微軟近日宣布了一項(xiàng)針對Windows 11系統(tǒng)的全新安全功能——Administrator Protection，旨在大幅降低因權(quán)限提升而引發(fā)的安全風(fēng)險(xiǎn)。

據(jù)微軟官方博文介紹，當(dāng)應(yīng)用程序在擁有提升權(quán)限的環(huán)境下運(yùn)行時(shí)，設(shè)備往往處于最為脆弱的狀態(tài)。這類應(yīng)用能夠廣泛修改系統(tǒng)設(shè)置，實(shí)施系統(tǒng)級變更，從而對整個(gè)設(shè)備的安全構(gòu)成威脅。尤為嚴(yán)重的是，如果惡意軟件在此類環(huán)境下運(yùn)行，它可能會竊取敏感信息，并在組織內(nèi)部進(jìn)行橫向移動(dòng)，導(dǎo)致大規(guī)模的安全漏洞。

為了有效遏制這一風(fēng)險(xiǎn)，Administrator Protection功能引入了即時(shí)管理員權(quán)限機(jī)制。這一機(jī)制確保權(quán)限僅在真正需要時(shí)才會被生成，并在任務(wù)完成后立即銷毀，從而顯著降低了權(quán)限暴露的風(fēng)險(xiǎn)。

Administrator Protection還帶來了用戶訪問控制（UAC）的全新架構(gòu)，嚴(yán)格遵循“最小權(quán)限原則”。通過創(chuàng)建系統(tǒng)管理的分離賬戶（SMAA），該功能為管理員密鑰建立了獨(dú)立的安全邊界，有效防止了用戶級惡意軟件對提升權(quán)限環(huán)境的訪問。

Administrator Protection還取消了自動(dòng)提權(quán)功能，要求用戶在每次操作時(shí)都進(jìn)行手動(dòng)授權(quán)。結(jié)合Windows Hello的面部、指紋或PIN認(rèn)證，這一改變不僅增強(qiáng)了系統(tǒng)的安全性，還提升了用戶的操作便利性。

對于應(yīng)用開發(fā)者而言，微軟也給出了一系列建議。他們被鼓勵(lì)以非提升權(quán)限的方式安裝和運(yùn)行應(yīng)用，避免將文件存儲在用戶配置文件目錄下。相反，推薦使用% ProgramFiles%目錄或MSIX打包方式，以減少潛在的安全風(fēng)險(xiǎn)。同時(shí)，用戶在使用應(yīng)用時(shí)也應(yīng)盡量保持非提升狀態(tài)，僅在執(zhí)行必要任務(wù)時(shí)才提升權(quán)限。

微軟的這一舉措無疑為Windows 11系統(tǒng)的安全性注入了新的活力。通過引入Administrator Protection功能，微軟不僅提升了系統(tǒng)的整體防護(hù)能力，還為用戶和應(yīng)用開發(fā)者提供了更加安全、便捷的操作環(huán)境。