Proteção de administrador (pré-visualização)

Aplica-se a: ✅ Windows 11

A proteção de administrador é uma funcionalidade de segurança da plataforma no Windows 11 concebida para garantir que os utilizadores são executados com o menor privilégio necessário, elevando para direitos de administrador apenas quando necessário e apenas com a aprovação explícita do utilizador. Esta funcionalidade funciona com base no princípio do menor privilégio, mantendo os utilizadores num estado sem privilégios e concedendo direitos de elevação just-in-time apenas quando necessário.

No panorama digital atual, os utilizadores com direitos de Administrador no Windows têm capacidades avançadas para modificar configurações e fazer alterações ao nível do sistema que possam afetar a postura de segurança geral de um dispositivo Windows 11. Os privilégios administrativos criam um vetor de ataque significativo. Os atores maliciosos exploram frequentemente estes privilégios para obter acesso não autorizado aos dados dos utilizadores, comprometer a privacidade e desativar as funcionalidades de segurança do SO sem o conhecimento do utilizador.

A proteção do administrador resolve este desafio ao exigir que os utilizadores verifiquem a respetiva identidade com Windows Hello autenticação integrada. Impõe esta verificação antes de permitir ações que necessitem de privilégios de administrador, como instalar software, alterar as definições do sistema, como a hora ou o registo, e aceder a dados confidenciais.

Benefícios

A proteção de administrador fornece vários benefícios principais:

Segurança melhorada: ao exigir autorização explícita do utilizador para cada tarefa administrativa, a proteção do Administrador protege o Windows contra alterações acidentais por parte dos utilizadores e alterações por software maligno. Ajuda a garantir que os utilizadores estão cientes de ações potencialmente prejudiciais antes de ocorrerem, fornecendo uma camada extra de defesa contra ameaças.
Controlo do utilizador: a proteção do administrador requer que os utilizadores decidam explicitamente se querem que uma determinada aplicação seja executada como elevada. Isto ajuda a garantir que apenas as aplicações autorizadas podem fazer alterações ao sistema, reduzindo o risco de modificações acidentais ou maliciosas.
Redução de software maligno: o software malicioso depende frequentemente de privilégios de administrador para alterar as definições do dispositivo e executar ações prejudiciais. A proteção do administrador interrompe a cadeia de eliminação de ataques, uma vez que o software maligno já não pode adquirir automaticamente privilégios de administrador.

Requisitos de sistema

A proteção do administrador estará disponível em Windows 11 dispositivos em breve. A funcionalidade anteriormente listada na atualização não relacionada com segurança (KB5067036) de outubro de 2025 foi revertida e será implementada posteriormente.

Como funciona a proteção do Administrador

Na sua essência, a proteção de Administrador funciona com base no princípio do menor privilégio. Quando um utilizador inicia sessão no Windows, recebe um token de utilizador sem privilégios. No entanto, quando são necessários privilégios de administrador, o Windows pede que o utilizador autorize a operação. Depois de autorizado, o Windows utiliza uma conta de utilizador oculta, gerada pelo sistema e separada por perfis para criar um token de administrador isolado. Este token é emitido para o processo de pedido e é destruído assim que o processo terminar, garantindo que os privilégios de administrador não persistem.

A proteção de administrador introduz um novo limite de segurança com suporte para corrigir quaisquer erros de segurança comunicados. As alterações arquitetónicas garantem que ninguém pode aceder ou adulterar o código ou os dados de sessões elevadas sem autorização adequada.

Algumas aplicações podem estar a depender de direitos de administrador sempre presentes e o perfil elevado estar acessível ao ser executado de forma não elegível. Com esta nova abordagem, alguns cenários nessas aplicações podem precisar de atualizações para funcionarem sem problemas com o modelo de segurança melhorado. Estamos a colaborar ativamente com programadores de aplicações para os ajudar a adaptarem-se, garantindo que as suas experiências favoritas permanecem totalmente integradas, mantendo o seu sistema protegido. Veja Melhorar a segurança da sua aplicação com a proteção de administrador para obter orientações sobre como desenvolver as suas aplicações.

Em última análise, estas alterações destinam-se a tornar o Windows mais seguro para si, para que possa desfrutar de funcionalidades avançadas com maior tranquilidade.

Principais destaques da arquitetura

Diagrama da arquitetura de proteção do administrador.

Elevação just-in-time: os utilizadores permanecem sem privilégios e recebem direitos de elevação just-in-time apenas durante uma operação de administração. O token de administrador é eliminado após a utilização e recriado quando outra tarefa que requer privilégios de administrador é executada.
Separação de perfis: a proteção de administrador utiliza contas de utilizador ocultas, geradas pelo sistema e separadas por perfis para criar tokens de administrador isolados. Isto ajuda a garantir que o software maligno ao nível do utilizador não pode comprometer a sessão elevada, o que torna a elevação num limite de segurança.
Sem elevações automáticas: os utilizadores têm de autorizar interativamente todas as operações de administração. Isto garante que o utilizador administrador permanece no controlo total e que os privilégios de administrador não são abusados.
Windows Hello integração: a proteção de administradores está integrada com Windows Hello para uma autorização simples e segura.

Configuração

A proteção do administrador pode ser ativada através de vários métodos:

Catálogo de Definições do Microsoft Intune (Pré-visualização)
CSP
Política de grupo
Definições de Segurança do Windows (Pré-visualização)

Observação

Esta opção está atualmente disponível em pré-visualização. Será lançado para todos gradualmente.
A proteção de administrador pode ser configurada com políticas de Fornecedor de Serviços de Configuração (CSP) com Intune. Utilize a política personalizada para configurar:
- UserAccountControl_TypeOfAdminApprovalMode [ativar]
- UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [configurar pedido]

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as definições listadas na categoria Local Policies Security Options:

Comportamento de Controlo da Conta de Utilizador do Pedido de Elevação para Proteção do Administrador
- Tipo de Controlo de Conta de Utilizador do Modo de Aprovação Administração

Atribua a política a um grupo de segurança que contém como membros os dispositivos ou utilizadores que pretende configurar.

Pode utilizar políticas de segurança para configurar o funcionamento da proteção do Administrador na sua organização. As políticas podem ser configuradas localmente com o snap-in Política de Segurança Local (secpol.msc) ou configurado para o domínio, UO ou grupos específicos por política de grupo.

Para configurar a proteção do Administrador com a política de grupo:

Navegue para Configuração> do ComputadorDefiniçõesdeSegurança Definições>> de Segurança Opções deSegurançade Políticas> Locais.
Localize a política para "Controlo de Conta de Utilizador: Configurar o tipo de Modo de Aprovação Administração" e altere a definição para "Modo de Aprovação Administração com proteção de Administrador".
Configure o comportamento do pedido ao selecionar o comportamento pretendido na política "Controlo de Conta de Utilizador: Comportamento do pedido de elevação para administradores em execução com proteção de Administrador".
Para aplicar as alterações, reinicie o dispositivo.

A proteção do administrador também é configurável no CSP LocalPoliciesSecurityOptions :

Para ativar a proteção do Administrador, configure UserAccountControl_TypeOfAdminApprovalMode.
Para escolher entre pedidos de consentimento e credenciais, utilize UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection.

No Microsoft Intune, pode utilizar uma política personalizada para implementar o CSP LocalPoliciesSecurityOptions.

Importante

É necessário reiniciar para que a Proteção do Administrador entre em vigor.

Eventos de Monitorização e Relatórios

Para controlar as elevações, a proteção de administrador tem dois novos eventos de Rastreio de Eventos para Windows (ETW) no fornecedor Microsoft-Windows-LUA existente com GUID {93c05d69-51a3-485e-877f-1806a8731346}:

ID do evento	Nome do Evento	Descrição
15031	Elevação Aprovada	Registado quando um utilizador autentica e elevação é concedida com êxito
15032	Elevação Negada/Falha	Registado quando a elevação é negada, falha ou excede o limite de tempo

O Que é Registado

O Identificador de Segurança (SID) do utilizador que acionou a elevação
O nome e o caminho da aplicação
O resultado da elevação (aprovado, negado, tempo limite)
A conta de administrador gerida pelo sistema utilizada para efetuar a tarefa
O método de autenticação (por exemplo, palavra-passe, PIN, Windows Hello)

Como capturar estes eventos

Ativar o fornecedor Microsoft-Windows-LUA (GUID: {93c05d69-51a3-485e-877f-1806a8731346})
Utilizar o Logman ou o WPR (Gravador de Desempenho do Windows) para iniciar uma sessão de rastreio
Filtrar por IDs de Eventos 15031 e 15032
Analise o ficheiro .etl resultante com o Windows Performance Analyzer ou a sua ferramenta preferida

Eis um comando de exemplo:

logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets

Solução de problemas

Utilize o SISTEMA local ou contas de serviço dedicadas para tarefas agendadas ou scripts definidos para executar "com privilégios mais elevados". Essencialmente, redesenhar scripts para evitar esperar um token de administrador sempre ligado. Qualquer fluxo de trabalho que assumisse que uma sessão de administrador está disponível terá de ser ajustado.
Quando as aplicações são executadas com proteção de administrador elevada, as credenciais de Sign-On Único (SSO) da sessão padrão não estão disponíveis para a sessão elevada. Qualquer domínio ou autenticação na cloud tem de ser restabelecida nessa sessão elevada.
Unidades de Rede/Recursos Inacessíveis a partir de aplicações elevadas. Instale-o no contexto de utilizador para ativar pedidos de credenciais de rede. Se for essencial instalar uma aplicação como elevada, copie os ficheiros de instalação para uma unidade local antes de elevar.
Os dados de definições das aplicações não transitam entre os perfis regulares (não elegíveis) e os perfis elevados. Eleve apenas as aplicações de que realmente precisa. Considere configurar essas aplicações para utilizar diretórios de dados comuns acessíveis a ambos os perfis (se possível).
Âmbito da proteção do administrador: contas de administrador num dispositivo. O início de sessão remoto, os Perfis itinerantes ou os administradores de cópia de segurança não estão no âmbito.
Algumas aplicações não mostram o ícone iniciar no menu Iniciar após a instalação. Se tiver instalado o nível elevado, terá de navegar manualmente para a localização de instalação: AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>
Se a atualização de alguma das suas aplicações estiver bloqueada, desative temporariamente a funcionalidade. (É necessário reiniciar).
Quando não pretender ativar esta funcionalidade:
- Para dispositivos que necessitam de Hyper-V ou Subsistema do Windows para Linux (WSL).
- Se estiver a utilizar aplicações que não conseguem aceder a extensões do Edge ou ficheiros partilhados entre perfis. Por exemplo: alguns instaladores (utilizando o WebView2 internamente) podem pedir permissões elevadas mesmo quando são iniciadas normalmente, mostrando "O Microsoft Edge não consegue ler e escrever no respetivo diretório de dados".

Comentários

Esta página foi útil?

Last updated on 2025-10-30