删除自动创建的NT权限和NT服务帐户。

Question

因此，我最近移动了作业--我在构建新Server安装脚本中看到的一段代码如下所示。

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT AUTHORITY\SYSTEM' )
    BEGIN
        DROP LOGIN [NT AUTHORITY\SYSTEM];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\SQLWriter' )
    BEGIN
        DROP LOGIN [NT SERVICE\SQLWriter];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\Winmgmt' )
    BEGIN
        DROP LOGIN [NT SERVICE\Winmgmt];
    END
GO

默认情况下，这些帐户是在Server安装过程中创建的。

是否建议删除上述登录？有什么副作用吗？这些登录是用来干什么的？

我读过我可以删除NT服务\SQLWriter和NT服务\Winmgmt登录吗？，但是它还不够具体--我可以看出它们是用来做什么的，但是很少有其他的东西。他们需要系统管理员访问吗？等。

举个例子(取自配置Windows服务帐户和权限)：

本地系统是一个非常高特权的内置帐户。它在本地系统上拥有广泛的特权，并在网络上充当计算机。帐户的实际名称是NT AUTHORITY\SYSTEM。

我该怎么读这个？它是否应该拥有这些“高”特权？

Answer 1

在您否决投票之前，这里有一些正式的文档，您可以引用这些帐户的合理理由，如您所见：STIG规则SV-53421r2_规则。这些控件是特定于Server版本的，但在最近的版本中也有许多其他控件。如果您为属于这些控制之下的组织工作，并且也坚持一些更严格的组织，比如撤销给予公共角色的默认赠款，事情会变得非常复杂。

由于我在属于这些控件的环境中有一些经验，我可以说您可以完全禁用/删除NT SERVICE\SQLWriter和NT SERVICE\Winmgmt帐户，但您需要确保您的Server服务在具有足够OS级别权限的适当服务帐户下运行，例如足够锁定的域服务帐户，甚至更好的是独立或组管理服务帐户。同样，如果您不执行足够的测试，操作系统权限需要小心处理，因为如果您不执行足够的测试，就会冒险进入卡屋领域。

至于NT AUTHORITY\SYSTEM帐户，如果要运行任何可用性组，则不希望删除这个帐户。实际上，STIG SV-93835r1_规则提到，默认情况下，您应该只使用CONNECT SQL权限来保留它。如果您有可用性组，则此帐户还需要具有下列附加权限：

• 更改任何可用性组
• 视图服务器状态
• 在系统.服务提供商_服务器_诊断学上执行
• 在系统.服务提供商_可用性_组_命令_内部上执行

这些限制可能是皇家的痛苦，但有合法的理由，你需要限制他们的使用和权限设置。如果你不遵守这些指导方针，那就帮你自己，把这些步骤都注释掉。

希望这能帮上忙！