Microsoft stärker Windows 11-säkerhet med en ny funktion som kallas”Administrator Protection”, nu tillgänglig för medlemmar i sitt Insider-program. Avslöjas i senaste dev channel build , detta funktionsändringar hur det operativa systemet för administration
i stället för administration för att du kan fundamentalt för att göra det. Prompten för användarkontokontroll (UAC), användare måste nu uttryckligen godkänna varje administratörsnivå med Windows Hello. Detta just-in-time-system ger tillfälliga behörigheter för specifika åtgärder, från att installera programvara till redigering av registret.
Det primära målet är att förhindra skadlig programvara och referensstöld. While a clear security upgrade, the frequent authentication prompts may prove a test of patience for power users.
From UAC to Just-in-Time: A New Security Modell
Denna nya metod representerar en betydande utveckling från det långvariga UAC-systemet. Där UAC ofta presenterade en enkel samtyckesdialog, kräver administratörsskydd aktivt, verifierbart bevis på identitet för alla åtgärder som kräver förhöjda privilegier.
Kärnprincipen är att hålla användarkonton avprivilegierade som standard. Enligt Microsofts Katharine Holdsworth,”med administrationsskyddet, den användarnas depriven för att bara gå in i tiden för att bara ha en gång. varaktighet för en administratörsoperation.”Detta säkerställer att administrativ makt inte är ett ihållande tillstånd som kan kapas utan en tillfällig status som beviljas från fall till fall.
För att uppnå detta använder systemet en smart isoleringsteknik. När en användare autentiserar en åtgärd genererar Windows ett tillfälligt administratörstoken. Holdsworth konstaterar,”Administratörsskydd använder dolda, systemgenererade, profilseparerade användarkonton för att skapa isolerat administratörstoken.”Detta förhindrar skadlig programvara på användarnivå från att komma åt eller kompromissa med den förhöjda processen.
När den specifika uppgiften är klar förstörs token omedelbart. Denna självförstörelsemekanism säkerställer att administratörsrättigheter inte lämnas kvarvarande, och stänger en gemensam attackvektor som skadlig programvara har utnyttjat i flera år.
Utredning av användarupplevelse: Säkerhet mot irritation
Medan säkerhetsfördelarna är tydliga kommer skiftet utan att använda användararbetet. Microsofts egen dokumentation betonar att”med administratörsskydd måste användaren interaktivt godkänna varje administratörsoperation.”Denna avsiktliga friktion är funktionens huvudstyrka och dess potentiella svaghet.
För många säkerhetspersonal kan detta vara en välkommen förändring. Det eliminerar risken för”snabb trötthet”, där användare kan slarvigt klicka på”Ja”på en UAC-pop-up. Att kräva en stift eller biometrisk skanning tvingar ett ögonblick av övervägande innan de ger kraftfulla behörigheter.
Men vissa analytiker drar paralleller till det initiala, ofta negativa mottagandet av UAC när den debuterade. Kraftanvändare och utvecklare, som ofta utför uppgifter som kräver höjd, kan hitta det ständiga behovet av autentisering för att vara ett hinder för deras produktivitet.
Framgången för administratörsskydd kommer att hindra att hitta en balans. Det måste vara tillräckligt robust för att stoppa hot utan att bli så påträngande att användare söker sätt att inaktivera det, och därmed negera sina säkerhetsfördelar.
Hur man aktiverar och konfigurerar administratörsskydd
Administratörsskydd gör sin debut i Windows 11 Insider Preview Build 26200.5702 . För tillfället är det en opt-in-upplevelse för testare och är inaktiverad som standard. Microsoft har gav vägledning för dem som önskar att göra det . För företagsmiljöer har IT-administratörer mer granulär kontroll och kan distribuera funktionen i skala med grupppolicy eller Microsoft Intune.
I grupppolicyredigeraren är inställningen märkt”administratörsgodkännandeläge med administratörsskydd.”När det är aktiverat krävs en systemstart för att ändringarna ska träda i kraft. Detta gör det möjligt för organisationer att testa funktionen före en bredare, potentiellt obligatorisk utrullning.
Microsoft har signalerat att denna förhandsgranskningsfas är tillfällig. Företaget avser att göra administratörsskydd till en standardinställning, aktiverad inställning i en framtida offentlig release, troligen som en del av den kommande Windows 11-versionen 25H2-uppdateringen.
