本地管理员访问意味着攻击者更容易建立对主机的持久控制、安装软件和修改系统设置，以及采取诸如嗅探网络等可能允许其横向移动到其他系统的操作。

所以，是的，这对网络来说是一种危险，因为它为攻击者提供了更稳定的访问权限，可以访问更强大的横向移动平台。

危险是一个有点强烈的词。我会说本地管理员访问比非管理员访问带来了额外的网络风险。

管理员访问权限允许用户在混杂模式下运行数据包嗅探器。如果有问题的网络容易受到中间人攻击或其他未加密的敏感信息通过网络传播，这可能会带来额外的风险。

您必须在用户通常可以物理访问网络的情况下了解这种风险。对网络电缆具有物理访问权限的恶意内部人员只需将他们自己的设备插入他们也具有 root/admin 访问权限的网络，然后嗅探数据包并在他们自己的计算机上执行相同的攻击，而无需 root 访问权限。

这比大多数人想象的要危险得多。当我们讨论在一台加入域的机器上可以从本地管理员（本地帐户，而不是域帐户）做多少事情时，我说“你想知道吗？” 没有人这样做。结果他们想辩论这个理论，但没有把它付诸实践。

我在另一个问题上争论过你在捍卫什么。事情就是这样。下次其他人连接到相关机器时，本地管理员可以模拟该用户。如果是网络共享访问，则模拟只能使用几分钟。但是几秒钟的域管理员就足以在域控制器上的网络共享上创建服务。

在过去，这更愚蠢。该机器可以 MITM 攻击网络上没有专门防御 arp 欺骗的任何人。直到最近，这才是最终的结果，但 MS 终于齐心协力，通过修复 auth 包并实际上进行了向后不兼容的更改以使其保持不变，从而关闭了 SMB 对抗 MITM。

但是不允许开发人员的 VLAN 访问互联网是愚蠢的。也许最好的办法是让他们在他们的机器或虚拟机上拥有管理员，但根本不将他们加入域。

然而，这几乎从未出现过。被解雇和起诉的威胁使开发人员无法像这样全力以赴，并且出于某种原因，互联网传播的恶意软件不使用这些东西。再说一遍，您真正要防御的是什么？开发商可能无论如何都可以接管。您迟早必须在生产中安装版本更新。

是的，这很危险。

在 2014 年，我遇到了这样一个案例：

1. 具有本地管理员权限的开发人员拥有 的所有权utilman.exe，这是一个易于访问的应用程序
2. 替换utilman.exe为cmd.exe（也由 Microsoft 签名，因此签名检查不会显示）
3. 重新启动 PC 并单击辅助功能图标

瞧，您有一个具有 NT 权限/系统权限的控制台。您现在可以从 LSASS 等关键进程（例如使用Mimikatz）中窥探凭据。如果您可以欺骗您的管理员（社会工程）远程登录您的 PC，那么您就有了他的凭据。

如果不能，只需安装一个也以系统权限运行的服务。然后，您可以撤消黑客攻击，只需让服务等待更长的时间来为您收集凭据。

似乎这在 Windows 10中尚未修复。