危險分子安全審查不放松

在單位內網環境中，各式各樣的危險分子隨時都有可能給單位內網或重要系統的安全運行帶來影響，甚至會帶來無法挽回的損失。為了保護單位內網或重要系統安全，管理員需要學會安全審查本領，在第一時間發現躲藏在自己周圍的各種不安全分子。

審查服務安全

Windows系統長時間工作后，各式各樣的服務會潛藏在系統后臺，Windows系統安全性將不能得到保障。一些默認啟動的系統服務，平時很少用到，還可能帶來安全麻煩。為減少安全審查麻煩，建議用不到的時候立即停用。例如，Remote Registry服務基本上沒有什么作用，但非法用戶經常會借助它偷偷遠程修改網絡中其他計算機的系統注冊表鍵值，以達到惡意破壞目的。

在反復安裝、卸載程序的過程中，不少陌生服務會在系統中偷偷生成，這些服務往往都是不安全分子的來源。這時可以借用“Comodo Cleaning Essentials”工具自帶的Killswitch功能，對系統中的異常服務進行自動識別。在該程序主操作窗口中，點擊“打開Killswitch”按鈕，彈出任務管理器界面，點選“服務”選項卡，在對應選項設置頁面中可以看到所有安全的服務會被識別為“safe”，而可能存在安全威脅的服務都沒有識別為“safe”，將這些不正常的服務名稱及時停用并刪除，以確保系統工作安全。

還可以對系統服務進行動態監控，確保在第一時間發現系統服務的變化狀態。首先在系統運行正常情況下，執行“cmd”命令進入DOS命令行窗口，輸入“net start > E:aaa.txt”命令，將Windows系統運行正常時的服務狀態存儲到“E:aaa.txt” 文 件。當日后感覺Windows系統運行不正常時，在DOS命令行工作窗口中，繼續輸入“net start >E:bb.txt”命令，將存在問題時的系統服務狀態存儲到“E:bb.txt”文件中。再執行字符串命令“fc E:aaa.txt E:bb.txt”，比較不同系統狀態下服務的變化之處，就能初步審查出系統服務的安全狀況了。

審查賬戶安全

有時關閉計算機系統會出現“有其他用戶登錄到這臺計算機”的提示，是否真有可疑用戶賬號在偷偷連接本地系統？

正常情況下，上面的提示意味著確實在關閉系統時，網絡中有其他人正遠程連接到自己的系統中，當然也可能是用戶自己在操作計算機系統時沒有及時注銷以前的用戶賬號。審查第一種情況比較簡單，只要認真查看自己系統中有沒有陌生賬號名稱，就能審查出賬號是否安全了。在進行該審查操作時，右擊“計算機”圖標，點選右鍵菜單中的“管理”命令，依次跳轉到計算機管理窗口中的“系統工具”、“本地用戶和組”、“用戶”節點上，在指定節點下就能查看到自己系統中是否有不安全賬戶了。

對于后一種情況來說，如果自己的計算機系統已經連接到單位網絡環境中時，發生的幾率還是很高的。在單位局域網中，要將這些不安全用戶賬號審查出來，其實很簡單！先進入計算機管理窗口，依次選擇“系統工具”、“共享文件夾”、“會話”節點選項，在指定節點下大家能一眼看見所有連接到本地系統的賬號名稱，對于自己不熟悉的賬號連接，可以打開對應連接的右鍵菜單，單擊“關閉會話”命令，強行切斷不安全用戶賬號的訪問連接。當然，若是不安全用戶賬號正悄悄訪問系統中的隱私數據時，也能關閉特定數據文件，只要依次選擇“系統工具”、“共享文件夾”、“打開文件”節點選項，找到并打開特定數據文件的右鍵菜單，選擇“將打開的文件關閉”命令即可。

一些隱藏用戶賬號，不但可以躲避殺毒軟件等專業工具的審查，而且通過上面的方法也審查不出。考慮到隱藏賬號大多都有管理員權限，大家不妨在DOS命令行窗口的命令提示符下，使 用“net localgroup administrators”命 令，顯示出所有具有系統管理員權限的隱藏賬號，其中陌生的賬號名稱多半是不安全用戶賬號。例如有一些隱藏用戶賬號會悄悄躲藏到系統注冊表中，可以先進入系統注冊表編輯界面，將鼠標定位到注冊表節點“HKEY_LOCAL_MACHINESAMSAM DomainsAccountUsersNames” 上，在目標節點下或許會發現其他一些隱藏賬號，打開對應隱藏賬號的右鍵菜單，單擊“刪除”命令即可。

圖1 審核賬戶管理設置

如果希望在第一時間審查出用戶賬號安全狀態變化時，可以先打開系統運行對話框，在其中執行“secpol.msc”命令，切換到系統安全策略編輯窗口。依次選擇“本地策略”、“審核策略”、“審核賬戶管理”選項，雙擊進入設置對話框，勾選“成功”、“失敗”選項，確認后保存設置操作，如圖1所示。之后進入計算機管理窗口，將鼠標定位到“系統工具”、“本地用戶和組”、“用戶”節點上，打開對應節點選項的右鍵菜單，單擊“新建用戶”命令，彈出用戶創建對話框，在這里任意生成一個用戶帳號。接著打開系統控制面板窗口，依次點選“管理工具”、“事件查看器”，進入系統事件查看器窗口，將鼠標定位到“Windows日志”、“安全”節點上，在指定節點下找到剛才任意創建的用戶帳號，打開該用戶賬號的右鍵菜單，執行“將任務附加到此事件”命令，切換到附加任務向導設置框，根據提示依次設置好報警方式、報警內容，確認后保存設置。這樣，自己系統中日后一旦有非法用戶賬號被創建，系統屏幕會在第一時間彈出警報信息。

審查進程安全

為逃避殺毒軟件的查殺，很多非法程序常通過悄悄注入系統進程來達到啟動運行目的，如果我們不能在第一時間審查出系統進程中的不安全分子，那么Windows系統受到的安全威脅會大大增加。正常情況下，只要查看進程的屬性信息就能識別出其是否為不安全分子。

由于惡意程序不能輕易獲得系統權限，單純通過進程用戶名信息來審查進程安全性是不準確的，要想有效提升審查準確性，可以先查看特定進程的源路徑，根據詳細路徑，可初步識別出特定進程的安全性。倘若對調用進程的程序名不熟悉時，可以嘗試將進程全名復制并粘貼到搜索引擎頁面中，借助搜索引擎判斷目標進程的安全性。

對于進程中的不安全分子，必須立即將其殺掉。手工殺掉不安全進程的操作很簡單，只要在任務管理器進程選項設置頁面中，選中不安全進程名稱，按下“結束任務”按鈕即可。當然，僅僅殺掉不安全進程，還不能保證系統安全，還需要依照進程路徑信息，找到調用不安全進程的詳細程序和相關文件，同時將它們也都刪除掉，才能避免不安全進程的再次啟動運行。

也有一些不安全進程，在任務管理器中不能通過手工方法殺掉，這時可以通過Windows系統自帶的用戶動態調試命令“Ntsd”來將其強行殺掉。例如，某個頑固的不安全進程，它的進程PID為“3152”，要將其終止運行時，可以先打開系統運行對話框，輸入“cmd”命令并回車，展開MS-DOS命令行窗口，在其中執行字符串命令“ntsd -c q -p 3152”即可。

審查文件安全

現在有些狡猾的惡意程序常通過劫持合法的原始程序，達到隱藏自身并自動運行的目的。那如何將存儲在合法文件夾中的不安全文件審查出來，同時將它們及時從系統中刪除掉呢？使用“文件異常監測器”就能輕松做到這一點，它能批量審查出某個文件夾中的所有文件，是否被替換、被修改或被刪除。

啟動運行“文件異常監測器”后，先進行注冊以得到合法賬號，后登錄進入主操作窗口，單擊“添加項目”按鈕，展開文件夾選擇對話框，選中并導入需要審查的特定文件夾，再按下“保存數據”按鈕，這樣所有文件的狀態信息會被自動存儲記憶下來。日后，當需要審查對應文件夾中的文件是否發生安全變化時，只要點擊“載入數據”按鈕，再單擊“開始驗證”按鈕，經過一段時間后，所有被新增加或被修改的文件，都會被列出。

對于一些不安全分子，當嘗試刪除它們時，系統可能提示其處于鎖定狀態而無法刪除。如果想知道誰鎖定了它們，并想對其執行解除鎖定操作時，不妨請“LockHunter”工具幫忙。

安 裝 了“LockHunter”后，系統右鍵菜單會集成有“What is locking this file”命令選項，執行該命令時，就能審查出不安全文件究竟是被誰鎖定的了。知道了鎖定文件的“幕后”程序后，倘若想立即對當前鎖定文件執行解鎖操作時，只要點擊“Unlock it”按鈕即可；要想對目標鎖定文件既要執行解鎖，又要執行刪除操作時，可以點擊“Delete it”按鈕。如果在復制文件時看到文件被鎖無法進行拷貝時，不妨執行“Unlock &Copy”命令，立即解除文件鎖定狀態，同時自動進行文件復制操作。