Windows 11新增Administrator Protection安全功能

微软近日宣布，将在 Windows 11 系统中引入一项名为 Administrator Protection 的安全功能，旨在降低因权限提升所带来的潜在风险。

官方指出，当应用程序在拥有高权限的环境下运行时，系统面临更高的安全威胁。此时的应用不仅能够对设备配置进行广泛修改，还可能引发系统层面的变动，从而影响整体安全性。如果恶意软件在此阶段获得执行权限，甚至可以窃取敏感信息，并在网络内部扩散，造成更大范围的安全问题。

新推出的 Administrator Protection 功能通过一种即时生成管理员权限令牌（just-in-time admin token）的方式，确保权限只在真正需要时才被激活，任务完成之后立即销毁，以此大幅减少权限暴露的时间窗口。

该功能同时重构了用户访问控制（UAC）机制，贯彻“最小权限原则”，即用户仅应获得完成任务所必需的最低权限。新的架构利用系统管理的分离账户（System Managed Administrator Account，SMAA）技术，创建独立的管理员凭据，形成有效的安全隔离，防止普通用户环境中运行的恶意程序接触高权限空间。

此外，这项功能取消了原有的自动提权机制，要求用户每次执行需高权限的操作时都必须手动确认。结合 Windows Hello 提供的面部识别、指纹识别或 PIN 码验证方式，在提升系统安全性的同时，也兼顾了使用的便捷性。

微软同时建议开发者，尽量让应用程序以非提升权限的方式安装与运行，避免将数据存储在用户配置文件目录中，推荐使用 %ProgramFiles% 路径或采用 MSIX 打包格式。对于终端用户而言，日常使用中应尽量避免以管理员权限运行程序，仅在执行特定必要操作时才启用高权限模式。