在众多防火墙软件设计中,设计人员都忽略了一个细节问题:在启动电源开机后,Windows Server操作系统在默认情况下将进入登录界面,需要操作人员输入管理员密码后才能正确进入桌面系统,然后再运行Windows事先设置好的一些程序。不幸的是,大多防火墙软件也在这些登录之后才运行的程序之列,这就意味着:在登录之前,虽然Windows已经开始工作了,但是防火墙软件却没有发挥其作用,而是在等待!
正是这个“时间差”,会为黑客识别操作系统版本、扫描Server端口、发现服务器漏洞甚至发起攻击提供了可乘之机。这种“时间差”情形的出现往往有两种可能:一是管理员疏忽大意,在启动系统时没有及时登录;二是机房服务器在意外断电后,再次通电时自动开机,而管理员却不在场。
针对这个问题,一方面,我们希望防火墙软件在设计时,能考虑到这个问题,能做到防火墙启动不受Windows是否已登录的影响,能够随着Windows Server的启动及时地发挥防御作用;另一方面,服务器管理员也可以通过对Windows Server安全策略的简单设置来避免这种情况的发生,即设置Windows Server开机时自动登录。
Windows Server自动登录的设置可以通过修改注册表来完成。打开注册表编辑器,定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinLogon”。在右边窗口中单击鼠标右键,依次选择“新建”→“字符串值”,将新建的字串值命名为“AutoAdminLogon”的数值名称,再用鼠标左键双击刚添加的“AutoAdminLogon”数值名称,并在出现的“编辑字符串”窗口中的“数据数值”栏中将值设为1,随后单击“确定”按钮。在右边窗口中再次单击鼠标右键,依次选择“新建”→“字符串值”命令项,将新建的字符值命名为“DefaultPassword”的数值名称,再用鼠标双击,在出现的“编辑字符串”窗口中的“数据数值”栏中输入管理员登录密码,随后单击“确定”按钮。正确设置后,每次重新启动时都将跳过Windows登录,直接进入桌面,而防火墙软件也将顺利进入工作状态。
不过,设置自动登录后也给我们带来新的隐患,给能够直接接触服务器的不相关人员提供了操作服务器的机会。因此,一定要设置屏幕保护程序,并增加屏保密码,还要采取一定的制度措施,如加强机柜门锁的管理、实行主机房专人管理等。
