⚡ 站長快讀:核心重點
- 文章屬性:教學實戰
- 適用系統:Windows 11 24H2(build 26100)及 25H2(build 26200)以上,Windows 10 不支援
- 難易度 / 耗時:⭐⭐ / 約 8 分鐘
- 核心結論:Windows 11 24H2 起內建 sudo 指令,在 設定 → 系統 → 開發人員專用 / 進階(25H2 後路徑微調)啟用後,就能在一般 PowerShell 或 Terminal 視窗前綴
sudo執行需要系統管理員權限的指令,不必再整個視窗以管理員身分開啟 - 適用對象:常開 PowerShell、winget、DISM、netsh 的 Windows 進階用戶與開發者
- 更新日期:2026-04-14
📌 快速答案
一句話答案:Windows 11 24H2 起內建原生 sudo 指令,在設定的開發人員或進階頁面打開「啟用 sudo」切換鈕後選擇執行模式,即可在一般終端機以
sudo前綴執行系統管理員權限指令。
🔍 為什麼你需要這個?
你有沒有過這種經驗:PowerShell 敲到一半忽然想下一條 DISM /Online /Cleanup-Image /RestoreHealth,才發現視窗不是以管理員身分開的,然後只能把整個 Terminal 關掉、重新右鍵「以系統管理員身分執行」,再把剛才那串打字成果重新貼一次?更痛的是 winget 升級某個套件時跳存取被拒,你又得整個視窗重開一次。
Linux 跟 Mac 用戶對這種折騰一頭霧水——人家一句 sudo 就搞定的事,為什麼 Windows 要弄得像搬家?
微軟終於聽到這個哀號了。Windows 11 24H2 開始內建原生 sudo 指令,把 Unix 世界那套「單一指令臨時提權」的哲學搬進 Windows。關鍵差別在於:Run as Administrator 是把整個 session 都提權,sudo 是只提這一句指令的權。對資安意識強的人來說,這一點非常重要——你暴露在管理員權限下的時間越短,被誤操作或被惡意腳本利用的攻擊面就越小。
🛠️ 實戰步驟
步驟一:確認系統版本 build
sudo 指令只在 Windows 11 24H2(build 26100)以上才能用,Windows 10 完全不支援,目前也沒有被 backport 的跡象。
按 Windows + R 開啟執行視窗,輸入 winver 按 Enter,跳出的「關於 Windows」視窗裡要看到版本寫 24H2 或 25H2、Build 號為 26100.xxxx 或 26200.xxxx 才過關。如果你還停在 23H2 或更舊版本,這篇教學對你沒用,請先把 Windows Update 跑完。
💡 為什麼是 24H2 才有? sudo for Windows 是微軟 2024 年 2 月才把原始碼開源的專案,屬於 24H2 整包「開發者友善化」政策的一部分,跟 Dev Drive、PowerShell 7 預設內建同一梯。這個功能官方是以 MIT 授權 放在 GitHub,程式碼可公開審閱,這對資安合規有幫助。
步驟二:在設定頁面開啟 sudo
這一步在 24H2 跟 25H2 路徑略有不同,這是前 10 名大多沒講清楚的地方,對照看就不會迷路。
Windows 11 24H2 路徑:
設定 → 系統 → 開發人員專用(For developers) → 啟用 sudo
Windows 11 25H2 路徑(2025 年後重組過):
設定 → 系統 → 進階(Advanced) → sudo
無論哪一版,把切換鈕扳到「開啟」後,會跳出 UAC 提示要你確認,按「是」即可。這個動作本身需要管理員權限,因為 sudo 會註冊一個系統層的提權服務。
步驟三:選擇 sudo 執行模式
啟用切換鈕下方會出現一個下拉選項「設定 sudo 執行應用程式的方式」,這是本文最關鍵的部分。三種模式的底層機制不同,安全邊界也不同:
| 模式 | 英文代號 | 行為 | 安全性 | 使用情境 |
|---|---|---|---|---|
| 在新視窗中 | forceNewWindow | 提權指令跳到獨立新視窗執行,結束後關閉 | 最高 | 預設模式,新手與一般文書用戶 |
| 輸入已停用 | disableInput | 在原視窗執行但禁止鍵盤輸入傳入被提權的程序 | 中 | 只跑不需互動的單行指令(例 winget upgrade) |
| 內嵌(跟 Linux 一樣) | normal(內部也稱 inline) | 直接在原 Terminal 內執行,stdin/stdout 完全接通 | 較低 | 開發者、跨平台腳本通用 |
站長建議:一般用戶維持預設 forceNewWindow 即可;如果你是常寫跨平台 shell script、需要 sudo vim /etc/hosts 那種直覺的操作,再切到 normal。
⚠️ 為什麼
normal模式最不安全? 因為被提權的程序跟你原本那個非管理員 Terminal 共用 stdin/stdout,理論上惡意軟體如果能綁住你的非管理員 Terminal,就有機會把訊號傳進提權後的程序,做 input injection 攻擊。微軟在官方文件裡特別標註這點,把forceNewWindow列為預設就是為此。
步驟四:用指令列切換模式(進階)
如果你不想每次都點設定視窗,可以在已開啟的管理員身分 PowerShell 裡直接切:
powershell
# 切換為內嵌模式,跟 Linux sudo 行為最接近
sudo config --enable normal
# 切換為輸入禁用模式
sudo config --enable disableInput
# 切回預設的新視窗模式
sudo config --enable forceNewWindow
# 完全停用 sudo
sudo config --disable這一組指令背後會改寫登錄檔路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sudo,企業 IT 部署時也可以直接走 GPO 或 Intune 推這個機碼,不必一台一台點。
步驟五:驗證 sudo 已啟用
開一個一般權限的 Windows Terminal(不要右鍵以管理員身分執行),輸入以下指令測試:
powershell
# 測試:嘗試讀取需要管理員權限的系統事件記錄
sudo Get-WinEvent -LogName Security -MaxEvents 5如果 sudo 正確啟用,會跳出 UAC 提示(或在 forceNewWindow 模式下跳出新視窗),確認後指令就會吐出最近 5 筆安全性事件記錄。如果跳出 'sudo' 不是內部或外部命令,代表你還停在 Windows 10 或 24H2 之前的版本。
🔬 底層機制:這個提權到底在系統哪一層?
這段是對你 Windows Sandbox 那篇文章的好夥伴——一樣是深挖系統層級的內容。
sudo for Windows 不是 Linux sudo 的移植。Linux 的 sudo 是靠 setuid 位元讓程式以 root 身分執行;Windows 沒有 setuid 概念,它走的是完全不同的路。
Windows 版 sudo 的運作流程大致是這樣:
- 你在一般 Terminal 打
sudo winget upgrade --all - sudo.exe 啟動,透過 COM interface 向系統層的
sudo.exe服務發出一個提權請求 - 系統層的 sudo 服務跟 UAC(User Account Control) 子系統溝通,觸發你熟悉的「你是否要允許此應用程式變更裝置?」提示
- 你點「是」之後,系統以 administrators 群組的 token 建立一個新程序,這個新程序就是被提權後的 winget
- 根據你選的模式(
forceNewWindow/disableInput/normal),sudo.exe 會把 stdin/stdout 接到新視窗、接到原視窗但禁輸入、或完全接通原視窗
簡單說:sudo for Windows 沒有繞過 UAC,它只是幫你把「開新視窗 → 點 UAC → 貼指令」這三步合併成一個動作。UAC 彈窗該跳的還是會跳,這就是為什麼即便在 normal 內嵌模式下,你也不能完全避免 UAC 授權——微軟把這個安全底線守死了。
這個設計的現實意義在於:sudo for Windows 不是給你省麻煩的,而是給你「把管理員權限暴露時間最小化」的工具。這跟 Linux sudo 的 timestamp 機制哲學一致:提權只維持一個指令的時間,下一個指令又要重新驗證(或在同 session 內 15 分鐘內免重複驗證)。
💡 總結:進階玩法與實戰踩雷
站長我是在 2026 年 4 月初把一台 ThinkPad X1 Carbon 升到 Windows 11 25H2(build 26200.2014)之後才正式把 sudo 排進日常工作流,實測三週下來幾個心得:
第一個坑是 AppData 路徑。normal 模式內嵌執行時,sudo 提權後的程序 不會繼承 你非管理員 Terminal 的環境變數。這代表如果你靠 $env:APPDATA 或 $env:USERPROFILE 定位某個設定檔,在 sudo 內執行時拿到的會是 C:\Windows\system32\config\systemprofile 而不是你的使用者目錄。我第一次用 sudo 跑自己寫的 PowerShell 腳本就因為這個失敗,還以為是腳本壞掉。解法是在腳本裡把路徑硬寫,或改用 [Environment]::GetFolderPath() 並明確指定 user context。
第二個坑是 winget。理論上 sudo winget upgrade --all 應該一鍵全升級,實際上 winget 內部某些套件會再自己跳一次 UAC(例如 Visual C++ Redistributable 的 MSI),在 forceNewWindow 模式下會因為新視窗關閉前父子程序脫離而失敗。實測用 normal 模式跑 winget 升級成功率較高。
第三個坑是 Terminal profile。如果你的 Windows Terminal 預設 profile 開啟時就帶 startingDirectory,切到 sudo 後新視窗的起始資料夾會變回 system32,不會繼承你當下的 pwd。這在 normal 模式不會出現,forceNewWindow 模式則要自己用 Push-Location 手動補回。
量化一下:我自己工作上常用的 10 條管理員指令,改用 sudo 之後平均每次可以省 4–7 秒(省掉關 Terminal 重開、重貼指令的時間),一天算下來少說省個兩三分鐘。聽起來不多,但心流不被打斷這件事遠比省秒數重要。
另外 Windows 10 用戶請死心。我也試著在 Windows 10 22H2 上跑微軟 GitHub 上的 sudo for Windows 開源專案編譯版,雖然 exe 能跑起來,但底層的系統 sudo 服務 Windows 10 沒有,會卡在 COM 階段失敗。這個功能是 24H2 才有的 platform-level 支援,不是單純的 exe 檔。
❓ 常見問題
Q:開了 sudo 之後會不會有資安風險?公司電腦能用嗎?
會比原本的 Run as Administrator 安全,因為提權時間變短、攻擊面變小。但企業環境還是建議先跟 IT 部門確認,因為你們的 Intune 或 GPO 可能有限制哪個模式可用,或整個禁用。微軟有提供「Sudo 原則」讓 IT 集中管理可用模式,管理部門不想讓員工用 normal 模式是合理的保守選擇。
Q:Windows 11 Home 版有這個功能嗎?
有。sudo 是 24H2 內建功能,Home、Pro、Enterprise 都能用,不像某些進階功能(例如 Hyper-V、Windows Sandbox)只給 Pro 以上版本。但 Home 版找不到群組原則編輯器,只能透過設定頁面或 sudo config 指令切換模式。
Q:sudo 會記住提權狀態嗎?像 Linux 那樣 15 分鐘內不用重輸密碼?
不會。Windows 版 sudo 每一次執行都會跳 UAC,沒有 Linux sudo 的 timestamp 快取機制。這是為了符合 Windows 的 UAC 安全模型,每次提權都必須由使用者明確授權。如果你覺得煩,可以改用 disableInput 模式減少視窗切換次數,但 UAC 彈窗還是躲不掉。
Q:跟 PowerShell 的 Start-Process -Verb RunAs 有什麼差?
Start-Process -Verb RunAs 是只能跑單一程序、不能接 stdin/stdout、執行後只能丟到新視窗。sudo 的三種模式涵蓋更多使用情境,尤其 normal 模式可以把提權結果接回當前 Terminal,這是 RunAs 做不到的。日常使用請優先用 sudo。
📎 參考資料來源
- 📖 Sudo for Windows | Microsoft Learn(查詢日期:2026-04-14)
- 📖 microsoft/sudo — GitHub 開源專案頁(查詢日期:2026-04-14)
- 📖 How to enable Sudo on Windows 11 — Pureinfotech(查詢日期:2026-04-14)
- 📖 How to run elevated commands with Sudo on Windows 11 24H2 — Windows Central(查詢日期:2026-04-14)
- 📖 Windows gets Linux’s sudo superpower: Here’s how to turn it on — PCWorld(查詢日期:2026-04-14)