Microsoft wzmacnia bezpieczeństwo systemu Windows 11 o nową funkcję o nazwie „Ochrona administratora”, która jest teraz dostępna dla członków jego programu informacyjnego. Ujawnione w najnowsze kompilację kanału deweloperów Wskaźnkowym wiersza kontroli konta użytkownika (UAC) użytkownicy muszą teraz wyraźnie zezwolić na każde zadanie na poziomie administratora za pomocą Windows Hello. Ten system Just-in-Time zapewnia tymczasowe uprawnienia do określonych działań, od instalacji oprogramowania po edycję rejestru.
Głównym celem jest zapobieganie złośliwym oprogramowaniu i kradzieży poświadczeń. Podczas wyraźnej aktualizacji bezpieczeństwa, częste podpowiedzi uwierzytelniania mogą udowodnić test cierpliwości dla użytkowników energii.
z UAC do tylko Model
To nowe podejście stanowi znaczącą ewolucję z długotrwałego systemu UAC. W przypadku, gdy UAC często przedstawiał prostą zgodę, ochrona administratora wymaga aktywnego, weryfikowalnego dowodu tożsamości dla dowolnego działania wymagającego podwyższonych uprawnień.
Podstawową zasadą jest domyślnie utrzymanie rachunków użytkowników. Według Katharine Holdsworth, „Z zabezpieczeniem administratora, Użytkownik De-Privileged i jest przyznawany tylko na elewizację czasu. Czas trwania operacji administratora. ” Zapewnia to, że władza administracyjna nie jest stanem trwałym, który można porwać, ale status tymczasowy przyznany indywidualnie dla poszczególnych przypadków.
Aby to osiągnąć, system wykorzystuje sprytną technikę izolacji. Gdy użytkownik uwierzytelnia akcję, Windows generuje tymczasowy token administratora. Holdsworth zauważa: „Ochrona administratora wykorzystuje ukryte, generowane systemem, rozdzielone na profilu konta użytkowników do tworzenia izolowanego tokena administracyjnego”. Zapobiega to złośliwemu oprogramowaniu na poziomie użytkownika dostępu do podwyższonego procesu.
Po zakończeniu konkretnego zadania token zostanie natychmiast zniszczony. Ten mechanizm samozniszczenia zapewnia, że prawa administracyjne nie pozostają utrzymujące, zamykając wspólny wektor ataku, który złośliwe oprogramowanie wykorzystywało od lat.
Kompromis wrażenia użytkownika: bezpieczeństwo vs. irytacja
Podczas gdy korzyści bezpieczeństwa są jasne, zmiana nie wpłynie na przepływ pracy użytkownika. Własna dokumentacja Microsoft podkreśla, że „dzięki ochronie administratora użytkownik musi interaktywnie autoryzować każdą operację administracyjną”. To celowe tarcie jest główną siłą funkcji i jej potencjalną słabością.
Dla wielu specjalistów ds. Bezpieczeństwa może to być mile widziana zmiana. Eliminuje ryzyko „szybkiego zmęczenia”, w którym użytkownicy mogą nieostrożnie kliknąć „Tak” na wyskakującym okienku UAC. Wymaganie PIN lub skanowania biometrycznego wymusza moment rozważenia przed przyznaniem potężnych uprawnień.
Jednak niektórzy analitycy przyciągają podobieństwa do początkowego, często negatywnego odbioru UAC podczas jego zadebiutowania. Zaawansowani użytkownicy i programiści, którzy często wykonują zadania wymagające wysokości, mogą uznać, że stała potrzeba uwierzytelnienia jest przeszkodą w ich wydajności.
Powodzenie ochrony administratora będzie zależeć od znalezienia równowagi. Musi być wystarczająco solidne, aby powstrzymać zagrożenia, nie stając się tak natrętnym, że użytkownicy szukają sposobów wyłączenia, negując w ten sposób swoje zalety bezpieczeństwa.
Jak włączyć i skonfigurować ochronę administratora
Ochrona administratora debiutuje w Windows 11 inustider Build 26200.5702 . Na razie jest to doświadczenie opt-in dla testerów i jest domyślnie wyłączone. Microsoft ma dostarczone wskazówki dla osób, które chcą włączyć .
Użytkownicy domowe mogą aktywować sekcję ochrony konta w systemie Security App. W przypadku środowisk korporacyjnych administratorzy IT mają bardziej szczegółową kontrolę i mogą wdrażać funkcję na skalę za pomocą zasad grupy lub Microsoft Intune.
W edytorze zasad grupy ustawienie jest oznaczone „Tryb zatwierdzania administratora z ochroną administratora”. Po włączeniu wymagane jest ponowne uruchomienie systemu, aby zmiany zaowocowały. Pozwala to organizacjom przetestować tę funkcję przed szerszym, potencjalnie obowiązkowym, wdrożeniem.
Microsoft sygnalizował, że ta faza podglądu jest tymczasowa. Firma zamierza uczynić ochronę administratora domyślnym, włączonym ustawieniem w przyszłej publicznej wersji, prawdopodobnie w ramach nadchodzącej aktualizacji Windows 11 w wersji 25H2.