谷歌 Chrome 浏览器将禁止管理员权限启动以提升安全性

谷歌正在对 Chromium 进行一项安全改进，通过"降权"机制使 Google Chrome 不再以管理员身份运行。这项改动主要针对 Windows 系统环境。

微软早在 2019 年就为 Edge 浏览器引入了类似功能。当用户尝试以提升权限启动 Edge 时，系统会显示警告提示，建议用户以非管理员权限重新启动浏览器。

随后微软进一步优化该功能，直接阻止 Edge 浏览器以提升权限启动。现在，微软正将同样的改进引入 Chromium 项目，开发者已向 Chromium 源代码提交了相关变更。

自动降权机制

据 Leo 在 X 平台发现的信息，微软确认当用户尝试以提升权限启动 Chrome 时，浏览器将自动执行降权操作。微软 Edge 团队成员 Stefan Smolen 在 Chromium 提交记录中写道："该变更基于我们 2019 年在 Edge 中的实现方案，当浏览器以拆分/链接令牌的提升权限部分运行时，系统会自动尝试降权。"

"该机制会自动尝试重新启动一次，如果仍然失败，则回退到当前行为（即尝试以管理员权限启动）。"

防循环机制

微软还新增了命令行参数"-do-not-de-elevate"，用于在自动重启后阻止降权操作，避免出现无限循环。源代码中的注释说明："启动时不降权浏览器权限。用于降权后防止无限循环。"

自动化模式例外

该功能不适用于自动化模式下以提升权限启动的 Chrome 进程，以免干扰可能需要自动运行的工具。但微软强调，一般情况下以管理员模式启动浏览器并非明智之举。

安全风险警示

当 Chrome 以管理员身份运行时，会继承提升的权限。这意味着通过浏览器下载和打开的任何文件都将以管理员权限运行，可能造成严重安全风险。如果用户不慎下载并运行恶意文件，该文件将获得完整的系统访问权限，可能在毫无预警的情况下危害整个操作系统。