配置 Windows 11 PC 以增强管理员保护

配置 Windows 11 PC 以增强管理员保护

随着网络威胁的不断演变,Windows 11 推出了强大的管理员保护功能。这项创新旨在保护管理员帐户,因为这些帐户往往是恶意软件和凭据盗窃的主要目标。通过利用 Windows Hello 令牌的“即时”提升访问权限,Windows 11 用户可以有效地配置增强的安全设置。以下是在您的 Windows 11 设备上设置管理员保护的分步指南,该指南可在设备可用时立即完成。

了解 Windows 11 中的管理员保护

Windows 11 中的管理员保护是一项突破性的安全措施,超越了传统的用户访问控制 (UAC)。此功能并非向管理员用户授予恒定的、不受限制的权限,而是动态生成临时的、隔离的安全令牌。这些令牌会在管理任务执行后立即丢弃,从而降低未经授权访问的风险。目前,该功能处于 Insider Canary 测试阶段,并将于 2025 年 5 月起向所有 Windows 11 用户推出。

身份验证通过 Windows Hello 进行管理,允许用户使用 PIN 码或生物识别数据。这些令牌的可见性是隐藏的,并且仅在管理员请求期间激活,从而确保即使恶意软件渗透到您的系统,也无法与底层 Windows 安全框架交互。

作为管理员保护的一部分,通过 Windows Hello PIN 访问管理员级别权限。

每个管理员操作都需要通过 Windows Hello 进行两步验证,从而有效地为即使是最强大的用户分配“最低权限”访问级别。这增强了您对凭据盗窃的防护,最大限度地降低了 Windows NTLM 身份验证中存在漏洞的可能性。

一步步:在 Windows 11 上启用管理员保护

管理员保护将逐步推出,首先从使用 Build 27774 或更高版本的用户开始。要查看您的操作系统版本,请前往“设置”“系统”“关于” → “Windows 规格”“操作系统版本”。请持续关注您的更新,以便访问此重要功能。

请按照以下步骤启用管理员保护:

  1. 切换到管理员帐户:Win首先使用+打开“运行”对话框R,输入netplwiz,然后按Enter。找到您登录的用户帐户(例如“管理员”)并双击它。
  2. 修改群组成员资格:在帐户属性中,检查您的帐户是否已设置为管理员。如果帐户被列为标准用户,请更新此设置,点击应用确定,然后注销并重启设备。
  3. 设置 Windows Hello:前往“设置”“帐户”“登录选项”。在“PIN 码 (Windows Hello)”下,创建您首选的 PIN 码。确认后点击“确定”。如果可用,您还可以使用面部识别或指纹识别选项来增强安全性。
  4. 启动 Windows 安全中心:从搜索栏或任务栏打开 Windows 安全中心以访问设置。
  5. 开启管理员保护:前往页面底部的“账户保护”“管理员保护”设置,打开“管理员保护”开关。
用户帐户处于 UAC 中注明的管理员级别。

或者,您也可以通过 Windows 11 Insider build 27774 或更高版本的本地组策略编辑器启用此功能。访问“计算机配置”“Windows 设置”“安全设置”“本地策略”“安全选项”。在此处,双击“用户帐户控制”:配置“管理员批准模式”类型,然后选择“带管理员保护的管理员批准模式” 。在“在安全桌面上提示输入凭据”下,选择“Windows Hello 身份验证”

无论使用哪种方式激活,当您启动管理员任务时,都会出现 Windows Hello PIN 提示以验证您的权限。由于授权在后端悄无声息地进行,因此这种保密过程比传统密码安全得多。完成您的任务(例如需要管理员权限的软件安装)后,临时访问权限将立即被撤销。

确保您的用户配置文件正常运行,这是使用此功能的先决条件。如果您的用户配置文件服务遇到问题,请参阅故障排除指南以恢复功能。

常见问题

1.所有 Windows 11 用户都可以使用管理员保护吗?

否,管理员保护将从 2025 年 5 月开始逐步推广到所有 Windows 11 用户。目前,它仅在 Build 27774 及更高版本的 Insider Canary 版本中可用。

2.我可以使用任何方法通过 Windows Hello 进行身份验证吗?

是的,Windows Hello 提供多种身份验证方法,包括 PIN 码、面部识别和指纹扫描。您可以选择最适合您偏好的方法。

3.如果我无法访问我的 Windows Hello 凭据会发生什么?

如果您无法访问 Windows Hello 凭据,您仍然可以使用其他登录选项(例如,如果您已设置密码)登录。请务必保持恢复选项更新。

来源和图片

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注