Trên Windows 11, giờ đây bạn có thể bật tính năng “Bảo vệ quản trị viên”để thêm một lớp bảo mật bổ sung khi chạy các ứng dụng yêu cầu độ cao và trong hướng dẫn này, tôi sẽ giải thích các bước để định cấu hình tính năng này thông qua Bảo mật Windows và Chính sách nhóm.
Bảo vệ quản trị viên là gì?
Bảo vệ quản trị viên là một tính năng bảo mật trên Windows 11 được thiết kế để tăng cường bảo mật cho các tài khoản có đặc quyền quản trị. Thông thường, người dùng trong nhóm “Quản trị viên” có thể. sửa đổi cài đặt quan trọng, cài đặt phần mềm và thực hiện các thay đổi trên toàn hệ thống mà không bị hạn chế. Mặc dù những khả năng này hữu ích nhưng chúng cũng tiềm ẩn rủi ro bảo mật đáng kể vì những kẻ độc hại có thể khai thác chúng để xâm phạm hệ thống.
Bảo vệ quản trị viên giúp giảm thiểu những rủi ro này bằng cách giảm nguy cơ người dùng thực hiện các thay đổi ở cấp hệ thống bằng cách nhầm lẫn và ngăn phần mềm độc hại âm thầm thực hiện các sửa đổi trái phép.
Bảo vệ quản trị viên hoạt động như thế nào?
Tính năng này áp dụng “Nguyên tắc đặc quyền tối thiểu” (PoLP), theo mặc định, coi tài khoản quản trị viên là người dùng tiêu chuẩn. Đặc quyền nâng cao là chỉ được cấp khi được phê duyệt rõ ràng, tuân theo quy trình nâng cao “đúng lúc”(JIT).
Ví dụ: nếu bạn cố gắng thực hiện một tác vụ quản trị (chẳng hạn như sửa đổi cài đặt hệ thống hoặc cài đặt một phần mềm ứng dụng), trước tiên bạn phải phê duyệt độ cao. Điều này có thể được thực hiện bằng cách sử dụng xác thực Windows Hello (phương thức mặc định) hoặc đồng ý với lời nhắc trong môi trường an toàn (không cần xác thực bổ sung).
Sau khi tác vụ được phê duyệt, Windows 11 sẽ tạm thời tạo mã thông báo quản trị viên bị cô lập bằng cách sử dụng một tài khoản người dùng riêng biệt do hệ thống tạo ra. Mã thông báo này chỉ được sử dụng trong suốt thời gian thực hiện nhiệm vụ và bị hủy ngay sau đó. Theo Microsoft, điều này đảm bảo rằng đặc quyền của quản trị viên không tồn tại lâu dài. Mỗi yêu cầu đặc quyền nâng cao tiếp theo sẽ lặp lại toàn bộ quy trình, duy trì một môi trường an toàn.
Hơn nữa, lời nhắc sử dụng các cách phối màu khác nhau để cung cấp cho bạn hàng đợi trực quan về các rủi ro tiềm ẩn cho phép thực hiện hành động.
Bảo vệ quản trị viên có giống như Kiểm soát tài khoản người dùng không?
Không, mặc dù chúng có thể trông giống nhau nhưng Bảo vệ quản trị viên không giống với Kiểm soát tài khoản người dùng (UAC). Microsoft định nghĩa UAC là “nhiều tính năng bảo vệ chuyên sâu hơn”, trong khi Bảo vệ quản trị viên được thiết kế để đảm bảo rằng mọi quyền truy cập hoặc giả mạo mã hoặc dữ liệu của phiên nâng cao sẽ không được thực thi nếu không có xác nhận thích hợp của người dùng.
Tóm lại, Kiểm soát tài khoản người dùng tập trung vào các thông báo thay đổi trên toàn hệ thống, trong khi Bảo vệ quản trị viên tăng cường mô hình bảo mật dành riêng cho tài khoản quản trị viên bằng cách giảm thiểu việc lạm dụng đặc quyền.
Các yêu cầu Bảo vệ quản trị viên là gì?
Tính năng này Do đó, bạn phải đăng ký máy tính của mình vào Kênh Canary của Chương trình người dùng nội bộ Windows để tải xuống và cài đặt bản phát hành Windows 11 build 27774 trở lên để truy cập tính năng này.
Trong hướng dẫn này, tôi sẽ phác thảo hai cách để kích hoạt tính năng bảo mật mới tính năng dành cho quản trị viên trên Windows 11.
Bật Bảo vệ quản trị viên trên Windows 11 từ ứng dụng Bảo mật
Để bật Bảo vệ quản trị viên trên Windows 11 (Home và Pro), hãy làm theo các bước sau:
Mở Bắt đầu.
@media only screen và (min-width: 0px) và (min-height: 0px) { div[id^=”bsa-zone_1659356505923-0_123456″] { chiều rộng tối thiểu: 336px; chiều cao tối thiểu: 280px; } } @media chỉ màn hình và (min-width: 640px) và (min-height: 0px) { div[id^=”bsa-zone_1659356505923-0_123456″] { min-width: 728px; chiều cao tối thiểu: 280px; } }
Tìm kiếm Bảo mật Windows và nhấp vào kết quả trên cùng để mở ứng dụng.
Nhấp vào Bảo vệ tài khoản.
Nhấp vào tùy chọn “Cài đặt bảo vệ quản trị viên” ở cuối trang.
Bật “Bảo vệ quản trị viên”
mạnh> công tắc bật tắt.
Khởi động lại máy tính.
Sau khi bạn hoàn thành các bước, hệ thống sẽ cho phép truy cập kịp thời đối với các hành động yêu cầu đặc quyền của quản trị viên, thay thế tính năng Kiểm soát tài khoản người dùng trên tài khoản của bạn.
Bật Quản trị viên Bảo vệ trên Windows 11 khỏi Chính sách nhóm
Để bật Bảo vệ quản trị viên khỏi Trình chỉnh sửa chính sách nhóm trên Windows 11 Pro, hãy làm theo các bước sau:
Mở Bắt đầu.
Tìm kiếm gpedit và nhấp vào kết quả trên cùng để mở Trình chỉnh sửa chính sách nhóm.
Duyệt theo đường dẫn sau:
Cấu hình máy tính > Cài đặt Windows > Cài đặt bảo mật > Chính sách cục bộ > Tùy chọn bảo mật
Nhấp chuột phải vào chính sách “Kiểm soát tài khoản người dùng: Định cấu hình loại Chế độ phê duyệt của quản trị viên” và chọn tùy chọn Thuộc tính.
Chọn >“Chế độ phê duyệt của quản trị viên với sự bảo vệ của quản trị viên” tùy chọn.
Nhấp vào nút Áp dụng.
Nhấp vào nút OK.
Nhấp chuột phải chính sách “Kiểm soát tài khoản người dùng: Hành vi của lời nhắc nâng cao dành cho quản trị viên đang chạy với tính năng bảo vệ của Quản trị viên” và chọn tùy chọn Thuộc tính.
Chọn trải nghiệm lời nhắc , bao gồm tùy chọn “Nhắc thông tin xác thực trên màn hình bảo mật” để xác thực bằng Windows Hello hoặc tùy chọn “Nhắc sự đồng ý trên màn hình bảo mật” để nâng cao lời nhắc mà không cần thông tin xác thực.
Nhấp vào nút Áp dụng.
Nhấp vào nút OK.
Khởi động lại máy tính.
Sau khi bạn hoàn thành các bước, cài đặt sẽ áp dụng cho Windows 11 Pro hoặc Enterprise và lần tiếp theo bạn chạy ứng dụng yêu cầu độ cao, bạn sẽ nhận được lời nhắc đồng ý thực hiện hành động hoặc xác thực bằng một trong các phương pháp Windows Hello có sẵn.
@media only screen and (min-width: 0px) và (min-height: 0px) { div[id^=”bsa-zone_1659356403005-2_123456″] { chiều rộng tối thiểu: 336px; chiều cao tối thiểu: 280px; } } @media chỉ màn hình và (min-width: 640px) và (min-height: 0px) { div[id^=”bsa-zone_1659356403005-2_123456″] { min-width: 728px; chiều cao tối thiểu: 280px; } }
