Hướng dẫn cách bật bảo vệ quản trị viên trên Windows 11
Trên Windows 11, giờ đây bạn có thể bật tính năng “Administrator Protection” (Bảo vệ quản trị viên) để thêm một lớp bảo mật bổ sung khi chạy các ứng dụng yêu cầu quyền nâng cao (elevation). Trong hướng dẫn này, tôi sẽ giải thích cách cấu hình tính năng này thông qua Group Policy và Registry.
Xem thêm: Hướng dẫn cách sử dụng DISM và SFC để khắc phục sự cố trên Windows 11
1. Administrator Protection là gì?
Administrator Protection (Bảo vệ quản trị viên) là một tính năng bảo mật của Windows 11 giúp tăng cường bảo mật cho các tài khoản có đặc quyền quản trị (administrative privileges). Thông thường, người dùng trong nhóm “Administrators” (Quản trị viên) có thể sửa đổi cài đặt hệ thống và cài đặt ứng dụng mà không bị hạn chế. Mặc dù những khả năng này rất hữu ích, nhưng chúng cũng tiềm ẩn rủi ro bảo mật đáng kể, vì những kẻ tấn công độc hại có thể khai thác chúng để xâm nhập hệ thống.
Tính năng này giúp giảm thiểu những rủi ro đó bằng cách giảm khả năng người dùng vô tình thực hiện các thay đổi cấp hệ thống và ngăn chặn phần mềm độc hại thực hiện các sửa đổi trái phép một cách âm thầm.
2. Administrator Protection hoạt động như thế nào?
Tính năng này áp dụng “Nguyên tắc đặc quyền tối thiểu” (Principle of Least Privilege – PoLP), coi các tài khoản quản trị viên là người dùng tiêu chuẩn theo mặc định. Các đặc quyền nâng cao chỉ được cấp khi được phê duyệt rõ ràng, tuân theo quy trình nâng cao đặc quyền “vừa đúng lúc” (just-in-time – JIT).
Ví dụ: nếu bạn cố gắng thực hiện một tác vụ quản trị (chẳng hạn như sửa đổi cài đặt hệ thống hoặc cài đặt ứng dụng), trước tiên bạn phải phê duyệt việc nâng cao đặc quyền đó. Điều này có thể được thực hiện bằng cách sử dụng xác thực Windows Hello (phương pháp mặc định) hoặc đồng ý với lời nhắc trong môi trường an toàn (mà không cần xác thực bổ sung).
Sau khi tác vụ được phê duyệt, Windows 11 tạm thời tạo một mã thông báo quản trị viên cô lập bằng cách sử dụng một tài khoản người dùng riêng biệt, được hệ thống tạo ra. Mã thông báo này chỉ được sử dụng trong suốt thời gian thực hiện tác vụ và bị hủy ngay sau đó. Theo Microsoft, điều này đảm bảo rằng các đặc quyền quản trị viên không tồn tại lâu dài. Mỗi yêu cầu tiếp theo về đặc quyền nâng cao sẽ lặp lại toàn bộ quy trình, duy trì một môi trường an toàn. Hơn nữa, lời nhắc sử dụng các bảng màu khác nhau để cung cấp tín hiệu trực quan về những rủi ro tiềm ẩn liên quan đến hành động đó.
3. Administrator Protection có giống như User Account Control không?
Mặc dù có vẻ tương tự, Administrator Protection không giống với User Account Control (UAC). Microsoft định nghĩa UAC là “một tính năng phòng thủ chuyên sâu”, trong khi Administrator Protection được thiết kế để đảm bảo rằng bất kỳ quyền truy cập hoặc can thiệp nào vào mã hoặc dữ liệu của một phiên nâng cao sẽ không được thực thi nếu không có sự xác nhận thích hợp từ người dùng.
Tóm lại, User Account Control tập trung vào các thông báo thay đổi trên toàn hệ thống, trong khi Administrator Protection củng cố mô hình bảo mật cụ thể cho các tài khoản quản trị viên bằng cách giảm thiểu việc lạm dụng đặc quyền.
Trong hướng dẫn này, tôi sẽ trình bày hai cách để bật tính năng bảo mật mới cho quản trị viên trên Windows 11. Tính năng này khả dụng bắt đầu từ Bản cập nhật Bảo mật 2025-11 (KB5068861) (26200.7171).
4. Bật Administrator Protection trên Windows 11 từ Group Policy
Để bật Administrator Protection từ Group Policy Editor trên Windows 11 Pro, hãy làm theo các bước sau:
1. Mở Start.
2. Tìm kiếm gpedit và nhấp vào kết quả hàng đầu để mở Group Policy Editor.
3. Duyệt đến đường dẫn sau:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options4. Nhấp chuột phải vào chính sách “User Account Control: Configure type of Admin Approval Mode” (Kiểm soát tài khoản người dùng: Cấu hình loại chế độ phê duyệt quản trị viên) và chọn tùy chọn Properties (Thuộc tính).
5. Chọn tùy chọn “Admin Approval Mode with Administrator protection” (Chế độ phê duyệt quản trị viên với bảo vệ quản trị viên).
6. Nhấp vào nút Apply (Áp dụng).
7. Nhấp vào nút OK.
8. Khởi động lại máy tính.
Sau khi hoàn thành các bước, cài đặt sẽ được áp dụng cho Windows 11 Pro hoặc Enterprise, và lần tới khi bạn chạy một ứng dụng yêu cầu quyền nâng cao, bạn sẽ nhận được lời nhắc đồng ý với hành động đó hoặc xác thực bằng một trong các phương thức Windows Hello có sẵn.
5. Bật Administrator Protection trên Windows 11 từ Registry
Để bật Administrator Protection trên Windows 11 (Home và Pro) thông qua Registry, hãy làm theo các bước sau:
1. Mở Start.
2. Tìm kiếm regedit và nhấp vào kết quả hàng đầu để mở Registry Editor.
3. Mở đường dẫn sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System4. Nhấp chuột phải vào khóa TypeOfAdminApprovalMode và chọn tùy chọn Modify (Sửa đổi).
5. Thay đổi giá trị của nó thành 2 để bật tính năng này.
6. Nhấp vào nút OK.
7. Khởi động lại máy tính.
Sau khi hoàn thành các bước, hệ thống sẽ bật quyền truy cập just-in-time cho các hành động yêu cầu đặc quyền quản trị viên, thay thế tính năng User Account Control trên tài khoản của bạn.
Nếu bạn muốn hoàn tác các thay đổi, hãy sử dụng các hướng dẫn tương tự, nhưng ở bước 5, đặt giá trị thành 1, lưu cài đặt và khởi động lại máy tính.
6. Câu hỏi thường gặp (FAQs)
Dưới đây là danh sách các câu hỏi thường gặp (FAQs) và câu trả lời về tính năng Administrator Protection trên Windows 11.
- Administrator Protection trên Windows 11 là gì?
Administrator Protection (Bảo vệ quản trị viên) là một tính năng bảo mật được thiết kế để ngăn chặn việc nâng cao đặc quyền trái phép hoặc tự động trên các tài khoản quản trị viên. Khi được bật, nó yêu cầu xác nhận thủ công đối với các hành động nhạy cảm và các thay đổi cấp hệ thống.
- Administrator Protection có được bật theo mặc định không?
Không. Trên hầu hết các hệ thống, tính năng này bị tắt theo mặc định. Bạn phải bật nó theo cách thủ công thông qua Cài đặt (Settings), Group Policy hoặc PowerShell.
- Administrator Protection khác với User Account Control (UAC) như thế nào?
UAC nhắc nhở về việc nâng cao đặc quyền bất cứ khi nào một ứng dụng yêu cầu đặc quyền quản trị, trong khi Administrator Protection bổ sung thêm một lớp bảo vệ ngăn chặn việc tự động nâng cao đặc quyền và thực thi các kiểm soát xác thực nghiêm ngặt hơn.
- Tôi có thể bật Administrator Protection bằng PowerShell hoặc Group Policy không?
Có. Trên Windows 11 Pro và Enterprise, bạn có thể bật tính năng này bằng Group Policy hoặc lệnh PowerShell sửa đổi chính sách bảo mật liên quan.
- Việc bật Administrator Protection có ảnh hưởng đến Microsoft Defender hay Smart App Control không?
Không. Tính năng này hoạt động cùng với các thành phần bảo mật của Windows. Tuy nhiên, nó có thể tăng cường bảo vệ hệ thống bằng cách ngăn chặn các nỗ lực nâng cao đặc quyền độc hại mà các lớp bảo mật khác có thể không phát hiện được.
- Tôi có thể tắt Administrator Protection sau này không?
Có, bạn có thể tắt nó bất cứ lúc nào từ cùng một vị trí Registry hoặc Group Policy nếu bạn cần hoàn nguyên hành vi.
7. Kết luận
Việc bật bảo vệ quản trị viên (Administrator Protection) trên Windows 11 là một bước quan trọng giúp bạn tăng cường mức độ an toàn cho hệ thống, hạn chế tối đa nguy cơ cài đặt phần mềm độc hại, truy cập trái phép và các thay đổi không mong muốn đối với cấu hình máy tính. Khi hiểu rõ cơ chế hoạt động, biết cách kích hoạt đúng phương pháp và biết xử lý các tình huống phát sinh, bạn sẽ chủ động hơn trong việc kiểm soát quyền hệ thống cũng như bảo vệ dữ liệu quan trọng của mình.
Nếu bạn đang tìm kiếm giải pháp nâng cấp thiết bị, tư vấn phần mềm, sửa chữa kỹ thuật hoặc muốn chọn mua laptop – PC chính hãng chất lượng cao, COHOTECH luôn là địa chỉ đáng tin cậy. Với đội ngũ chuyên môn giàu kinh nghiệm và dịch vụ hỗ trợ tận tâm, COHOTECH sẵn sàng đồng hành cùng bạn trong mọi nhu cầu công nghệ.
Hãy để lại bình luận nếu bạn còn thắc mắc về cách bật bảo vệ quản trị viên hoặc muốn chia sẻ kinh nghiệm của mình. Đừng quên chia sẻ bài viết để nhiều người hơn biết cách bảo vệ Windows 11 an toàn và hiệu quả!
214 Tân Phước, Phường 6, Quận 10, TPHCM