Windows安全不能靠本地管理员权限

删除本地管理员权限是一个提高Windows安全有效的 *** ，但取消用户桌面控制权的政策往往阻碍管理员使用这种有效的 *** 。

当用户有本能管理权限时，他们可以在工作区做任何他们想做的事情。例如，下载任何应用程序，使用任何程序，甚至忽略或取消IT管理员设置他们的设备。许多用户——尤其是高层——我不喜欢设备带来的枷锁，所以很多管理员让用户做自己设备的主人。

在许多情况下，当地管理员的权限大多是基于感情而不是事实，但管理员不能让这种情绪决定他们的安全管理模式。

为什么要限制地方管理权限？

本地管理的权限给了用户太多的权力。终端是许多企业安全风险的主要原因。为用户控制这些端点的权力只是为了打开 *** ，造成更大的风险。

恶意软件藏在每个角落。定期浏览网页和电子邮件 *** 钓鱼把手。Windows工作站推向持久风险。如果用户有本地管理员的权限，风险会更大，因为他们可以否决IT安全措施。简单的身份验证漏洞扫描可以发现企业桌面缺少多少补丁（微软和第三方）。扫描还可以显示大量的配置漏洞，这些漏洞将Windows操作系统处于风险之中。

禁止用户使用工作站本地管理权限的组织比那些让用户享有自己权限的组织有更好的安全保护。起初，夺取用户的管理权可能是痛苦的，但后期工作站的脆弱性、相关事故和安全风险的频率将大大降低。

当然，为用户提供本地管理员权限也有一些业务原因。兼容性，缺乏IT资源的故障诊断、政治和官僚机构都是可能的因素。但所有这些原因都不足以抵消删除当地管理权限的好处。

重要的是，公司在权衡相关风险的同时，为他们的业务做正确的事情。如果组织提前为这些业务提供合适的候选人，他们可以限制当地管理员的权限，而不会产生不利后果。部分用户组的本地管理权可以撤销，或者对在高风险部门工作的用户增加限制，如客户服务和销售。将这些限制与系统升级过程一起实现，使一些用户更容易接受。

无论如何，IT管理员不应该让猖獗的本地管理员权限危及他们的组织，他们不能给用户所有权限，但他们不知道为什么企业会面临Windows安全问题。