Как включить функцию безопасности «Защита администратора» в Windows 11

Последнее обновление 25.01.2025 — Алёна Кузнецова

В Windows 11 теперь вы можете включить функцию «Защита администратора», чтобы добавить дополнительный уровень безопасности при запуске приложений, требующих повышения прав, и в этом руководстве я объясню шаги по настройке этой функции с помощью безопасности Windows и групповой политики.

Что такое защита администратора?

Защита администратора — это функция безопасности в Windows 11, предназначенная для повышения безопасности учетных записей с правами администратора. Обычно пользователи группы «Администраторы» могут изменять настройки системы и устанавливать приложения без ограничений. Хотя эти возможности полезны, они также представляют значительную угрозу безопасности, поскольку злоумышленники могут использовать их для компрометации системы.

Защита администратора помогает снизить эти риски, снижая вероятность ошибочного внесения пользователями изменений на уровне системы и предотвращая незаметное внесение несанкционированных изменений вредоносным ПО.

Как работает защита администратора?

Эта функция применяет «Принцип наименьших привилегий» (PoLP), рассматривая учетные записи администратора как обычных пользователей по умолчанию. Повышенные привилегии предоставляются только в случае явного одобрения в соответствии с процессом повышения прав «точно в срок» (JIT).

Например, если вы пытаетесь выполнить административную задачу (например, изменить настройки системы или установить приложение), вы должны сначала утвердить повышение прав. Это можно сделать с помощью проверки подлинности Windows Hello (метод по умолчанию) или согласия на запрос в безопасной среде (без дополнительной проверки подлинности).

После утверждения задачи Windows 11 временно создает изолированный токен администратора, используя отдельную учетную запись пользователя, созданную системой. Этот токен используется только на время выполнения задания и уничтожается сразу после его завершения. По словам Microsoft, это гарантирует, что права администратора не будут постоянными. Каждый последующий запрос на повышение привилегий повторяет весь процесс, поддерживая безопасную среду.

Кроме того, в подсказке используются различные цветовые схемы, чтобы дать вам визуальную очередь потенциальных рисков, позволяющих выполнить действие.

Является ли защита администратора тем же, что и контроль учетных записей пользователей?

Хотя это может выглядеть похоже, защита администратора — это не то же самое, что контроль учетных записей пользователей (UAC). Microsoft определяет UAC как «более глубокую функцию защиты», в то время как защита администратора была разработана для того, чтобы гарантировать, что любой доступ или изменение кода или данных сеанса с повышенными правами не будет выполняться без надлежащего подтверждения со стороны пользователя.

Короче говоря, контроль учетных записей пользователей фокусируется на общесистемных уведомлениях об изменениях, а защита администратора усиливает модель безопасности специально для учетных записей администратора, сводя к минимуму злоупотребление привилегиями.

Каковы требования к защите администратора?

Эта функция все еще находится в разработке. Таким образом, вы должны зарегистрировать свой компьютер в Канарском канале программы предварительной оценки Windows, чтобы загрузить и установить Windows 11, сборка 27774 или более позднюю версию, чтобы получить доступ к этой функции.

В этом руководстве я опишу два способа включения новой функции безопасности для администраторов в Windows 11.

Включите защиту администратора в Windows 11 из приложения «Безопасность».

Чтобы включить защиту администратора в Windows 11 (Home и Pro), выполните следующие действия:

1. Откройте «Пуск».

2. Найдите «Безопасность Windows» и щелкните верхний результат, чтобы открыть приложение.

3. Нажмите «Защита учетной записи».

4. Нажмите кнопку «Настройки защиты администратора» внизу страницы.

5. Включите тумблер «Защита администратора».

6. Перезагрузите компьютер.

После того, как вы выполните эти шаги, система предоставит своевременный доступ для действий, требующих прав администратора, заменив функцию контроля учетных записей пользователей в вашей учетной записи.

Включите защиту администратора в Windows 11 из групповой политики

Чтобы включить защиту администратора в редакторе групповой политики в Windows 11 Pro, выполните следующие действия:

1. Откройте «Пуск».

2. Найдите gpedit и щелкните верхний результат, чтобы открыть редактор групповой политики.

3. Просмотрите следующий путь:

   Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

4. Щелкните правой кнопкой мыши политику «Контроль учетных записей пользователей: настроить тип режима одобрения администратора» и выберите параметр «Свойства».

5. Выберите опцию «Режим одобрения администратора с защитой администратора».

6. Нажмите кнопку «Применить».

7. Нажмите кнопку ОК.

8. Щелкните правой кнопкой мыши политику «Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов, работающих с защитой администратора» и выберите параметр «Свойства».

9. Выберите способ запроса, включая параметр «Запрашивать учетные данные на защищенном рабочем столе» для проверки подлинности с помощью Windows Hello или параметр «Запрашивать согласие на защищенном рабочем столе», чтобы повысить уровень запроса без учетных данных.

10. Нажмите кнопку «Применить».

11. Нажмите кнопку ОК.

12. Перезагрузите компьютер.

После выполнения этих шагов настройки будут применены к Windows 11 Pro или Enterprise, и при следующем запуске приложения, требующего повышения прав, вы получите запрос на согласие на действие или проверку подлинности с использованием одного из доступных методов Windows Hello.