删除本地管理员权限是提高Windows安全性的有效方法,但撤销对用户桌面控制权的策略通常会阻止管理员利用这种有效方法。当用户拥有InstinctAdmin权限时,他们可以在工作区中做任何想做的事。比如下载任何应用程序、使用任何程序,甚至忽略或撤消IT管理员对其设备所做的设置。许多用户——尤其是高层——不喜欢不能完全控制他们的设备的束缚,所以许多管理员让用户成为他们设备的主人。在许多情况下,允许本地管理员权限的决定更多地是基于情绪而不是事实,但管理员不能让这种情绪决定他们如何管理安全性。为什么要限制本地管理权限?本地管理权限给了用户太多的权力。端点是许多企业安全风险的主要来源,赋予用户控制这些端点的权力只会使网络面临更大的风险。恶意软件无处不在。常规的Web浏览和电子邮件网络钓鱼将Windows工作站置于持续的风险之中。如果用户拥有本地管理员权限,则风险更大,因为他们可以覆盖IT的安全措施。一个简单的身份验证漏洞扫描可以揭示公司桌面上缺少多少补丁(Microsoft和第3方)。扫描还可以揭示许多使Windows操作系统面临风险的配置漏洞。禁止用户在其工作站上使用本地管理权限的组织比那些允许用户拥有自己的权限的组织具有更好的安全性。剥夺用户的管理权限一开始可能会有些痛苦,但后期工作站的脆弱性,以及相关事故和安全风险的发生频率将大大降低。当然,赋予用户本地管理员权限也有商业原因。兼容性、缺乏用于故障排除的IT资源、政治和官僚作风都是可能的因素。但这些原因都没有超过取消本地管理权限的好处。重要的是,公司在权衡相关风险的同时,为他们的业务做正确的事。如果组织为这些业务安排合适的人员,他们可以限制本地管理员权限而不会产生不利后果。可以撤销一部分用户组的本地管理权限,或者可以对在高风险部门(例如客户服务和销售)工作的用户添加限制。实施这些限制以及系统升级过程可能会使某些用户更容易。无论如何,IT管理员不应该让猖獗的本地管理员权限危及他们的组织,并且他们不能在不知道为什么企业面临Windows安全问题的情况下为用户提供所有权限。
