Der Klassiker. Ich bin Chef und ich bin Administrator. Warum? Weil ich der Chef bin.

In vielen kleinen und mittleren Unternehmen ist der Häuptling der Systemadministrator und hat so ziemlich auf alles Zugriff.

Kann man per se so machen.

Jedoch machen viele bis alle den Fehler, dass der «Arbeitsbenutzer» des Chefs, also mit dem er sich am Computer anmelden und den ganzen Tag arbeiten als Systemadministrator berechtigt ist. Das ist aus diesem Grund fatal, da beim abfangen der Anmeldedaten der Angreifer automatisch System- oder Domainadmin ist. Zudem ist es für Viren und Würmer ein gefundenes Fressen, da diese immer im Kontext des arbeitenden Benutzers ausgeführt werden. In diesem Fall also dem Systemadministrator! ⚰️

Und Zack, minus eine Infrastruktur. In diesem Fall kann man gleich zum BCM-Plan vorspringen. (Plan-B wenn gar nichts mehr geht)

Ich rate daher wärmstens, für Administratoren-Rechte einen separaten Benutzer anzulegen. Dieser wird nur für Installationen und Wartungsarbeiten verwendet und nicht für die tägliche Arbeit!

Genau gleich verhält es sich mit lokalen Administratoren-Rechten. Niemand, absolut niemand arbeitet produktiv mit lokalen Administratoren-Rechten! Das ist der Nährboden für Kompromittierungen.

So bequem es auch ist, es gibt keinen plausiblen Grund weswegen man mit Adminprivilegien produktiv Arbeiten musst. Ausser du bist der Angreifer! 😜