所以,我有这些 Windows 2016 服务器。一切都已加入域。
它们在 Amazon EC2 中运行。
我正在使用 CIS 的建议进行一些系统强化。(作为参考,PDF 标题为“CIS Microsoft Windows Server 2016 RTM(版本 1607)基准”,可以在此处下载:https://www.cisecurity.org/benchmark/microsoft_windows_server/)
有一条强化建议在 EC2 中似乎是一个坏主意 (TM)。那就是 CIS 第 2.3.1.1 节,确保“帐户:管理员帐户状态”设置为“已禁用”
我对此感到担忧的是 CIS 文档中同一节中的这一段:
如果禁用管理员帐户,则在某些情况下可能会出现维护问题。例如,如果成员计算机和域控制器之间的安全通道在域环境中因任何原因而失败,并且没有其他本地管理员帐户,则必须在安全模式下重新启动以修复破坏安全通道的问题。
在 EC2 中,您无法启动到安全模式。没有物理控制台。唯一可用的恢复选项是“目录服务还原模式”,它与安全模式不同。
我已经采取了其他强化措施来确保本地管理员得到强化。
这里推荐的最佳做法是什么?
答案1
这是指名为 Administrator 的默认管理员帐户。您需要创建一个没有用户名“Administrator”的新本地管理员帐户,然后可以安全地禁用名为“Administrator”的帐户。CIS 2.3.1.1 的精神是删除此默认帐户并创建贵公司独有的帐户,而不是使用 EC2 实例提供的默认用户名。