微軟近日宣布了一項針對Windows 11系統(tǒng)的全新安全功能——Administrator Protection，旨在大幅降低因權(quán)限提升而引發(fā)的安全風(fēng)險。

據(jù)微軟官方博文介紹，當(dāng)應(yīng)用程序在擁有提升權(quán)限的環(huán)境下運行時，設(shè)備往往處于最為脆弱的狀態(tài)。這類應(yīng)用能夠廣泛修改系統(tǒng)設(shè)置，實施系統(tǒng)級變更，從而對整個設(shè)備的安全構(gòu)成威脅。尤為嚴(yán)重的是，如果惡意軟件在此類環(huán)境下運行，它可能會竊取敏感信息，并在組織內(nèi)部進行橫向移動，導(dǎo)致大規(guī)模的安全漏洞。

為了有效遏制這一風(fēng)險，Administrator Protection功能引入了即時管理員權(quán)限機制。這一機制確保權(quán)限僅在真正需要時才會被生成，并在任務(wù)完成后立即銷毀，從而顯著降低了權(quán)限暴露的風(fēng)險。

Administrator Protection還帶來了用戶訪問控制（UAC）的全新架構(gòu)，嚴(yán)格遵循“最小權(quán)限原則”。通過創(chuàng)建系統(tǒng)管理的分離賬戶（SMAA），該功能為管理員密鑰建立了獨立的安全邊界，有效防止了用戶級惡意軟件對提升權(quán)限環(huán)境的訪問。

Administrator Protection還取消了自動提權(quán)功能，要求用戶在每次操作時都進行手動授權(quán)。結(jié)合Windows Hello的面部、指紋或PIN認(rèn)證，這一改變不僅增強了系統(tǒng)的安全性，還提升了用戶的操作便利性。

對于應(yīng)用開發(fā)者而言，微軟也給出了一系列建議。他們被鼓勵以非提升權(quán)限的方式安裝和運行應(yīng)用，避免將文件存儲在用戶配置文件目錄下。相反，推薦使用% ProgramFiles%目錄或MSIX打包方式，以減少潛在的安全風(fēng)險。同時，用戶在使用應(yīng)用時也應(yīng)盡量保持非提升狀態(tài)，僅在執(zhí)行必要任務(wù)時才提升權(quán)限。

微軟的這一舉措無疑為Windows 11系統(tǒng)的安全性注入了新的活力。通過引入Administrator Protection功能，微軟不僅提升了系統(tǒng)的整體防護能力，還為用戶和應(yīng)用開發(fā)者提供了更加安全、便捷的操作環(huán)境。