启用管理员批准模式需将uac滑块设至第二档及以上,或通过组策略启用“以管理员批准模式运行所有管理员”,或在注册表中设enablelua=1及consentpromptbehavioradmin=2/5,重启后验证uac弹窗与完整性级别。
如果您希望在Windows 11中强化系统安全,防止未经授权的提权操作,则需启用管理员批准模式(Administrator Approval Mode),该模式强制所有管理员账户在执行高权限操作前必须通过UAC弹窗明确确认。以下是实现此安全机制的多种方法:
一、通过用户账户控制设置界面启用默认审核级别
此方法通过图形化设置调整UAC通知强度,确保系统对所有提权行为进行拦截与提示,是面向所有版本Windows 11用户的通用配置方式。
1、按下Win + I键打开“设置”应用。
2、在左侧导航栏点击“隐私和安全性”,向下滚动并点击“Windows 安全中心”右侧的“更改用户账户控制设置”链接。
3、在弹出的UAC设置窗口中,将滑块拖动至第二档或更高档位(即“仅在应用尝试更改我的计算机时通知我”或“始终通知”)。
4、点击“确定”,系统提示需重启以使设置生效,重启计算机后管理员批准模式即被激活。
二、通过本地组策略编辑器强制启用管理员批准模式
该方法适用于Windows 11专业版、企业版或教育版,可彻底启用“以管理员批准模式运行所有管理员”策略,即使以Administrator身份登录,每次提权仍需UAC确认,具备最高策略控制力。
1、按Win + R打开运行对话框,输入gpedit.msc并回车。
2、依次展开路径:计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
3、在右侧列表中找到并双击“用户账户控制:以管理员批准模式运行所有管理员”。
4、勾选“已启用”,点击“确定”保存。
5、在同一位置找到“用户账户控制:管理员批准模式中管理员的提升提示行为”,双击后选择“提示凭据”或“提示同意”。
6、关闭组策略编辑器,在命令提示符(管理员)中执行gpupdate /force刷新策略,或直接重启系统。
三、通过注册表修改启用管理员批准模式(适用于家庭版)
Windows 11家庭版不支持组策略编辑器,但可通过直接修改注册表关键项来等效启用管理员批准模式,核心在于启用LUA(Limited User Account)机制并配置提升提示行为。
1、按Win + R输入regedit并回车,以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。
3、在右侧查找名为EnableLUA的DWORD(32位)值;若不存在,右键空白处 → 新建 → DWORD (32位) 值,并命名为EnableLUA,将其数值数据设为1。
4、继续在相同路径下查找或新建DWORD值ConsentPromptBehaviorAdmin,将其数值数据设为2(对应“提示凭据”)或5(对应“提示同意”)。
5、关闭注册表编辑器,重启计算机使修改生效。
四、验证管理员批准模式是否已启用
启用完成后,可通过检查系统策略状态与实际行为双重确认该模式是否正常工作,避免因配置遗漏导致防护失效。
1、再次进入组策略编辑器(专业版及以上)或使用注册表编辑器,确认EnableLUA = 1且ConsentPromptBehaviorAdmin值非0。
2、尝试运行需提权的程序(如记事本并另存为系统目录下的文件),观察是否触发UAC安全桌面弹窗。
3、打开命令提示符(非管理员),执行whoami /groups | findstr "S-1-16-12288",若返回结果包含该完整性级别SID,则表明当前会话处于标准用户完整性级别,提权需显式授权。
