Eliminar un privilegio de una cuenta de administrador de Windows: ¿una idea buena o inútil?

En general, siempre que el Administrador tenga los privilegios suficientes para realizar sus tareas de administración, entonces puede tomar más o menos control total de la máquina. Por ejemplo, cualquier usuario que pueda acceder a la memoria del kernel puede alterar las tablas que definen sus propios privilegios y otorgarse todos los privilegios posibles.

Eliminar un privilegio específico puede ayudar solo en el caso de que algún malware se ejecute en la máquina y se dispare por falta de privilegio, incluso si recuperarlo sea fácil. Esto supone que el malware instalado es sin sentido . Además, si el malware se puede romper en la falta de SeImpersonatePrivilege, el software no malicioso también se puede romper.

Esto es equivalente a poner una trampa para osos en tu sala de estar. Un potencial ladrón, a tientas en la oscuridad en busca de sus objetos de valor e inconsciente de su astuta emboscada, podría provocar la trampa y quedar incapacitado. Sin embargo, esto funciona solo mientras los ladrones no se adapten: si demasiadas personas ponen trampas para osos en su sala de estar, entonces los ladrones aprenderán a usar una linterna para ver dónde caminan. Además, ninguna trampa para osos cambiaría el hecho perturbador de que un ladrón entró en su casa y todavía puede hacer una gran travesía sin entrar en la sala de estar. Finalmente, la trampa puede ser contraproducente: usted también podría entrar inadvertidamente en su propia trampa.