當用戶具有本地管理員許可權時,他們可以在自己的工作區做任何想做的事情。比如下載任意應用程式,使用任何程式,甚至忽略或撤銷IT管理員對他們設備所做的設定。很多本地管理員許可權用戶——尤其是高層——不喜歡無法完全控制設備所帶來的枷鎖,因此很多管理員讓用戶做自己設備的主人。
禁止用戶使用工作站本地管理員許可權的組織要比那些讓用戶享有自己許可權的組織有更好的安全保護。最初奪走用戶的本地管理員許可權可能會有些痛苦,但是後期工作站的脆弱性,相關的事故和安全隱患所發生的頻率也會大大降低。
基本介紹
- 中文名:本地管理員許可權
- 外文名:Local administrator privileges
本地管理員許可權,為什麼要限制本地管理員許可權?,
本地管理員許可權
刪除本地管理員許可權是一個提高Windows安全的有效方法,但有關撤銷用戶桌面控制權的政策往往對管理員造成阻礙,使其無法利用這一有效方法。
在許多情況下,決定是否允許本地管理員許可權多半基於感情而不是事實,但是管理員不能讓這種情緒決定他們對安全的管理方式。
在許多情況下,決定是否允許本地管理員許可權多半基於感情而不是事實,但是管理員不能讓這種情緒決定他們對安全的管理方式。
為什麼要限制本地管理員許可權?
本地管理許可權給用戶過多的權力。終端是許多企業安全風險的主要所在,給用戶控制這些端點的權力只不過是開放網路引發更大的風險。
惡意軟體藏在每一個角落。定期瀏覽網頁和電子郵件網路釣魚把Windows工作站推向持久性的風險。如果用戶有本地管理員許可權,那么風險更大,因為他們可以否決IT的安全措施。一個簡單的身份驗證漏洞掃描可以發現企業桌面缺少多少補丁(微軟和第三方)。掃描還可以顯示大量的配置漏洞,而這些漏洞將Windows作業系統置於風險之中。
當然,為用戶提供本地管理員許可權也存在一些業務原因。兼容性、缺乏IT資源的故障診斷、政治和官僚機構都是有可能的因素。但是所有這些原因都不足以抵消刪除本地管理許可權所帶來的好處。
重要的是,公司為他們的本地管理員許可權業務做正確的事情,同時權衡相關的風險。如果組織本地管理員許可權預先為這些業務做出合適的人選,那么他們可以限制本地管理員許可權並且不會產生不利後果。可以撤銷一部分用戶群體的本地管理員許可權,或對在高風險部門工作的用戶增加限制,如客戶服務和銷售。將這些限制和系統升級過程一併實現,這樣會讓一些用戶更容易接受。
無論如何,IT管理員不應該讓猖獗的本地管理員許可權危及他們的組織,而且他們不能給予用戶所有的本地管理員許可權後卻不知道為什麼企業會面臨Windows安全問題。
