在Windows 2008(和R2)中,我应该重命名pipe理员帐户还是禁用它并创build一个新帐户?
将禁用内置的pipe理员帐户导致任何问题,这是否仍被认为是最佳做法?
通常的做法是重命名帐户。
在TechNet和MS Press上发现的Microsoft最佳实践“保护Windows Server 2008 R2”
1.不要重命名它。
如果networking上有任何需要pipe理员帐户运行的应用程序/服务,则会浪费您的精力和(为了向后兼容),它们将会中断。
2.禁用BUILTIN \ Administrator。
重命名账户为攻击者创造一个蜜jar是一个过时的做法。 任何破解者都可以深入到你的networking,这一点已经知道了。 黑客只会寻找以-500结尾的SID。
3.创build一个非描述性名称的帐户并授予其pipe理员权限。
也就是说,将账户命名为“JohnBlack”或“BettyClark”。 不要将这个帐户命名为超人,Root,Skywalker,或者像Admin或ADM这样的名称,就像testadm或LocalAdmin一样。 仍然按名称查找pipe理员帐户的程序已经发展到足以检查这些名称。
4.在步骤3中创build帐户之后,切勿使用它!
如果您将其用作常规帐户,则不能审核pipe理员访问权限(除了所有其他原因不使用此权限)。
重命名帐户是最好的select,因为您将需要某种本地pipe理员帐户,并且已经设置并且configuration好的运行系统。 重命名它基本上把它变成另一个帐户为了安全的目的。
我遇到了两个build议。 在我上一份工作中,我们禁用了Active Directory域上的机器上的本地pipe理员帐户。
我个人build议禁用它并创build一个新的pipe理用户帐户。 这样,如果用户configuration文件有任何问题,您仍然可以重新使用pipe理帐户。
williamtorres的答案似乎是正确的。 鉴于这里是禁用pipe理员帐户的命令(所以你不必查看它:)
净用户pipe理员/活动:没有
http://technet.microsoft.com/en-us/library/dd744293(v=ws.10).aspx