Sådan revideres og kontrolleres programtilladelser i Windows 11

  • Windows 11 inkorporerer tilladelseskontroller i "mobilstil" til at overvåge applikationers adgang til følsomme ressourcer.
  • Afsnittet "Privatliv og sikkerhed" centraliserer administrationen af ​​tilladelser såsom kamera, mikrofon, placering og andet.
  • I virksomhedsmiljøer giver Microsoft Entra dig mulighed for at kontrollere, hvilke applikationer der har API-tilladelser, og hvem der har givet dem.
  • Kombinationen af ​​app-tilladelser, NTFS og veladministrerede administratorrettigheder styrker sikkerheden betydeligt.
Joaquin Romero

15 minutter

Sådan administrerer du tilladelser i Windows 11

Det er ikke længere valgfrit at kontrollere, hvad programmer kan gøre på din computer: det er nøglen til at opretholde dit privatliv, din sikkerhed og endda ydeevnen af ​​Windows 11. Hvert program, du installerer, kan anmode om adgang til dit kamera, din mikrofon, dine filer, din placering eller endda forsøge at ændre systemindstillinger uden din viden, så det er klogt at holde nøje øje med alt dette.

Desuden bliver Windows 11 med Microsofts seneste ændringer mere og mere som en mobiltelefon med hensyn til tilladelsesstyring, realtidsadvarsler og forbedrede sikkerhedskontrollerHvis du ved, hvor du skal kigge, og hvad du skal tjekke, Du kan kontrollere, hvilke tilladelser hver applikation har., se hvad der foregår "bag kulisserne" og kæbe enhver mærkelig eller mistænkelig adfærd i opløbet.

Hvad er apptilladelser i Windows 11, og hvorfor er de vigtige?

I Windows 11 kan hver app anmode om adgang til forskellige systemressourcer: placering, kamera, mikrofon, notifikationer, filer, kontakter eller kritiske systemfunktionerUden disse tilladelser ville mange applikationer ikke fungere korrekt, men problemet opstår, når en app beder om mere, end den har brug for, eller fortsætter med at have adgang, når du ikke længere har brug for den.

Microsoft har bragt en tilladelsesmodel, der minder meget om den for mobile enheder, til skrivebordet: nu kan Windows eksplicit spørge dig, når en applikation ønsker at få adgang til følsomme ressourcer eller installere yderligere softwareIdeen er, at du har en klar forståelse af, hvad der sker, og kan sige nej, når noget ikke passer.

Denne tilgang påvirker ikke kun de klassiske applikationer, du installerer på din pc, men også cloud-integrationer, applikationer, der bruger Microsoft Entra ID (tidligere Azure AD) Og nu interagerer nye AI-agenter med dine data og tjenester. Alt dette overvåges, logges og kontrolleres nu nøje.

Sådan afinstallerer du gamle drivere
relateret artikel:
Sådan ændrer du navnet på en gruppe i Windows uden at miste tilladelser

Sådan får du vist og administrerer du apptilladelser fra Windows 11-indstillinger

Den mest direkte måde for de fleste brugere at gennemgå tilladelser på er ved at bruge appen Indstillinger. Derfra kan du styre, hvilke apps der har adgang til dit kamera, din mikrofon, din placering og andre ressourcer uden at skulle åbne hver app individuelt.

Få adgang til panelet for beskyttelse af personlige oplysninger og sikkerhed

For at begynde at kontrollere tilladelser fra selve Windows 11-grænsefladen skal du følge denne generelle sti:

  1. Klik på Indstillingsikonet (tandhjulet) i Start-menuen, eller tryk på tastekombinationen Windows + I.
  2. I venstre kolonne skal du indtaste afsnittet "Privatliv og sikkerhed".
  3. Rul ned, indtil du finder blokken, der hedder "Ansøgningstilladelser".

I dette afsnit kan du se flere tilladelseskategorier (Placering, Kamera, Mikrofon, Notifikationer osv.). Hver kategori giver dig mulighed for at bestemme, om Windows tillader programmer at bruge den ressourceog også hvilke specifikke applikationer der kan gøre det.

Forståelse af, hvorfor du ikke kan se alle apps under hver tilladelse

Noget, der ofte forvirrer mange brugere, er, at inden for en tilladelseskategori, Ikke alle installerede programmer visesDet betyder ikke nødvendigvis, at der er noget galt.

Windows 11 viser dig kun hver type tilladelse de apps, der rent faktisk har anmodet om eller kan anmode om den adgangFor eksempel er det normalt at se flere apps på lokationslisten end på kameralisten, eller at en app aldrig vises, fordi den slet ikke bruger den pågældende ressource.

For eksempel er det ret almindeligt at finde noget i retning af dette i et rigtigt hold:

  • Afsnittet "Placering" viser en liste flere applikationer, der bruger geolocation (browsere, vejrapps, kort osv.).
  • I "Kamera" vises kun apps, der kan optage video eller billeder (Teams, Zoom, videoopkaldsapps osv.).

Det faktum, at en app ikke vises i en specifik tilladelse, indikerer normalt blot, at bruger ikke den type adgangHvis du mener, at en bestemt app burde vises, og du ikke ser den, skal du først sørge for, at du har brugt den mindst én gang i en kontekst, hvor det giver mening, at den beder om tilladelser (for eksempel ved at starte et videoopkald, så den anmoder om kameraet).

Aktivér eller deaktiver tilladelser efter ressourcetype

Inden for hver kategori for apptilladelser kan du træffe to typer beslutninger: aktivere eller deaktivere ressourcen globalt og kontrollere, hvilke specifikke apps der bruger den. Mønsteret er meget ens i næsten alle sektioner:

  1. Gå til "Privatliv og sikkerhed" > "Apptilladelser" og vælg f.eks. "Kamera".
  2. Øverst ser du en hovedafbryder, der tillader applikationerne tilgår kameraet på den enhedHvis du deaktiverer den, vil ingen apps kunne bruge den.
  3. Nedenfor er en liste over apps med en individuel knap for hver enkelt. Du kan tillad eller nægt adgang app for app.

Det samme mønster gentages i Hvad skal man gøre, hvis Windows 11 ikke genkender mikrofonen"Placering", "Kontakter" og resten af ​​kategorierne. Det interessante er, at alt, hvad du ændrer her, er reversibel når som helstSå du kan teste uden frygt: Hvis en applikation holder op med at virke, fordi du har fjernet en tilladelse, skal du blot give den tilbage.

Styr tilladelser fra sektionen "Programmer"

En anden almindelig måde er at gå ind via følgende sti: højreklik på Start-knappen > Indstillinger> ProgrammerDerfra vil du se listen over installerede programmer, og du kan få adgang til specifikke muligheder for hver enkelt.

Det er værd at præcisere, at i de fleste tilfælde Følsomme tilladelser administreres ikke fra "Indstillinger > Applikationer"men snarere fra "Privatliv og sikkerhed", som vi har set. I programsektionen finder du mere generelle programindstillinger (afinstallation, avancerede indstillinger osv.), ikke så meget adgang til kameraet, placeringen og så videre.

Derfor, hvis du leder efter, hvor du kan styre placering, kamera eller mikrofon for en bestemt app, skal du normalt gå til "Privatliv og sikkerhed > Apptilladelser" og ikke til den individuelle app-liste i afsnittet "Applikationer".

Nye tilladelseskontroller i Windows 11: en "mobilmodel"

Microsoft har annonceret en større styrkelse af Windows 11-sikkerhedsmodellen i tråd med deres initiativ. Sikker fremtidsinitiativEt af nøgleelementerne i denne ændring er indførelsen af Tilladelseskontroller, der minder meget om dem på mobile enheder.

Årsagen er enkel: det er blevet opdaget, at mange desktopapplikationer De ændrer konfigurationer, installerer uønsket software eller ændrer kritiske systemfunktioner uden at spørge brugeren om tilladelse.For at begrænse denne adfærd vil Windows begynde at anmode om eksplicit godkendelse i situationer, hvor alt tidligere foregik "under radaren".

Eksplicitte tilladelser til følsomme handlinger

Med disse nye kontroller, når en app f.eks. forsøger at installere et andet program, få adgang til bestemte typer følsomme filer eller ændre vigtige systemindstillingerWindows viser en meddelelse, der beder om dit samtykke. Du bestemmer, om du vil godkende det, afvise det eller først gennemgå, hvad der sker.

Desuden forstærker det ideen om, at Du kan tilbagekalde en tilladelse, selv efter du har givet den.Hvis en app opfører sig mærkeligt, eller du ikke længere har tillid til den, kan du fjerne dens adgang fra indstillingerne uden at skulle afinstallere den.

Beskyttelse af kørselsintegritet

En anden funktion ved den nye model er, at Windows aktiveres som standard. beskyttelse af runtime-integritetI praksis betyder det, at kun applikationer, tjenester og drivere, der er korrekt signeret og opfylder visse sikkerhedskrav, vil få tilladelse til at køre.

I avancerede miljøer eller berettigede tilfælde vil administratorer (og i nogle tilfælde brugeren selv) kunne udelukker specifikke anvendelser af disse beskyttelserDette er nyttigt, når du har brug for at køre specialiserede værktøjer, ældre drivere eller intern virksomhedssoftware, der endnu ikke opfylder alle moderne signeringskrav.

Gradvis udrulning og strengere krav til apps og AI

Disse ændringer vil blive aktiveret gradvist, med Microsoft justering af adfærd baseret på feedback fra udviklere, virksomheder og slutbrugereMålet er at undgå unødvendige blokeringer, men samtidig hæve det samlede sikkerhedsniveau betydeligt.

Inden for denne bredere strategi implementeres andre relevante foranstaltninger:

  • Forstærkning af Microsoft Login ID mod scriptinjektionsangreb.
  • Deaktivering af alle ActiveX-kontroller i Microsoft 365 og Office 2024 til Windows.
  • Opdatering af Microsoft 365 sikkerhedsstandarder for Bloker adgang til SharePoint-, OneDrive- og Office-filer ved hjælp af ældre protokoller betragtes som usikkert.

Derudover advarer Microsoft om, at applikationer, og især AI-agenter skal opfylde højere standarder for gennemsigtighedDe vil blive bedt om at give bedre information om, hvilke data de bruger, hvilke tilladelser de har brug for, og hvordan de interagerer med systemet, så brugeren har et klarere overblik og kan træffe informerede beslutninger.

Revision og gennemgang af tilladelser i organisationsapplikationer med Microsoft Enter

Windows 11-tilladelser

Når vi taler om virksomheds- eller organisationsmiljøer, er tilladelser ikke længere begrænset til pc'ens kamera eller mikrofon. Andre faktorer spiller ind. Microsoft Entra ID, den cloudbaserede identitets- og adgangsplatform, som centraliserer administrationen af ​​applikationer og deres autorisationer i forhold til API'er og virksomhedsdata.

I denne sammenhæng betyder "revisionstilladelser" at gennemgå, hvilke apps der har adgang til hvilke ressourcer via API-tilladelser (delegerede eller applikationstilladelser)hvem der har udstedt disse tilladelser, og om de stadig er passende i henhold til virksomhedens politikker.

Hvad er Microsoft Login, og hvilke typer tilladelser håndterer det?

Microsoft Entra giver din organisation mulighed for at registrere applikationer (interne eller tredjeparts) og tildele dem forskellige typer adgang:

  • Delegerede tilladelserApplikationen agerer på vegne af en bruger ved hjælp af deres identitet og privilegier.
  • Applikationstilladelser (kun applikation)Appen fungerer alene, uden en interaktiv bruger, og har normalt bredere adgang til data og tjenester.

Disse tilladelser er afgørende, fordi de styrer ting som at læse e-mails via Microsoft Graph, få adgang til OneDrive- eller SharePoint-filer, se brugerdata eller administrere andre cloudressourcerDerfor er det vigtigt regelmæssigt at kontrollere, at alt, hvad der er blevet bevilget, stadig giver mening.

Gennemgå aktivitetslogfiler og tilladelsesrevisioner for alle applikationer

Microsoft Entra registrerer mange hændelser relateret til tildeling og tilbagekaldelse af tilladelser i sine aktivitetslogfiler. For et globalt overblik Hvad sker der med programtilladelser i din mappe?For at gøre dette skal du følge disse trin fra administrationscenteret:

  1. Log ind på Microsoft Administration Log ind med en konto, der har mindst én af disse roller: Rapportlæser, Sikkerhedslæser, Sikkerhedsadministrator eller Global læser.
  2. Naviger til Login-ID > Virksomhedsapplikationer.
  3. I venstre panel under "Aktivitet" skal du gå til afsnittet "Revisionsprotokoller".
  4. Brug filtrene til kun at gemme de begivenheder, der er relevante for aktivitet i applikationstilladelser (tildeling og tilbagekaldelse af API-tilladelser).
  5. Fra "Administrer visning" i den øverste kommandolinje kan du vælg hvilke kolonner der skal vises (inklusive dato) for bedre at analysere hver enkelt registrering.
Linux-filattributter
relateret artikel:
Sådan administrerer du filattributter i Linux fra terminalen

På denne måde kan du for eksempel registrere, hvornår en gyldig tilladelse er blevet givet til et program, hvem der har godkendt den, eller om vigtige rettigheder for nylig er blevet trukket tilbage.

Revisions-API-tilladelser for en specifik ressourceapplikation

I andre tilfælde vil du være interesseret i at gå mere i detaljer om en specifik ressourceapplikation, såsom Microsoft Graph, for at se, hvilke andre apps der har tilladelser til den. Dette er især nyttigt til at overvåge adgang til meget følsomme data.

Processen ville være sådan her:

  1. Få adgang til Microsoft Administration. Log ind med en rolle, der som minimum har læserettigheder til rapporter.
  2. Gå til Login-ID > Virksomhedsapplikationer.
  3. Søg efter den ressourceapplikation, der interesserer dig. Hvis du for eksempel vil finde ressourcer fra de sidste 30 dage Hvilke apps har modtaget Mail.Read-tilladelsen fra Microsoft Graph?Find posten for "Microsoft Graph".
  4. I venstre panel, under "Aktivitet", gå tilbage til "Revisionsprotokoller".
  5. Filtrer loggene i henhold til de felter, der er angivet i revisionsdokumentationen, for kun at vælge de hændelser, der er relateret til API-tilladelser.
  6. Juster visningen med "Administrer visning" for at tilføje kolonner som f.eks. datoen eller skuespilleren og kunne se detaljerne om, hvem der har udstedt eller tilbagekaldt tilladelsen.

Med disse oplysninger kan du kontrollere, om den nuværende adgang overholder interne politikker, om der er applikationer med flere rettigheder, end de har brug for, eller om der er sket risikable indrømmelser, som du bør undersøge.

Relevante revisionshændelser og begrænsninger

Entras revisionslogfiler afspejler forskellige scenarier relateret til tildeling og tilbagekaldelse af tilladelser. Nogle af de vigtigste hændelser, du bør være opmærksom på, er:

  • Tildeling af kun app-adgang til en appRevisionstjenesten "Core Directory" logger en aktivitet, der ligner "Tilføj tildeling af applikationsrolle til tjenesteprincipal" i kategorien "Applikationsadministration". Konteksten er den bruger, der tildeler adgang.
  • Tilbagekaldelse af eksklusiv adgang til applikationenEn hændelse som "Fjern tildeling af applikationsrolle fra tjenesteprincipal" genereres også i Core Directory > Programstyring.
  • Delegeret adgangstilladelseDet afspejles som noget i stil med "Tilføj delegerede tilladelser", hvilket indikerer, at appen nu kan handle på vegne af en bruger.
  • Brugerens samtykke til en applikationDer vises en "App-samtykke"-hændelse, der viser, at en bruger har accepteret at tillade appen at bruge bestemte tilladelser.

Hver af disse optegnelser har sin egen Begrænsninger og tekniske detaljerMen sammen giver de dig mulighed for at rekonstruere, hvem der har givet adgang, til hvad og hvornår. Dette er grundlaget for en seriøs tilladelsesrevision i et virksomhedsmiljø.

Administration af fil- og mappetilladelser i Windows 11

Tilladelser påvirker ikke kun apps abstrakt; de er også vigtige for brugerne. NTFS-tilladelser på filer og mapperEn typisk fejl i Windows 11 er, at en fil ikke kan åbnes (for eksempel et Word-dokument modtaget via WhatsApp), fordi mappetilladelserne er forkerte, eller filen er beskadiget.

Kontroller, om problemet er relateret til tilladelser eller korruption

Hvis der vises en fejlmeddelelse ved åbning af en fil fra din lokale disk i Word, er der to hovedmuligheder:

  • Det NTFS-tilladelserne for mappen eller filen er utilstrækkelige for din nuværende bruger.
  • At filen er beskadiget, for eksempel under overførsel via WhatsApp eller andre midler.

Før du bebrejder applikationen, anbefales det at kontrollere tilladelserne, og hvis alt er i orden, og den stadig ikke kan åbnes, skal du antage, at filen sandsynligvis er blevet beskadiget, og at du bliver nødt til at anmode om den igen eller kontakte supporten for den tjeneste, der overførte den.

Sådan giver du fulde tilladelser til "Alle" på en mappe

I nogle tilfælde, især i hjemmet, kan du være interesseret i alle brugere på teamet har fuld kontrol over en bestemt mappe For at undgå adgangsproblemer (f.eks. en delt mappe med fælles dokumenter), ville den grundlæggende procedure være:

  1. Find den mappe, hvor den problematiske fil er placeret, højreklik på den, og vælg "Ejendomme".
  2. Gå til fanen "Sikkerhed"Du vil se en liste over brugere og grupper, der har definerede tilladelser.
  3. Klik på knappen "Redigere…" at ændre tilladelser.
  4. Klik på "Tilføje…", og derefter i "Avanceret".
  5. Skriv nederst i boksen Alle som navnet på det objekt, der skal vælges, bekræftes og accepteres.
  6. Tilbage i tilladelsesvinduet skal du markere afkrydsningsfeltet for at give tilladelser til "Alle". fuld kontrol over mappenog anvende ændringerne.

Når dette er gjort, burde enhver lokal bruger kunne åbne filen uden tilladelsesbegrænsninger. Hvis Word stadig ikke kan åbne dokumentet, skyldes det højst sandsynligt, at det er korrupt, og der er intet, der kan gøres fra Windows-sidenDerfor skal du kontakte WhatsApp-support eller anmode om, at de sender filen igen.

Kør applikationer med forhøjede rettigheder på en kontrolleret måde

En anden meget delikat type "tilladelse" er den af køre et program med administratorrettighederAt give administratorrettigheder til et program svarer til at tillade det at foretage næsten enhver ændring i systemet, så det skal håndteres med ekstrem omhu.

I Windows 11 burde en standardkonto ikke kunne starte apps som administrator uden at gennemgå Brugerkontokontrol (UAC)hvilket kræver et administratorbrugernavn og en adgangskode. Der er dog en avanceret måde at konfigurere dette på ved hjælp af Opgaveplanlægger.

Brug Opgaveplanlægger til at køre en app med administratorrettigheder

I et meget specifikt scenarie, såsom at tillade en standardbruger at køre et bestemt spil eller program med administratorrettigheder uden at indtaste legitimationsoplysninger hver gang, kan man ty til Opgaveplanlægning:

  1. Søg efter "Opgaveplanlægger" i Windows 11 Start-menuen, og åbn den.
  2. I højre kolonne skal du klikke på "Opret en grundlæggende opgave...".
  3. Giv opgaven en et beskrivende navn og, hvis du ønsker det, en beskrivelseFortsæt med "Næste".
  4. Som en udløser, vælg "Når du logger ind"Hvis du ønsker, at den skal køre automatisk, når du logger ind, skal du klikke på "Næste".
  5. I "Handling" skal du vælge "Start et program" og gå tilbage til "Næste".
  6. Brug browse-knappen til at finde den eksekverbare fil (.exe) til spillet eller programmet, normalt i installationsmappen. Accepter og klik på "Næste".
  7. Gennemgå opsummeringen og klik på "Afslut".

Hvis du justerer opgaven til at køre med indstillingen "Kør med højeste rettigheder" (kan konfigureres i opgavens avancerede egenskaber), kører den pågældende app med administratorrettigheder, hver gang opgaven udløses.

Opret en genvej, der starter opgaven

Hvis du ikke ønsker, at programmet kører automatisk, når du logger ind, kan du oprette en en genvej, der blot udløser opgaven, når du åbner den:

  1. Højreklik på skrivebordet og vælg "Ny > Genvej".
  2. I feltet "Indtast placeringen af ​​elementet" skal du indtaste kommandoen:
    schtasks /run /tn "NombreDeLaTarea"
    erstatte "Opgavenavn" for opgavens nøjagtige navn som du oprettede i Opgaveplanlæggeren.
  3. Tryk på "Næste", og klik derefter på genvejen samme navn som spillet eller programmetOg assistenten slutter.

Fra det øjeblik vil opgaven køre, hver gang brugeren dobbeltklikker på genvejen, og vil starte applikationen med administratorrettigheder uden at spørge om legitimationsoplysninger igen.

Risici ved at øge tilladelserne på denne måde

Denne metode bør bruges med ekstrem forsigtighed. At køre en app med forhøjede rettigheder betyder, at hvis den app har sårbarheder eller er kompromitteret, En angriber kunne udnytte dette til at få kontrol over hele systemet.

Mac Disk Utility
relateret artikel:
Sådan repareres tilladelser på Mac på den nemme måde

Derfor er det vigtigt kun at bruge det med software, du fuldt ud har tillid til, holde det opdateret og regelmæssigt gennemgå, om det stadig er nødvendigt. Husk, at inden for sikkerhed, Jo færre programmer der kører som administrator, jo bedre..

Ved at kombinere korrekt brug af "Privatliv og sikkerhed" i Indstillinger, regelmæssig gennemgang af tilladelser i Microsoft Enterprise, omhyggelig styring af NTFS-tilladelser og meget afmålt brug af udførelse af forhøjede rettigheder, vil du have et langt højere niveau af kontrol over dine applikationer i Windows 11 end normalt og reducere ubehagelige overraskelser i forbindelse med uautoriseret adgang eller uventet adfærd betydeligt. Del informationen, så flere mennesker kender til emnet.