讓系統安全恢復“正軌”

在系統中部署好的安全防范措施，經過用戶的一些不經意或不恰當操作后，有些就逐步偏離了“正軌”，無法繼續發揮安全防范作用了。有鑒于此，我們需要開動腦筋，想方設法，讓系統安全重新恢復“正軌”。

讓防火墻恢復“正軌”

大家知道，善于利用Windows系統自帶的防火墻，能有效地防范網絡病毒和木馬的攻擊。但防火墻在平時的工作過程中，很容易受到惡意程序的操控而脫離“正規”，不能發揮安全防范作用。例如，當大家打開系統防火墻基本配置界面，發現其中的“設置”按鈕處于灰色不可點狀態時，就預示著防火墻的運行狀態已經“脫軌”，無法正常發揮作用了。

此時，要讓系統防火墻運行狀態恢復“正軌”，可以右擊系統桌面上的“計算機”圖標，單擊右鍵菜單中的“管理”命令，打開計算機管理窗口。在該管理窗口的左側子窗格中，將鼠標定位到“計算機管理”、“服務和應用程序”、“服務”節點上，在對應“服務”節點的右側子窗格中，找到與系統自帶防火墻程序有關的“Windows Firewall/Internet Connection Sharing(ICS)”服務。

接著用鼠標右鍵單擊該服務選項，執行快捷菜單中的“屬性”命令，切換到目標系統服務的屬性設置窗口，單擊該設置窗口的“常規”選項卡，在選項設置頁面中，能很清楚地看到目標系統服務的啟動狀態是不是正常。

要是發現該系統服務不能正常運行時，那直接單擊“啟動”按鈕將它先啟動起來。要是看到該服務無法被正常啟動的時候，還需要檢查一下系統中的“Server”服務是否運行正常，該服務如果無法正常運行時，也容易造成“Windows Firewall/Internet Connection Sharing(ICS)”服務工作狀態不正常。為了確保系統防火墻服務日后也能自動運行，建議將該系統服務的“啟動類型”參數調整為“自動”，確認后執行設置保存操作即可。

讓系統服務恢復“正軌”

當Windows系統遭遇惡意程序攻擊時，系統服務中可能會混入不安全分子，它們其實就是病毒木馬的“化身”，這些偽裝服務的存在，既會消耗系統資源，又會威脅系統安全。為了讓系統服務恢復“正軌”，大家不妨借助“WinServices”工具，及時創建系統運行正常時的服務快照，日后遇到系統被攻擊時，可以與之前的服務快照進行比較，以此來了解對哪個系統服務進行了更改、添加或移除操作。如果發現系統服務變化很大時，還能利用其內置的快速恢復功能，對系統服務進行迅速凈化，讓潛藏在系統服務列表中的各種偽裝服務全部停止運行。

啟動“WinServices”程序，打開該程序的主操作界面（如圖1所示），從中能看到Windows系統中的所有服務選項。當Windows系統運行正常，且無染毒時，應為當前系統服務創建一個快照，日后以此作為參照標準。逐一點選“File”、“Save Services”命令，定義好快照文件的名稱和保存路徑，就能為正常的系統服務創建好快照了。當Windows系統日后被潛藏有不正常服務時，可以依次點選“File”、“Restore Services”命令，將先前生成的快照文件導入進 來，這 樣“WinServices”工具就會自動以快照文件為標準，來識別當前的系統服務是否發生了變化。如果系統服務真的偏離“正規”，大家能看到相關報警提示信息，倘若想恢復特定系統服務狀態時，可以選中它們，并點擊“Restore service”按鈕即可。如果要將Windows系統中的所有服務恢復“正軌”時，只要簡單地在報警提示框中點擊“Restore all”按鈕即可。

圖1 WinServices界面

圖2 配置IE ESC

讓安全設置恢復“正規”

為了防止惡意程序通過IE瀏覽器的安全漏洞入侵Windows系統，很多用戶總是愿意將IE瀏覽器的安全訪問級別設置為“中-高”，在這種安全訪問級別控制下，大部分惡意網頁都能被正常過濾掉。但上網一段時間后，IE瀏覽器的安全設置等級，可能在悄無聲息中被修改為了低級別，而且安全訪問等級設置無法繼續修改，這會讓許多惡意程序趁虛而入！

之所以會出現這種現象，主要是惡意程序偷偷攻擊了IE瀏覽器，讓其安全設置偏離了“正規”。在Windows Server 2008系統環境下，可以巧妙利用系統新推出的IE增強安全配置功能，讓IE瀏覽器安全設置恢復“正規”。

首先依次單擊“開始”、“程序”、“管理工具”、“服務器管理器”命令，彈出系統服務器管理器窗口，在該窗口的右側顯示區域找到“安全信息”項下面的“配置IE ESC”功能選項，并用鼠標單擊該功能選項，進入如圖2所示的設置對話框。勾選“管理員”位置處的“禁用”選項，勾選“用戶”位置處的“禁用”選項，確認后退出設置對話框。

接著進入IE瀏覽器窗口，依次單擊“工具”、“Internet選項”菜單命令，在其后彈出的選項設置對話框中，點選“安全”選項卡，同時在對應的選項設置頁面中，將Internet區域的安全級別調整為“中-高”，再單擊“確定”按鈕保存設置操作即可。

讓系統注冊表恢復“正軌”

因為操作錯誤或非法攻擊等原因，系統注冊表常常會偏離“正規”，給系統安全運行帶來潛在威脅。為了讓系統注冊表運行狀態快速恢復“正規”，我們可以使用“Registry Life”工具，對系統注冊表中的各種錯誤進行強制修復。

啟動運行“Registry Life”工具后，它會自動掃描整個系統注冊表，掃描任務完成后，系統注冊表中存在的各個錯誤和錯誤數量都會列寫在主操作窗口中。其中，該工具會用紅色感嘆號標記突出顯示錯誤的地方，大家可以直觀識別出錯誤屬于什么類型。要想對存在的錯誤進行清除修復時，只要在主操作窗口中單擊“Run registry cleanup”按鈕，彈出錯誤清除向導設置框，點擊“Start”按鈕，“Registry Life”工具就能智能逐項分析系統注冊表中存在的錯誤，分析結束后，大家能看到對錯誤信息的詳細說明，再點擊“Fix”按鈕，錯誤修復操作就會正式開始。

圖3 配置自動更新

系統注冊表工作一段時間后，或許會產生垃圾或出現錯誤，定期清除垃圾，能讓注冊表處于最安全、最穩定的工作狀態。在進行該操作時，先進入“Registry Life”主操作窗口，逐一單擊“Main Functions”、“Registry Optimization”命令，展開注冊表優化設置界面，點擊“Perform the registry optimization”按鈕，位于系統注冊表各個位置處的的所有錯誤和垃圾，就能被目標工具強行修復或清除掉了。

讓系統更新恢復“正軌”

有時進入系統屬性框，大家會發現自動更新界面中某些功能選項處于灰色不可用狀態，這會造成補丁更新不及時，從而影響系統的安全防范效果。造成系統更新功能偏離“正規”的原因，多半是該功能被惡意程序偷偷停用了，此時可以依次點選“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，打開系統組策略對象編輯窗口。

在該窗口左側列表中，逐一點擊“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組 件”、“Windows Update”分支選項，雙擊指定分支下的“配置自動更新”選項，勾選如圖3所示界面中的“已啟用”選項，確認后退出設置對話框，這樣補丁更新功能或許就可以恢復正常了。

如果補丁更新功能還是無法恢復“正規”時，可以查 看“Automatic Updates”系統服務是否啟用起來，因為該服務是補丁更新功能正常運行的重要前提。在進行該項檢查操作時，先使用“services.msc”命令，調出系統服務列表界面，用鼠標雙擊其中的“Automatic Updates”選項，打開目標系統服務屬性窗口，如果發現該服務運行不正常時，可以點擊“啟動”按鈕將其恢復運行。倘若與補丁更新功能有關的系統文件受到損壞時，也可能造成該功能無效，這時可依次執行“regsvr32 vbscript.dll”、“regsvr32 jscript.dll”等命令，重新注冊相關DLL文件看看。

讓系統狀態恢復“正軌”

盡管使用殺毒軟件、防火墻等安全工具，可以改善系統安全防范能力，但這僅限于惡意程序的攻擊防護方面。對來自用戶自身的錯誤操作，或者是一些安全威脅較大的測試操作，上述安全工具就不能很好保護地系統狀態的安全了。

此時可以使用虛擬系統技術，來讓受到破壞的系統狀態快速恢復“正軌”。比方說，要對一些應用程序的兼容性和安全性進行檢測時，可以選擇在“ShadowUser”這款影子系統中進行，因為這種虛擬系統不會對原有的操作系統帶來任何影響，也不會在程序測試過程中，產生任何對系統運行有安全威脅的垃圾內容，用戶的所有操作在下一次利用原有系統啟動計算機時，都能被智能恢復到以前的狀態，整個恢復過程不需要人工的參與。

運行“ShadowUser”程序后，大家會看到系統的啟動菜單中，多出了一個與之關聯的啟動項，而原有操作系統的啟動項仍然保持不變。要讓虛擬系統發揮安全保護作用，一定要先對其進行合適的配置操作。點擊主操作界面中的“配置”選項卡，在對應選項設置頁面的“分區”位置處，勾選好需要被虛擬系統保護的特定磁盤分區，默認狀態下計算機系統中的所有磁盤分區都會受到該虛擬系統的安全防護。要是特定磁盤分區被選中后，執行虛擬系統重新啟動操作時，對應磁盤分區中的內容都會被快速恢復到原先的狀態。如果不想保護某個磁盤分區中的內容時，只要取消對應分區的選中狀態即可。

倘若特定磁盤分區中的特定文件夾不重要，不需要進行安全保護時，只要在“排除列表”位置處，將其添加進來，日后重新啟動虛擬系統時，目標文件夾中的數據內容不會被自動恢復。有時，需要將虛擬環境下的一些操作保存下來，這時不妨進入“自動存儲”設置頁面，指定好自動保存文件夾位置，到時“ShadowUser”工具會將虛擬環境下的操作內容自動存儲到指定路徑。

單擊主操作界面中“選項”按鈕，打開程序選項設置框，在“壁紙”設置項處，能通過配置個性化的桌面墻紙，來提醒用戶當前正處于虛擬系統環境狀態，避免因為操作失誤而造成重要數據發生丟失現象。在多用戶帳戶環境下，還能打開“管理”頁面，為虛擬系統配置登錄密碼以及其他個性化參數，確保虛擬系統的使用安全。要頻繁使用虛擬系統時，可以進入“常規”選項設置頁面，勾選“重啟后繼續保持在影子模式狀態”選項，日后每次開機啟動計算機系統時，虛擬系統將會成為首選操作系統。

結束各種設置操作后，依次單擊主操作界面中的“模式”、“開啟影子系統”命令，重新啟動計算機后將會切換到虛擬系統狀態，在該狀態下進行一些安全威脅較大的操作，都能讓系統狀態快速恢復“正軌”，因為所有可能存在的威脅操作，在重啟后都會自動消失。