微软在其最新 Windows 预览版中引入了重大安全升级，旨在锁定本地管理员权限，使网络攻击者更难以利用权限提升问题。

管理员保护功能将提升权限的能力从自由浮动功能更改为范围更有限的“即时”事件。即将推出的功能将改变 Windows 处理管理员权限的方式，从由用户帐户控制 (UAC) 提示控制的拆分令牌模型转变为由系统管理的隔离影子环境。指定任务完成后，此影子管理员帐户就会消失，这使得网络攻击者更难滥用管理员的提升权限进行恶意操作。

Patch My PC 的技术内容创建者 Rudy Ooms 发布了该功能的技术分析，他表示该功能将限制管理员启用帐户的权限提升范围。

“旧的传统概念是使用分割令牌，但这种令牌并不安全，”Ooms 说道。“新的管理员保护机制改变了这种局面，它彻底颠覆了这种方法，不再直接使用分割令牌，而是使用隐藏的系统管理账户来代替。”

此功能将使使用离地攻击技术的网络攻击者更难提升权限并在受感染系统上窃取管理员访问权限。受感染后，大多数攻击者会使用常见应用程序（例如 PowerShell 和系统服务）结合管理员权限进行横向移动。

管理员保护功能是软件公司为消除软件中不良信任模型而采取的最新策略。与传递哈希攻击相比，这也是一个巨大的进步，在传递哈希攻击中，攻击者可以在不知道管理员凭据的情况下获得提升的权限。有了这项新功能，攻击者仍然可以使用管理员的凭据来尝试提升权限，但这样做的机会要小得多。

证书管理公司 Sectigo 的高级研究员 Jason Soroko 表示：“攻击者必须重新考虑他们所有的老伎俩。这会影响攻击者以管理员身份四处走动的能力，因此，靠土地谋生的威胁较小，因为组织安装了许多对攻击者非常有用的工具。”

Windows 管理员的双重身份

微软目前处理提升权限的方法是为管理员帐户提供“拆分令牌”。默认情况下，用户帐户将被视为标准用户（具有相同的令牌“TokenElevationTypeDefault”），限制权限。当用户尝试执行需要管理权限的操作时，他们必须使用 UAC 功能将其令牌提升为“TokenElevationTypeFull”。

Ooms 说，分割代币概念是一种好方法，但也存在问题。

“这里的问题是，这种方法使管理员权限相对隐藏，但并非无法访问，”他说。“一旦激活了提升的管理员令牌，任何在后台运行的恶意软件都可能劫持它并执行恶意操作。本质上，虽然拆分令牌比以‘始终在线’管理员身份运行要好，但它们仍然容易受到此类攻击。”

根据Ooms的技术分析，如果启用管理员保护，提升权限的用户将切换到保护管理员令牌的隔离的、托管的系统管理员帐户。

“我认为，它将大大提高安全态势，因为它减少了攻击面，”他说。

专用账户，更好的监控

微软拒绝对该功能发表评论，但一位发言人表示，公司计划在 11 月的 Microsoft Ignite 技术大会上分享更多信息。

在其 Windows Preview 的发布说明中，该公司表示：“管理员保护是 Windows 11 中即将推出的一项平台安全功能，旨在保护管理员用户的自由浮动管理权限，使他们仍能以即时管理权限执行所有管理功能。此功能默认关闭，需要通过组策略启用。”

Sectigo 的 Soroko 表示，虽然该功能将显著提高系统安全性，但为特定任务实例化和销毁影子管理员帐户对于监控帐户活动的公司来说也是一个福音。

“如果你监控特权账户，那么你监控这些短暂特权账户的能力，并确保它们不会到处做不该做的事情，就会好得多，”他说。“你可以了解创建该账户的目的，现在为辩护者提供了新的机会。”