微軟近期公布了一項針對Windows 11系統(tǒng)的重大安全更新，名為Administrator Protection的新功能，旨在有效緩解因權(quán)限提升而引發(fā)的安全風險。

據(jù)微軟官方介紹，應(yīng)用程序在高權(quán)限環(huán)境下運行時，系統(tǒng)面臨的安全威脅顯著增加。這些應(yīng)用能夠廣泛修改設(shè)備配置，甚至引發(fā)系統(tǒng)層面的變動，從而對整個系統(tǒng)的安全性構(gòu)成威脅。特別是當惡意軟件獲得執(zhí)行權(quán)限時，它們能夠竊取敏感信息，并在網(wǎng)絡(luò)內(nèi)部迅速擴散，帶來更為廣泛的安全隱患。

為了應(yīng)對這一挑戰(zhàn)，Administrator Protection功能采用了一種創(chuàng)新的即時生成管理員權(quán)限令牌機制。這意味著，管理員權(quán)限僅在真正需要時才會被激活，并在任務(wù)完成后立即被銷毀。這種機制顯著縮短了權(quán)限暴露的時間窗口，從而降低了潛在的安全風險。

該功能還對用戶訪問控制（UAC）機制進行了重構(gòu)，嚴格遵循“最小權(quán)限原則”。通過引入系統(tǒng)管理的分離賬戶（SMAA）技術(shù)，該功能創(chuàng)建了獨立的管理員憑據(jù)，實現(xiàn)了有效的安全隔離。這防止了普通用戶環(huán)境中運行的惡意程序接觸到高權(quán)限空間，進一步增強了系統(tǒng)的安全性。

值得注意的是，Administrator Protection功能還取消了原有的自動提權(quán)機制。現(xiàn)在，用戶每次執(zhí)行需要高權(quán)限的操作時，都必須進行手動確認。結(jié)合Windows Hello提供的面部識別、指紋識別或PIN碼驗證方式，這一功能在提升系統(tǒng)安全性的同時，也確保了用戶使用的便捷性。

微軟還向開發(fā)者發(fā)出了建議，鼓勵他們盡量讓應(yīng)用程序以非提升權(quán)限的方式安裝和運行。為了避免將數(shù)據(jù)存儲在用戶配置文件目錄中，微軟推薦使用%ProgramFiles%路徑或采用MSIX打包格式。對于終端用戶而言，微軟建議在日常使用中盡量避免以管理員權(quán)限運行程序，僅在執(zhí)行特定必要操作時才啟用高權(quán)限模式。

這一安全更新是微軟在持續(xù)加強Windows系統(tǒng)安全性方面邁出的重要一步。通過引入Administrator Protection功能，微軟旨在為用戶提供一個更加安全、可靠的操作系統(tǒng)環(huán)境。