系統管理員檢查

系統管理員 SSA 檢查可識別並列出本機 Administrators 群組的使用者帳戶。如果偵測到兩個個別的系統管理員帳戶,則 Client Security 會在相關的報表中,將帳戶名稱列為可能的漏洞。

屬於本機 Administrators 或 Domain Admins 群組的使用者帳戶,幾乎能在其獲授權存取的系統和網路上執行任何工作。若惡意接管這類帳戶,則可能會對系統或網路造成相當嚴重的傷害。

本機系統管理員帳戶和網域系統管理員帳戶會從這項檢查排除。

在每台指派「中」分數的掃描電腦上,建議您檢閱本機 Administrators 和 Domain Admins 群組的成員清單,確定已調整擁有系統管理授權的所有使用者。

一般而言,由於系統管理員基本上擁有電腦的完整控制權,因此建議您保持最少量的系統管理員。

這項檢查會產生兩個層級的分數:

  • 整體
  • 每個帳戶

整體評分

下表顯示 Client Security 如何評估掃描電腦上的系統管理員帳戶,從得到的結果判定整體分數。

分數 得到「中」分數的帳戶數 得到「資訊」分數的帳戶數 得到「低」分數的帳戶數 結果訊息

至少 2

0 或更高

0 或更高

在此電腦上找到不必要的本機系統管理員數目:數量

小於 2

0 或更高

0 或更高

在此電腦上沒有找到不必要的本機系統管理員。

每個帳戶評分

下表顯示 Client Security 如何評估本機 Administrators 群組的特定使用者帳戶,利用得到的結果來判定分數。

分數 帳戶是 Domain Admins 群組的成員 帳戶是本機 Administrators 群組的內建成員 帳戶是 Group Policy Restricted 群組的成員 (Windows 2000 不支援) 從計數排除帳戶 多個非排除的帳戶 結果訊息

下列帳戶是本機 Administrators 群組的成員:網域\使用者名稱

下列帳戶是本機 Administrators 群組的成員:網域\使用者名稱

資訊

不適用

下列帳戶是本機 Administrators 群組的內建成員:網域\使用者名稱

 

不適用

下列帳戶是本機 Administrators 群組和 Group Policy Restricted 群組的成員:網域\使用者名稱

 

不適用

下列帳戶是本機 Administrators 群組的成員:網域\使用者名稱

顯示: