在如今的數(shù)字化時代，安全問題的重要性不言而喻。而安全的核心之一，就是讓用戶以「最低權(quán)限」來操作設備。

• 在 Windows 系統(tǒng)中，擁有「管理員權(quán)限」的用戶可以修改系統(tǒng)配置，甚至進行一些影響整機安全性的重大更改。正因為這些強大的權(quán)限，它們也成為了攻擊者的重點目標。
• 攻擊者往往會利用管理員權(quán)限進行未經(jīng)授權(quán)的數(shù)據(jù)訪問、破壞隱私，甚至關(guān)閉系統(tǒng)安全功能。而這些操作，可能會在用戶毫不知情的情況下完成。
• 根據(jù)《微軟數(shù)字防御報告 2024》的最新數(shù)據(jù)，每天大約有 39000 起基于用戶權(quán)限濫用的「令牌竊取」事件發(fā)生。這一數(shù)據(jù)清楚地表明，加強高級權(quán)限用戶的安全防護已經(jīng)刻不容緩。

為了應對這類安全挑戰(zhàn)，微軟為 Windows 11 引入了一項全新的平臺級安全功能——管理員保護。它允許用戶在正常使用「管理員權(quán)限」處理必要操作的同時，通過「按需分配」的機制，進一步提升對惡意攻擊的防護能力。

什么是「管理員保護」功能？

簡單來說，管理員保護功能就是：用戶在執(zhí)行需要管理員權(quán)限的操作之前，必須先通過 Windows Hello 進行身份驗證。這些操作包括軟件安裝、修改系統(tǒng)設置（比如調(diào)整時間或編輯注冊表）、訪問敏感數(shù)據(jù)等。

通過 Windows Hello 進行「管理員保護」身份驗證

有了管理員保護，誤操作導致的系統(tǒng)級更改風險將大大降低。更重要的是，它能有效阻止惡意軟件在用戶毫不知情的情況下悄悄對系統(tǒng)進行更改。如此一來，Windows 11 的安全防護能力可以說是更上了一層樓。

「管理員保護」安全模型

管理員保護功能的核心理念是——最低權(quán)限原則。簡單來說，即便你已經(jīng)登錄了 Windows 帳戶，默認情況下也只會獲得「降級后的普通權(quán)限」。當需要使用管理員權(quán)限時：

• Windows 11 會要求你進行授權(quán)。
• 授權(quán)通過后，系統(tǒng)會單獨生成一個隱藏的、隔離的用戶賬號，并基于該賬號創(chuàng)建一個臨時的管理員令牌（Admin Token）。
• 這個令牌只用于當前操作，操作完成后，令牌會自動銷毀。

這意味著，管理員權(quán)限并不會一直保留，每次需要執(zhí)行管理員權(quán)限操作時，都會重復以上步驟。這樣就避免了長期持有高權(quán)限帶來的安全風險。

架構(gòu)亮點一覽

管理員保護功能深度結(jié)合了 Windows Hello，實現(xiàn)了安全與便捷的雙重平衡。

• 按需提權(quán)：默認情況下，用戶始終使用普通權(quán)限。只有在執(zhí)行特定管理員操作時，系統(tǒng)才會臨時給你提權(quán)。操作完成后，管理員令牌會立刻銷毀。下次需要提權(quán)時，需要重新生成新的令牌。這一機制有效避免了長期持有高權(quán)限帶來的安全風險。
• 配置文件分離：系統(tǒng)通過隱藏的、隔離的用戶帳戶來創(chuàng)建管理員令牌。這確保了用戶級別的惡意軟件無法影響到提權(quán)后的會話，從而讓權(quán)限提升成為了一道安全屏障。
• 無自動提權(quán)：每次涉及管理員權(quán)限的操作，系統(tǒng)都會要求用戶交互式手動授權(quán)。這樣，你可以始終掌控權(quán)限分配，避免權(quán)限被濫用。再加上 Windows Hello 的高安全性認證，既增強了保護能力，又提升了使用體驗。

「管理員保護」安全架構(gòu)示意圖

管理員保護功能的引入，為 Windows 11 增加了一道全新的安全屏障。但要注意，這個功能和用戶帳戶控制（UAC） 不同。UAC 更像是一種「深度防御策略」，而管理員保護通過對底層架構(gòu)的改造，實現(xiàn)了更高等級的安全防護能力。

• 安全性大幅提升：每次執(zhí)行管理員任務前都需要明確授權(quán)，這不僅能防止誤操作導致系統(tǒng)更改，還能有效抵御惡意軟件的干擾。這種機制讓用戶在操作前意識到潛在風險，為系統(tǒng)安全再加一道鎖。
• 用戶全程掌控：你可以精細化管理管理員權(quán)限，針對具體應用進行授權(quán)或限制。這樣只有明確授權(quán)的應用才能修改系統(tǒng)設置，有效降低了誤操作或惡意更改的風險。
• 減少惡意軟件威脅：惡意軟件常常依賴管理員權(quán)限來進行系統(tǒng)級更改或其他有害操作。而管理員保護打斷了這條攻擊鏈，讓惡意軟件無法在你不知情的情況下獲得管理員權(quán)限，從根源上降低了安全威脅。

如何啟用 Windows 11 管理員保護

目前，「管理員保護」功能還在開發(fā)階段。你需要加入「Windows 預覽體驗計劃」的 Canary 渠道，然后下載并安裝 Windows 11 Build 27774 或更高版本。

方法 1：通過 Windows 安全中心

1、在「開始」菜單中打到并打開「Windows 安全中心」。

2、依次選擇「帳戶保護」>「管理員保護設置」。

3、打開「為需要管理員權(quán)限的操作啟用實時訪問」開關(guān)。

4、重啟計算機。

在 Windows 安全中心啟用管理員保護

完成以上步驟后，系統(tǒng)將用「管理員保護」功能替代現(xiàn)有的 UAC（用戶賬戶控制）功能。

方法 2：通過組策略

如果你使用的是 Windows 11 專業(yè)版、教育版或企業(yè)版，可以通過組策略來啟用管理員保護功能：

1、按Windows + R快捷鍵打開「運行」對話框，輸入gpedit.msc并回車，打開本地組策略編輯器。

2、導航到「計算機配置」>「Windows 設置」>「安全設置」>「本地策略」>「安全選項」。

3、找到并雙擊「用戶帳戶控制：配置管理員審批模式的類型」策略，將「本地安全設置」下拉列表設置為「管理員保護下的管理員批準模式」。

配置「用戶帳戶控制：配置管理員審批模式的類型」策略

4、接著，找到并雙擊「用戶帳戶控制：在啟用管理員保護的情況下管理員的提升權(quán)限提示行為」策略，將「本地安全設置」下拉列表設置為：

• 在安全桌面上提示憑據(jù)：需要通過 Windows Hello 進行身份驗證。
• 在安全桌面上同意提示：無需輸入憑據(jù)，只需用戶同意提升權(quán)限。

配置「用戶帳戶控制：在啟用管理員保護的情況下管理員的提升權(quán)限提示行為」策略

5、重啟計算機，讓策略生效。

完成這些操作后，當你下次運行需要提權(quán)的應用程序時，系統(tǒng)會提示你同意操作，或者通過 Windows Hello 進行身份驗證。

展望

微軟可能會在未來更新中默認啟用此功能。盡管會增加一些操作步驟，但建議不要禁用此功能，它能為系統(tǒng)帶來更高的安全性，保護用戶免受潛在威脅。

最新評論