微軟近期公布了一項針對Windows 11系統的重大安全更新,名為Administrator Protection的新功能,旨在有效緩解因權限提升而引發的安全風險。
據微軟官方介紹,應用程序在高權限環境下運行時,系統面臨的安全威脅顯著增加。這些應用能夠廣泛修改設備配置,甚至引發系統層面的變動,從而對整個系統的安全性構成威脅。特別是當惡意軟件獲得執行權限時,它們能夠竊取敏感信息,并在網絡內部迅速擴散,帶來更為廣泛的安全隱患。
為了應對這一挑戰,Administrator Protection功能采用了一種創新的即時生成管理員權限令牌機制。這意味著,管理員權限僅在真正需要時才會被激活,并在任務完成后立即被銷毀。這種機制顯著縮短了權限暴露的時間窗口,從而降低了潛在的安全風險。
該功能還對用戶訪問控制(UAC)機制進行了重構,嚴格遵循“最小權限原則”。通過引入系統管理的分離賬戶(SMAA)技術,該功能創建了獨立的管理員憑據,實現了有效的安全隔離。這防止了普通用戶環境中運行的惡意程序接觸到高權限空間,進一步增強了系統的安全性。
值得注意的是,Administrator Protection功能還取消了原有的自動提權機制。現在,用戶每次執行需要高權限的操作時,都必須進行手動確認。結合Windows Hello提供的面部識別、指紋識別或PIN碼驗證方式,這一功能在提升系統安全性的同時,也確保了用戶使用的便捷性。
微軟還向開發者發出了建議,鼓勵他們盡量讓應用程序以非提升權限的方式安裝和運行。為了避免將數據存儲在用戶配置文件目錄中,微軟推薦使用%ProgramFiles%路徑或采用MSIX打包格式。對于終端用戶而言,微軟建議在日常使用中盡量避免以管理員權限運行程序,僅在執行特定必要操作時才啟用高權限模式。
這一安全更新是微軟在持續加強Windows系統安全性方面邁出的重要一步。通過引入Administrator Protection功能,微軟旨在為用戶提供一個更加安全、可靠的操作系統環境。
