微軟此前已經提到將增強 Windows 11 管理員保護功能,Windows NT 遵循最小特權原則,預設情況下透過非特權使用者令牌授予使用者最小訪問許可權,當需要管理員許可權時,Windows NT 則會請求使用者批准,被批准後則會生成一個臨時的、具有特權隔離的管理員令牌用於執行。
當任務完成後這個臨時的特權令牌就會被銷燬,以此確保管理員許可權不會持續存在、不會持續授予某項程序,從而消除了對即時管理員許可權的需求,每次需要管理員訪問許可權時,都會重複這個過程從而增強安全性。
新版管理員保護則是加強了身份驗證,當軟體申請管理員許可權時系統會要求使用者透過 Windows Hello 進行驗證,包括使用攝像頭進行人臉識別、使用指紋識別器認證,或者使用數字 PIN 碼進行認證,無論是哪種認證都確保這是使用者主動進行操作的。
根據微軟計劃,後續當軟體請求呼叫 Windows 11 攝像頭、麥克風、地理位置等敏感許可權時,都需要提前徵得使用者同意,也就是說管理員保護功能會彈出視窗要求使用者進行 Windows Hello 認證,讓使用者可以更好地控制軟體可以訪問敏感資料。
有了這項許可權後,未來如果惡意軟體嘗試在後臺收集 GPS 定位資訊、使用攝像頭和麥克風進行監控則都會受到限制,除非使用者被誘騙主動授權,否則使用者應當很容易發現某個軟體突然要求呼叫攝像頭這類的。
微軟還提醒軟體開發者們,一定要提前調整自己的軟體並且預設情況下不要嘗試呼叫麥克風、攝像頭和地理位置,等到新管理員許可權上線後可以配合使用,如果未配合管理員保護直接呼叫則可能會被阻止並影響軟體的使用。