系統(tǒng)安全始終是一個(gè)大家關(guān)注的熱門話題。在這病毒肆虐、黑客橫行的時(shí)代,僅僅安裝防火墻和殺毒軟件,并不意味著從此高枕無憂。在很多時(shí)候,我們還得借助其他工具來保障系統(tǒng)的安全。Windows系統(tǒng)自帶的管理工具,也能成為我們保障安全的好幫手。
使用事件查看器查找黑客入侵蹤跡
個(gè)人計(jì)算機(jī)遭到黑客的入侵,導(dǎo)致數(shù)據(jù)丟失、隱私泄密已經(jīng)不是新鮮事了。黑客常用的一個(gè)招數(shù)便是,侵入系統(tǒng)后建立一個(gè)后門用戶,并將其提升為系統(tǒng)管理員。
那么,我們?cè)趺床拍苤?,自己電腦有沒有被建立過非法用戶?有沒有并被惡意登錄過?答案就在管理工具里。在管理工具的事件查看器中,我們能夠查看到自己電腦賬戶變動(dòng)信息。
Step 1 在Windows XP中啟動(dòng)組策略編輯器,依次展開“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“ 審核策略”,然后雙擊右側(cè)窗格的“審核賬戶管理”,勾選“成功”和“失敗”審核(如圖1)。
Step 2 如果現(xiàn)在懷疑自己的系統(tǒng)被黑客入侵并建立過非法賬戶,打開控制面板的管理工具中的“事件查看器”,選擇“安全性”。在右側(cè)窗格檢查“審核成功”事件,很快就可以發(fā)現(xiàn)賬戶的變化。比如,筆者就在這些審核事件中發(fā)現(xiàn)創(chuàng)建賬戶hacker事件(如圖2)。通過查看其他事件進(jìn)一步發(fā)現(xiàn)該賬戶在創(chuàng)建2秒后被提升為administrators,并在稍后刪除。由于筆者自己從來沒有創(chuàng)建過該用戶,因此可以判定電腦被黑客入侵了,稍后果然發(fā)現(xiàn)系統(tǒng)中有盜號(hào)木馬。
使用設(shè)備管理器查找隱藏病毒
為了逃脫查殺,很多病毒把自己偽裝為系統(tǒng)驅(qū)動(dòng)服務(wù)。由于驅(qū)動(dòng)服務(wù)加載的優(yōu)先級(jí)最高,而且硬件服務(wù)在安全模式也可以加載,因此,一些驅(qū)動(dòng)型病毒很難查殺。現(xiàn)在借助管理工具中的“設(shè)備管理器”,就可以輕松剿殺它們了。
Step 1 在Windows XP中打開管理工具,依次展開“計(jì)算機(jī)管理”→“系統(tǒng)工具”→“設(shè)備管理器”,打開設(shè)備管理器后單擊“查看”→“顯示隱藏的設(shè)備”。
Step 2 展開“非即插即用驅(qū)動(dòng)程序”,這里我們就可以看到所有驅(qū)動(dòng)型軟件的服務(wù)程序。比如,筆者殺毒軟件檢測(cè)發(fā)現(xiàn)本機(jī)存在名為“SupeCD”的病毒,但是始終無法刪除。展開上述設(shè)備后,在這里發(fā)現(xiàn)病毒偽裝的驅(qū)動(dòng)服務(wù)“SupeCD”,打開該服務(wù)切換到“驅(qū)動(dòng)程序”,現(xiàn)在將其啟動(dòng)類型設(shè)置為“已停用”(如圖3)。單擊“驅(qū)動(dòng)程序詳細(xì)信息”,我們就可以看到病毒真身是“c:\windows\system32\SupeCD.sys”。
Step 3 重啟電腦,由于病毒服務(wù)被設(shè)置為“已停用”,重啟后病毒就不會(huì)加載。現(xiàn)在按驅(qū)動(dòng)文件路徑提示刪除病毒即可。
Vista絕招,用防火墻阻止賬戶連接
在Vista中,系統(tǒng)管理工具里增加了“高級(jí)安全Windows防火墻”組件,我們可以用它來更好地保護(hù)系統(tǒng)。比如,為了方便遠(yuǎn)程控制,很多員工使用Vista的遠(yuǎn)程桌面來登錄公司電腦。默認(rèn)情況下,任何人只要知道賬戶名和密碼,都可以通過IP地址訪問登錄。為了防止公司電腦被非法登錄,最好在不影響方便性的基礎(chǔ)上,用防火墻把遠(yuǎn)程桌面保護(hù)起來。
Step 1 在控制面板打開“系統(tǒng)和維護(hù)”→“管理工具”,然后單擊“高級(jí)安全Windows防火墻”,打開防火墻的高級(jí)設(shè)置并切換到“入站規(guī)則”(如圖4)。
Step 2 在右側(cè)窗口“入站規(guī)則”找到“遠(yuǎn)程桌面”雙擊打開,在打開的窗口單擊“常規(guī)”標(biāo)簽,將連接設(shè)置為“只允許安全連接”。切換到“用戶和計(jì)算機(jī)”,我們可以設(shè)置指定的用戶才能連接該電腦。比如,銷售部統(tǒng)計(jì)專用電腦,我們要設(shè)置只有統(tǒng)計(jì)員才有權(quán)遠(yuǎn)程連接。假設(shè)統(tǒng)計(jì)員賬戶是TJY。在授權(quán)用戶下單擊“添加”,把TJY用戶添加到允許列表,這樣只有TJY才能遠(yuǎn)程連接到這臺(tái)電腦,其他員工即使有該臺(tái)電腦賬戶和密碼也無法連接(如圖5)。
公司局域網(wǎng)用戶可以切換到“作用域”,設(shè)置允許連接的具體IP地址或者指定IP起始范圍。通過高級(jí)安全Windows防火墻,可以精確設(shè)置允許連接的類型。