系統(tǒng)安全有“自知之明”

如何才能讓本地系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)有“自知之明”呢？下面一些措施可以讓大家自己動手，不需要借助外力，就能知道系統(tǒng)網(wǎng)絡(luò)各方面的安全狀態(tài)！

自知是否啟動安全

很多惡意程序為實現(xiàn)自動運行目的，往往會強行進(jìn)駐系統(tǒng)啟動菜單，以便日后可以跟隨Windows系統(tǒng)啟動。那么本地系統(tǒng)的啟動菜單是否有陌生的啟動選項出現(xiàn)呢？現(xiàn)在，不妨按照下面的操作來實現(xiàn)系統(tǒng)啟動安全狀態(tài)的“自知之明”。

首先依次單擊“開始”、“運行”命令，彈出“運行”對話框，輸入“cmd”命令并回車，打開DOS命令行狀態(tài)，執(zhí)行“wmic”字符串命令，此時會看到DOS命令提示符已經(jīng)變成了“wmic：rootcli>”。

其 次 在“wmic：rootcli>”提示符下執(zhí)行“startup list brief > G：abc.txt”命令，這樣Windows系統(tǒng)就會自動將當(dāng)前的所有啟動選項輸出存儲到“G：abc.txt”文件中了。

日后一旦發(fā)現(xiàn)Windows系統(tǒng)運行狀態(tài)不正常，而懷疑病毒或木馬襲擊本地系統(tǒng)時，我們再將系統(tǒng)切換到“wmic：rootcli>”命令提示符下，執(zhí)行“startup list brief > G：cd.txt”字符串命令，將系統(tǒng)運行不正常之后的所有啟動項目輸出存儲到“G：cd.txt”文件中。

下面退回到DOS命令行狀態(tài)，在該狀態(tài)下執(zhí)行“fc G：abc.txt G：cd.txt”字符串命令，此時Windows系統(tǒng)就會對“G：abc.txt”文件和“G：cd.txt”文件的異同之處進(jìn)行分析比較；通過比較分析，我們就能追查到系統(tǒng)的啟動選項究竟發(fā)現(xiàn)了哪些變化，對于那些陌生的啟動選項及時從系統(tǒng)中刪除干凈。

自知是否賬戶安全

一些木馬程序經(jīng)常會悄悄在本地計算機中生成非法用戶賬號，日后惡意用戶憑借此賬號就能訪問到該系統(tǒng)的隱私數(shù)據(jù)，甚至可以憑借此賬號控制整個計算機系統(tǒng)。為了確保本地計算機安全，一定要想辦法對用戶賬戶的創(chuàng)建狀態(tài)進(jìn)行自我明察，如果看到有陌生用戶賬號被偷偷生成時，必須及時清理它們。在Windows系統(tǒng)環(huán)境下，可以按照下面的操作，自我明察本地系統(tǒng)賬戶是否安全。

首先逐一點選“開始”、“所有程序”、“附件”、“運行”命令，打開系統(tǒng)運行對話框，輸入“gpedit.msc”字符串命令并回車，彈出Windows系統(tǒng)的組策略編輯界面。將鼠標(biāo)定位在“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點上，雙擊指定節(jié)點下的“審核賬戶管理”選項，彈出組策略選項設(shè)置對話框，勾選其中的“成功”選項，同時按下“確定”按鈕執(zhí)行保存操作。這樣，Windows系統(tǒng)日后就可以對用戶賬號的變化情況進(jìn)行跟蹤記憶了，并會將記憶結(jié)果保存到對應(yīng)系統(tǒng)日志文件。

接著為了讓W(xué)indows系統(tǒng)的賬戶安全狀態(tài)變化情況自動通知給用戶，不妨利用該系統(tǒng)新增加的附加任務(wù)功能，將自動報警任務(wù)附加到用戶賬號創(chuàng)建事件上，要是用戶賬號創(chuàng)建事件被成功觸發(fā)，那么自動報警任務(wù)也就能自動執(zhí)行了，到時就可以及時明察當(dāng)前計算機中有用戶賬號被偷偷創(chuàng)建了。為此，可以單擊Windows系統(tǒng)“開始”菜單中的“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中逐一雙擊“用戶賬戶和家庭安全”、“用戶賬戶”、“管理賬戶”、“創(chuàng)建新賬戶”鏈接，隨意生成一個用戶賬戶，當(dāng)該賬戶創(chuàng)建成功后，對應(yīng)操作的日志記錄就會被保存到Windows系統(tǒng)的日志文件中了。

之后切回到Windows系統(tǒng)桌面，右擊“計算機”圖標(biāo)，點選“管理”命令，將鼠標(biāo)定位在“系統(tǒng)工具”、“事件查看器”、“Windows 日志”、“系統(tǒng)”分支節(jié)點，從目標(biāo)節(jié)點下面找到剛剛生成的用戶賬戶創(chuàng)建成功的日志記錄，同時用鼠標(biāo)右鍵單擊該記錄，并執(zhí)行快捷菜單中的“將任務(wù)附加到此事件”命令，打開“創(chuàng)建基本任務(wù)向?qū)А睂υ捒颉?/p>

下面定義好自動報警的任務(wù)名稱以及描述信息，選中自動報警任務(wù)的執(zhí)行方式，這里可以選中“顯示消息”方式，同時正確編輯好消息的標(biāo)題及內(nèi)容，比如不妨將自動報警內(nèi)容設(shè)置為“小心！可能有陌生賬號創(chuàng)建！”，最后單擊“完成”按鈕結(jié)束自動報警任務(wù)創(chuàng)建。

以后，當(dāng)有木馬程序偷偷在Windows系統(tǒng)中創(chuàng)建用戶賬戶時，對應(yīng)系統(tǒng)的屏幕上會立即彈出“小心！可能有陌生賬號創(chuàng)建！”這樣的報警內(nèi)容，看到這樣的報警提示，我們就能及時采取措施來查殺病毒或木馬程序。

自知是否存在入侵

只要本地系統(tǒng)與Internet保持連接，那么工作站受到病毒或非法用戶入侵的可能性就會存在，那如何才能判斷出自己的工作站是否遭遇了網(wǎng)絡(luò)入侵呢？也許有人會說，可以使用專業(yè)的安全監(jiān)控工具。話雖如此，如果手頭沒有這樣的專業(yè)工具，該怎樣追查到自己工作站的網(wǎng)絡(luò)入侵狀態(tài)呢？其實巧妙利用Windows系統(tǒng)環(huán)境下的任務(wù)管理器功能，也能判斷出自己的工作站有沒有遭遇網(wǎng)絡(luò)病毒或其他非法用戶的入侵。

首先調(diào)出Windows系統(tǒng)的任務(wù)管理器窗口，點選“聯(lián)網(wǎng)”選項卡，打開選項設(shè)置頁面。在其中能夠清楚地看到本地計算機系統(tǒng)的聯(lián)網(wǎng)情況，當(dāng)本地系統(tǒng)中沒有進(jìn)行任何BT操作，而這里的時連接曲線保持很高的高度，同時本地計算機的運行速度非常緩慢時，那十有八九本地系統(tǒng)已遭遇了病毒襲擊；甚至有些特殊的網(wǎng)絡(luò)病毒在入侵本地工作站系統(tǒng)時，還會在“聯(lián)網(wǎng)”選項設(shè)置頁面中留下一些痕跡。

此外，無論哪一位用戶采用遠(yuǎn)程連接方式連接到本地計算機系統(tǒng)時，其“身影”都會出現(xiàn)在Windows系統(tǒng)任務(wù)管理器窗口中的“用戶”標(biāo)簽設(shè)置頁面中。所以，當(dāng)懷疑自己的計算機系統(tǒng)遭遇非法用戶入侵時，不妨打開“用戶”選項設(shè)置頁面，檢查有沒有陌生的用戶連接到自己的計算機系統(tǒng)中。如果發(fā)現(xiàn)有陌生用戶的“身影”，可單擊鼠標(biāo)右鍵，從彈出的快捷菜單中執(zhí)行“斷開”命令，強制將陌生用戶建立的遠(yuǎn)程連接從本地系統(tǒng)中斷開。

自知驅(qū)動是否安全

當(dāng)在本地計算機系統(tǒng)中安裝了過多未經(jīng)微軟數(shù)字認(rèn)證的設(shè)備驅(qū)動程序時，Windows系統(tǒng)的運行穩(wěn)定性可能會大打折扣，嚴(yán)重時能造成系統(tǒng)運行崩潰。為追查到Windows系統(tǒng)中究竟有哪些設(shè)備驅(qū)動程序沒有經(jīng)過數(shù)字簽名認(rèn)證，我們可以按照下面的操作來進(jìn)行。

首先打開“開始”菜單，從中依次點擊“所有程序”、“附件”、“運行”選項，展開系統(tǒng)運行文本框，在其中輸入字符串命令“Sigverif”，彈出文件簽名驗證對話框。

按下“開始”按鈕，Windows系統(tǒng)就會智能探測安裝在本地系統(tǒng)中的所有設(shè)備驅(qū)動程序，很快那些沒有經(jīng)過數(shù)字簽名認(rèn)證、存在安全隱患的所有設(shè)備驅(qū)動程序就會顯示在眼前。

自知是否共享安全

為了相互溝通交流，用戶們在局域網(wǎng)環(huán)境中常常需要進(jìn)行共享訪問操作，可是有的重要共享資源不希望被所有人訪問到，為此有人會對重要共享資源進(jìn)行隱藏，但是不管怎么隱藏，它們?nèi)匀挥锌赡鼙凰藢ふ?、發(fā)現(xiàn)到，要是我們想追查究竟有哪些用戶訪問過自己的隱藏共享資源時，該怎么實現(xiàn)呢？其實很簡單，我們可以在Windows系統(tǒng)中執(zhí)行下面的操作，就能對所有共享資源的訪問狀態(tài)一目了然。

首先在Windows系統(tǒng)桌面中用鼠標(biāo)右鍵單擊“計算機”圖表，單擊右鍵菜單中的“管理”命令，彈出計算機系統(tǒng)的計算機管理窗口，在該管理窗口左側(cè)列表中的“系統(tǒng)工具”分支下面，展開“共享文件夾”節(jié)點。

接著勾選指定節(jié)點下面的“打開文件”選項，在對應(yīng)該選項的右側(cè)列表中，能夠很直觀地發(fā)現(xiàn)有哪些共享資源被他人訪問過。要想查看此時此刻究竟有哪些人正在訪問本地系統(tǒng)中的共享資源時，不妨選中“會話”選項，在對應(yīng)該選項的右側(cè)列表中，所有的共享訪問連接信息都會清楚地顯示在大家眼前，包括訪問者用戶名稱、客戶端主機的地址、連接時間、訪問的共享資源名稱等。

自知登錄是否安全

在公共場合下，趁計算機主人短暫離開系統(tǒng)時，有一些心懷不軌的人會偷偷登錄系統(tǒng)來查看隱私信息，那么怎樣才能自我明察到別人的偷偷登錄行為呢？在Windows系統(tǒng)環(huán)境下，不妨通過該系統(tǒng)自帶的登錄監(jiān)控功能，對本地系統(tǒng)上一次登錄狀態(tài)進(jìn)行智能監(jiān)控。

首先依次單擊“開始”、“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，確定后，打開系統(tǒng)組策略控制臺窗口。

接著逐一點選“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows登錄選項”分支選項，從該分支下找到特定組策略“在用戶登錄期間顯示有關(guān)以前登錄的信息”選項，用鼠標(biāo)右鍵單擊之，點選右鍵菜單中的“編輯”命令，切換到選項設(shè)置對話框。

勾選其中的“已啟動”選項，確認(rèn)后返回，這樣Windows系統(tǒng)就能對上次登錄系統(tǒng)的狀態(tài)進(jìn)行跟蹤記錄了。日后別人悄悄登錄本地計算機系統(tǒng)時，Windows系統(tǒng)就能將該用戶登錄系統(tǒng)的狀態(tài)信息智能存儲下來。下次計算機主人重新開機并登錄系統(tǒng)時，就能從系統(tǒng)屏幕上看到上次登錄系統(tǒng)的具體狀態(tài)信息了，從這些信息中就能自我明察出究竟是哪個用戶偷偷登錄本地計算機了。

自知U盤是否安全

如果讓不安全的U盤隨意插入重要計算機，可能會發(fā)生數(shù)據(jù)泄密事故，所以很多單位的內(nèi)網(wǎng)主機都是嚴(yán)格禁止用戶插拔U盤。但總有一些人不自覺，還是會悄悄在內(nèi)網(wǎng)主機中使用。為保護(hù)內(nèi)網(wǎng)運行安全，該怎樣明察出內(nèi)網(wǎng)主機中有可疑U盤插入過呢？不妨從系統(tǒng)注冊表中找到所插U盤的設(shè)備ID信息和品牌信息，根據(jù)這些信息能大概定位出可疑U盤。

首先打開系統(tǒng)運行對話框，執(zhí)行“cmd”命令進(jìn)入DOS窗口，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”命令，將返回結(jié)果“FriendlyName”位置處的U盤品牌信息記錄下來，如果發(fā)現(xiàn)其品牌不是自己經(jīng)常使用的，就能確認(rèn)本地系統(tǒng)已經(jīng)插入過可疑U盤。

但上述命令常常會返回大量的狀態(tài)信息，這些信息在DOS窗口中查看起來比較費力，為便于查詢，不妨在命令行提示符下，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s >F：aaa.txt”命令并回車，將命令返回結(jié)果信息保存到“F：aaa.txt”文件中，日后開啟記事本程序查看“F：aaa.txt”文件內(nèi)容，就能快速地找出可疑U盤的品牌信息了。

當(dāng)然，很多用戶使用的U盤品牌都相同，這時，簡單依照品牌信息無法尋找到可疑U盤，僅能使用其他辦法才能弄清誰在內(nèi)網(wǎng)主機中偷偷使用U盤。由于Windows系統(tǒng)會為所插U盤自動分配唯一的設(shè)備ID，也就是說，每只U盤都有一個與眾不同的ID，如果能查看到所插U盤的ID信息，就能找到可疑U盤了，下面就是詳細(xì)的操作步驟。

首先依次單擊“開始”、“運行”命令，在系統(tǒng)運行框中執(zhí)行“cmd”命令，切換到DOS命令行窗口中，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令，將命令結(jié)果中“Disk&Ven”位置后面的設(shè)備ID信息記錄下來，如果發(fā)現(xiàn)結(jié)果信息中有多個U盤ID時，那就說明肯定有多人悄悄在內(nèi)網(wǎng)主機系統(tǒng)中使用過U盤。

找到可疑U盤的設(shè)備ID信息后，再將單位每個用戶的U盤插入到外網(wǎng)計算機系統(tǒng)，打開計算機窗口，右擊目標(biāo)U盤圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，切換到特定U盤屬性設(shè)置框，選擇“詳細(xì)信息”選項卡，在對應(yīng)選項設(shè)置頁面的“設(shè)備范例ID”或“設(shè)備實例路徑”位置處，就能發(fā)現(xiàn)對應(yīng)U盤的設(shè)備ID，如果該信息與可疑U盤的信息相同時，那就說明該U盤就是偷偷在內(nèi)網(wǎng)主機中使用過的U盤。