• 在 Windows 11 中,您可以启用管理员保护功能,以增强管理员账户的安全性。
• 该功能可防止静默权限提升,并要求使用 Windows Hello 进行确认或通过提示获取同意。
• 您可以通过组策略中的“安全选项”>“管理员批准模式”启用它,或者在注册表中将“TypeOfAdminApprovalMode”值设置为 2 来启用。
更新于 2025 年 12 月 11 日:在 Windows 11 中,您现在可以启用“管理员保护”功能,为需要提升权限的应用程序运行时增加一层额外的安全保障。在本指南中,我将介绍如何通过组策略和注册表来配置此功能。
管理员保护是 Windows 11 的一项安全功能,旨在增强具有管理员权限的账户的安全性。通常,“管理员”组中的用户可以不受限制地修改系统设置和安装应用程序。虽然这些功能很有用,但也带来了很大的安全风险,因为恶意行为者可以利用这些功能危害系统。
此功能有助于降低这些风险,它能减少用户误操作导致系统级更改的可能性,并防止恶意软件在用户不知情的情况下擅自进行修改。
此功能应用了“最小特权原则”(PoLP),默认情况下将管理员账户视为标准用户。只有在明确批准的情况下,才会授予提升的权限,并遵循“即时”(JIT)提升流程。
例如,如果您尝试执行管理任务(例如修改系统设置或安装应用程序),则必须首先批准权限提升。这可以通过 Windows Hello 身份验证(默认方法)或在安全环境中同意提示(无需额外身份验证)来完成。
一旦任务获得批准,Windows 11 会临时使用系统生成的独立用户账户创建一个隔离的管理员令牌。此令牌仅在任务执行期间使用,任务结束后会立即销毁。据微软称,这确保了管理员权限不会持久存在。每次后续请求提升权限时,都会重复整个过程,从而保持安全的环境。
此外,提示还使用了不同的配色方案,以提供与该操作相关的潜在风险的视觉提示。
尽管看起来相似,但“管理员保护”与“用户账户控制(UAC)”并非一回事。微软将 UAC 定义为“一种更深层次的防御特性”,而管理员保护则是为了确保对提升权限会话的代码或数据的任何访问或篡改操作,在未获得用户适当确认的情况下不会执行。
简而言之,用户账户控制侧重于系统范围内的更改通知,而管理员保护则通过最大限度地减少权限滥用来专门强化管理员账户的安全模型。
在本指南中,我将概述在 Windows 11 上为管理员启用新安全功能的两种方法。此功能从 2025-11 安全更新(KB5068861)(26200.7171)开始可用。
警告:在继续操作之前,务必认识到修改 Windows 注册表所带来的风险。错误的更改可能会导致系统不稳定或运行问题。因此,在进行任何更改之前,请确保您已完整备份系统。谨慎行事并充分理解。
要在 Windows 11 专业版的组策略编辑器中启用管理员保护,请按照以下步骤操作:
1. 开放的开始。
2. 搜索“gpedit”,然后点击搜索结果中的第一个选项以打开组策略编辑器。
3. 浏览以下路径:
计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项
4. 右键单击“用户账户控制:配置管理员批准模式类型”策略,然后选择“属性”选项。
5. 选择“管理员保护下的管理员审批模式”选项。
6. 点击“应用”按钮。
7. 单击OK按钮。
8. 重新启动计算机。
完成这些步骤后,设置将应用于 Windows 11 专业版或企业版。下次运行需要提升权限的应用程序时,系统会提示您同意该操作或使用可用的 Windows Hello 方法进行身份验证。
订阅我的时事通讯,即可在收件箱中获取最新指南和更新。
相关文章
网友评论(共有 0 条评论)
