微軟近日宣布了一項針對Windows 11系統的全新安全功能——Administrator Protection,旨在大幅降低因權限提升而引發的安全風險。
據微軟官方博文介紹,當應用程序在擁有提升權限的環境下運行時,設備往往處于最為脆弱的狀態。這類應用能夠廣泛修改系統設置,實施系統級變更,從而對整個設備的安全構成威脅。尤為嚴重的是,如果惡意軟件在此類環境下運行,它可能會竊取敏感信息,并在組織內部進行橫向移動,導致大規模的安全漏洞。
為了有效遏制這一風險,Administrator Protection功能引入了即時管理員權限機制。這一機制確保權限僅在真正需要時才會被生成,并在任務完成后立即銷毀,從而顯著降低了權限暴露的風險。
Administrator Protection還帶來了用戶訪問控制(UAC)的全新架構,嚴格遵循“最小權限原則”。通過創建系統管理的分離賬戶(SMAA),該功能為管理員密鑰建立了獨立的安全邊界,有效防止了用戶級惡意軟件對提升權限環境的訪問。
Administrator Protection還取消了自動提權功能,要求用戶在每次操作時都進行手動授權。結合Windows Hello的面部、指紋或PIN認證,這一改變不僅增強了系統的安全性,還提升了用戶的操作便利性。
對于應用開發者而言,微軟也給出了一系列建議。他們被鼓勵以非提升權限的方式安裝和運行應用,避免將文件存儲在用戶配置文件目錄下。相反,推薦使用% ProgramFiles%目錄或MSIX打包方式,以減少潛在的安全風險。同時,用戶在使用應用時也應盡量保持非提升狀態,僅在執行必要任務時才提升權限。
微軟的這一舉措無疑為Windows 11系統的安全性注入了新的活力。通過引入Administrator Protection功能,微軟不僅提升了系統的整體防護能力,還為用戶和應用開發者提供了更加安全、便捷的操作環境。
