Microsoft正在通過一項名為“管理員保護”的新功能加強Windows 11安全性,該功能現已可供其內幕計劃的成員使用。在
而不是熟悉的用戶帳戶控制(UAC)提示,用戶現在必須使用Windows Hello明確授權每個管理員級任務。這個即時系統為特定操作(從安裝軟件到編輯註冊表)提供了臨時權限。
主要目標是防止惡意軟件和憑據盜竊。雖然明確的安全升級,但頻繁的身份驗證提示可能會證明對權力用戶的耐心測試。
這種新方法代表了長期以來的UAC系統的顯著發展。如果UAC經常提出簡單的同意對話框,則管理員保護要求任何需要提高特權的動作的活動證明。
核心原則是默認情況下使用戶帳戶刪除。 根據 Microsoft的Katharine Holdswort,及時及時及時及時及時及時及時及時及時。管理員操作的持續時間。 “這樣可以確保行政權力不是可以被劫持的持續狀態,而是逐案授予的臨時狀態。
為實現這一目標,系統使用巧妙的隔離技術。當用戶身份驗證操作時,Windows會生成臨時的管理令牌。 Holdsworth指出:“管理員保護使用隱藏的,系統生成的,配置文件分離的用戶帳戶來創建孤立的管理令牌。 “這樣可以防止用戶級惡意軟件訪問或損害高架過程。
一旦完成特定任務,令牌就會立即被破壞。這種自我毀滅機制可確保行政權利不會揮之不去,關閉了惡意軟件多年來利用的常見攻擊矢量。
用戶體驗權衡:安全與煩惱
,儘管安全利益是明確的,但這種轉變將無疑會影響用戶工作流程。微軟自己的文檔強調,“有了管理員保護,用戶需要交互授權每個管理員操作。 “故意的摩擦是該功能的主要優勢和潛在的弱點。
對於許多安全專業人員而言,這可能是一個可喜的變化。它消除了“及時疲勞”的風險,用戶可能會在其中不小心單擊UAC彈出窗口的“是”。在授予強大的權限之前,要求進行銷釘或生物識別掃描會迫使人們考慮一下時刻。
但是,一些分析師在首次亮相時將其與初始(通常為負的)接收相似之處。經常執行需要提升任務的權力用戶和開發人員可能會發現對身份驗證的不斷需求是其生產力的障礙。
管理員保護的成功將取決於找到餘額。它必須足夠強大才能阻止威脅而不會變得如此侵入性,以至於用戶尋求禁用它的方法,從而否定其安全優勢。
如何啟用和配置管理員保護
管理員保護在
Home users can activate it through the Account Protection section within the Windows Security app.對於企業環境,IT管理員具有更多的顆粒狀控制,並且可以使用組策略或Microsoft Intune進行大規模部署該功能。
在組策略編輯器中,設置標記為“具有管理員保護的管理員批准模式”。啟用後,需要重新啟動系統才能生效。這使組織可以在更廣泛的,可能強制性的推出之前測試該功能。
Microsoft表示此預覽階段是暫時的。該公司打算在將來的公開版本中使管理員保護成為默認設置,這可能是即將推出的Windows 11版本25H2更新的一部分。