windows11

关注公众号 jb51net

关闭
操作系统 > Windows系列 > windows11 >

安全升级还是多此一举? Win11管理员保护原理和使用详解

脚本之家

在如今的数字化时代,安全问题的重要性不言而喻。而安全的核心之一,就是让用户以「最低权限」来操作设备。

为了应对这类安全挑战,微软为 Windows 11 引入了一项全新的平台级安全功能——管理员保护。它允许用户在正常使用「管理员权限」处理必要操作的同时,通过「按需分配」的机制,进一步提升对恶意攻击的防护能力。

什么是「管理员保护」功能?

简单来说,管理员保护功能就是:用户在执行需要管理员权限的操作之前,必须先通过 Windows Hello 进行身份验证。这些操作包括软件安装、修改系统设置(比如调整时间或编辑注册表)、访问敏感数据等。

通过 Windows Hello 进行「管理员保护」身份验证

有了管理员保护,误操作导致的系统级更改风险将大大降低。更重要的是,它能有效阻止恶意软件在用户毫不知情的情况下悄悄对系统进行更改。如此一来,Windows 11 的安全防护能力可以说是更上了一层楼。

「管理员保护」安全模型

管理员保护功能的核心理念是——最低权限原则。简单来说,即便你已经登录了 Windows 帐户,默认情况下也只会获得「降级后的普通权限」。当需要使用管理员权限时:

这意味着,管理员权限并不会一直保留,每次需要执行管理员权限操作时,都会重复以上步骤。这样就避免了长期持有高权限带来的安全风险。

架构亮点一览

管理员保护功能深度结合了 Windows Hello,实现了安全与便捷的双重平衡。

「管理员保护」安全架构示意图

管理员保护功能的引入,为 Windows 11 增加了一道全新的安全屏障。但要注意,这个功能和用户帐户控制(UAC) 不同。UAC 更像是一种「深度防御策略」,而管理员保护通过对底层架构的改造,实现了更高等级的安全防护能力。

如何启用 Windows 11 管理员保护

目前,「管理员保护」功能还在开发阶段。你需要加入「Windows 预览体验计划」的 Canary 渠道,然后下载并安装 Windows 11 Build 27774 或更高版本。

方法 1:通过 Windows 安全中心

1、在「开始」菜单中打到并打开「Windows 安全中心」。

2、依次选择「帐户保护」>「管理员保护设置」。

3、打开「为需要管理员权限的操作启用实时访问」开关。

4、重启计算机。

在 Windows 安全中心启用管理员保护

完成以上步骤后,系统将用「管理员保护」功能替代现有的 UAC(用户账户控制)功能。

方法 2:通过组策略

如果你使用的是 Windows 11 专业版、教育版或企业版,可以通过组策略来启用管理员保护功能:

1、按Windows + R快捷键打开「运行」对话框,输入gpedit.msc并回车,打开本地组策略编辑器。

2、导航到「计算机配置」>「Windows 设置」>「安全设置」>「本地策略」>「安全选项」。

3、找到并双击「用户帐户控制:配置管理员审批模式的类型」策略,将「本地安全设置」下拉列表设置为「管理员保护下的管理员批准模式」。

配置「用户帐户控制:配置管理员审批模式的类型」策略

4、接着,找到并双击「用户帐户控制:在启用管理员保护的情况下管理员的提升权限提示行为」策略,将「本地安全设置」下拉列表设置为:

配置「用户帐户控制:在启用管理员保护的情况下管理员的提升权限提示行为」策略

5、重启计算机,让策略生效。

完成这些操作后,当你下次运行需要提权的应用程序时,系统会提示你同意操作,或者通过 Windows Hello 进行身份验证。

展望

微软可能会在未来更新中默认启用此功能。尽管会增加一些操作步骤,但建议不要禁用此功能,它能为系统带来更高的安全性,保护用户免受潜在威胁。