系統安全有“自知之明”

如何才能讓本地系統的網絡安全狀態有“自知之明”呢？下面一些措施可以讓大家自己動手，不需要借助外力，就能知道系統網絡各方面的安全狀態！

自知是否啟動安全

很多惡意程序為實現自動運行目的，往往會強行進駐系統啟動菜單，以便日后可以跟隨Windows系統啟動。那么本地系統的啟動菜單是否有陌生的啟動選項出現呢？現在，不妨按照下面的操作來實現系統啟動安全狀態的“自知之明”。

首先依次單擊“開始”、“運行”命令，彈出“運行”對話框，輸入“cmd”命令并回車，打開DOS命令行狀態，執行“wmic”字符串命令，此時會看到DOS命令提示符已經變成了“wmic：rootcli>”。

其 次 在“wmic：rootcli>”提示符下執行“startup list brief > G：abc.txt”命令，這樣Windows系統就會自動將當前的所有啟動選項輸出存儲到“G：abc.txt”文件中了。

日后一旦發現Windows系統運行狀態不正常，而懷疑病毒或木馬襲擊本地系統時，我們再將系統切換到“wmic：rootcli>”命令提示符下，執行“startup list brief > G：cd.txt”字符串命令，將系統運行不正常之后的所有啟動項目輸出存儲到“G：cd.txt”文件中。

下面退回到DOS命令行狀態，在該狀態下執行“fc G：abc.txt G：cd.txt”字符串命令，此時Windows系統就會對“G：abc.txt”文件和“G：cd.txt”文件的異同之處進行分析比較；通過比較分析，我們就能追查到系統的啟動選項究竟發現了哪些變化，對于那些陌生的啟動選項及時從系統中刪除干凈。

自知是否賬戶安全

一些木馬程序經常會悄悄在本地計算機中生成非法用戶賬號，日后惡意用戶憑借此賬號就能訪問到該系統的隱私數據，甚至可以憑借此賬號控制整個計算機系統。為了確保本地計算機安全，一定要想辦法對用戶賬戶的創建狀態進行自我明察，如果看到有陌生用戶賬號被偷偷生成時，必須及時清理它們。在Windows系統環境下，可以按照下面的操作，自我明察本地系統賬戶是否安全。

首先逐一點選“開始”、“所有程序”、“附件”、“運行”命令，打開系統運行對話框，輸入“gpedit.msc”字符串命令并回車，彈出Windows系統的組策略編輯界面。將鼠標定位在“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“審核策略”節點上，雙擊指定節點下的“審核賬戶管理”選項，彈出組策略選項設置對話框，勾選其中的“成功”選項，同時按下“確定”按鈕執行保存操作。這樣，Windows系統日后就可以對用戶賬號的變化情況進行跟蹤記憶了，并會將記憶結果保存到對應系統日志文件。

接著為了讓Windows系統的賬戶安全狀態變化情況自動通知給用戶，不妨利用該系統新增加的附加任務功能，將自動報警任務附加到用戶賬號創建事件上，要是用戶賬號創建事件被成功觸發，那么自動報警任務也就能自動執行了，到時就可以及時明察當前計算機中有用戶賬號被偷偷創建了。為此，可以單擊Windows系統“開始”菜單中的“控制面板”命令，在彈出的系統控制面板窗口中逐一雙擊“用戶賬戶和家庭安全”、“用戶賬戶”、“管理賬戶”、“創建新賬戶”鏈接，隨意生成一個用戶賬戶，當該賬戶創建成功后，對應操作的日志記錄就會被保存到Windows系統的日志文件中了。

之后切回到Windows系統桌面，右擊“計算機”圖標，點選“管理”命令，將鼠標定位在“系統工具”、“事件查看器”、“Windows 日志”、“系統”分支節點，從目標節點下面找到剛剛生成的用戶賬戶創建成功的日志記錄，同時用鼠標右鍵單擊該記錄，并執行快捷菜單中的“將任務附加到此事件”命令，打開“創建基本任務向導”對話框。

下面定義好自動報警的任務名稱以及描述信息，選中自動報警任務的執行方式，這里可以選中“顯示消息”方式，同時正確編輯好消息的標題及內容，比如不妨將自動報警內容設置為“小心！可能有陌生賬號創建！”，最后單擊“完成”按鈕結束自動報警任務創建。

以后，當有木馬程序偷偷在Windows系統中創建用戶賬戶時，對應系統的屏幕上會立即彈出“小心！可能有陌生賬號創建！”這樣的報警內容，看到這樣的報警提示，我們就能及時采取措施來查殺病毒或木馬程序。

自知是否存在入侵

只要本地系統與Internet保持連接，那么工作站受到病毒或非法用戶入侵的可能性就會存在，那如何才能判斷出自己的工作站是否遭遇了網絡入侵呢？也許有人會說，可以使用專業的安全監控工具。話雖如此，如果手頭沒有這樣的專業工具，該怎樣追查到自己工作站的網絡入侵狀態呢？其實巧妙利用Windows系統環境下的任務管理器功能，也能判斷出自己的工作站有沒有遭遇網絡病毒或其他非法用戶的入侵。

首先調出Windows系統的任務管理器窗口，點選“聯網”選項卡，打開選項設置頁面。在其中能夠清楚地看到本地計算機系統的聯網情況，當本地系統中沒有進行任何BT操作，而這里的時連接曲線保持很高的高度，同時本地計算機的運行速度非常緩慢時，那十有八九本地系統已遭遇了病毒襲擊；甚至有些特殊的網絡病毒在入侵本地工作站系統時，還會在“聯網”選項設置頁面中留下一些痕跡。

此外，無論哪一位用戶采用遠程連接方式連接到本地計算機系統時，其“身影”都會出現在Windows系統任務管理器窗口中的“用戶”標簽設置頁面中。所以，當懷疑自己的計算機系統遭遇非法用戶入侵時，不妨打開“用戶”選項設置頁面，檢查有沒有陌生的用戶連接到自己的計算機系統中。如果發現有陌生用戶的“身影”，可單擊鼠標右鍵，從彈出的快捷菜單中執行“斷開”命令，強制將陌生用戶建立的遠程連接從本地系統中斷開。

自知驅動是否安全

當在本地計算機系統中安裝了過多未經微軟數字認證的設備驅動程序時，Windows系統的運行穩定性可能會大打折扣，嚴重時能造成系統運行崩潰。為追查到Windows系統中究竟有哪些設備驅動程序沒有經過數字簽名認證，我們可以按照下面的操作來進行。

首先打開“開始”菜單，從中依次點擊“所有程序”、“附件”、“運行”選項，展開系統運行文本框，在其中輸入字符串命令“Sigverif”，彈出文件簽名驗證對話框。

按下“開始”按鈕，Windows系統就會智能探測安裝在本地系統中的所有設備驅動程序，很快那些沒有經過數字簽名認證、存在安全隱患的所有設備驅動程序就會顯示在眼前。

自知是否共享安全

為了相互溝通交流，用戶們在局域網環境中常常需要進行共享訪問操作，可是有的重要共享資源不希望被所有人訪問到，為此有人會對重要共享資源進行隱藏，但是不管怎么隱藏，它們仍然有可能被他人尋找、發現到，要是我們想追查究竟有哪些用戶訪問過自己的隱藏共享資源時，該怎么實現呢？其實很簡單，我們可以在Windows系統中執行下面的操作，就能對所有共享資源的訪問狀態一目了然。

首先在Windows系統桌面中用鼠標右鍵單擊“計算機”圖表，單擊右鍵菜單中的“管理”命令，彈出計算機系統的計算機管理窗口，在該管理窗口左側列表中的“系統工具”分支下面，展開“共享文件夾”節點。

接著勾選指定節點下面的“打開文件”選項，在對應該選項的右側列表中，能夠很直觀地發現有哪些共享資源被他人訪問過。要想查看此時此刻究竟有哪些人正在訪問本地系統中的共享資源時，不妨選中“會話”選項，在對應該選項的右側列表中，所有的共享訪問連接信息都會清楚地顯示在大家眼前，包括訪問者用戶名稱、客戶端主機的地址、連接時間、訪問的共享資源名稱等。

自知登錄是否安全

在公共場合下，趁計算機主人短暫離開系統時，有一些心懷不軌的人會偷偷登錄系統來查看隱私信息，那么怎樣才能自我明察到別人的偷偷登錄行為呢？在Windows系統環境下，不妨通過該系統自帶的登錄監控功能，對本地系統上一次登錄狀態進行智能監控。

首先依次單擊“開始”、“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，確定后，打開系統組策略控制臺窗口。

接著逐一點選“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows登錄選項”分支選項，從該分支下找到特定組策略“在用戶登錄期間顯示有關以前登錄的信息”選項，用鼠標右鍵單擊之，點選右鍵菜單中的“編輯”命令，切換到選項設置對話框。

勾選其中的“已啟動”選項，確認后返回，這樣Windows系統就能對上次登錄系統的狀態進行跟蹤記錄了。日后別人悄悄登錄本地計算機系統時，Windows系統就能將該用戶登錄系統的狀態信息智能存儲下來。下次計算機主人重新開機并登錄系統時，就能從系統屏幕上看到上次登錄系統的具體狀態信息了，從這些信息中就能自我明察出究竟是哪個用戶偷偷登錄本地計算機了。

自知U盤是否安全

如果讓不安全的U盤隨意插入重要計算機，可能會發生數據泄密事故，所以很多單位的內網主機都是嚴格禁止用戶插拔U盤。但總有一些人不自覺，還是會悄悄在內網主機中使用。為保護內網運行安全，該怎樣明察出內網主機中有可疑U盤插入過呢？不妨從系統注冊表中找到所插U盤的設備ID信息和品牌信息，根據這些信息能大概定位出可疑U盤。

首先打開系統運行對話框，執行“cmd”命令進入DOS窗口，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”命令，將返回結果“FriendlyName”位置處的U盤品牌信息記錄下來，如果發現其品牌不是自己經常使用的，就能確認本地系統已經插入過可疑U盤。

但上述命令常常會返回大量的狀態信息，這些信息在DOS窗口中查看起來比較費力，為便于查詢，不妨在命令行提示符下，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s >F：aaa.txt”命令并回車，將命令返回結果信息保存到“F：aaa.txt”文件中，日后開啟記事本程序查看“F：aaa.txt”文件內容，就能快速地找出可疑U盤的品牌信息了。

當然，很多用戶使用的U盤品牌都相同，這時，簡單依照品牌信息無法尋找到可疑U盤，僅能使用其他辦法才能弄清誰在內網主機中偷偷使用U盤。由于Windows系統會為所插U盤自動分配唯一的設備ID，也就是說，每只U盤都有一個與眾不同的ID，如果能查看到所插U盤的ID信息，就能找到可疑U盤了，下面就是詳細的操作步驟。

首先依次單擊“開始”、“運行”命令，在系統運行框中執行“cmd”命令，切換到DOS命令行窗口中，輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令，將命令結果中“Disk&Ven”位置后面的設備ID信息記錄下來，如果發現結果信息中有多個U盤ID時，那就說明肯定有多人悄悄在內網主機系統中使用過U盤。

找到可疑U盤的設備ID信息后，再將單位每個用戶的U盤插入到外網計算機系統，打開計算機窗口，右擊目標U盤圖標，執行快捷菜單中的“屬性”命令，切換到特定U盤屬性設置框，選擇“詳細信息”選項卡，在對應選項設置頁面的“設備范例ID”或“設備實例路徑”位置處，就能發現對應U盤的設備ID，如果該信息與可疑U盤的信息相同時，那就說明該U盤就是偷偷在內網主機中使用過的U盤。