Protezione amministratore (anteprima)

La protezione dell'amministratore è una funzionalità di sicurezza della piattaforma in Windows 11 progettata per garantire che gli utenti vengano eseguiti con i privilegi minimi necessari, elevando i diritti di amministratore solo quando necessario e solo con l'approvazione esplicita dell'utente. Questa funzionalità funziona in base al principio dei privilegi minimi, mantenendo gli utenti in uno stato di privazione e concedendo diritti di elevazione JIT solo quando necessario.

Nell'attuale panorama digitale, gli utenti con diritti di amministratore in Windows dispongono di potenti funzionalità per modificare le configurazioni e apportare modifiche a livello di sistema che potrebbero influire sul comportamento di sicurezza complessivo di un dispositivo Windows 11. I privilegi amministrativi creano un vettore di attacco significativo. Gli attori malintenzionati spesso sfruttano questi privilegi per ottenere l'accesso non autorizzato ai dati degli utenti, compromettere la privacy e disabilitare le funzionalità di sicurezza del sistema operativo senza che l'utente ne sia a conoscenza.

La protezione dell'amministratore risolve questo problema richiedendo agli utenti di verificare la propria identità con Windows Hello autenticazione integrata. Applica questa verifica prima di consentire azioni che richiedono privilegi di amministratore, ad esempio l'installazione di software, la modifica delle impostazioni di sistema come l'ora o il Registro di sistema e l'accesso ai dati sensibili.

Vantaggi

La protezione dell'amministratore offre diversi vantaggi principali:

• Sicurezza avanzata: richiedendo l'autorizzazione esplicita dell'utente per ogni attività amministrativa, la protezione amministratore protegge Windows da modifiche accidentali da parte degli utenti e modifiche da parte di malware. Consente di garantire che gli utenti siano a conoscenza di azioni potenzialmente dannose prima che si verifichino, fornendo un ulteriore livello di difesa contro le minacce.

• Controllo utente: la protezione dell'amministratore richiede agli utenti di decidere in modo esplicito se vogliono che una determinata applicazione venga eseguita con privilegi elevati. Ciò consente di garantire che solo le app autorizzate possano apportare modifiche al sistema, riducendo il rischio di modifiche accidentali o dannose.

• Riduzione del malware: il software dannoso si basa spesso sui privilegi di amministratore per modificare le impostazioni del dispositivo ed eseguire azioni dannose. La protezione dell'amministratore interrompe la kill chain degli attacchi perché il malware non può più acquisire automaticamente i privilegi di amministratore.

Requisiti di sistema

La protezione dell'amministratore sarà presto disponibile nei dispositivi Windows 11. La funzionalità elencata in precedenza nell'aggiornamento non di sicurezza di ottobre 2025 (KB5067036) è stata ripristinata e verrà implementata in un secondo momento.

Funzionamento della protezione dell'amministratore

Alla base, la protezione dell'amministratore opera in base al principio dei privilegi minimi. Quando un utente accede a Windows, riceve un token utente privato. Tuttavia, quando sono necessari privilegi di amministratore, Windows richiede all'utente di autorizzare l'operazione. Una volta autorizzato, Windows usa un account utente nascosto, generato dal sistema e separato dal profilo per creare un token di amministratore isolato. Questo token viene rilasciato al processo di richiesta e viene eliminato al termine del processo, assicurando che i privilegi di amministratore non vengano mantenuti.

La protezione dell'amministratore introduce un nuovo limite di sicurezza con il supporto per correggere eventuali bug di sicurezza segnalati. Le modifiche dell'architettura garantiscono che nessuno possa accedere o manomettere il codice o i dati delle sessioni con privilegi elevati senza un'autorizzazione appropriata.

Alcune applicazioni possono basarsi sui diritti di amministratore sempre presenti e il profilo con privilegi elevati è accessibile quando l'esecuzione non è stata assegnata. Con questo nuovo approccio, alcuni scenari in tali app potrebbero richiedere aggiornamenti per funzionare senza problemi con il modello di sicurezza avanzato. Stiamo collaborando attivamente con gli sviluppatori di app per aiutarli ad adattarsi, assicurando che le tue esperienze preferite rimangano senza problemi mantenendo il sistema protetto. Per indicazioni sullo sviluppo delle applicazioni , vedere Migliorare la sicurezza dell'applicazione con la protezione dell'amministratore .

In definitiva, queste modifiche riguardano il rendere Windows più sicuro per te, in modo da poter godere di funzionalità potenti con maggiore tranquillità.

Principali elementi di rilievo dell'architettura

• Elevazione just-in-time: agli utenti vengono concessi diritti di elevazione ji-in-time solo durante un'operazione di amministratore. Il token amministratore viene eliminato dopo l'uso e ricreato quando viene eseguita un'altra attività che richiede privilegi di amministratore.

• Separazione del profilo: la protezione dell'amministratore usa account utente nascosti, generati dal sistema e separati da profili per creare token di amministratore isolati. Ciò consente di garantire che il malware a livello di utente non possa compromettere la sessione con privilegi elevati, rendendo l'elevazione un limite di sicurezza.

• Nessuna elevazione automatica: gli utenti devono autorizzare in modo interattivo ogni operazione di amministratore. Ciò garantisce che l'utente amministratore rimanga in pieno controllo e che i privilegi di amministratore non vengano abusati.

• integrazione Windows Hello: la protezione dell'amministratore è integrata con Windows Hello per un'autorizzazione semplice e sicura.

Configurazione

La protezione dell'amministratore può essere abilitata tramite diversi metodi:

• catalogo delle impostazioni di Microsoft Intune (anteprima)
• CSP
• Criteri di gruppo
• impostazioni Sicurezza di Windows (anteprima)

Intune

Nota

• Questa opzione è attualmente disponibile in anteprima. Sarà distribuito a tutti gradualmente.
• La protezione dell'amministratore può essere configurata con i criteri CSP (Configuration Service Provider) usando Intune. Usare criteri personalizzati per configurare:
  • UserAccountControl_TypeOfAdminApprovalMode [abilita]
  • UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [configure prompt]

Per configurare i dispositivi usando Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni elencate sotto la categoria Local Policies Security Options:

• Comportamento di controllo dell'account utente della richiesta di elevazione dei privilegi per la protezione dell'amministratore
  • Tipo di controllo dell'account utente della modalità di approvazione Amministrazione

Assegnare i criteri a un gruppo di sicurezza che contiene come membri i dispositivi o gli utenti che si desidera configurare.

GPO

È possibile usare i criteri di sicurezza per configurare il funzionamento della protezione dell'amministratore nell'organizzazione. I criteri possono essere configurati in locale usando lo snap-in Criteri di sicurezza locali (secpol.msc) o configurati per il dominio, l'unità organizzativa o gruppi specifici in base ai criteri di gruppo.

Per configurare la protezione dell'amministratore tramite Criteri di gruppo:

1. Passare a Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>>localiOpzioni di sicurezza.
2. Individuare i criteri per "Controllo account utente: Configurare il tipo di Amministrazione modalità di approvazione" e modificare l'impostazione in "Modalità di approvazione Amministrazione con protezione amministratore".
3. Configurare il comportamento della richiesta selezionando il comportamento desiderato nei criteri "Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in esecuzione con protezione amministratore".
4. Per applicare le modifiche, riavviare il dispositivo.

CSP

La protezione dell'amministratore è configurabile anche nel provider di servizi di configurazione LocalPoliciesSecurityOptions :

• Per abilitare la protezione dell'amministratore, configurare UserAccountControl_TypeOfAdminApprovalMode.
• Per scegliere tra richieste di consenso e richieste di credenziali, usare UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection.

In Microsoft Intune è possibile usare un criterio personalizzato per distribuire il provider di servizi di configurazione LocalPoliciesSecurityOptions.

Sicurezza di Windows

Nota

Questa opzione è attualmente disponibile nel programma Windows Insider come anteprima. Sarà distribuito a tutti gradualmente.

È possibile abilitare la protezione dell'amministratore nel dispositivo passando alla sezione Protezione account nell'app Sicurezza di Windows e passando all'interruttore su Attivato.

1. Selezionare il pulsante Start, cercare Sicurezza di Windows e avviare l'app Sicurezza di Windows.
2. Selezionare Protezione account, quindi individuare le impostazioni di protezione dell'amministratore.
3. Selezionare l'interruttore per attivare la protezione amministratore.
4. Quando richiesto, riavviare il dispositivo per applicare le modifiche.

Importante

È necessario un riavvio per rendere effettiva la protezione dell'amministratore.

Eventi di monitoraggio e creazione di report

Per tenere traccia delle elevazioni, la protezione dell'amministratore dispone di due nuovi eventi ETW (Event Tracing for Windows) nel provider Microsoft-Windows-LUA esistente con GUID {93c05d69-51a3-485e-877f-1806a8731346}:

ID evento	Nome evento	Descrizione
15031	Elevazione approvata	Registrato quando un utente esegue correttamente l'autenticazione e viene concessa l'elevazione
15032	Elevazione negata/non riuscita	Registrato quando l'elevazione viene negata, ha esito negativo o si verifica un timeout

Cosa viene registrato

• Identificatore di sicurezza (SID) dell'utente che ha attivato l'elevazione
• Nome e percorso dell'applicazione
• Risultato dell'elevazione (approvato, negato, timeout)
• Account amministratore gestito dal sistema usato per eseguire l'attività
• Metodo di autenticazione (ad esempio, password, PIN, Windows Hello)

Come acquisire questi eventi

• Abilitare il provider Microsoft-Windows-LUA (GUID: {93c05d69-51a3-485e-877f-1806a8731346})

• Usare Logman o WPR (Windows Performance Recorder) per avviare una sessione di traccia

• Filtrare gli ID 15031 evento e 15032

• Analizzare il file con estensione etl risultante usando Windows analizzatore prestazioni o lo strumento preferito

Ecco un comando di esempio:

logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets

Risoluzione dei problemi

• Usare gli account del servizio SYSTEM locale o dedicati per le attività pianificate o gli script impostati per l'esecuzione di "con privilegi più elevati". Essenzialmente, riprogettare gli script per evitare di aspettarsi un token di amministratore sempre attivo. Qualsiasi flusso di lavoro che presuppone che sia disponibile una sessione di amministrazione dovrà essere modificato.

• Quando le app vengono eseguite con privilegi elevati con protezione amministratore, le credenziali single Sign-On (SSO) della sessione standard non sono disponibili per la sessione con privilegi elevati. Qualsiasi autenticazione di dominio o cloud deve essere ristabilita all'interno di tale sessione con privilegi elevati.

• Unità di rete/risorse inaccessibili da app con privilegi elevati. Installarlo nel contesto utente per abilitare le richieste di credenziali di rete. Se è essenziale installare un'applicazione con privilegi elevati, copiare i file di installazione in un'unità locale prima di elevarla.

• I dati delle impostazioni per le applicazioni non vengono trasmessi tra i profili normali (nonlevati) e con privilegi elevati. È sufficiente elevare le app necessarie. Valutare la possibilità di configurare tali applicazioni per l'uso di directory dati comuni accessibili a entrambi i profili (se possibile).

• Ambito di protezione dell'amministratore: account amministratore in un dispositivo. L'accesso remoto, i profili mobili o gli amministratori di backup non sono inclusi nell'ambito.

• Alcune applicazioni non mostrano l'icona di avvio nel menu Start dopo l'installazione. Se è stato installato con privilegi elevati, è necessario passare manualmente al percorso di installazione: AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>

• Se l'aggiornamento di una delle applicazioni è bloccato, disabilitare temporaneamente la funzionalità. (Il riavvio è necessario).

• Quando non abilitare questa funzionalità:

  • Per i dispositivi che richiedono Hyper-V o sottosistema Windows per Linux (WSL).
  • Se si usano app che non possono accedere alle estensioni Edge o ai file condivisi tra i profili. Ad esempio: alcuni programmi di installazione (che usano WebView2 internamente) possono richiedere autorizzazioni elevate anche quando vengono avviate normalmente mostrando "Microsoft Edge non può leggere e scrivere nella directory dei dati".

Articoli correlati

• Controllo dell'account utente

• Windows Hello sicurezza avanzata per l'accesso

• catalogo delle impostazioni di Microsoft Intune