无人参与安装是许多Windows管理员的生活的一部分。由于无人参与安装的所有工作都要在指定的某一天内完成,而且这些安装工作对于Windows管理员来说都是非常熟悉的程序,因此Windows管理员完成这个工作是很轻松的。然而,需要某种程度的警惕性以保证这些自动安装安全地完成。
我们在SearchWindowsSecurity.com网站对一些投稿人进行了一些民意测验,结果发现了专家们所说的他们最担心的无人参与安装问题。
共识
每一位投稿人都指出了安装映像的完整性。微软最有价值的专家Brien Posey说:“我在制作这个映像文件之前,我会详细检查存放这个映像文件的机器。”但是,这个映像的完整性与检查这个机器是否包含隐藏的病毒或者根工具包没有关系。我们的投稿人还说,补丁也是一个主要担心的问题。
Windows安全专家Jonathan Hassell说,Windows计算机最容易受到攻击的时候是在安装之后和使用补丁之前。他建议在安装Windows的时候要断开网络连接。如果不能断开网络连接,他建议采取如下措施减轻风险:
?在安装之后使用一个组策略对象启动Windows防火墙或者互联网连接防火墙。
?安装之后立即使用软件升级服务(SUS)或者Windows服务器升级服务(WSUS)自动安装一些补丁。
?不要让新安装的机器在超过规定的时间里无人管理。找人帮助你用每一台机器访问Windows升级服务,并且为这些机器安装补丁。
一般来说,管理员都希望拥有最新的系统映像,包括热门补丁和进行这种设置的服务包。但是,Windows专家Serdar Yegulalp谨慎地指出,即使这种直观的解决方案也会不起作用。他说,这个解决方案本身就存在缺陷。例如,微软为Windows 2000发布的MS03-042的安全公告中编号为824146的安全补丁在整合安全性补充程序(slipstreamed)环境中工作得不太好。因此,最好在使用了软件升级服务或者其它类似的服务之后再使用补丁。
向管理员发送账户报警
另一项突出担心的问题是管理员口令的完整性。Yegulalp说,我最担心的问题是管理员的口令栏保持空白或者主要的管理员账户不安全。
Hassell也赞同这个看法。他说,管理员账户是一个严重的漏洞。任何能够打开包含安装参数的这个文本文件的人都能够看到你使用这个文件分配给其它机器的管理员口令。他还提供了解决这个问题的方法。他说,在Windows Server 2003操作系统安装管理器中的加密管理员口令选项中能够找到这个解决方案。
