
随着网络威胁的不断演变,Windows 11 推出了强大的管理员保护功能。这项创新旨在保护管理员帐户,因为这些帐户往往是恶意软件和凭据盗窃的主要目标。通过利用 Windows Hello 令牌的“即时”提升访问权限,Windows 11 用户可以有效地配置增强的安全设置。以下是在您的 Windows 11 设备上设置管理员保护的分步指南,该指南可在设备可用时立即完成。
了解 Windows 11 中的管理员保护
Windows 11 中的管理员保护是一项突破性的安全措施,超越了传统的用户访问控制 (UAC)。此功能并非向管理员用户授予恒定的、不受限制的权限,而是动态生成临时的、隔离的安全令牌。这些令牌会在管理任务执行后立即丢弃,从而降低未经授权访问的风险。目前,该功能处于 Insider Canary 测试阶段,并将于 2025 年 5 月起向所有 Windows 11 用户推出。
身份验证通过 Windows Hello 进行管理,允许用户使用 PIN 码或生物识别数据。这些令牌的可见性是隐藏的,并且仅在管理员请求期间激活,从而确保即使恶意软件渗透到您的系统,也无法与底层 Windows 安全框架交互。

每个管理员操作都需要通过 Windows Hello 进行两步验证,从而有效地为即使是最强大的用户分配“最低权限”访问级别。这增强了您对凭据盗窃的防护,最大限度地降低了 Windows NTLM 身份验证中存在漏洞的可能性。
一步步:在 Windows 11 上启用管理员保护
管理员保护将逐步推出,首先从使用 Build 27774 或更高版本的用户开始。要查看您的操作系统版本,请前往“设置” → “系统” → “关于” → “Windows 规格” → “操作系统版本”。请持续关注您的更新,以便访问此重要功能。
请按照以下步骤启用管理员保护:
- 切换到管理员帐户:Win首先使用+打开“运行”对话框R,输入
netplwiz
,然后按Enter。找到您登录的用户帐户(例如“管理员”)并双击它。 - 修改群组成员资格:在帐户属性中,检查您的帐户是否已设置为管理员。如果帐户被列为标准用户,请更新此设置,点击应用→确定,然后注销并重启设备。
- 设置 Windows Hello:前往“设置” → “帐户” → “登录选项”。在“PIN 码 (Windows Hello)”下,创建您首选的 PIN 码。确认后点击“确定”。如果可用,您还可以使用面部识别或指纹识别选项来增强安全性。
- 启动 Windows 安全中心:从搜索栏或任务栏打开 Windows 安全中心以访问设置。
- 开启管理员保护:前往页面底部的“账户保护” → “管理员保护”设置,打开“管理员保护”开关。

或者,您也可以通过 Windows 11 Insider build 27774 或更高版本的本地组策略编辑器启用此功能。访问“计算机配置” → “Windows 设置” → “安全设置” → “本地策略” → “安全选项”。在此处,双击“用户帐户控制”:配置“管理员批准模式”类型,然后选择“带管理员保护的管理员批准模式” 。在“在安全桌面上提示输入凭据”下,选择“Windows Hello 身份验证”。
无论使用哪种方式激活,当您启动管理员任务时,都会出现 Windows Hello PIN 提示以验证您的权限。由于授权在后端悄无声息地进行,因此这种保密过程比传统密码安全得多。完成您的任务(例如需要管理员权限的软件安装)后,临时访问权限将立即被撤销。
确保您的用户配置文件正常运行,这是使用此功能的先决条件。如果您的用户配置文件服务遇到问题,请参阅故障排除指南以恢复功能。
常见问题
1.所有 Windows 11 用户都可以使用管理员保护吗?
否,管理员保护将从 2025 年 5 月开始逐步推广到所有 Windows 11 用户。目前,它仅在 Build 27774 及更高版本的 Insider Canary 版本中可用。
2.我可以使用任何方法通过 Windows Hello 进行身份验证吗?
是的,Windows Hello 提供多种身份验证方法,包括 PIN 码、面部识别和指纹扫描。您可以选择最适合您偏好的方法。
3.如果我无法访问我的 Windows Hello 凭据会发生什么?
如果您无法访问 Windows Hello 凭据,您仍然可以使用其他登录选项(例如,如果您已设置密码)登录。请务必保持恢复选项更新。
发表回复