- В Windows 11 можно включить «Защиту администратора» (Administrator Protection) для усиления безопасности учетных записей администраторов.
- Эта функция предотвращает скрытое повышение привилегий и требует подтверждения с помощью Windows Hello или запроса согласия.
- Вы можете включить ее через Групповую политику в разделе «Параметры безопасности» > «Режим одобрения администратором» или в Реестре, установив значение TypeOfAdminApprovalMode равным 2.
В Windows 11 теперь можно включить функцию «Защита администратора» (Administrator Protection), чтобы добавить дополнительный уровень безопасности при запуске приложений, требующих повышения привилегий. В этом руководстве я объясню, как настроить эту функцию с помощью Групповой политики и Реестра.
Что такое «Защита администратора»?
«Защита администратора» — это функция безопасности Windows 11, которая повышает защищенность учетных записей с административными привилегиями. Как правило, пользователи, входящие в группу «Администраторы», могут изменять системные настройки и устанавливать приложения без ограничений. Хотя эти возможности полезны, они также представляют значительный риск безопасности, поскольку злоумышленники могут использовать их для взлома системы.
Эта функция помогает снизить эти риски, уменьшая вероятность случайного внесения пользователями изменений на системном уровне и предотвращая скрытое внесение несанкционированных изменений вредоносным ПО.
Как работает «Защита администратора»?
Эта функция применяет «Принцип наименьших привилегий» (Principle of Least Privilege, PoLP), рассматривая учетные записи администраторов как стандартные учетные записи пользователей по умолчанию. Повышенные привилегии предоставляются только при явном одобрении, в соответствии с процессом повышения привилегий «точно в срок» (just-in-time, JIT).
Например, если вы попытаетесь выполнить административную задачу (например, изменить системные настройки или установить приложение), вы должны сначала одобрить повышение привилегий. Это можно сделать с помощью аутентификации Windows Hello (метод по умолчанию) или путем согласия на запрос в безопасной среде (без дополнительной аутентификации).
После одобрения задачи Windows 11 временно создает изолированный токен администратора, используя отдельную, сгенерированную системой учетную запись пользователя. Этот токен используется только в течение выполнения задачи и уничтожается сразу после этого. По данным Microsoft, это гарантирует, что административные привилегии не являются постоянными. Каждый последующий запрос на повышение привилегий повторяет весь процесс, поддерживая тем самым безопасную среду.
Кроме того, запрос использует разные цветовые схемы, чтобы визуально сообщить о потенциальных рисках, связанных с действием.
Является ли «Защита администратора» тем же, что и «Контроль учетных записей»?
Хотя это может выглядеть похоже, «Защита администратора» не то же самое, что «Контроль учетных записей пользователя» (User Account Control, UAC). Microsoft определяет UAC как «более глубокий уровень защиты», в то время как «Защита администратора» была разработана для обеспечения того, чтобы любой доступ к коду или данным сеанса с повышенными привилегиями или их изменение не выполнялись без надлежащего подтверждения со стороны пользователя.
Короче говоря, «Контроль учетных записей» фокусируется на уведомлениях об изменениях в масштабе всей системы, тогда как «Защита администратора» усиливает модель безопасности специально для учетных записей администраторов, сводя к минимуму неправомерное использование привилегий.
В этом руководстве я опишу два способа включения новой функции безопасности для администраторов в Windows 11. Эта функция доступна начиная с обновления безопасности 2025-11 (KB5068861) (26200.7171).
- Включение «Защиты администратора» в Windows 11 через Групповую политику
- Включение «Защиты администратора» в Windows 11 через Реестр
- Часто задаваемые вопросы о «Защите администратора» в Windows 11
Включение «Защиты администратора» в Windows 11 через Групповую политику
Чтобы включить «Защиту администратора» через Редактор групповой политики в Windows 11 Pro, выполните следующие действия:
Откройте меню «Пуск».
Найдите gpedit и щелкните по верхнему результату, чтобы открыть Редактор групповой политики.
Перейдите по следующему пути:
Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности
Щелкните правой кнопкой мыши по политике «Контроль учетных записей пользователей: настроить тип режима одобрения администратором» и выберите опцию «Свойства».
Выберите опцию «Режим одобрения администратором с защитой администратора» (Admin Approval Mode with Administrator protection).
Нажмите кнопку «Применить».
Нажмите кнопку «ОК».
Перезагрузите компьютер.
После выполнения этих шагов, настройки будут применены к Windows 11 Pro или Enterprise, и в следующий раз, когда вы запустите приложение, требующее повышения привилегий, вы получите запрос на согласие с действием или аутентификацию с использованием одного из доступных методов Windows Hello.
Включение «Защиты администратора» в Windows 11 через Реестр
Чтобы включить «Защиту администратора» в Windows 11 (Home и Pro) через Реестр, выполните следующие действия:
Откройте меню «Пуск».
Найдите regedit и щелкните по верхнему результату, чтобы открыть Редактор реестра.
Перейдите по следующему пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Щелкните правой кнопкой мыши по ключу TypeOfAdminApprovalMode и выберите опцию «Изменить».
Измените его значение на 2, чтобы включить функцию.
Нажмите кнопку «ОК».
Перезагрузите компьютер.
После выполнения этих шагов система включит доступ «точно в срок» для действий, требующих привилегий администратора, заменяя функцию «Контроль учетных записей пользователя» для вашей учетной записи.
Если вы хотите отменить изменения, используйте те же инструкции, но на шаге 5 установите значение 1, сохраните настройки и перезагрузите компьютер.
Часто задаваемые вопросы о «Защите администратора» в Windows 11
Ниже приведен список часто задаваемых вопросов (FAQ) и ответов о «Защите администратора» в Windows 11.
Что такое «Защита администратора» в Windows 11?
«Защита администратора» — это функция безопасности, разработанная для предотвращения несанкционированного или автоматического повышения привилегий на учетных записях администратора. При ее включении требуется ручное подтверждение для выполнения конфиденциальных действий и изменений на системном уровне.
Включена ли «Защита администратора» по умолчанию?
Нет. На большинстве систем эта функция по умолчанию отключена. Вы должны включить ее вручную через «Параметры», Групповую политику или PowerShell.
Чем «Защита администратора» отличается от «Контроля учетных записей» (UAC)?
UAC запрашивает повышение привилегий всякий раз, когда приложение запрашивает административные права, в то время как «Защита администратора» добавляет дополнительный уровень безопасности, который блокирует автоматическое повышение привилегий и обеспечивает более строгий контроль аутентификации.
Можно ли включить «Защиту администратора» с помощью PowerShell или Групповой политики?
Да. В Windows 11 Pro и Enterprise вы можете включить ее с помощью Групповой политики или команды PowerShell, которая изменяет соответствующую политику безопасности.
Влияет ли включение «Защиты администратора» на Microsoft Defender или Smart App Control?
Нет. Эта функция работает совместно с компонентами безопасности Windows. Однако она может усилить защиту системы, предотвращая вредоносные попытки повышения привилегий, которые могут быть не обнаружены другими уровнями защиты.
Могу ли я позже отключить «Защиту администратора»?
Да, вы можете отключить ее в любое время в том же расположении Реестра или Групповой политики, если вам нужно вернуться к прежнему поведению.