在如今的數(shù)字化時代，安全問題的重要性不言而喻。而安全的核心之一，就是讓用戶以「最低權(quán)限」來操作設(shè)備。

• 在 Windows 系統(tǒng)中，擁有「管理員權(quán)限」的用戶可以修改系統(tǒng)配置，甚至進(jìn)行一些影響整機(jī)安全性的重大更改。正因?yàn)檫@些強(qiáng)大的權(quán)限，它們也成為了攻擊者的重點(diǎn)目標(biāo)。
• 攻擊者往往會利用管理員權(quán)限進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問、破壞隱私，甚至關(guān)閉系統(tǒng)安全功能。而這些操作，可能會在用戶毫不知情的情況下完成。
• 根據(jù)《微軟數(shù)字防御報(bào)告 2024》的最新數(shù)據(jù)，每天大約有 39000 起基于用戶權(quán)限濫用的「令牌竊取」事件發(fā)生。這一數(shù)據(jù)清楚地表明，加強(qiáng)高級權(quán)限用戶的安全防護(hù)已經(jīng)刻不容緩。

為了應(yīng)對這類安全挑戰(zhàn)，微軟為 Windows 11 引入了一項(xiàng)全新的平臺級安全功能——管理員保護(hù)。它允許用戶在正常使用「管理員權(quán)限」處理必要操作的同時，通過「按需分配」的機(jī)制，進(jìn)一步提升對惡意攻擊的防護(hù)能力。

什么是「管理員保護(hù)」功能？

簡單來說，管理員保護(hù)功能就是：用戶在執(zhí)行需要管理員權(quán)限的操作之前，必須先通過 Windows Hello 進(jìn)行身份驗(yàn)證。這些操作包括軟件安裝、修改系統(tǒng)設(shè)置（比如調(diào)整時間或編輯注冊表）、訪問敏感數(shù)據(jù)等。

通過 Windows Hello 進(jìn)行「管理員保護(hù)」身份驗(yàn)證

有了管理員保護(hù)，誤操作導(dǎo)致的系統(tǒng)級更改風(fēng)險(xiǎn)將大大降低。更重要的是，它能有效阻止惡意軟件在用戶毫不知情的情況下悄悄對系統(tǒng)進(jìn)行更改。如此一來，Windows 11 的安全防護(hù)能力可以說是更上了一層樓。

「管理員保護(hù)」安全模型

管理員保護(hù)功能的核心理念是——最低權(quán)限原則。簡單來說，即便你已經(jīng)登錄了 Windows 帳戶，默認(rèn)情況下也只會獲得「降級后的普通權(quán)限」。當(dāng)需要使用管理員權(quán)限時：

• Windows 11 會要求你進(jìn)行授權(quán)。
• 授權(quán)通過后，系統(tǒng)會單獨(dú)生成一個隱藏的、隔離的用戶賬號，并基于該賬號創(chuàng)建一個臨時的管理員令牌（Admin Token）。
• 這個令牌只用于當(dāng)前操作，操作完成后，令牌會自動銷毀。

這意味著，管理員權(quán)限并不會一直保留，每次需要執(zhí)行管理員權(quán)限操作時，都會重復(fù)以上步驟。這樣就避免了長期持有高權(quán)限帶來的安全風(fēng)險(xiǎn)。

架構(gòu)亮點(diǎn)一覽

管理員保護(hù)功能深度結(jié)合了 Windows Hello，實(shí)現(xiàn)了安全與便捷的雙重平衡。

• 按需提權(quán)：默認(rèn)情況下，用戶始終使用普通權(quán)限。只有在執(zhí)行特定管理員操作時，系統(tǒng)才會臨時給你提權(quán)。操作完成后，管理員令牌會立刻銷毀。下次需要提權(quán)時，需要重新生成新的令牌。這一機(jī)制有效避免了長期持有高權(quán)限帶來的安全風(fēng)險(xiǎn)。
• 配置文件分離：系統(tǒng)通過隱藏的、隔離的用戶帳戶來創(chuàng)建管理員令牌。這確保了用戶級別的惡意軟件無法影響到提權(quán)后的會話，從而讓權(quán)限提升成為了一道安全屏障。
• 無自動提權(quán)：每次涉及管理員權(quán)限的操作，系統(tǒng)都會要求用戶交互式手動授權(quán)。這樣，你可以始終掌控權(quán)限分配，避免權(quán)限被濫用。再加上 Windows Hello 的高安全性認(rèn)證，既增強(qiáng)了保護(hù)能力，又提升了使用體驗(yàn)。

「管理員保護(hù)」安全架構(gòu)示意圖

管理員保護(hù)功能的引入，為 Windows 11 增加了一道全新的安全屏障。但要注意，這個功能和用戶帳戶控制（UAC） 不同。UAC 更像是一種「深度防御策略」，而管理員保護(hù)通過對底層架構(gòu)的改造，實(shí)現(xiàn)了更高等級的安全防護(hù)能力。

• 安全性大幅提升：每次執(zhí)行管理員任務(wù)前都需要明確授權(quán)，這不僅能防止誤操作導(dǎo)致系統(tǒng)更改，還能有效抵御惡意軟件的干擾。這種機(jī)制讓用戶在操作前意識到潛在風(fēng)險(xiǎn)，為系統(tǒng)安全再加一道鎖。
• 用戶全程掌控：你可以精細(xì)化管理管理員權(quán)限，針對具體應(yīng)用進(jìn)行授權(quán)或限制。這樣只有明確授權(quán)的應(yīng)用才能修改系統(tǒng)設(shè)置，有效降低了誤操作或惡意更改的風(fēng)險(xiǎn)。
• 減少惡意軟件威脅：惡意軟件常常依賴管理員權(quán)限來進(jìn)行系統(tǒng)級更改或其他有害操作。而管理員保護(hù)打斷了這條攻擊鏈，讓惡意軟件無法在你不知情的情況下獲得管理員權(quán)限，從根源上降低了安全威脅。

如何啟用 Windows 11 管理員保護(hù)

目前，「管理員保護(hù)」功能還在開發(fā)階段。你需要加入「Windows 預(yù)覽體驗(yàn)計(jì)劃」的 Canary 渠道，然后下載并安裝 Windows 11 Build 27774 或更高版本。

方法 1：通過 Windows 安全中心

1、在「開始」菜單中打到并打開「Windows 安全中心」。

2、依次選擇「帳戶保護(hù)」>「管理員保護(hù)設(shè)置」。

3、打開「為需要管理員權(quán)限的操作啟用實(shí)時訪問」開關(guān)。

4、重啟計(jì)算機(jī)。

在 Windows 安全中心啟用管理員保護(hù)

完成以上步驟后，系統(tǒng)將用「管理員保護(hù)」功能替代現(xiàn)有的 UAC（用戶賬戶控制）功能。

方法 2：通過組策略

如果你使用的是 Windows 11 專業(yè)版、教育版或企業(yè)版，可以通過組策略來啟用管理員保護(hù)功能：

1、按Windows + R快捷鍵打開「運(yùn)行」對話框，輸入gpedit.msc并回車，打開本地組策略編輯器。

2、導(dǎo)航到「計(jì)算機(jī)配置」>「Windows 設(shè)置」>「安全設(shè)置」>「本地策略」>「安全選項(xiàng)」。

3、找到并雙擊「用戶帳戶控制：配置管理員審批模式的類型」策略，將「本地安全設(shè)置」下拉列表設(shè)置為「管理員保護(hù)下的管理員批準(zhǔn)模式」。

配置「用戶帳戶控制：配置管理員審批模式的類型」策略

4、接著，找到并雙擊「用戶帳戶控制：在啟用管理員保護(hù)的情況下管理員的提升權(quán)限提示行為」策略，將「本地安全設(shè)置」下拉列表設(shè)置為：

• 在安全桌面上提示憑據(jù)：需要通過 Windows Hello 進(jìn)行身份驗(yàn)證。
• 在安全桌面上同意提示：無需輸入憑據(jù)，只需用戶同意提升權(quán)限。

配置「用戶帳戶控制：在啟用管理員保護(hù)的情況下管理員的提升權(quán)限提示行為」策略

5、重啟計(jì)算機(jī)，讓策略生效。

完成這些操作后，當(dāng)你下次運(yùn)行需要提權(quán)的應(yīng)用程序時，系統(tǒng)會提示你同意操作，或者通過 Windows Hello 進(jìn)行身份驗(yàn)證。

展望

微軟可能會在未來更新中默認(rèn)啟用此功能。盡管會增加一些操作步驟，但建議不要禁用此功能，它能為系統(tǒng)帶來更高的安全性，保護(hù)用戶免受潛在威脅。

最新評論