所以,我有这些 Windows 2016 服务器。一切都加入了域。
它们在 Amazon EC2 中运行。
我正在使用 CIS 的建议进行一些系统强化。(供参考,PDF 标题为“CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark”,可在此处下载:https ://www.cisecurity.org/benchmark/microsoft_windows_server/ )
在 EC2 中,有一个似乎是 Bad Idea(TM) 的强化建议。那个是 CIS 第 2.3.1.1 节,确保“帐户:管理员帐户状态”设置为“已禁用”
我对此感到担忧的是 CIS 文件中同一部分的这一段:
如果您禁用管理员帐户,则在某些情况下可能会出现维护问题。例如,如果成员计算机和域控制器之间的安全通道由于某种原因在域环境中失败并且没有其他本地管理员帐户,则必须以安全模式重新启动以修复破坏安全通道的问题。
在 EC2 中,您无法启动到安全模式。没有物理控制台。唯一可用的恢复选项是“目录服务还原模式”,它与安全模式不同。
我已经采取了其他强化步骤来确保本地管理员得到强化。
这里推荐的最佳做法是什么?