David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของ Windows เปิดเผยในงานสัมมนาความปลอดภัย BlueHat IL 2023 ที่อิสราเอล (อันเดียวกับข่าว ไมโครซอฟท์เริ่มเขียนบางส่วนของ Windows ด้วย Rust) ว่าระบบปฏิบัติการ Windows เวอร์ชันถัดไป (ที่คงเรียกว่า Windows 12 ตามข่าวลือ) จะสามารถรันแบบ Adminless คือไม่ต้องมีบัญชีแอดมิน ใช้งานด้วยบัญชีธรรมดาได้เลย
แนวคิดเรื่องการปิดไม่ให้เข้าถึงบัญชีผู้ดูแลระบบ (Admin/Root) ที่มีสิทธิเต็มทุกอย่าง มาจากเหตุผลเรื่องความปลอดภัย เพื่อไม่ให้แฮ็กเกอร์หรือมัลแวร์เจาะบัญชีแอดมินแล้วได้ทุกอย่างไปเลย ระบบปฏิบัติการรุ่นใหม่ๆ มักมีฟีเจอร์การให้สิทธิเป็นบางอย่างด้วยเหตุผลนี้ แม้แต่ Windows เองก็มีฟีเจอร์อย่าง User Account Control (UAC) มานานพอสมควรแล้ว
แต่ด้วยมรดกเก่าที่สั่งสมมายาวนาน ทำให้ Windows ยังไม่สามารถทำงานแบบไม่มีบัญชีแอดมินได้ 100% ด้วยเหตุผลสำคัญ 2 ประการคือ ตัว OS เองยังกำหนดให้ต้องใช้สิทธิแอดมินในการแก้ไขค่าบางอย่าง (เช่น เปลี่ยนโปรไฟล์สี) และแอพโลกเก่า Win32 ที่เกิดมาในยุคทำงานด้วยบัญชีแอดมินเป็นค่าดีฟอลต์
Weston บอกว่าแอพรุ่นใหม่ยุค UWP ไม่มีปัญหาเรื่องการทำงานแบบจำกัดสิทธิแล้ว แต่แอพรุ่นเก่าไม่สามารถแก้ปัญหานี้ได้ง่ายนัก สิ่งที่ไมโครซอฟท์จะทำคือ Win32 App Isolation ห่อหุ้มแอพ Win32 เอาไว้ในคอนเทนเนอร์ เพื่อไม่ให้ทำอันตรายกับส่วนอื่นในระบบปฏิบัติการ
แนวทางการทำ Win32 App Isolation อิงอยู่บนระบบแพ็กเกจ MSIX ที่ทุกวันนี้ใช้งานกันอยู่แล้ว (บน Windows 10 ขึ้นไป) เป็น isolation แบบอ่อนๆ โดยนักพัฒนาไม่ต้องแก้โค้ดเลย สิ่งที่ต้องทำมีแค่การนำโค้ดเดิมไปทำเป็นแพ็กเกจแบบ MSIX ด้วย App Isolation SDK เท่านั้น ที่เหลือ
ไมโครซอฟท์จะเขียนส่วนการแปลงระบบไฟล์แบบจำกัดสิทธิให้เอง (mini-filter) โดยที่แอพจะไม่รู้ว่าตัวเองถูกจำกัดสิทธิอยู่ ตัว SDK จะเปิดให้ดาวน์โหลดในงาน Build 2023 ช่วงปลายเดือนพฤษภาคมนี้
ในฝั่งของ OS เอง ไมโครซอฟท์จะเพิ่มบัญชีรูปแบบใหม่ที่เรียกว่า Least Privileged User เข้ามา คั่นกลางอยู่ระหว่างบัญชีผู้ใช้ทั่วไป (Standard) ที่ทำอะไรแทบไม่ได้เลย กับบัญชีแอดมินที่ทำได้ทุกอย่าง
บัญชีแบบใหม่จะสามารถขอสิทธิบางอย่างได้ แต่ไม่มีสิทธิค้างไว้ตลอดไปเหมือนบัญชีแอดมิน สิ่งที่เพิ่มเข้ามาจากระบบ UAC แบบดั้งเดิม คือ เพิ่มการขอสิทธิด้วยไบโอเมทริก (Windows Hello) เพื่อลดการใช้รหัสผ่านลง
ตัว OS จะแก้ไขเรื่องสิทธิที่จำเป็นบางอย่าง (เช่น การเปลี่ยนโปรไฟล์สีตามตัวอย่างข้างต้น) ให้สมเหตุสมผลมากขึ้น, เพิ่มบัญชี local admin ปลอมๆ (shadowing) ที่ไม่มีสิทธิเต็มเหมือนแอดมินจริง และหารือกับแอพ 3rd party ยอดนิยมเพื่อให้ปรับแอพเข้าสู่แนวทางนี้มากขึ้น รวมถึงแอพของไมโครซอฟท์เองด้วย
ตัวอย่างการขอสิทธิการรัน Java SE ด้วย Windows Hello
คลิปเต็ม