IT 之家 5 月 20 日消息,微软昨日(5 月 19 日)发布博文,表示即将在 Windows 11 系统中,引入 Administrator Protection 安全功能,减少提升权限(elevated privileges)带来的风险。
微软在博文中表示,在提升权限环境下运行应用时,设备最容易受到攻击。应用在这种状态下能广泛更改配置并实施系统级变更,可能影响设备整体安全;恶意软件若在提升权限时运行,可窃取密钥并在组织内部横向移动,导致大规模安全妥协。
Administrator Protection 功能遏制提升权限的风险,采用即时管理员权限(just-in-time admin token)机制,确保权限仅在需要时生成,任务完成后即销毁,降低暴露风险。
Administrator Protection 引入了用户访问控制(UAC)的全新架构,遵循 " 最小权限原则 "(Principle of Least Privilege)。
对于应用开发者,微软建议尽量以非提升权限方式安装和运行应用,避免将文件存储在用户配置文件目录下,推荐使用 % ProgramFiles% 或 MSIX 打包方式。用户运行应用时,应尽量保持非提升状态,仅在必要任务时提升权限。
