微软分享如何让 Windows 11 管理员保护功能更加强大

在微软向公众发布 Windows 11 24H2 的同时，该公司也开始在 Canary 频道测试一项名为 “管理员保护” 的新安全功能。绕过提升的权限可能会导致严重的安全问题，因此该功能背后的理念是通过即时管理权限来提高安全性。

如果你想知道它是如何工作的，Windows 遵循 “最小权限” 原则，默认情况下通过非特权用户令牌给予用户最小权限。当需要管理员权限时，Windows 会请求批准，并创建一个临时的、有特权但孤立的管理员令牌。该令牌仅适用于特定任务，之后会被销毁，从而确保管理员权限不会持续存在，因此也就不需要即时管理员权限。只要需要管理员访问权限，就会重复这一过程，从而提高安全性。

管理员保护要求在授予管理员权限前通过 Windows Hello 进行用户验证。Windows Hello 可通过摄像头识别用户的脸部，并通过指纹扫描仪进行生物识别验证。

不过，随着管理员权限的最新更新，微软表示，当应用程序试图访问摄像头和麦克风等输入设备以及位置数据时，它们将被默认禁用，启用这些功能需要 “用户明确同意”。

微软写道：“对摄像头、麦克风和位置（C/M/L）等敏感资源的访问很快将需要用户的明确同意。Windows将这些资源的桌面访问开关从默认的 “开 ”改为 “关”，确保用户对哪些应用程序可以访问这些数据拥有更多的控制权。”

微软补充说，在管理员保护功能退出预览版之前，需要摄像头或麦克风的应用程序的开发人员必须确保这些应用程序能够在默认的 “关闭 ”设置下运行。