共享 Windows AMI 的最佳实践
使用以下指南可缩小攻击面并提高您创建的 AMI 的可靠性。
-
任何安全指南都不是详尽无遗的。请仔细构建您的共享 AMI,并花时间考虑可能导致暴露敏感数据的位置。
-
制定一个用于构建、更新和重新发布 AMI 的可重复过程。
-
使用最新的操作系统、程序包和软件构建 AMI。
-
下载
并安装最新版本的 EC2Config
服务。有关安装此服务的更多信息,请参阅安装最新版的 EC2Config。 -
验证是否已启用
Ec2SetPassword
、Ec2WindowsActivate
和Ec2HandleUserData
。 -
验证访客账户或远程桌面用户账户是否不存在。
-
禁用或删除不必要的服务和程序,以缩小您的 AMI 的攻击面。
-
从 AMI 中删除实例凭证,如密钥对 (如果您已将实例凭证保存到 AMI 上)。在安全的位置存储凭证。
-
确保管理员密码和任何其他账户上的密码均已设为利于共享的合适值。任何启动您的共享 AMI 的人均可获得这些密码。
-
在共享 AMI 之前测试 AMI。