引言

　　联网技术的最新发展(如与 Internet 间的永久连接)给各种规模的组织带来了极大的机遇。不幸的是，计算机与网络(尤其是 Internet)之间的连接增加了遭到恶意软件和外部攻击者攻击的风险，各种风险此伏彼起。

　　Sophos 是一家 Internet 安全公司，它发现，检测到的恶意程序的数量由 1999 年 11 月的 45,879 个上升到 2005 年 11 月的 114,082 个，在过去六年中以每年至少 10% 的速度增长。2005 年 11 月，Sophos 发现了 1,900 多个新的恶意软件，如病毒、特洛伊木马和间谍软件程序。其他防病毒供应商所报告的恶意软件的数量和类型方面的增长情况与此类似。

　　赋予用户对客户端计算机的管理权利的倾向，是造成恶意软件的风险不断增加的重要因素。如果用户或管理员使用管理权利登录，他们运行的所有程序，如浏览器、电子邮件客户端和即时消息程序等，也同样具有管理权利。如果这些程序激活了恶意软件，恶意软件就可以进行自安装，操纵诸如防病毒程序之类的服务，甚至隐藏在操作系统中。用户可能在无意识且不知情的情况下，访问一个其安全性已受到破坏的网站或单击电子邮件中的链接或执行其他操作，进而导致恶意软件运行。

　　恶意软件会给组织带来许多威胁，包括利用击键记录程序截获用户的登录凭据以及使用木马程序套件完全控制计算机或整个网络等等。恶意软件可以导致网站无法访问、损坏或破坏数据以及重新格式化硬盘。所造成的后果中可能还包括增加成本，如清除计算机病毒感染、还原文件、重新输入或重新创建丢失的数据等所需的成本。病毒攻击还可能导致项目组无法按时完成任务，从而导致违反合同或失去客户的信任。受某种规章制约的组织可能会面临被起诉和罚款的尴尬局面。

　　最小特权用户帐户方法

　　采用一种包含相互复叠的多个安全层的纵深防御策略，是应对这些威胁的最佳方法，而最小特权用户帐户 (LUA) 方法是该防御策略的重要组成部分。LUA 方法可确保用户遵守最小特权原则并始终以受限用户帐户登录。此策略还有一个目的，就是将管理凭据限制为仅供管理员使用，而且只能用来执行管理任务。

　　LUA 方法可显著降低恶意软件和意外错误配置所带来的风险。但是，由于 LUA 方法需要组织规划、测试并支持受限访问配置，因此，实现此方法需要付出很高的成本，而且需要处理很多棘手的问题。这些成本可能包括重新开发自定义程序、更改运作流程以及部署其他工具等所需的成本。

　　Microsoft 不就这些工具或指导对您的环境的适用性做任何担保。您应该首先对这些指令或程序进行测试，然后再进行部署。所有安全问题都没有完美的答案，本软件和指导也不例外。

　　与管理特权相关的风险

　　许多组织通常都会赋予用户对其计算机的管理特权。这种情况对于便携式计算机尤其普遍，且通常是基于以下原因：

　　•为使某些程序能够正常运行。某些程序只有在用户具有管理权限时才能运行。通常，如果程序将用户数据存储在注册表或文件系统中，而且非管理帐户无法访问这些位置，就会出现这种情况。

　　•为使用户能够执行管理操作，如更改计算机的时区。

　　•为使移动用户能够安装与工作相关的硬件或软件，如打印设备或 DVD 刻录机及相关程序。

　　尽管可能还有其他为用户提供管理权利的正当理由，但这种做法会显著增加计算机遭到破坏和采用不当配置的风险。这些风险可能会影响组织运营中的诸多方面。

　　试考虑以下情况：高级主管定期到客户的办公地点，用便携式计算机进行演示。因为是高级主管，所以他坚持要求获得他的计算机的本地管理权利。他刚要向重要客户演示一个关键的销售演示文稿，这时，一条攻击性消息出现在他的便携式计算机的屏幕上，随后他的计算机被锁定了。在慌忙重新启动计算机后，该主管发现他的硬盘已经被重新格式化了。结果是，未能向客户展示销售演示文稿，订单拱手让给了竞争对手。

　　在上述情况中，当该主管浏览遭到破坏的网站时，恶意软件感染了他的计算机，导致了该攻击性消息的出现以及随后的数据破坏。该主管在访问网络时，是以本地 Administrators 组成员的身份登录到他的便携式计算机的。此组成员身份所具有的权利和特权使恶意软件能够禁用防病毒软件、进行自安装、操纵注册表以及在 Windows 系统目录中放置文件。该主管的计算机现在已经遭到破坏，随时可以执行恶意软件的命令。

　　其他可以利用管理帐户的较高特权的情形包括用户单击电子邮件中的链接或播放包含数字权利管理软件的音乐 CD 的情况。与使用受限用户帐户的用户相比，具有管理权利的用户的计算机可能更容易受到破坏，这是一个常见的因素。