在 macOS 系统里若用户尝试更改某些系统设置或具有敏感权限保护的选项时,必须输入密码或验证指纹等进行确认,这可以避免某些软件在未经用户明确同意的情况下执行恶意操作。
现在微软在 Windows 11 中也引入了类似功能:管理员保护。该功能在被启用后,如果软件或进程请求管理员权限时,将必须通过 Windows Hello 进行验证。
支持验证的方式包括但不限于微软账户密码、PIN 码、指纹或面容识别等,只有成功经过验证后才能授予管理员权限。
当前 Windows 的管理员权限确认方式是直接弹出窗口,由用户点击是或者否,不需要经过额外验证,因此某些情况下可能会被恶意软件利用。
微软在博客中表示:
管理员保护要求用户在允许任何需要管理员权限的操作前,都必须通过 Windows Hello 集成身份验证功能完成验证,这些操作包括但不限于安装软件、更改系统设置例如修改注册表以及访问敏感数据等。
该功能可以最大限度降低用户错误进行系统更改的风险,更重要的是这还有助于防止恶意软件在用户不知情的情况下对系统进行静默更改。
管理员权限类似沙盒必须每次重新生成:
在设计中为了避免一次授予权限后软件或进程总是拥有管理员权限,所以微软采用了一次性授权机制,当用户通过 Windows Hello 完成验证后系统将为该软件或进程生成隐藏的、配置文件分离的账户来创建隔离的管理员 token。
管理员 token 将颁发给发起请求的进程,在进程结束后 token 会被立即销毁不支持重复使用,下次进程再需要管理员权限时也必须重新发起请求并由用户进行验证。
今起开始测试该功能:
从今天发布的 Windows 11 Build 27754 金丝雀版中微软开始测试管理员保护功能,升级到此版本的用户可以在 Microsoft Defender 的账户保护菜单中启用管理员保护选项。
也支持通过组策略 (注册表) 启用此功能,其中组策略设置位于:计算机配置、Windows 设置、安全设置、本地策略、安全选项、用户账户控制,将本地安全设置更改为具有管理员保护的管理员批准模式即可。