Привет, киберсталкеры и просто любители покрутить настройки! 👋 На связи T.E.X.H.O Windows & Linux.
Давайте честно: сидеть под «Администратором» в 2025 году — это как ходить по минному полю в шлёпанцах. Вроде удобно, ветерок обдувает, но один неверный шаг — и ног нет (читай: системы). Но и каждый раз вводить 20-значный пароль при установке драйверов — удовольствие для мазохистов.
Сегодня мы разберём Святой Грааль удобства и безопасности, который окончательно допилили в Windows 11 25H2: гибрид стандартной учётки и повышения прав через Windows Hello. Это не старый добрый UAC, который можно обойти скриптом школьника. Это Administrator Protection — фича, которая меняет правила игры.
Поехали настраивать! 🚀
🧐 В чём суть и зачем это нужно? (Лайфхак для старта)
Раньше у нас было два стула:
- Сидишь под админом. Удобно, но любой вирус, пробивший UAC, получает ключи от города.
- Сидишь под юзером. Безопасно, но, чтобы что-то настроить, нужно вводить логин и пароль другой администраторской учётки. Бесит страшно.
Что предлагаем мы (и Microsoft в 25H2):
Вы сидите под своей учёткой. Она выглядит как администраторская, но технически прав у неё — ноль. Токен администратора скрыт и зашифрован. Когда нужно что-то установить, система не просит пароль. Она просит посмотреть в камеру или приложить палец.
💡 Лайфхак для новичков:
Хотите узнать, насколько вы сейчас уязвимы? Откройте PowerShell и введите:
whoami /priv
Если видите огромный список прав, где везде написано Enabled, — поздравляю, любой скрипт, запущенный от вашего имени, может снести «винду». После нашей настройки этот список станет девственно пустым, пока вы сами не разрешите доступ лицом.
⚙️ Главные настройки: включаем Administrator Protection
В версии 25H2 эта функция вышла из тени Preview и работает стабильно. Она отделяет токен администратора от токена пользователя даже в рамках одной сессии.
Шаг 1. Проверка требований
У вас должен быть настроен Windows Hello (PIN-код, распознавание лица или отпечаток пальца). Без этого магия не сработает, и система просто заблокирует повышение прав.
Шаг 2. Активация через PowerShell (для профи и ленивых)
Я подготовил для вас скрипт, который делает всё сам. Он включает политику Administrator Protection и настраивает поведение UAC на запрос биометрии.
⚠️ Внимание: запускать строго от имени администратора!
# Скрипт настройки Admin Protection для Windows 11 25H2
# Автор: T.E.X.H.O | Дата: Декабрь 2025
Write-Host "🚀 Начинаем укрепление периметра..." -ForegroundColor Cyan
# 1. Включаем функцию Admin Protection (защита токена)
$AdminKey = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\AdminProtection"
if (!(Test-Path $AdminKey)) {
New-Item -Path $AdminKey -Force | Out-Null
}
Set-ItemProperty -Path $AdminKey -Name "AdminProtectionEnabled" -Value 1 -Type DWord
# 2. Настраиваем UAC на запрос учетных данных (Force Secure Desktop)
$SysKey = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
Set-ItemProperty -Path $SysKey -Name "ConsentPromptBehaviorAdmin" -Value 1 -Type DWord # Запрос на защищенном рабочем столе
Set-ItemProperty -Path $SysKey -Name "PromptOnSecureDesktop" -Value 1 -Type DWord
# 3. Включаем поддержку Hello для повышения прав (если вдруг отключена)
$BioKey = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredUI"
if (!(Test-Path $BioKey)) {
New-Item -Path $BioKey -Force | Out-Null
}
Set-ItemProperty -Path $BioKey -Name "EnableSecureCredentialPrompt" -Value 1 -Type DWord
Write-Host "✅ Готово! Перезагрузите компьютер, чтобы изменения вступили в силу." -ForegroundColor Green
Write-Host "Теперь ваше лицо — это ваш пропуск в режим Бога." -ForegroundColor Yellow
Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и профессионалов.
Присоединяйся прямо сейчас.
Шаг 3. Ручная настройка (если боитесь скриптов)
Если вы из тех, кто никому не доверяет (и правильно делаете):
- Откройте Редактор локальной групповой политики (gpedit.msc).
- Перейдите: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
- Найдите политику: «Контроль учетных записей: Поведение запроса на повышение привилегий для администраторов...».
- Поставьте: «Запрос учетных данных на безопасном рабочем столе».
- В новых сборках 25H2 там же ищите пункт User Account Control: Configure Admin Protection — ставьте Enabled.
📊 К чему это привело: новая модель угроз
Давайте посмотрим правде в глаза. Большинство взломов происходит не потому, что «хакеры — гении», а потому что мы ленивые.
Что изменилось?
- Убийство атак типа drive-by. Если вы скачали «реферат.exe» и он попытается тихо получить права администратора — у него ничего не выйдет. Выскочит окно Hello. Ваше лицо случайно в камеру не посмотрит (если вы не спите за компьютером, конечно 😴).
- Защита от стилеров. Трояны, которые крадут пароли из браузеров, обычно требуют прав администратора для инъекции в системные процессы. Теперь им придётся просить вас приложить палец.
- Скорость работы. Вы больше не вводите пароль Tr0ub4dou&3 каждый раз, когда обновляете драйверы. Приложили палец — поехали. Это быстрее, чем нажимать «Да», и безопаснее, чем вводить пароль (кейлогеры плачут в сторонке).
Итог: вы получаете параноидальный уровень безопасности с комфортом использования айфона.
↩️ Как откатиться (если что-то пошло не так)
Представим страшное: сканер отпечатка сломался, камеру заклеили скотчем, а ПИН-код вы забыли. Вы застряли в режиме обычного пользователя. Без паники! 😱
- Безопасный режим. Перезагрузитесь с зажатым Shift -> Поиск и устранение неисправностей -> Дополнительные параметры -> Параметры загрузки -> Безопасный режим. В этом режиме Admin Protection обычно отключается, позволяя войти под встроенным администратором (если он активен) или использовать пароль.
- Через CMD (если есть доступ к другой админке): Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\AdminProtection" -Name "AdminProtectionEnabled" -Value 0
- Совет: всегда имейте запасную локальную учётку SuperAdmin с длинным паролем, которой никогда не пользуетесь, кроме аварийных случаев.
❓ Вопрос — ответ
В: Работает ли это со старым софтом (времён Windows 7)?
О: Да. Для старого софта это выглядит как обычный запрос UAC. Только вместо кнопки «Да» вы проходите биометрию.
В: Можно ли использовать PIN-код вместо лица?
О: Конечно. Если камера не сработала, Windows предложит ввести ПИН-код.
В: Это замедляет работу системы?
О: Вообще нет. Изоляция токена происходит на уровне ядра, это доли миллисекунды. Зато экономит вам секунды на ввод паролей.
В: А если хакер подделает моё лицо (дипфейк)?
О: Windows Hello использует инфракрасные камеры для карты глубины. Фотка или видео с экрана не прокатят. Нужна реальная 3D-голова.
👇 Поддержите канал!
Понравилась статья? Не дай алгоритмам «Дзена» похоронить годный контент!
🔥 Подпишись, чтобы не пропустить гайды по Linux и Windows.
👍 Поставь лайк — это бесплатно и приятно автору.
📢 Сделай репост другу-сисадмину.
- Поддержите канал T.E.X.H.O Windows & Linux — подпишитесь, ставьте лайки и делитесь этой статьёй с коллегами. Если Вам нравится что мы делаем, рассмотрите возможность поддержки через взносы на развитие канала. Спасибо за внимание к техническому контенту высокого качества!
- 💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰 Или сделать любой перевод по ССЫЛКЕ или QR-коду через СБП. Быстро, безопасно и без комиссии. ( Александр Г. ) Автор канала: "Т.Е.Х.Н.О Windows & Linux".
#Windows11 #Windows25H2 #Безопасность #Кибербез #PowerShell #SysAdmin #НастройкаWindows #Лайфхаки #WindowsHello #AdminProtection #UAC #ЗащитаПК #ITСоветы #Оптимизация #Биометрия #Администрирование #КомпьютернаяГрамотность #Техноблог #Microsoft #Реестр #Скрипты #Инфобез #SecureBoot #TPM #WindowsSecurity #PrivilegeEscalation #SystemHardening #Win11Tips #TechTutorial #TEXHO