去年,中国黑客攻破了 Microsoft Exchange Online 软件并访问了 22 个组织的美国政府电子邮件,这可能给国家安全带来风险。事件发生后,美国网络安全审查委员会发布批评 报告 “微软的一系列运营和战略决策共同指向了一种不重视企业安全投资和严格风险管理的企业文化……”
此后,萨蒂亚·纳德拉 (Satya Nadella) 领导下的微软将安全作为首要任务,并启动了 安全未来倡议 (SFI) 2023 年 11 月,纳德拉在给微软员工的一份备忘录中写道,“如果你面临安全性和另一个优先事项之间的权衡,你的答案很明确:做安全性。”
然而,2024 年 7 月,CrowdStrike 更新导致全球数千个 Windows 系统崩溃,造成大范围中断。现在,微软正在考虑是否允许第三方安全厂商在内核级别加载驱动程序。
在消费者方面,最近的召回惨败暴露了微软人工智能功能安全模型的乏善可陈。此后,微软停止了推出,现在,该公司彻底修改了 Recall 的安全模型,允许用户完全卸载它。
现在,微软在保护个人 Windows 11 PC 方面迈出了重要一步。该公司计划推出“无管理员”Windows 11,以便管理员权限不会被未知应用程序和恶意脚本利用。
“无管理员”Windows 终于被淘汰了!在金丝雀版本中可用。这是近年来 Windows 中最具影响力的安全功能。当您需要管理级别操作(例如更改设置)时,您可以通过 Windows Hello 将其视为“sudo”… pic.twitter.com/OkyzmU0LDS– 大卫·韦斯顿 (DWIZZZLE) (@dwizzzleMSFT) 2024 年 10 月 2 日
这是微软首次彻底改变 Windows 操作系统的底层运行方式。 大卫·韦斯顿微软操作系统安全和企业副总裁表示:“这是近年来 Windows 中最具影响力的安全功能。”
什么是无管理员 Windows 11?
与 macOS 和 Linux 不同,Windows 默认授予在安装或设置期间创建的第一个用户帐户的管理员访问权限。 Windows 上的这种情况已经存在很多年了,但是管理员访问权限受到 UAC 提示的保护。
现在,金丝雀渠道中最新的 Windows 11 Insider Preview Build 27718 介绍 称为“管理员保护”的东西。目前,该功能默认处于禁用状态,但用户可以通过组策略启用它。
它在后台创建一个管理员帐户(例如 admin_username),并通过当前会话的“runas”命令临时提升管理员权限。升级是通过 PIN/指纹/Windows Hello 身份验证等安全方法完成的。这样,管理权限就不会被永久授予。
基本上,管理员权限仅在需要时临时有效,并且并非始终可用。微软称之为“即时”管理权限。 Windows 博客写道:
“管理员保护是 Windows 11 中即将推出的平台安全功能,旨在保护管理员用户的自由浮动管理权限,使他们仍然可以使用即时管理权限执行所有管理功能。该功能默认关闭,需要通过组策略启用。我们计划在 Microsoft Ignite 上分享有关此功能的更多详细信息。”
因此,用户必须输入 PIN 码或使用其他 Windows Hello 方法进行身份验证才能临时授予管理员权限,而不是允许 UAC 提示,类似于 macOS 和 Linux。在幕后,管理权限仅在需要时才会提升,并且并不总是可用。微软表示,有关该功能的更多细节将在 11 月份的 Microsoft Ignite 活动中分享。
我使用无管理员 Windows 11 的经验
我通过 Canary 版本上的组策略编辑器启用了管理员保护功能。您可以通过导航到计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项来启用它。在这里,打开“用户帐户控制:配置管理员批准模式类型”并将其更改为“具有管理员保护的管理员批准模式”。现在,重新启动您的电脑。
启用后,每当您安装程序时,都会要求您输入 PIN 或使用其他方法进行身份验证。用户帐户控制 (UAC) 提示将不再出现。即使要打开任务管理器或其他系统工具(例如注册表编辑器或组策略编辑器),用户也必须通过安全方法进行身份验证。
此外,要更改 Windows 安全设置,您必须通过输入 PIN 来确认操作。当然,这可能会惹恼一些高级用户,但这是安全性和便利性之间的权衡。
在上面的屏幕截图中,您可以注意到,当以管理员身份运行命令提示符时,CMD 表示它在新创建的具有管理员权限的 admin_username 帐户下运行。不是向用户帐户授予完全的管理权限,而是使用幕后管理员帐户来提升临时管理权限。与主用户帐户的这种分离增强了安全性。
总的来说,我真的很喜欢 Microsoft 为提高消费者端 Windows PC 的安全性付出的巨大努力。与默认提供无 sudo/root 环境的 macOS 和 Linux 类似,Windows 11 正在通过管理员保护朝着这个方向发展。我希望当这个更新将来到达Windows 11时,它会被默认启用。