本地管理員許可權
刪除本地管理員許可權是一個提高Windows安全的有效方法,但有關撤銷用戶桌面控制權的政策往往對管理員造成阻礙,使其無法利用這一有效方法。
在許多情況下,決定是否允許本地管理員許可權多半基於感情而不是事實,但是管理員不能讓這種情緒決定他們對安全的管理方式。
為什麼要限制本地管理員許可權?
本地管理許可權給用戶過多的權力。終端是許多企業安全風險的主要所在,給用戶控制這些端點的權力只不過是開放網路引發更大的風險。
惡意軟體藏在每一個角落。定期瀏覽網頁和電子郵件網路釣魚把Windows工作站推向持久性的風險。如果用戶有本地管理員許可權,那么風險更大,因為他們可以否決IT的安全措施。一個簡單的身份驗證漏洞掃描可以發現企業桌面缺少多少補丁(微軟和第三方)。掃描還可以顯示大量的配置漏洞,而這些漏洞將Windows作業系統置於風險之中。
當然,為用戶提供本地管理員許可權也存在一些業務原因。兼容性、缺乏IT資源的故障診斷、政治和官僚機構都是有可能的因素。但是所有這些原因都不足以抵消刪除本地管理許可權所帶來的好處。
重要的是,公司為他們的本地管理員許可權業務做正確的事情,同時權衡相關的風險。如果組織本地管理員許可權預先為這些業務做出合適的人選,那么他們可以限制本地管理員許可權並且不會產生不利後果。可以撤銷一部分用戶群體的本地管理員許可權,或對在高風險部門工作的用戶增加限制,如客戶服務和銷售。將這些限制和系統升級過程一併實現,這樣會讓一些用戶更容易接受。
無論如何,IT管理員不應該讓猖獗的本地管理員許可權危及他們的組織,而且他們不能給予用戶所有的本地管理員許可權後卻不知道為什麼企業會面臨Windows安全問題。