[SOLUTION] Supprimer l'avertissement de sécurité quand on lance PS depuis LR

[Samoreen]

Bonjour,

Après l'installation de la version 10, Windows a commencé à m'afficher l'avertissement de sécurité à chaque fois que je lançais PS depuis LR. Comme l'option de cette boîte de dialogue qui permettait d'autoriser le lancement en permanence pour cet exécutable a disparu (en tous cas pour moi), c'est devenu assez vite très énervant.

Il est possible de supprimer cet avertissement globalement dans les options Internet (je vous le fais en anglais, je n'ai pas de Windows FR sous la main) : Internet Options | Security | Internet | Custom level | Miscellaneous | Launching applications and unsafe files (enable) ). Ça fonctionne mais Windows 10 va commencer à vous envoyer systématiquement un autre avertissement indiquant que votre système est en situation de risque. Encore un problème de poule et d'œuf dont Microsoft a le secret.

Il y a une meilleure solution que certains administrateurs pourront considérer comme non sécurisée.

1. Lancez REGEDIT ou un autre éditeur de la registry.
2. Naviguez jusqu'à HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations.
3. Si la valeur chaîne de caractères LowRiskFileTypes n'existe pas, créez la.
4. Mettez cette valeur à ".exe;.bat;.cmd;.vbs" sans les guillemets.
5. Fermez la session et réouvrez la.

Vous n'aurez plus d'avertissement quand vous essaierez de lancer un exécutable ou un script téléchargé depuis l'Internet. Cela règle non seulement le problème cité en titre mais le problème de cet avertissement de sécurité ennuyeux et la plupart du temps inutile. Je ne considère pas que ça pose un problème de sécurité si un antivirus décent est installé sur le système.

[ChatOuille]

Merci Samoreen, mais j'ai essayé, pas pour le cas spécifique de PS, mais pour les EXE en général et cela ne fonctionne pas. Je ne sais pas s'il faut changer autre chose à coté du registre. J'ai pourtant bien vérifié l'orthographe et même essayé avec les EXE seulement et j'ai bien redémarré Win.

J'ai finalement effectué une modification au niveau utilisateur que j 'avais déjà utilisé avec Vista. Il s'agit de :

Control Panel --> Users --> Change Settings for User Accounts. Là apparaît un curseur avec 4 positions.  Je l'ai glissé vers la position inférieure. Je ne connais pas les risques au niveau sécurité mais les EXE s'ouvrent bien directement.

[Bélisaire]

Control Panel --> Users --> Change Settings for User Accounts. Là apparaît un curseur avec 4 positions.  Je l'ai glissé vers la position inférieure. Je ne connais pas les risques au niveau sécurité mais les EXE s'ouvrent bien directement.

C'est une des premières manipulations que je fais, depuis que Windows s'est mis en tête de nous (sur)protéger. Et même avec Windows 10, j'ai dû configurer tous mes programmes en mode administrateur, car il m'interdisait d'enregistrer mes fichiers où je le voulais.

[Samoreen]

Merci Samoreen, mais j'ai essayé, pas pour le cas spécifique de PS, mais pour les EXE en général et cela ne fonctionne pas. Je ne sais pas s'il faut changer autre chose à coté du registre. J'ai pourtant bien vérifié l'orthographe et même essayé avec les EXE seulement et j'ai bien redémarré Win.

Il y a 2 autres clés à essayer éventuellement :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments] | "SaveZoneInformation" = 1

Quand cette valeur est positionnée à 2, Windows marque les fichiers attachés / téléchargés avec l'information de zone d'origine. Quand on désactive ce réglage (1), ce marquage n'est plus effectué.

Il est probable que cette clé n'aura d'effet que pour les fichiers attachés / téléchargés créés dans le futur. Il faut également noter que ce réglage n'est pas respecté par tous les logiciels (certains downloaders ou certains clients FTP). Voir plus bas pour action "après coup".

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{E2F13B98-650F-47DB-845A-420A1ED34EC7}User\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] | "LowRiskFileTypes"=".exe;.bat;.cmd;.vbs"

Cette clé n'existe pas chez moi.

Control Panel --> Users --> Change Settings for User Accounts. Là apparaît un curseur avec 4 positions.  Je l'ai glissé vers la position inférieure. Je ne connais pas les risques au niveau sécurité mais les EXE s'ouvrent bien directement.

Comme précisé plus haut, c'est la méthode que j'ai mise en œuvre au départ mais malheureusement, sous Windows 10, quand on règle la sécurité Internet à ce niveau, les avertissements à propos du système étant en état de risque commencent à arriver. J'ai eu les premiers au bout de 24 heures environ (ou le lendemain après un reboot).

Maintenant, il y a une autre manière d'aborder le sujet..., notamment pour les fichiers déjà marqués comme venant du Web ou d'un téléchargement.

Ce marquage est effectué par le système NTFS dans ce qu'on appelle un alternate stream. Sous NTFS, les fichiers peuvent être composés de plusieurs flux (streams) et Windows peut utiliser les flux secondaires pour stocker des informations complémentaires sans altérer le flux original (c'est d'ailleurs une technique sur laquelle les fabricants d'APN et de logiciels de dématriçage devraient se pencher). Quand un fichier est marqué avec sa zone d'origine, cette information se trouve dans un flux secondaire appelé Zone.Identifier. Pour se débarrasser de ce marquage après coup, il faut utiliser un scanner qui cherche les fichiers possédant un flux secondaire (stream), trouver les fichiers qui ont un stream nommé Zone.Identifier et supprimer ce stream. Ça n'altérera ni le flux principal, ni les autres streams associés au fichier et cela désactivera d'office les warnings pour ces fichiers qui seront désormais reconnus comme des fichiers d'origine locale.

Les scanners disponibles :

http://www.nirsoft.net/utils/alternate_data_streams.html
http://www.pointstone.com/products/ADS-Scanner/
http://www.carifred.com/uvk/help/streams_manager.php (le stream manager est juste une partie de ce logiciel antivirus)

[Samoreen]

Les scanners disponibles :

Celui de Nirsoft est un peu plus pratique à utiliser car on peut filtrer sur les .exe uniquement.

À lancer bien sûr en tant qu'administrateur.

[Samoreen]

Concernant photoshop.exe, je n'ai pas trouvé de stream secondaire nommé Zone.identifier. Il n'y a d'ailleurs aucun stream secondaire attaché à cet exe. Cependant, j'avais bien l'avertissement de sécurité quand je le lançais depuis Lightroom. Bizarre...

J'en déduis que Windows 10 a inventé un nouveau moyen de procéder à ce marquage ou que Lightroom et CC Desktop gèrent ça à leur manière. L'important étant que les modifs proposées dans la registry aient l'effet voulu...

[Samoreen]

Pour être tout à fait complet sur le sujet...

Quand il s'agit de supprimer le stream Zone.Identifier pour un fichier unique (exe ou autre), on peut également cliquer-droit sur le fichier dans l'explorateur Windows, afficher les Propriétés | onglet Général et dans la rubrique sécurité en bas de la boîte de dialogue, cliquer sur Débloquer.

NB1 : Il est plus que probable que le marquage avec le stream Zone.Identifier reviendra à la prochaine mise à jour de l'exécutable.

NB2 : Ce marquage ne concerne pas que les exécutables. Une image, un PDF ou tout autre type de fichier peuvent être marqué par le stream Zone.Identifier. Les conséquences sont relativement incertaines. Je n'ai pas connaissance que Windows ou un logiciel applicatif prennent en compte cette information pour un non exécutable.

[Bélisaire]

Comme précisé plus haut, c'est la méthode que j'ai mise en œuvre au départ mais malheureusement, sous Windows 10, quand on règle la sécurité Internet à ce niveau, les avertissements à propos du système étant en état de risque commencent à arriver. J'ai eu les premiers au bout de 24 heures environ (ou le lendemain après un reboot).

Merci pour toutes ces précisions très pointues (pour moi, du moins). Mais ici (facile à comprendre pourtant), quelque chose m'échappe: je ne reçois aucun avertissement de Windows quant à la sécurité du système, justement depuis que le curseur a été réglé au plus bas.

[Samoreen]

Mais ici (facile à comprendre pourtant), quelque chose m'échappe: je ne reçois aucun avertissement de Windows quant à la sécurité du système, justement depuis que le curseur a été réglé au plus bas.

Là, on aborde le problème de la cohérence de comportement de Windows 10, notamment en fonction de la version installée.

[ChatOuille]

Bonjour Samoreen
C'est toujours un plaisir de te lire. C'est de la nourriture consistante et pas du fast food. Je ne voudrais pas abuser de ta bienveillance mais deux questions me viennent à l'esprit :
- La valeur du registry SaveZoneInformation, c'est bien du type chaîne de caractères (pas un bin ou DWord) ?
- Concernant le Zone.Identifier. Cela a qqch à voir avec le petit « écusson » qui apparaît sur le pictogramme de l'exe et les liens le concernant ? Je me demande toujours pourquoi certaines apps montrent ce pictogramme et d'autres pas.

De la cohérence de Tchintchin 10 ne m'en parle pas. Je n'ai que des ennuis. Un qui a un rapport avec le tien est que j'avais demandé d'ouvrir certains fichiers multimédia avec autre prog que celui par défaut. Je recevais un avertissement de sécurité en me disant que j'avais changé l'application d'ouverture et qu'elle avait été à nouveau remise à celle d'origine. Et cela a plusieurs reprises. J'ai insisté plusieurs fois (chaque fois je devais effectuer le changement). Finalement, plus de message, mais ça été dur.  Autre chose que je ne comprends pas est que le registre change de taille à la bonne franquette. Je fais régulièrement une sauvegarde du registre et en 2 semaines, en ayant très peu utilisé l'ordi et en n'ayant rien (des)installé il est passé de 435Mo à 289. Pourtant pendant les 2 mois précédents il est resté dans les 400Mo (avec des variations pas très logiques).

Merci. Je vais encore approfondir ton texte. 

[Samoreen]

- La valeur du registry SaveZoneInformation, c'est bien du type chaîne de caractères (pas un bin ou DWord) ?

Non, c'est une valeur de type DWORD.

- Concernant le Zone.Identifier. Cela a qqch à voir avec le petit « écusson » qui apparaît sur le pictogramme de l'exe et les liens le concernant ? Je me demande toujours pourquoi certaines apps montrent ce pictogramme et d'autres pas.

Ce n'est pas lié au stream Zone.Identifier mais à l'UAC. Cet overlay sur l'icône indique que le programme en question a besoin d'être lancé en tant qu'administrateur. Supprimer ça est devenu assez compliqué sous Windows 10, voire impossible. Il faut normalement créer un nouveau raccourci avec élévation de privilèges (http://www.chantal11.com/2009/06/raccourci-pour-executer-programme-avec-elevation-privileges-sans-validation-uac-windows-7-vista/). C'est trop de boulot pour l'objectif recherché. Il y a d'autres recettes qui traînent ici et là. Faire une recherche Google sur "Remove UAC shortcut icon overlay" ou "windows 10 supprimer icône UAC raccourcis". La plupart de ces recettes fonctionnent pour Windows 7 mais pour Win10 c'est une autre affaire. Même WinAero Tweaker ne semble pas pouvoir gérer ça. On dit qu'il faut désactiver complètement l'UAC pour supprimer ces overlays mais l'UAC est en théorie totalement désactivée chez moi mais Win10 continue de faire ce qu'il veut.

Autre chose que je ne comprends pas est que le registre change de taille à la bonne franquette.

La registry est une base de données extrêmement mouvante accédée en écriture et en lecture de manière quasi permanente, des millions de fois pendant chaque session. Je pense que son fonctionnement a été optimisé dans Windows 10 et que sa défragmentation (opération qu'il fallait déclencher soi-même auparavant avec les utilitaires adéquats) est maintenant réalisée par Windows lui-même quand le système est inoccupé ou bien au moment de la fermeture (parfois cette fermeture de Windows prend plus de temps que d'habitude sans qu'il y ait de mises à jour en cours - c'est probablement là que des opérations de nettoyage de la registry ont lieu).

[Samoreen]

- Concernant le Zone.Identifier. Cela a qqch à voir avec le petit « écusson » qui apparaît sur le pictogramme de l'exe et les liens le concernant ? Je me demande toujours pourquoi certaines apps montrent ce pictogramme et d'autres pas.

Pour revenir sur ce point...

Quand on croit avoir désactivé l'UAC, il a tendance à revenir tout seul lors des mises à jour. Après avoir posté mon dernier message ci-dessus, j'ai rendu une petite visite à la registry et j'ai constaté qu'un réglage avait été réactivé :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA

Il faut le mettre à 0 pour désactiver complètement l'UAC. Après un reboot , les écussons UAC sur les icônes des raccourcis du bureau ont disparu à nouveau. Mais il faut bien noter que c'est une désactivation complète de l'UAC. Ce qui est difficile c'est de conserver l'UAC plus ou moins active tout en supprimant les dits écussons.

[Samoreen]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA

Il faut le mettre à 0 pour désactiver complètement l'UAC. Après un reboot , les écussons UAC sur les icônes des raccourcis du bureau ont disparu à nouveau. Mais il faut bien noter que c'est une désactivation complète de l'UAC. Ce qui est difficile c'est de conserver l'UAC plus ou moins active tout en supprimant les dits écussons.

Et il faut être conscient que désactiver complètement l'UAC bloque le lancement de certaines applications et outils (dont Edge) quand on utilise un compte Admin. Windows 10 nous condamne à de perpétuels problèmes de poule et d'œuf. Je comprends les précautions de plus en plus grandes concernant les utilisateurs inexpérimentés mais il faudrait laisser les admins et utilisateurs expérimentés respirer un peu. A priori, ils savent ce qu'ils font.

[ChatOuille]

Merci Patrick pour ces explications si bien détaillées. Je vais analyser tout cela, le tester et l'intégrer dans ma doc. 

[Bélisaire]

Je me sers à l'occasion de uacpass.exe pour contrer les interdictions de Windows 10, attachées à certains programmes ou certaines manipulations.

https://sites.google.com/site/freeavvarea/fr/UACPass-fr

[Samoreen]

Je me sers à l'occasion de uacpass.exe pour contrer les interdictions de Windows 10, attachées à certains programmes ou certaines manipulations.
https://sites.google.com/site/freeavvarea/fr/UACPass-fr

Effectivement, cet outil semble résoudre le problème de l'écusson. Je lui ai soumis un raccourci de mon Bureau muni de l'écusson et il a immédiatement disparu (l'écusson). Et sans désactiver complètement l'UAC, ce qui aurait provoqué le blocage de Edge dans le compte Administrateur.

Adopté.

[ChatOuille]

Merci à vous deux. C'est fou ce qu'on apprend avec vous. J'ai copié toute cette info dans ma doc et téléchargé le UAC Pass (mais pas encore essayé).   

[ChatOuille]

Excusez-mi de vous déranger encore une fois. Justement je viens d'avoir un pb de droits (la fameuse surprotection) et je ne sais pas comment faire.
Sur Win7 j'ai essayé de faire un update d'Avira normal. Refusé. J'ai constaté que le fichier sched.exe qui enclenche le service correspondant a disparu. J'ai essayé de le remettre (je l'ai ailleurs) mais impossible : pas le droit. J'ai essayé par tous les moyens de changer les droits : pas possible.
Ce qui est curieux est que je peux le copier dans le dossier Avira mais pas dans son sous-dossier AntiVir. J'ai essayé de changer le chemin du service dans la Registry mais pas accepté non plus. Avez-vous une idée de comment je peux obtenir des droits pour copier dans ce dossier ? ? ?
 

[Bélisaire]

Je ne suis pas sûr de répondre à ton interrogation, je ne connais pas Avira, ni ce problème précisément. Toutefois, j'ai rencontré un problème similaire (?) il y a deux jours, avec Edge (que j'utilisais pour la première fois) qui m'interdisait de sauvegarder un fichier dans mon disque D: (pas d'autorisation), et m'invitait à le sauvegarder dans le C:, là où lui l'avait décidé. Rien de plus agaçant que de se voir ordonner de contacter l'administrateur quand l'administrateur est soi-même. En fait, il s'agissait de m'accorder les droits sur mon disque D: (propriétés/sécurité/utilisateurs/bouton modifier/utilisateurs/cocher contrôle total - tout ce qui n'est pas coché). Après quoi, Edge m'a l'autorisé l'écriture.
Vois si tu as les droits d'écriture sur ton sous-dossier. Mais encore une fois je te dis cela par acquit de conscience, n'ayant pas idée du problème que tu rencontres.


*************
On va se faire engueuler, on ne parle pas d'Adobe...

[ChatOuille]

Merci Bélisaire. La question des droits dépend du dossier et ce n'est pas toujours possible de les obtenir. C'était déjà un pb avec W7, mais avec W10 s'est aggravé. Par ex. avec W7 je pouvais modifier le fichier Hosts, mais W10 ne me le permet plus directement. J'ai réussi avec un manège (je ne sais plus lequel).
Dans le cas d'Avira j'ai finalement réussi à copier le fichier avec Linux. Mais il faudra réinstaller car ne marche pas. J'ai l'impression que cet antivirus est moins stable qu'auparavant. Chez certains marche très bien, chez d'autres pas.

On va se faire engueuler, on ne parle pas d'Adobe...

On se fait engueuler d'avantage si on se plaint d'Adobe, mais je vais rassurer la troupe: Tout va très bien chez Adobe !   

[Samoreen]

J'ai réussi avec un manège (je ne sais plus lequel).

Tu ne serais pas un cousin de l'autre côté de la flaque, toi ? 

[ChatOuille]

Pas du tout.

[Samoreen]

Pas du tout.

Ah bon, désolé. C'est l'utilisation du terme manège à la place de subterfuge ou détour (ou j'ai mal compris ?) qui m'a induit en erreur. En fait, du coup, je ne comprends pas du tout "j'ai réussi avec un manège", du coup.