根据近期Windows Insider博文所述,面向开发频道内测用户的最新Windows 11预览版引入了名为“管理员保护”的新功能,该功能“旨在为管理员用户提供浮动权限保护机制,使其仅通过即时管理员权限即可执行所有管理职能”。
Windows IT Pro技术博客进一步阐释:当用户执行需要管理员权限的操作(如安装软件、修改系统设置或访问敏感数据)时,“管理员保护”功能将自动激活。此类操作均需通过Windows Hello按需验证(需预先设置并启用指纹识别、面部扫描或PIN码)。
该功能的三大核心机制包括:
即时权限提升
在管理员保护模式下,用户默认处于降权状态,仅在执行管理操作期间获得即时提升权限。管理令牌在使用后立即销毁,下次执行需权限任务时重新生成。
配置文件隔离
系统通过隐藏的自动生成账户实现用户配置分离,创建独立管理令牌。该设计确保用户级恶意软件无法入侵提权会话,使权限提升成为安全边界。
禁用自动提权
每个管理操作均需用户交互式授权,确保管理员完全掌控权限使用,杜绝特权滥用。与Windows Hello的集成在提升安全性的同时优化使用体验。
该功能不仅能防止用户误操作系统,还可有效拦截恶意软件的秘密篡改行为。目前该功能默认关闭,需通过Windows安全中心或组策略手动启用。微软计划于今年夏季向全体用户推送该功能,届时将改为默认开启。
