微软近日宣布了一项针对Windows 11系统的全新安全功能——Administrator Protection,旨在大幅降低因权限提升而引发的安全风险。
据微软官方博文介绍,当应用程序在拥有提升权限的环境下运行时,设备往往处于最为脆弱的状态。这类应用能够广泛修改系统设置,实施系统级变更,从而对整个设备的安全构成威胁。尤为严重的是,如果恶意软件在此类环境下运行,它可能会窃取敏感信息,并在组织内部进行横向移动,导致大规模的安全漏洞。
为了有效遏制这一风险,Administrator Protection功能引入了即时管理员权限机制。这一机制确保权限仅在真正需要时才会被生成,并在任务完成后立即销毁,从而显著降低了权限暴露的风险。
Administrator Protection还带来了用户访问控制(UAC)的全新架构,严格遵循“最小权限原则”。通过创建系统管理的分离账户(SMAA),该功能为管理员密钥建立了独立的安全边界,有效防止了用户级恶意软件对提升权限环境的访问。
Administrator Protection还取消了自动提权功能,要求用户在每次操作时都进行手动授权。结合Windows Hello的面部、指纹或PIN认证,这一改变不仅增强了系统的安全性,还提升了用户的操作便利性。
对于应用开发者而言,微软也给出了一系列建议。他们被鼓励以非提升权限的方式安装和运行应用,避免将文件存储在用户配置文件目录下。相反,推荐使用% ProgramFiles%目录或MSIX打包方式,以减少潜在的安全风险。同时,用户在使用应用时也应尽量保持非提升状态,仅在执行必要任务时才提升权限。
微软的这一举措无疑为Windows 11系统的安全性注入了新的活力。通过引入Administrator Protection功能,微软不仅提升了系统的整体防护能力,还为用户和应用开发者提供了更加安全、便捷的操作环境。
