Senare versioner av Windows har som standard utdelat sina tillgängliga volymer som administrativa utdelningar. Om du väljer ett svagt admin-lösenord så kan någon snabbt ta över hela systemet. Det är därför mycket viktigt att välja ett säkert lösenord. Byt lösenord med jämna intervall (hur ofta bestäms av er policy, till exempel varje kvartal) och så fort som möjligt om du tror att någon kan fått tillgång till det.
Det är oerhört viktigt att du som har administrativ kontroll i ett system inte missbrukar detta för att få tillgång till information som inte är att bedöma som allmän kännedom.
Behörighetshantering
Inför varje nyskapning av någon form av konto eller elektronisk identitet är det viktigt att verifiera att personen ifråga verkligen är den som den utger sig för att vara. Vid inloggning i systemet är det viktigt att samtliga konton är personunika och inte används av någon annan (detta gäller speciellt administrativa konton). Den vanligaste är ID-kontroll av SIS-godkänd handling. Identiteten styrks sedan ofta med någon form av lösenord, certifikat eller biometri.
Kontrollen av användarens identitet kan ske på många olika sätt, den vanligaste arkitekturen, som man bör sträva efter är att använda, är någon form av centralt behörighetskontrollsytem (BKS). Det är ofta sunt att försöka gruppera sina användare i olika roller. Det är även viktigt att delegera ut delar av administratörsrättigheterna till "lägre administratörer" och inte låta dem utföra förändringar med huvudkontot (admin/root).
Rättigheterna skall vara de minsta möjliga som krävs för att utföra sina uppgifter. Detta ställer krav på att rättigheterna inom systemen/ACL hålls uppdaterade.
På de konton som användare får tillgång till bör man kontrollera kvaliteten/komplexiteten på lösenorden. Detta finns inbyggt i nyare Windowsversioner och även i många UNIX-varianter.
För att hitta policyn i Windows: Windows Settings-Security Settings-Account Policies-Password Policy
Till UNIX finns det ett komplement från NASA: http://www.nas.nasa.gov/Groups/Security/epasswd/
Det är lämpligt att följa upp loggar efter intrångsförsök samt verifiera att användarna inte väljer för lätta lösenord.
Program så som PCAnywhere, VNC och go2mypc kan i vissa fall kringgå alla former av identifiering och inloggning centralt. Om liknande program måste användas är det rekommenderat att det sker via VPN. Ett annat alternativ för åtkomst till verksamhetskritiska system är via modem på "hemliga" telefonnummer som enbart har ett modem som kan svara då man har en tekniker som är på väg att ringa in.
Läs mer om behörighetshantering under avsnittet Anskaffning & utveckling 3.2 .