微软在Windows 11中引入了名为"管理员保护"的新功能，旨在增强系统安全性。该功能要求软件或进程在请求管理员权限时，必须通过Windows Hello进行身份验证，例如输入密码、PIN码或使用指纹/面容识别等方式。此举是为了防止恶意软件在用户不知情的情况下获取管理员权限，并进行静默操作，例如安装软件、修改系统设置或访问敏感数据。管理员保护通过一次性授权机制，每次请求管理员权限时都需要重新验证，有效降低用户误操作风险，并提升系统安全性。目前，该功能已在Windows 11 Build 27754金丝雀版中开始测试，用户可以在Microsoft Defender或组策略中启用。

🤔 **管理员保护功能：**微软在Windows 11中引入管理员保护功能，旨在防止恶意软件在用户不知情的情况下获取管理员权限，并进行静默操作，例如安装软件、修改系统设置或访问敏感数据。

🔑 **身份验证机制：**该功能要求软件或进程在请求管理员权限时，必须通过Windows Hello进行身份验证，例如输入密码、PIN码或使用指纹/面容识别等方式，确保只有经过用户确认的操作才能获得管理员权限。

⏳ **一次性授权：**为了防止软件或进程获得永久管理员权限，管理员保护采用了一次性授权机制，每次请求管理员权限时都需要重新验证，有效降低用户误操作风险。

🧪 **测试版本：**管理员保护功能已在Windows 11 Build 27754金丝雀版中开始测试，用户可以通过Microsoft Defender或组策略启用该功能。

🛡️ **增强系统安全：**管理员保护功能可以最大程度降低用户错误进行系统更改的风险，并有效防止恶意软件在用户不知情的情况下对系统进行静默更改，提升系统安全性。

在 macOS 系统里若用户尝试更改某些系统设置或具有敏感权限保护的选项时，必须输入密码或验证指纹等进行确认，这可以避免某些软件在未经用户明确同意的情况下执行恶意操作。

现在微软在 Windows 11 中也引入了类似功能：管理员保护。该功能在被启用后，如果软件或进程请求管理员权限时，将必须通过 Windows Hello 进行验证。

支持验证的方式包括但不限于微软账户密码、PIN 码、指纹或面容识别等，只有成功经过验证后才能授予管理员权限。

当前 Windows 的管理员权限确认方式是直接弹出窗口，由用户点击是或者否，不需要经过额外验证，因此某些情况下可能会被恶意软件利用。

微软在博客中表示：

管理员保护要求用户在允许任何需要管理员权限的操作前，都必须通过 Windows Hello 集成身份验证功能完成验证，这些操作包括但不限于安装软件、更改系统设置例如修改注册表以及访问敏感数据等。

该功能可以最大限度降低用户错误进行系统更改的风险，更重要的是这还有助于防止恶意软件在用户不知情的情况下对系统进行静默更改。

管理员权限类似沙盒必须每次重新生成：

在设计中为了避免一次授予权限后软件或进程总是拥有管理员权限，所以微软采用了一次性授权机制，当用户通过 Windows Hello 完成验证后系统将为该软件或进程生成隐藏的、配置文件分离的账户来创建隔离的管理员 token。

管理员 token 将颁发给发起请求的进程，在进程结束后 token 会被立即销毁不支持重复使用，下次进程再需要管理员权限时也必须重新发起请求并由用户进行验证。

今起开始测试该功能：

从今天发布的 Windows 11 Build 27754 金丝雀版中微软开始测试管理员保护功能，升级到此版本的用户可以在 Microsoft Defender 的账户保护菜单中启用管理员保护选项。

也支持通过组策略 (注册表) 启用此功能，其中组策略设置位于：计算机配置、Windows 设置、安全设置、本地策略、安全选项、用户账户控制，将本地安全设置更改为具有管理员保护的管理员批准模式即可。