微软致力于将 Windows 11 打造成最安全的 Windows 版本,因此引入了多项新的安全功能。其中一项关键的安全改进是 管理员保护(Admin Protection),它通过限制对管理员权限的访问,仅在特定事件时授予临时权限,从而增强了系统的安全性。以下是关于这一功能的详细介绍和启用方法。
管理员保护的工作原理
管理员保护 是一种新的安全机制,旨在减少系统中长期保持激活的管理员权限,从而降低恶意软件和其他攻击的风险。该功能的主要特点包括:
- 临时管理员权限:当用户需要执行需要管理员权限的操作时,操作系统会为该操作创建一个临时的管理员令牌。任务完成后,Windows 会自动删除该临时访问令牌,阻止进一步访问管理员配置文件。
- 多因素身份验证:为了进一步提高安全性,管理员保护与 Windows Hello 捆绑在一起,要求用户在授予管理员权限时输入 PIN 或使用其他首选的身份验证方式(如指纹或面部识别)。这确保了只有经过身份验证的用户才能获得临时的管理员权限。
- 隐藏管理员配置文件:在大多数时间里,管理员配置文件将保持隐藏且无法访问,减少了恶意软件或其他攻击者利用管理员权限的机会。
启用管理员保护的方法
方法 1:通过 Windows 安全应用程序
这是最简单的方法,适用于普通用户。按照以下步骤操作:
1、启动 Windows 安全应用程序:
- 直接按
Windows + S,搜索“Windows 安全中心”,然后点击打开。
2、导航到管理员保护选项:
- 在 Windows 安全应用程序中,点击左侧的“帐户保护”。
- 向下滚动,找到“管理员保护”选项。默认情况下,该选项是隐藏的,但您可以强制启用它。
3、启用管理员保护:
- 点击“管理员保护”旁边的切换按钮,将其启用。
方法 2:通过组策略编辑器(适用于高级用户)
如果您希望为所有用户启用管理员保护,或者 Windows 安全应用程序不起作用,可以使用组策略编辑器来实现。以下是具体步骤:
1、打开组策略编辑器:
- 按
Windows + R打开“运行”对话框,输入gpedit.msc,然后按Enter。
2、导航到相关策略:
- 在组策略编辑器中,依次展开以下路径:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
3、配置管理员批准模式:
- 双击“用户帐户控制:配置管理员批准模式的类型”策略。
- 在弹出的窗口中,展开下拉列表并选择“具有管理员保护的管理员批准模式”。
- 点击“应用”并确认。
4、配置提升提示行为:
- 接下来,双击“用户帐户控制:具有管理员保护的管理员运行的提升提示行为”策略。
- 在弹出的窗口中,选择“提示输入凭据”选项。
- 点击“应用”并确认。
5、重启计算机:
- 关闭组策略编辑器窗口,并重启您的 PC 以使更改生效。
管理员保护的优势
虽然管理员保护功能在启用后会增加一个额外的步骤(即每次请求管理员权限时都需要进行身份验证),但它显著提高了系统的安全性。以下是其主要优势:
- 减少恶意软件攻击面:由于管理员权限不是始终保持激活状态,恶意软件更难利用这些权限进行破坏性操作。
- 防止意外更改:即使是合法用户,也可能在不经意间执行某些需要管理员权限的操作,导致系统配置被修改。管理员保护可以防止这种情况发生。
- 符合企业安全标准:对于企业和组织来说,管理员保护功能有助于遵守严格的安全政策,确保只有授权用户能够在必要时获得管理员权限。
微软的管理员保护功能是 Windows 11 中一项重要的安全增强措施,能够有效减少恶意软件和其他攻击的风险。尽管它可能会增加一些操作上的复杂性,但这种额外的安全层对于保护系统免受潜在威胁至关重要。我们建议用户不要停用此功能,尤其是在安全性至关重要的环境中。随着未来的更新,微软可能会默认启用管理员保护功能,进一步简化用户的配置过程。(来源)
评论