在Windows系統(tǒng)中，輕易使用擁有最高權(quán)限的管理員賬號(hào)存在嚴(yán)重安全風(fēng)險(xiǎn)。微軟副總裁警告，這種為圖方便的做法，是家用電腦最嚴(yán)重的安全漏洞，可能危及個(gè)人信息安全。

在Windows系統(tǒng)中，“管理員賬號(hào)”（Administrator Account）是一種擁有最高系統(tǒng)權(quán)限的賬號(hào)。使用該賬號(hào)幾乎可以對(duì)電腦進(jìn)行任何操作，包括安裝軟件、修改安全設(shè)置、刪除系統(tǒng)組件、讀取所有用戶數(shù)據(jù)，甚至停用安全防護(hù)機(jī)制。

許多人為了方便操作電腦，覺(jué)得反正這臺(tái)電腦只有自己一個(gè)人使用，因此可能會(huì)直接為日常使用的Windows賬號(hào)賦予最高的管理員權(quán)限，感覺(jué)省事很多。不過(guò)，管理員賬號(hào)實(shí)際上不僅是為了管理多用戶在同一臺(tái)電腦上的使用權(quán)限，對(duì)于信息安全來(lái)說(shuō)，還有更重要的保護(hù)作用。

微軟企業(yè)與操作系統(tǒng)安全副總裁David Weston近日在個(gè)人Blog對(duì)這一使用習(xí)慣發(fā)出安全警示，直言：“日常使用管理員賬號(hào)，是一般家用電腦最嚴(yán)重的安全漏洞之一。”

管理員權(quán)限一旦落入入侵者手中，后果遠(yuǎn)比你想象的嚴(yán)重

為何這么危險(xiǎn)？因?yàn)楫?dāng)你以管理員賬號(hào)操作電腦時(shí)，所有正在運(yùn)行的程序與下載的文件，也會(huì)自動(dòng)獲得系統(tǒng)最高權(quán)限。例如，曾有用戶因點(diǎn)擊釣魚(yú)郵件中的“電子發(fā)票”附件，導(dǎo)致惡意程序以管理員權(quán)限靜默安裝，不僅加密了硬盤(pán)內(nèi)所有家庭照片、財(cái)務(wù)報(bào)表，甚至通過(guò)權(quán)限接管了路由器，導(dǎo)致整個(gè)家庭網(wǎng)絡(luò)成為跳板。
入侵者只要突破一次，就能：

安裝惡意程序而不被察覺(jué)（因?yàn)槟闶跈?quán)了）；

修改系統(tǒng)設(shè)置與安全機(jī)制（例如停用殺毒軟件、開(kāi)啟遠(yuǎn)程連接）；

竊取或加密你的所有文件（包括云端同步數(shù)據(jù)與USB 設(shè)備）；

建立隱藏賬號(hào)或后門(mén)（下次聯(lián)網(wǎng)時(shí)自動(dòng)回傳數(shù)據(jù)）；

控制你的攝像頭與麥克風(fēng)（進(jìn)行窺探活動(dòng)）；

這些都是目前勒索軟件、鍵盤(pán)記錄器、遠(yuǎn)程訪問(wèn)工具（RAT）等攻擊手段的基本操作，現(xiàn)實(shí)中曾發(fā)生過(guò)入侵者通過(guò)管理員權(quán)限入侵家庭電腦，利用攝像頭錄制用戶日常生活畫(huà)面，再以 “公開(kāi)隱私” 勒索錢(qián)財(cái)?shù)陌咐Ｊ芎φ咭蜷L(zhǎng)期使用管理員賬號(hào)，導(dǎo)致入侵者無(wú)需額外突破權(quán)限即可直接控制設(shè)備。

Weston用一個(gè)簡(jiǎn)單比喻說(shuō)明：“管理員賬號(hào)就像你家的鑰匙串，一旦入侵者拿到，想進(jìn)哪間房都沒(méi)人能阻止。”

如何防范？用“標(biāo)準(zhǔn)賬號(hào)”建立第一道防線

Weston建議Windows用戶應(yīng)立即調(diào)整賬號(hào)架構(gòu)，具體做法如下：

1、新增一組本地管理員賬號(hào)，只在需要時(shí)使用；

2、平時(shí)改用標(biāo)準(zhǔn)賬號(hào)登錄電腦；

3、設(shè)置強(qiáng)密碼，不與其他服務(wù)共享；

4、讓系統(tǒng)通過(guò)用戶賬戶控制（UAC）提示輸入密碼，而非全程開(kāi)放權(quán)限。

這種設(shè)計(jì)就像多加了一道門(mén)鎖，當(dāng)入侵者試圖行動(dòng)時(shí)，會(huì)因權(quán)限不足而被攔截，即使入侵成功，也只能在受限環(huán)境中運(yùn)行，無(wú)法全面控制系統(tǒng)。

好習(xí)慣比殺毒軟件更重要

Weston最后提醒：“許多用戶誤以為安裝了殺毒軟件就萬(wàn)無(wú)一失，但其實(shí)殺毒軟件也需要在‘正常權(quán)限’下才能有效發(fā)揮作用。”

如果你習(xí)慣用管理員賬號(hào)登錄，那么任何文件、程序、網(wǎng)站都可能繞過(guò)多數(shù)保護(hù)機(jī)制，系統(tǒng)就形同開(kāi)門(mén)迎賊。

閱讀原文：原文鏈接