UAC和Windows特权模型修补（Windows 11 24H2可用）

莉塔林Rita

高血压警告：微软你为什么现在才做这些？

另附：这套也能击败银狐之类滥用的UAC绕过（yzw又要加班咯~）
在Windows 11 24H2里引入了一项全新功能“管理员特权保护”Administrator protection。

此功能彻底修复了UAC的漏洞（原因看文末），但默认没有启用。


引用微软原文：https://techcommunity.microsoft. ... -windows-11/4303482

Administrator protection is integrated with Windows Hello for simple and secure authorization.
管理员保护与Windows Hello集成，以实现简单而安全的授权。

Just-in-time elevation: With Administrator protection, the user stays de-privileged and is granted just-in-time elevation rights only for the duration of an admin operation. The admin token is discarded after use and is recreated when another task requiring admin privileges is performed.​
即时提升：通过管理员保护，用户保持取消特权状态，并且仅在管理操作期间被授予即时提升权限。管理员令牌在使用后将被丢弃，并在执行另一个需要管理员权限的任务时重新创建。

​Profile separation: Administrator protection uses hidden, system-generated, profile-separated user accounts to create isolated admin token. This helps ensure that user-level malware cannot compromise the elevated session, thus making elevation a security boundary.
配置文件分离：管理员保护使用隐藏的、系统生成的、配置文件分离的用户帐户来创建隔离的管理员令牌。这有助于确保用户级恶意软件无法危害提升的会话，从而使提升成为安全边界。

No auto-elevations: With Administrator protection, the user needs to interactively authorize every admin operation. This ensures that the administrator user stays in full control and that admin privileges are not abused. Integration with Windows Hello further enhances security while providing a convenient experience.​
无自动升级：使用管理员保护，用户需要交互式授权每个管理操作。这确保了管理员用户保持完全控制，并且管理员权限不会被滥用。与Windows Hello的集成进一步增强了安全性，同时提供了方便的体验。

那么这个迟来了整整十五年的安全修正（2009-2024）在哪里打开呢？

如图所示：



请注意，这个东西默认是没有启动的，同时，在Windows Server上不可用。

此策略设置控制是否将增强的特权保护应用于管理员审批模式提升。如果更改此策略设置，则必须重新启动计算机。此策略仅在 Windows 桌面上受支持，而不是在服务器上受支持。

最终评论：

此安全修正将彻底解决所谓的UAC Bypass，因为现在没有用户具备管理员特权了——因为此技术原理为剥夺所有用户的最高特权，系统里不再有管理员权限这种东西。
而管理员权限会被收纳到内核中保管，获得管理员权限必须明确经过用户同意（UAC弹窗/Windows Hello），且活动结束立即销毁管理员令牌。从而彻底让Windows不再是WinDOS。

但微软用了十五年时间才修复这么简单的问题，以及用了三十年来修补WinDOS模型，令人汗颜。

因此：过去的这个帖子作废（如果你是24H2）。



还有，微软要不你也把Windows换成Linux内核去做Linux发行版吧（）

UAC Bypass的原理：https://security.stackexchange.c ... accounts-on-windows

用户访问控制不被微软视为安全边界。原因是由于微软 Vista 及以后版本的设计，进程在启动时只持有有限的特权令牌，并且明确需要由默认状态下的 UAC 保护的提升权限。正如您所看到的，只要进程不请求提升权限，UAC 就不会介入。这意味着恶意软件将能够访问用户账户可以访问的所有内容，而无需任何提升权限。用户数据比获得 NT AUTHORITY\SYSTEM 权限重要得多。

另一件事需要澄清的是 UAC 的“始终通知”设置。通常人们认为，在默认状态下，即“仅在程序尝试对我的计算机进行更改时通知我”的 UAC 可以被许多方式绕过。例如，Metasploit 这样的利用框架有专门的模块来实现默认状态下的 UAC 绕过，此时进程会静默提升，没有任何 UAC 同意对话框。然而，同样的情况也适用于“始终通知”设置。例如，看看这里概述的技术。该技术的简要总结是，不是通过交互式请求提升，而是将进程注册到登录用户的任务计划程序中。在 Microsoft 术语中，这被称为 S4U（用户服务）。当任务执行时，将具有提升的权限，而无需获得权限提升用户的任何同意，即使 UAC 设置为最高安全设置“始终通知”也是如此。

con16

這預設微軟應該要開啟

一些惡意程序入侵直接給你關掉功能都全程無消無息問題真的很久

降級使用者權限有些人又不能忍

莉塔林Rita

con16 发表于 2025-1-20 13:13
這預設微軟應該要開啟

一些惡意程序入侵直接給你關掉功能都全程無消無息問題真的很久

微软默认关闭（）

无垠穹宇

莉塔林Rita 发表于 2025-1-20 13:17
微软默认关闭（）

canary  在测试了

ELOHIM

看了一下我的，却是打开的。
我记得没有改过这里啊。

另外，这两项也建议打开。
因为好多系统安装过程默认使用Administrator登录系统以在互联风上冲浪。

莉塔林Rita

ELOHIM 发表于 2025-1-20 14:15
看了一下我的，却是打开的。
我记得没有改过这里啊。

奇怪了，一些人默认关闭，一些人默认开启（有趣）。

con16

我看下默認是關閉

驭龙

莉塔林Rita 发表于 2025-1-20 14:27
奇怪了，一些人默认关闭，一些人默认开启（有趣）。

管理员保护这条默认就是关闭的，策略组中明确显示默认是旧模式
24H2系统

ANY.LNK

微软不会又在搞什么灰度测试吧（

ELOHIM

莉塔林Rita 发表于 2025-1-20 14:27
奇怪了，一些人默认关闭，一些人默认开启（有趣）。

可能是我记错了。。