删除本地管理员权限是一个提高Windows安全的有效方法,但有关撤销用户桌面控制权的政策往往对管理员造成阻碍,使其无法利用这一有效方法。
当用户具有本能管理权限时,他们可以在自己的工作区做任何想做的事情。比如下载任意应用程序,使用任何程序,甚至忽略或撤销IT管理员对他们设备所做的设置。很多用户——尤其是高层——不喜欢无法完全控制设备所带来的枷锁,因此很多管理员让用户做自己设备的主人。
在许多情况下,决定是否允许本地管理员权限多半基于感情而不是事实,但是管理员不能让这种情绪决定他们对安全的管理方式。
为什么要限制本地管理权限?
本地管理的权限给用户过多的权力。终端是许多企业安全风险的主要所在,给用户控制这些端点的权力只不过是开放网络引发更大的风险。
恶意软件藏在每一个角落。定期浏览网页和电子邮件网络钓鱼把Windows工作站推向持久性的风险。如果用户有本地管理员权限,那么风险更大,因为他们可以否决IT的安全措施。一个简单的身份验证漏洞扫描可以发现企业桌面缺少多少补丁(微软和第三方)。扫描还可以显示大量的配置漏洞,而这些漏洞将Windows操作系统置于风险之中。
禁止用户使用工作站本地管理权限的组织要比那些让用户享有自己权限的组织有更好的安全保护。最初夺走用户的管理权可能会有些痛苦,但是后期工作站的脆弱性,相关的事故和安全隐患所发生的频率也会大大降低。
当然,为用户提供本地管理员权限也存在一些业务原因。兼容性、缺乏IT资源的故障诊断、政治和官僚机构都是有可能的因素。但是所有这些原因都不足以抵消删除本地管理权限所带来的好处。
重要的是,公司为他们的业务做正确的事情,同时权衡相关的风险。如果组织预先为这些业务做出合适的人选,那么他们可以限制本地管理员权限并且不会产生不利后果。可以撤销一部分用户群体的本地管理权利,或对在高风险部门工作的用户增加限制,如客户服务和销售。将这些限制和系统升级过程一并实现,这样会让一些用户更容易接受。
无论如何,IT管理员不应该让猖獗的本地管理员权限危及他们的组织,而且他们不能给予用户所有的权限后却不知道为什么企业会面临Windows安全问题。