Microsoft sta rafforzando Windows 11 Security con una nuova funzionalità chiamata”Amministratore Protection”, ora disponibile per i membri del suo programma Insider. Rivelato in ultimo canale Dev build , questa caratteristica cambia fondamentalmente il sistema operativo operativo Diritti.
Invece del prompt di Control Account utente (UAC) familiare, gli utenti devono ora autorizzare esplicitamente ogni attività a livello di amministrazione utilizzando Windows Hello. Questo sistema just-in-time fornisce autorizzazioni temporanee per azioni specifiche, dall’installazione di software alla modifica del registro.
L’obiettivo principale è prevenire il furto di malware e credenziali. While a clear security upgrade, the frequent authentication prompts may prove a test of patience for power users.
From UAC to Just-in-Time: A New Security Modello
Questo nuovo approccio rappresenta una significativa evoluzione dal sistema UAC di lunga data. Laddove UAC presentasse spesso una semplice finestra di dialogo di consenso, la protezione dell’amministratore richiede una prova attiva e verificabile dell’identità per qualsiasi azione che richieda privilegi elevati.
Il principio principale è quello di mantenere gli account utente disprezzati per impostazione predefinita. ; durata di un’operazione amministrativa.”Ciò garantisce che il potere amministrativo non sia uno stato persistente che può essere dirottato ma uno stato temporaneo concesso caso per caso.
Per raggiungere questo obiettivo, il sistema utilizza una tecnica di isolamento intelligente. Quando un utente autentica un’azione, Windows genera un token di amministrazione temporaneo. Holdsworth Notes:”La protezione dell’amministratore utilizza account utente nascosti, generati dal sistema, separati dal profilo per creare token di amministrazione isolato.”Ciò impedisce al malware a livello di utente di accedere o compromettere il processo elevato.
Una volta completato l’attività specifica, il token viene immediatamente distrutto. Questo meccanismo di autodistrutto garantisce che i diritti di amministrazione non siano lasciati persistenti, chiudendo un vettore di attacco comune che il malware ha sfruttato per anni.
Il compromesso dell’esperienza dell’utente: sicurezza vs. fastidio
mentre i benefici per la sicurezza sono chiari, lo spostamento avrà un impatto sul lavoro dell’utente senza dubbio. La documentazione di Microsoft sottolinea che”con la protezione dell’amministratore, l’utente deve autorizzare in modo interattivo ogni operazione amministrativa”. Questo attrito deliberato è la forza principale della funzionalità e la sua potenziale debolezza.
Per molti professionisti della sicurezza, questo potrebbe essere un gradito cambiamento. Elimina il rischio di”pronta fatica”, in cui gli utenti potrebbero fare clic con disatine”sì”su un pop-up UAC. Richiedere un perno o una scansione biometrica forze un momento di considerazione prima di concedere potenti autorizzazioni.
Tuttavia, alcuni analisti disegnano parallelismi con la ricezione iniziale, spesso negativa, di UAC quando ha debuttato. Gli utenti e gli sviluppatori di alimentazione, che svolgono frequentemente attività che richiedono elevazione, possono trovare la costante necessità che l’autenticazione sia un ostacolo alla loro produttività.
Il successo della protezione dell’amministratore dipenderà dalla ricerca di un equilibrio. Deve essere abbastanza robusto da fermare le minacce senza diventare così invadenti che gli utenti cercano modi per disabilitarlo, negando così i suoi vantaggi di sicurezza.
Come abilitare e configurare la protezione dell’amministratore
La protezione dell’amministratore fa il suo debutto in Windows 11 Insider Anteprima Build 26200.5702 . Per ora, è un’esperienza di opt-in per i tester ed è disabilitata per impostazione predefinita. Microsoft ha ha fornito una guida per coloro che desiderano abilitarlo .
Caspetta per la protezione dell’account nella protezione dell’account nella protezione dell’auto Per gli ambienti aziendali, gli amministratori IT hanno un controllo più granulare e possono distribuire la funzione su scala utilizzando la politica di gruppo o Microsoft Intune.
Nell’editor di criteri di gruppo, l’impostazione è etichettata”Modalità di approvazione amministrativa con protezione dell’amministratore”. Una volta abilitato, è necessario un riavvio del sistema affinché le modifiche abbiano effetto. Ciò consente alle organizzazioni di testare la funzione prima di un lancio più ampio, potenzialmente obbligatorio. La società intende rendere la protezione dell’amministratore un impostazione predefinita, abilitata in una futura uscita pubblica, probabilmente come parte dell’aggiornamento in uscita di Windows 11 versione 25H2.
