在如今的數(shù)字化時(shí)代，安全問(wèn)題的重要性不言而喻。而安全的核心之一，就是讓用戶以「最低權(quán)限」來(lái)操作設(shè)備。

• 在 Windows 系統(tǒng)中，擁有「管理員權(quán)限」的用戶可以修改系統(tǒng)配置，甚至進(jìn)行一些影響整機(jī)安全性的重大更改。正因?yàn)檫@些強(qiáng)大的權(quán)限，它們也成為了攻擊者的重點(diǎn)目標(biāo)。
• 攻擊者往往會(huì)利用管理員權(quán)限進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、破壞隱私，甚至關(guān)閉系統(tǒng)安全功能。而這些操作，可能會(huì)在用戶毫不知情的情況下完成。
• 根據(jù)《微軟數(shù)字防御報(bào)告 2024》的最新數(shù)據(jù)，每天大約有 39000 起基于用戶權(quán)限濫用的「令牌竊取」事件發(fā)生。這一數(shù)據(jù)清楚地表明，加強(qiáng)高級(jí)權(quán)限用戶的安全防護(hù)已經(jīng)刻不容緩。

為了應(yīng)對(duì)這類安全挑戰(zhàn)，微軟為 Windows 11 引入了一項(xiàng)全新的平臺(tái)級(jí)安全功能——管理員保護(hù)。它允許用戶在正常使用「管理員權(quán)限」處理必要操作的同時(shí)，通過(guò)「按需分配」的機(jī)制，進(jìn)一步提升對(duì)惡意攻擊的防護(hù)能力。

什么是「管理員保護(hù)」功能？

簡(jiǎn)單來(lái)說(shuō)，管理員保護(hù)功能就是：用戶在執(zhí)行需要管理員權(quán)限的操作之前，必須先通過(guò) Windows Hello 進(jìn)行身份驗(yàn)證。這些操作包括軟件安裝、修改系統(tǒng)設(shè)置（比如調(diào)整時(shí)間或編輯注冊(cè)表）、訪問(wèn)敏感數(shù)據(jù)等。

通過(guò) Windows Hello 進(jìn)行「管理員保護(hù)」身份驗(yàn)證

有了管理員保護(hù)，誤操作導(dǎo)致的系統(tǒng)級(jí)更改風(fēng)險(xiǎn)將大大降低。更重要的是，它能有效阻止惡意軟件在用戶毫不知情的情況下悄悄對(duì)系統(tǒng)進(jìn)行更改。如此一來(lái)，Windows 11 的安全防護(hù)能力可以說(shuō)是更上了一層樓。

「管理員保護(hù)」安全模型

管理員保護(hù)功能的核心理念是——最低權(quán)限原則。簡(jiǎn)單來(lái)說(shuō)，即便你已經(jīng)登錄了 Windows 帳戶，默認(rèn)情況下也只會(huì)獲得「降級(jí)后的普通權(quán)限」。當(dāng)需要使用管理員權(quán)限時(shí)：

• Windows 11 會(huì)要求你進(jìn)行授權(quán)。
• 授權(quán)通過(guò)后，系統(tǒng)會(huì)單獨(dú)生成一個(gè)隱藏的、隔離的用戶賬號(hào)，并基于該賬號(hào)創(chuàng)建一個(gè)臨時(shí)的管理員令牌（Admin Token）。
• 這個(gè)令牌只用于當(dāng)前操作，操作完成后，令牌會(huì)自動(dòng)銷毀。

這意味著，管理員權(quán)限并不會(huì)一直保留，每次需要執(zhí)行管理員權(quán)限操作時(shí)，都會(huì)重復(fù)以上步驟。這樣就避免了長(zhǎng)期持有高權(quán)限帶來(lái)的安全風(fēng)險(xiǎn)。

架構(gòu)亮點(diǎn)一覽

管理員保護(hù)功能深度結(jié)合了 Windows Hello，實(shí)現(xiàn)了安全與便捷的雙重平衡。

• 按需提權(quán)：默認(rèn)情況下，用戶始終使用普通權(quán)限。只有在執(zhí)行特定管理員操作時(shí)，系統(tǒng)才會(huì)臨時(shí)給你提權(quán)。操作完成后，管理員令牌會(huì)立刻銷毀。下次需要提權(quán)時(shí)，需要重新生成新的令牌。這一機(jī)制有效避免了長(zhǎng)期持有高權(quán)限帶來(lái)的安全風(fēng)險(xiǎn)。
• 配置文件分離：系統(tǒng)通過(guò)隱藏的、隔離的用戶帳戶來(lái)創(chuàng)建管理員令牌。這確保了用戶級(jí)別的惡意軟件無(wú)法影響到提權(quán)后的會(huì)話，從而讓權(quán)限提升成為了一道安全屏障。
• 無(wú)自動(dòng)提權(quán)：每次涉及管理員權(quán)限的操作，系統(tǒng)都會(huì)要求用戶交互式手動(dòng)授權(quán)。這樣，你可以始終掌控權(quán)限分配，避免權(quán)限被濫用。再加上 Windows Hello 的高安全性認(rèn)證，既增強(qiáng)了保護(hù)能力，又提升了使用體驗(yàn)。

「管理員保護(hù)」安全架構(gòu)示意圖

管理員保護(hù)功能的引入，為 Windows 11 增加了一道全新的安全屏障。但要注意，這個(gè)功能和用戶帳戶控制（UAC） 不同。UAC 更像是一種「深度防御策略」，而管理員保護(hù)通過(guò)對(duì)底層架構(gòu)的改造，實(shí)現(xiàn)了更高等級(jí)的安全防護(hù)能力。

• 安全性大幅提升：每次執(zhí)行管理員任務(wù)前都需要明確授權(quán)，這不僅能防止誤操作導(dǎo)致系統(tǒng)更改，還能有效抵御惡意軟件的干擾。這種機(jī)制讓用戶在操作前意識(shí)到潛在風(fēng)險(xiǎn)，為系統(tǒng)安全再加一道鎖。
• 用戶全程掌控：你可以精細(xì)化管理管理員權(quán)限，針對(duì)具體應(yīng)用進(jìn)行授權(quán)或限制。這樣只有明確授權(quán)的應(yīng)用才能修改系統(tǒng)設(shè)置，有效降低了誤操作或惡意更改的風(fēng)險(xiǎn)。
• 減少惡意軟件威脅：惡意軟件常常依賴管理員權(quán)限來(lái)進(jìn)行系統(tǒng)級(jí)更改或其他有害操作。而管理員保護(hù)打斷了這條攻擊鏈，讓惡意軟件無(wú)法在你不知情的情況下獲得管理員權(quán)限，從根源上降低了安全威脅。

如何啟用 Windows 11 管理員保護(hù)

目前，「管理員保護(hù)」功能還在開(kāi)發(fā)階段。你需要加入「Windows 預(yù)覽體驗(yàn)計(jì)劃」的 Canary 渠道，然后下載并安裝 Windows 11 Build 27774 或更高版本。

方法 1：通過(guò) Windows 安全中心

1、在「開(kāi)始」菜單中打到并打開(kāi)「Windows 安全中心」。

2、依次選擇「帳戶保護(hù)」>「管理員保護(hù)設(shè)置」。

3、打開(kāi)「為需要管理員權(quán)限的操作啟用實(shí)時(shí)訪問(wèn)」開(kāi)關(guān)。

4、重啟計(jì)算機(jī)。

在 Windows 安全中心啟用管理員保護(hù)

完成以上步驟后，系統(tǒng)將用「管理員保護(hù)」功能替代現(xiàn)有的 UAC（用戶賬戶控制）功能。

方法 2：通過(guò)組策略

如果你使用的是 Windows 11 專業(yè)版、教育版或企業(yè)版，可以通過(guò)組策略來(lái)啟用管理員保護(hù)功能：

1、按Windows + R快捷鍵打開(kāi)「運(yùn)行」對(duì)話框，輸入gpedit.msc并回車，打開(kāi)本地組策略編輯器。

2、導(dǎo)航到「計(jì)算機(jī)配置」>「Windows 設(shè)置」>「安全設(shè)置」>「本地策略」>「安全選項(xiàng)」。

3、找到并雙擊「用戶帳戶控制：配置管理員審批模式的類型」策略，將「本地安全設(shè)置」下拉列表設(shè)置為「管理員保護(hù)下的管理員批準(zhǔn)模式」。

配置「用戶帳戶控制：配置管理員審批模式的類型」策略

4、接著，找到并雙擊「用戶帳戶控制：在啟用管理員保護(hù)的情況下管理員的提升權(quán)限提示行為」策略，將「本地安全設(shè)置」下拉列表設(shè)置為：

• 在安全桌面上提示憑據(jù)：需要通過(guò) Windows Hello 進(jìn)行身份驗(yàn)證。
• 在安全桌面上同意提示：無(wú)需輸入憑據(jù)，只需用戶同意提升權(quán)限。

配置「用戶帳戶控制：在啟用管理員保護(hù)的情況下管理員的提升權(quán)限提示行為」策略

5、重啟計(jì)算機(jī)，讓策略生效。

完成這些操作后，當(dāng)你下次運(yùn)行需要提權(quán)的應(yīng)用程序時(shí)，系統(tǒng)會(huì)提示你同意操作，或者通過(guò) Windows Hello 進(jìn)行身份驗(yàn)證。

展望

微軟可能會(huì)在未來(lái)更新中默認(rèn)啟用此功能。盡管會(huì)增加一些操作步驟，但建議不要禁用此功能，它能為系統(tǒng)帶來(lái)更高的安全性，保護(hù)用戶免受潛在威脅。

最新評(píng)論