管理員保護是 Windows 11 中的一項平台安全功能,旨在確保使用者以最低權限執行,只有在必要時且經使用者明確同意時才會提升管理員權限。 此功能採用最小權限原則,讓使用者處於被剝奪特權狀態,僅在必要時才授予即時提升權限。
在當今的數位環境中,擁有 Windows 管理員權限的使用者擁有強大的能力,可以修改設定並做出系統範圍的變更,這些變更可能影響 Windows 11 裝置的整體安全狀況。 管理權限造成了重要的攻擊途徑。 惡意行為者常利用這些權限,未經授權取得使用者資料、破壞隱私,並在使用者不知情的情況下停用作業系統安全功能。
管理員保護透過要求使用者使用 Windows Hello 整合驗證身份來解決此挑戰。 它會在允許需要管理員權限的操作(如安裝軟體、更改系統設定如時間或登錄檔)以及存取敏感資料之前,先強制驗證此項。
優點
管理員保護提供多項主要好處:
強化安全性:透過要求使用者對每項管理任務明確授權,管理員保護能防止使用者意外更改及惡意軟體的變更。 它有助於確保使用者在潛在危險行為發生前就知道,為抵禦威脅提供額外的防護層。
使用者控制:管理員保護要求使用者明確決定是否希望特定應用程式以升格方式執行。 這有助於確保只有授權的應用程式能進行系統變更,降低意外或惡意修改的風險。
惡意軟體減少:惡意軟體常依賴管理員權限來更改裝置設定並執行有害行為。 管理員保護能切斷攻擊殺戮鏈,因為惡意軟體無法再悄悄取得管理員權限。
系統需求
管理員保護功能即將在 Windows 11 裝置上啟用。 先前在 2025 年 10 月非安全更新中列出的功能已被恢復 (KB5067036) ,並將在稍後推出。
管理員保護的運作方式
管理員保護的核心是基於最小權限原則。 當使用者登入 Windows 時,會收到一個被取消特權的使用者令牌。 然而,當需要管理員權限時,Windows 會要求使用者授權該操作。 一旦授權,Windows 會使用一個隱藏的、系統生成且設定檔分離的使用者帳號來建立一個獨立的管理員憑證。 此令牌會發給請求程序,程序結束後會銷毀,確保管理員權限不會持續存在。
管理員保護引入了新的安全邊界,並支援修復任何回報的安全漏洞。 架構變更確保沒有人能在未經適當授權下存取或竄改升格會話的程式碼或資料。
有些應用程式可能依賴管理員權限始終存在,且在未提升狀態下能存取提升設定檔。 採用這種新方法後,這些應用程式中的某些情境可能需要更新,才能順利配合強化的安全模型。 我們正積極與應用程式開發者合作,協助他們適應,確保您喜愛的體驗無縫接軌,同時保護系統安全。 請參閱「 透過管理員保護強化你的應用程式安全性 」以獲得開發應用程式的指引。
最終,這些改變都是為了讓你更安全,讓你能安心享受強大的功能。
主要建築亮點
即時提升:使用者保持無權限,僅在管理操作期間獲得即時提升權限。 使用後會丟棄管理員權杖,並在執行其他需要管理員權限的任務時重新建立。
設定檔分離:管理員保護利用隱藏的系統生成且設定檔分離的使用者帳號來建立隔離的管理員令牌。 這有助於確保使用者層級惡意軟體無法入侵升高會話,讓提升成為安全邊界。
禁止自動提升:使用者需互動式授權每一項管理操作。 這確保管理員使用者能完全掌控,且管理員權限不會被濫用。
Windows Hello 整合:管理員保護整合於 Windows Hello 中,提供簡單且安全的授權。
設定
管理員保護可透過多種方式啟用:
- Microsoft Intune 設定目錄 (預覽)
- Csp
- 群組原則
- Windows 安全性 預覽 (設定)
Intune
郵政總局
Csp
Windows 安全性注意
- 此選項目前僅為預覽版。 它將逐步推廣給所有人。
- 管理員保護可透過配置服務提供者 (CSP) 政策,使用 Intune 來配置。 使用 自訂政策 來設定:
要使用 Microsoft Intune 設定裝置,請建立設定目錄政策,並使用以下分類Local Policies Security Options中列出的設定:
- 管理員保護提升提示的使用者帳號控制行為
- 管理員核准模式的使用者帳號控制類型
將政策指派給一個安全群組,該群組成員包含你想設定的裝置或使用者。
重要
管理員保護生效需要重新啟動。
監控與報告事件
為了追蹤高程,管理員保護在現有的 Microsoft-Windows-LUA 供應商下, (ETW) 事件,新增了兩個新的 Windows 事件追蹤系統(Event {93c05d69-51a3-485e-877f-1806a8731346}Tracing for Windows:
| 事件識別碼 | 活動名稱 | 描述 |
|---|---|---|
| 15031 | 高度通過 | 當使用者成功認證並獲得升遷時,會記錄 |
| 15032 | 升高被拒/失敗 | 當升高被拒絕、失敗或超時時會記錄 |
記錄的內容
- 安全識別碼 (觸發升高使用者的 SID)
- 應用程式名稱與路徑
- 升高結果 (通過、否決、暫停)
- 執行該任務的系統管理管理員帳號
- 認證方式 (例如密碼、密碼、Windows Hello)
如何捕捉這些事件
啟用 Microsoft-Windows-LUA 提供者 (GUID:
{93c05d69-51a3-485e-877f-1806a8731346})使用 Logman 或 WPR (Windows Performance Recorder) 啟動追蹤會話
事件識別
15031碼篩選器及15032使用 Windows 效能分析器或你偏好的工具分析所得的 .etl 檔案
這裡有一個範例指令:
logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets
疑難排解
使用本地 SYSTEM 或專用服務帳號來處理排程任務或設定為「最高權限」執行的腳本。 基本上,就是重新設計腳本,避免期待永遠開啟的管理員令牌。 任何假設有管理員會話的工作流程都需要調整。
當應用程式以管理員保護的方式執行時,標準會話的單 Sign-On (SSO) 憑證無法提供給提升後的會話。 任何網域或雲端認證都必須在該升格會話中重新建立。
網路磁碟機/資源無法從提升的應用程式存取。 在使用者情境中安裝,以啟用網路憑證提示。 如果必須以升遷方式安裝應用程式,請先將安裝檔案複製到本地硬碟再提升。
應用程式的設定資料不會在一般 (未提升的) 和提升的設定檔中繼承。 只提升你真正需要提升的應用程式。 考慮將這些應用程式設定為使用雙方設定檔都能存取的共用資料目錄 (如果可能的話) 。
管理員保護範圍:裝置上的管理員帳號。 遠端登入、漫遊的個人檔案或備份管理員不在範圍內。
有些應用程式安裝後,開始選單裡不會顯示啟動圖示。 如果你安裝了高架,需要手動導航到安裝地點:
AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>如果更新任何應用程式被阻擋,請暫時關閉該功能。 (Reboot 是) 的必要。
何時不啟用此功能:
- 對於需要 Hyper-V 或 Windows 子系統 Linux 版 (WSL) 的裝置。
- 如果你使用的應用程式無法存取 Edge 擴充功能或跨個人檔案共享檔案, 例如:有些安裝程式 (內部使用 WebView2) 即使啟動時也會要求提升權限,顯示「Microsoft Edge 無法讀取和寫入其資料目錄」。