossibilité de visionner/écouter/enregistrer des vidéos et des musiques

En décembre 2006 Peter GUTMANN, un chercheur néo-zélandais qui se qualifie lui-même de "Professional Paranoid", a fait paraître sur Internet une étude très critique de VISTA à propos du coût de la gestion des droits numériques (DRM = Digital Right Management) :

    Cost Analysis of Windows Vista Content Protection

Cette étude a été traduite en français par Charles LONGEAU :
    Analyse du coût de la protection de contenu de Windows Vista

De là est née une rumeur stupide circulant sur Internet (sites et forums), reprenant l'étude précédente mais en la déformant de façon outrancière, où on peut lire ceci :

"Windows Vista, le dernier système opérationnel de Microsoft, est bourré de systèmes de protection anti-copie et de blocage de contenu suite aux pressions de certaines sociétés comme la MPAA, la RAA ou la SGAE et sous prétexte de combattre le piratage. Ces systèmes sont intégrés dans la programmation de base du système ce qui les rend très difficiles à supprimer ou à contourner.

Le résultat est que si vous installez Windows Vista ou si vous achetez un PC où Windows Vista est déjà préinstallé, vous ne pouvez plus visionner ou enregistrer des vidéos ni écouter ou enregistrer de la musique téléchargées sur Internet.

Le plus grave est que, dans beaucoup de cas, vous ne pourrez pas non plus le faire même si vous avez acheté, en toute légalité, le contenu, parce que le DRM (système de protection des droits d'auteur) intégré ne permet pas, par exemple, que vous puissiez enregistrer une chanson ou un DVD (légalement acheté) sur votre MP3, ni que vous puissiez enregistrer une sélection de chansons (achetées légalement) pour le Cd de votre voiture.
Et souvent, vous ne pourrez même pas enregistrer un film, (acheté légalement), sur votre ordinateur ou sur un quelconque média autre qu'un graveur spécifique autorisé par Microsoft et les fabricants de contenus.
Si vous essayez de le faire, l'enregistrement est de mauvaise qualité ou bien carrément impossible ."

Voici la réponse de Microsoft :

"Ces affirmations sont fausses.

Les fonctionnalités de protection de contenu de Windows Vista ne sont activées que lorsque cela a été exigé explicitement par les auteurs et/ou les ayants-droits.
Si les contenus joués ne sont pas protégés, le mécanisme de protection de Windows Vista n’est pas activé.
La majorité des contenus disponibles en ligne (ou sur d’autres supports) ne comporte aucune restriction et tout contenu lisible avec Windows XP le sera avec Windows Vista. Bien entendu (et là rien de nouveau par rapport à Windows XP), si les contenus sont protégés, leur lecture ou copie sera éventuellement soumise à une restriction d’usage définie, non pas par Microsoft, mais par les auteurs et/ou les ayants-droits.

Windows Vista permet donc par défaut la lecture de tous les fichiers multimédia non protégés via le lecteur Windows Media ou tout autre logiciel de lecture multimédia compatible Windows Vista installé sur le PC, dès lors que ce lecteur reconnait le format du fichier multimédia.

En ce qui concerne les contenus protégés par DRM (Digital Right Management), par exemple pour la musique achetée sur certains sites en ligne, leur lecture est bien entendu possible dans la mesure où les droits ont été acquittés et que le lecteur est compatible avec ces DRM."


De par mon expérimentation personnelle, je confirme la déclaration de Microsoft.
Sous VISTA, je n'ai jamais eu de problème particulier pour écouter un CD audio (et le convertir éventuellement en mp3) ou visionner un DVD vidéo du commerce.

Il peut arriver que certains CD soient protégés contre la copie.
C'est le cas par exemple de l'album (excellent au demeurant!) "Love Trap" de Susheela Raman, qui est protégé et livré avec un logiciel de lecture (wmmp.exe) que je n'ai jamais réussi à faire fonctionner sous VISTA, mais pas davantage non plus sous XP!
J'ai du faire appel à un convertisseur tel que CDEX pour pouvoir écouter sur mon ordinateur ce CD légalement acquis.

Cependant la faute n'incombe pas à Windows, mais au contraire à l'éditeur musical qui a très mal étudié son système de protection.
Et c'est exactement ce qui se passe avec les DRM.

La mise en veille sous VISTA 

A partir de Windows 2000 est apparu la possibilité de mettre en veille l'ordinateur, avec différents niveaux conformément aux spécifications ACPI.

Deux états de veille sont à retenir :

Désignation Niveau Description État de l'alimentation
mise en veille (simple) S1 État de veille de bas niveau.
Aucun contexte de système n'est perdu (CPU ou chip set) et le matériel maintient tout le contexte système. Dans certains BIOS (AMIBIOS), cet état est appelé également POS. 		puissance réduite
S2 État de veille de bas niveau.
Cet état est semblable à S1 sauf que le contexte CPU et mémoire cache est perdu.
C'est au système d'exploitation que revient le rôle de sauvegarder mémoire cache et le contexte CPU).
L'ordinateur redémarre sur une action de la souris, du modem, de la carte réseau (si elle est du type "Wake up LAN") ou encore du bouton de marche.		 puissance réduite
S3 État de veille de niveau intermédiaire.
Tout le contexte système est perdu excepté la mémoire système.
CPU, mémoire cache, et contexte chip set sont perdus.
C'est au matériel que revient le rôle de sauvegarder ces contextes, dont  L2 (mémoire cache de second niveau du processeur). L'ordinateur redémarre de la même façon que dans l'état S2.
Dans certains BIOS (AMIBIOS), cet état est appelé également STR.		 puissance réduite
mise en veille prolongée S4 État de veille de haut niveau.
Tous les périphériques sont mis hors tension. Le contexte de la plate-forme est sauvegardé intégralement en mémoire non volatile (disque dur), dans le fichier %SYSTEMDRIVE%\hiberfil.sys.		 arrêtée

La mise en veille simple sera assurée par l'un des états S1, S2 ou S3 suivant le type de matériel utilisé.

Pour connaitre les états disponibles, on dispose sous VISTA de 2 outils (en mode texte, donc à exécuter dans une fenêtre de commandes) :

Sous VISTA est apparu un nouveau mode, qui fusionne les 2 précédents, : la mise en veille hybride.

Dans ce mode, l'ordinateur est mis en veille simple (état S1 à S3 suivant le cas), mais le contexte mémoire est également copié intégralement dans le fichier hiberfil.sys comme pour une mise en veille prolongée (S4).
Deux cas se présentent alors quand on veut redémarrer l'ordinateur:

Par défaut, quand on veut arrêter VISTA, un seul mode de veille est proposé (à la différence de Windows 2000 ou Windows XP qui propose les 2), intitulé "veille", et qui est en réalité ce mode hybride :

On peut revenir à la disposition de Windows 2000 ou Windows XP, avec les 2 modes explicitement proposés, en pratiquant ainsi : 
Ouvrir le panneau de configuration "Options d'alimentation".

on peut l'ouvrir directement en exécutant la commande :

powercfg.cpl

 

 

 

Cliquer sur le lien :

Modifier les conditions de mise
 en veille de l'ordinateur


 
 

 

 

 

 

 

 

 

Cliquer sur le lien :

Modifier les paramètres
d'alimentation avancés



 
 

 

 

 

 

 

 

Sélectionner Veille et développer

Sélectionner Autoriser la veille hybride et développer
Sélectionner Désactivé (Activé par défaut)

 

 

 

Appuyer sur OK et fermer les différentes fenêtres.
 

 

 

Un nouvel item

Mettre en veille prolongée

est apparu (il n'est pas nécessaire de redémarrer l'ordinateur)

 
 
On peut interdire la mise en veille prolongée en désactivant la création du fichier

Le fichier hiberfil.sys, aux attributs "caché" et "système", ne peut pas être supprimé directement.
 
Si on veut le supprimer (et par voie de conséquence interdire la mise en veille prolongée), il faut exécuter la commande suivante :

powercfg -h OFF


Pour le recréer (et réactiver la mise en veille prolongée), il faut exécuter la commande suivante :

powercfg -h ON
 

Ouverture classique de session (saisie nom de compte + mot de passe)

Sous Windows 2000 et précédents
Jusqu'à Windows 2000, l'ouverture de session se fait exclusivement par saisie d'un nom de compte et du mot de passe associé (+éventuellement du nom de domaine) dans une boite de dialogue.
Sous Windows XP
L'ouverture de session peut s'effectuer selon deux modes différents, suivant que l'on a coché ou non la case "Utiliser l'écran d'accueil" dans un écran du panneau de configuration "Comptes d'utilisateurs"
Case non cochée
-> classiquement comme sous Windows 2000 
Case cochée
-> dans un écran d'accueil comportant la liste des comptes.


ce mode n'est pas disponible si l'ordinateur appartient à un domaine et/ou si on utilise une DLL particulière spéciale pour l'authentification ("GINA" = Graphical Identification
aNd Authentication)
Sous VISTA
L'écran de choix entre les deux modes a curieusement disparu du panneau de configuration des comptes utilisateurs!

Si bien que sous VISTA HOME (qui ne peut pas être intégré dans un domaine), le seul mode disponible est celui de l'écran d'accueil avec liste des comptes.

 

Cela peut s'avérer gênant, par exemple si on souhaite que masquer la liste des comptes aux utilisateurs.
Il est cependant possible d'utiliser le mode classique d'ouverture de session avec saisie du nom de compte et du mot de passe.

Il suffit de modifier la Base de Registres de la façon suivante :

Dans la clef :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

modifier (ou ajouter si elles n'y figurent pas) les entrées suivantes (de type REG_DWORD) :

  • dontdisplaylastusername
    -> valeur 1
  • LogonType
    -> valeur 0
On peut utiliser les fichier .REG suivants, qu'il suffit de fusionner dans la Base de Registres.

 ils sont opérationnels sous toute version de VISTA.

 
Affichage classique LogonDialog.reg
Affichage liste des comptes : LogonNoDialog.reg

Accès aux ressources partagées d'un ordinateur sous VISTA depuis un ordinateur sous Windows 95/98/ME

Exposé du problème

Depuis un ordinateur sous Windows 95/98 ou ME, on peut accéder sans problème aux ressources partagées (disques et imprimantes) d'un ordinateur distant sous Windows NT/2000/XP/2003.
Il suffit que l'ouverture de session sous Windows 95/98/ME ait été effectuée avec saisie d'un nom de compte et mot de passe qui se retrouve à l'identique dans la liste des comptes de l'ordinateur distant.

Le réseau Microsoft est visible depuis l'explorateur (ici sous Windows 98SE) :

L'accès à une ressource d'un ordinateur sous Windows NT/2000/XP/2003 s'effectue normalement :

Par contre, si on essaie d'explorer un ordinateur sous VISTA, qui aura été pourtant configuré correctement
(compte, partages, permissions, coupe-feu,..), on se heurte à un refus :

IPC$ (Inter Process Communications) désigne un partage administratif réservé au système. Il est utilisé avec les connexions temporaires entre les clients et les serveurs, grâce à l'utilisation de canaux nommés pour la communication entre les programmes réseau. Il s'utilise principalement pour l'administration à distance des serveurs réseau.
(source : Article KB314984)

Ce partage n'est jamais ouvert directement par l'utilisateur, donc si un mot de passe est demandé pour accéder à ce partage, cela dénote un problème d'authentification (le compte local et son mot de passe associé n'a pas été reconnu par la machine distante).

Cela est dû à un changement dans le traitement des mots de passe sous VISTA.

Rappel sur les algorithmes de hachage

Dans les systèmes de la famille NT, les mots de passe stockés dans la ruche SAM (local) ou dans Active Directory (domaine) subissent des transformations via des algorithmes de hachage.
Le rôle d'un algorithme de hachage est de générer, à partir de n'importe quel message (pris au sens général : fichier texte, programme binaire, ...) une clef unique de "x" bits
(128, 160, 512, ...), appelée "empreinte" ("fingerprint" en anglais), qui va servir à identifier rapidement le message. Elle constitue dans son esprit une somme de contrôle (checksum), sauf que là ce n'est pas une simple somme.

Etant donné que l'on associe un nombre limité de bits (128 dans le cas de MD5, 160 dans le cas de SHA1) à un ensemble de données pouvant faire beaucoup plus, il n'y a pas  correspondance biunivoque. Donc à une empreinte donnée il peut correspondre plusieurs messages. On appelle çà une "collision".

Mais, et c'est là ce qui fait la puissance (ou la faiblesse!) de ces algorithmes, ils ont été conçus de telle sorte qu'il faille énormément de disparités entre 2 messages pour qu'ils aient la même empreinte. Et inversement, la moindre disparité entre 2 messages va donner des résultats de hachage totalement différents.

Si bien qu'on va se servir du hachage pour :
  • stocker des mots de passe
  • vérifier qu'un message n'a pas été modifié au cours d'un transfert quelconque,
    • soit à cause d'un problème de transmission (cause technique),
    • soit parce qu'un "pirate" l'a modifié (cause humaine)

Par exemple, on définit "May the Force be with You!" comme mot de passe dans une application donnée.
Après hachage, les résultats sont les suivants (en hexadécimal) :

  1. Algorithme MD5 (Message-Digest algorithm 5) conçu par Ronald RIVEST (du MIT), le même auquel on droit le célèbre algorithme de chiffrement à clefs asymétriques RSA (avec SHAMIR et ADLEMAN) :
    F165FCE5204AF272BC1B322F3E9233A3
  2. Algorithme SHA1 (Secure Hash Algorithm version 1) conçu par le Gouvernement des USA.
    92F5901B3C3337E8CBB7BAC4A7240659D43D49A1

C'est le résultat du hachage qui va être stocké (de plus, il peut être chiffré).

Quand on veut accéder à l'application, on tape le mot de passe ("May the Force be with You!"), qui est aussitôt haché avec le même algorithme, ce qui va donner (p.ex. en SHA1)
92F5901B3C3337E8CBB7BAC4A7240659D43D49A1

L'application compare alors les 2 nombres, et, s'ils sont égaux, valide son accès.

La moindre divergence dans le mot de passe tapé au clavier entraine de très grandes variations du hachage.
P.ex. "May the force be with You!" (initiale de "force" en minuscule, au lieu de majuscule) donne :

  1. en MD5
    B47527FC5C1EAE04C37F2DA3FE67C951
  2. en SHA1
    BE3D2C40904E1641F428CB951ACECE55E031DC7D

On a estimé (statistiquement) avec SHA1, qu'en essayant toutes les combinaisons possibles, il faudrait entre 20 et 30 ans (depuis que SHA1 existe, c'est à dire 1995) pour trouver la 1ère collision.

Depuis que Windows NT existe, plusieurs algorithmes d'authentification (et hachage) ont été utilisés.
On recense essentiellement LM (Lan Manager), NTLM (NT Lan Manager) et NTLMV2 (NT Lan Manager version 2).
Pour plus de détails sur ces algorithmes, consulter cet article Technet.

L'utilisation de ces algorithmes est fonction de la valeur de l'entrée LmCompatibilityLevel (de type REG_DWORD)
située dans la clef HKLM\SYSTEM\CurrentControlSet\Control\Lsa
à partir de VISTA Professionnel et au-delà, on peut ouvrir la console SECPOL.MSC et sélectionner
Stratégies locales
    Options de sécurité
        Sécurité réseau : niveau d'authentification LAN Manager

Valeur Signification Valeur par défaut
0 Envoyer les réponses LM et NTLM (jamais NTLMV2)  
1 Envoyer les réponses LM et NTLM - utiliser NTLMV2 si négociée.  
2 Envoyer uniquement les réponses NTLM - utiliser NTLMV2 si négociée. Sous 2000, XP, 2003
3 Envoyer uniquement les réponses NTLMV2 Sous VISTA
4 Envoyer uniquement les réponses NTLMV2. Refuser LM  
5 Envoyer uniquement une réponse NTLMV2. Refuser LM et NTLM  

La sécurité a été renforcée sous VISTA, comme le prouve la valeur par défaut de LmCompatibilityLevel.
Seul l'algorithme NTLMV2 est utilisé, or il est incompatible avec Windows 95/98/ME, d'où les problèmes rencontrés avec les ordinateurs fonctionnant sous ces systèmes .

Solution pour accéder aux ressources d'un ordinateur sous VISTA depuis un ordinateur sous Windows 95/98/ME

Il faut procéder ainsi sur l'ordinateur sous VISTA :

  1. Sélectionner la clef HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  2. Modifier la valeur de l'entrée LmCompatibilityLevel et lui attribuer la valeur 1
  3. Modifier la valeur de l'entrée NoLmHash et lui attribuer la valeur 0
    Ou télécharger ce fichier et le fusionner dans la base de registres : (NTLM.reg)
  4. Redémarrer l'ordinateur (indispensable)
  5. Ouvrir le panneau de configuration Comptes d'utilisateurs et cliquer sur Changer le mot de passe.
    Saisir le mot de passe actuel et le retaper dans le champ "Nouveau mot de passe" et "Confirmation"

    Cette opération qui peut paraître étrange a pour but de forcer le système à recalculer
    le hachage du mot de passe avec l'algorithme NTLM et non plus NTLMV2

L'ordinateur sous VISTA est désormais accessible depuis un ordinateur sous Windows 95/98/ME :

 

Cette modification n'est à effectuer que si l'accès à VISTA depuis Windows 95/98/ME est absolument nécessaire !
P.ex. dans le cas d'un matériel et/ou logiciel disponible seulement sous Windows 9x/ME, et devant accéder à des
données distantes sur un ordinateur sous VISTA.
En effet, elle a des répercussions négatives sur la sécurité de l'ordinateur sous VISTA, en abaissant le niveau
de l'authentification.
Par ailleurs, j'ai remarqué quelques dysfonctionnements, tels que des manques ou a minima des lenteurs dans
l'énumération des ressources partagées.

Elle ne doit donc être considérée que comme un dépannage temporaire.

Pour revenir à la situation initiale

Il faut procéder ainsi sur l'ordinateur sous VISTA :

  1. Sélectionner la clef HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  2. Modifier la valeur de l'entrée LmCompatibilityLevel et lui attribuer la valeur 3
  3. Modifier la valeur de l'entrée NoLmHash et lui attribuer la valeur 1
    Ou télécharger ce fichier et le fusionner dans la base de registres : (NTLMV2.reg)
  4. Redémarrer l'ordinateur (indispensable)
  5. Ouvrir le panneau de configuration Comptes d'utilisateurs et cliquer sur Changer le mot de passe.
    Saisir le mot de passe actuel et le retaper dans le champ "Nouveau mot de passe" et "Confirmation"
    Cette opération va forcer le système à recalculer le hachage du mot de passe
    avec l'algorithme NTLMV2  au lieu de NTLM.

 

----------