危险分子安全审查不放松

在单位内网环境中，各式各样的危险分子随时都有可能给单位内网或重要系统的安全运行带来影响，甚至会带来无法挽回的损失。为了保护单位内网或重要系统安全，管理员需要学会安全审查本领，在第一时间发现躲藏在自己周围的各种不安全分子。

审查服务安全

Windows系统长时间工作后，各式各样的服务会潜藏在系统后台，Windows系统安全性将不能得到保障。一些默认启动的系统服务，平时很少用到，还可能带来安全麻烦。为减少安全审查麻烦，建议用不到的时候立即停用。例如，Remote Registry服务基本上没有什么作用，但非法用户经常会借助它偷偷远程修改网络中其他计算机的系统注册表键值，以达到恶意破坏目的。

在反复安装、卸载程序的过程中，不少陌生服务会在系统中偷偷生成，这些服务往往都是不安全分子的来源。这时可以借用“Comodo Cleaning Essentials”工具自带的Killswitch功能，对系统中的异常服务进行自动识别。在该程序主操作窗口中，点击“打开Killswitch”按钮，弹出任务管理器界面，点选“服务”选项卡，在对应选项设置页面中可以看到所有安全的服务会被识别为“safe”，而可能存在安全威胁的服务都没有识别为“safe”，将这些不正常的服务名称及时停用并删除，以确保系统工作安全。

还可以对系统服务进行动态监控，确保在第一时间发现系统服务的变化状态。首先在系统运行正常情况下，执行“cmd”命令进入DOS命令行窗口，输入“net start > E:aaa.txt”命令，将Windows系统运行正常时的服务状态存储到“E:aaa.txt” 文 件。当日后感觉Windows系统运行不正常时，在DOS命令行工作窗口中，继续输入“net start >E:bb.txt”命令，将存在问题时的系统服务状态存储到“E:bb.txt”文件中。再执行字符串命令“fc E:aaa.txt E:bb.txt”，比较不同系统状态下服务的变化之处，就能初步审查出系统服务的安全状况了。

审查账户安全

有时关闭计算机系统会出现“有其他用户登录到这台计算机”的提示，是否真有可疑用户账号在偷偷连接本地系统？

正常情况下，上面的提示意味着确实在关闭系统时，网络中有其他人正远程连接到自己的系统中，当然也可能是用户自己在操作计算机系统时没有及时注销以前的用户账号。审查第一种情况比较简单，只要认真查看自己系统中有没有陌生账号名称，就能审查出账号是否安全了。在进行该审查操作时，右击“计算机”图标，点选右键菜单中的“管理”命令，依次跳转到计算机管理窗口中的“系统工具”、“本地用户和组”、“用户”节点上，在指定节点下就能查看到自己系统中是否有不安全账户了。

对于后一种情况来说，如果自己的计算机系统已经连接到单位网络环境中时，发生的几率还是很高的。在单位局域网中，要将这些不安全用户账号审查出来，其实很简单！先进入计算机管理窗口，依次选择“系统工具”、“共享文件夹”、“会话”节点选项，在指定节点下大家能一眼看见所有连接到本地系统的账号名称，对于自己不熟悉的账号连接，可以打开对应连接的右键菜单，单击“关闭会话”命令，强行切断不安全用户账号的访问连接。当然，若是不安全用户账号正悄悄访问系统中的隐私数据时，也能关闭特定数据文件，只要依次选择“系统工具”、“共享文件夹”、“打开文件”节点选项，找到并打开特定数据文件的右键菜单，选择“将打开的文件关闭”命令即可。

一些隐藏用户账号，不但可以躲避杀毒软件等专业工具的审查，而且通过上面的方法也审查不出。考虑到隐藏账号大多都有管理员权限，大家不妨在DOS命令行窗口的命令提示符下，使 用“net localgroup administrators”命 令，显示出所有具有系统管理员权限的隐藏账号，其中陌生的账号名称多半是不安全用户账号。例如有一些隐藏用户账号会悄悄躲藏到系统注册表中，可以先进入系统注册表编辑界面，将鼠标定位到注册表节点“HKEY_LOCAL_MACHINESAMSAM DomainsAccountUsersNames” 上，在目标节点下或许会发现其他一些隐藏账号，打开对应隐藏账号的右键菜单，单击“删除”命令即可。

图1 审核账户管理设置

如果希望在第一时间审查出用户账号安全状态变化时，可以先打开系统运行对话框，在其中执行“secpol.msc”命令，切换到系统安全策略编辑窗口。依次选择“本地策略”、“审核策略”、“审核账户管理”选项，双击进入设置对话框，勾选“成功”、“失败”选项，确认后保存设置操作，如图1所示。之后进入计算机管理窗口，将鼠标定位到“系统工具”、“本地用户和组”、“用户”节点上，打开对应节点选项的右键菜单，单击“新建用户”命令，弹出用户创建对话框，在这里任意生成一个用户帐号。接着打开系统控制面板窗口，依次点选“管理工具”、“事件查看器”，进入系统事件查看器窗口，将鼠标定位到“Windows日志”、“安全”节点上，在指定节点下找到刚才任意创建的用户帐号，打开该用户账号的右键菜单，执行“将任务附加到此事件”命令，切换到附加任务向导设置框，根据提示依次设置好报警方式、报警内容，确认后保存设置。这样，自己系统中日后一旦有非法用户账号被创建，系统屏幕会在第一时间弹出警报信息。

审查进程安全

为逃避杀毒软件的查杀，很多非法程序常通过悄悄注入系统进程来达到启动运行目的，如果我们不能在第一时间审查出系统进程中的不安全分子，那么Windows系统受到的安全威胁会大大增加。正常情况下，只要查看进程的属性信息就能识别出其是否为不安全分子。

由于恶意程序不能轻易获得系统权限，单纯通过进程用户名信息来审查进程安全性是不准确的，要想有效提升审查准确性，可以先查看特定进程的源路径，根据详细路径，可初步识别出特定进程的安全性。倘若对调用进程的程序名不熟悉时，可以尝试将进程全名复制并粘贴到搜索引擎页面中，借助搜索引擎判断目标进程的安全性。

对于进程中的不安全分子，必须立即将其杀掉。手工杀掉不安全进程的操作很简单，只要在任务管理器进程选项设置页面中，选中不安全进程名称，按下“结束任务”按钮即可。当然，仅仅杀掉不安全进程，还不能保证系统安全，还需要依照进程路径信息，找到调用不安全进程的详细程序和相关文件，同时将它们也都删除掉，才能避免不安全进程的再次启动运行。

也有一些不安全进程，在任务管理器中不能通过手工方法杀掉，这时可以通过Windows系统自带的用户动态调试命令“Ntsd”来将其强行杀掉。例如，某个顽固的不安全进程，它的进程PID为“3152”，要将其终止运行时，可以先打开系统运行对话框，输入“cmd”命令并回车，展开MS-DOS命令行窗口，在其中执行字符串命令“ntsd -c q -p 3152”即可。

审查文件安全

现在有些狡猾的恶意程序常通过劫持合法的原始程序，达到隐藏自身并自动运行的目的。那如何将存储在合法文件夹中的不安全文件审查出来，同时将它们及时从系统中删除掉呢？使用“文件异常监测器”就能轻松做到这一点，它能批量审查出某个文件夹中的所有文件，是否被替换、被修改或被删除。

启动运行“文件异常监测器”后，先进行注册以得到合法账号，后登录进入主操作窗口，单击“添加项目”按钮，展开文件夹选择对话框，选中并导入需要审查的特定文件夹，再按下“保存数据”按钮，这样所有文件的状态信息会被自动存储记忆下来。日后，当需要审查对应文件夹中的文件是否发生安全变化时，只要点击“载入数据”按钮，再单击“开始验证”按钮，经过一段时间后，所有被新增加或被修改的文件，都会被列出。

对于一些不安全分子，当尝试删除它们时，系统可能提示其处于锁定状态而无法删除。如果想知道谁锁定了它们，并想对其执行解除锁定操作时，不妨请“LockHunter”工具帮忙。

安 装 了“LockHunter”后，系统右键菜单会集成有“What is locking this file”命令选项，执行该命令时，就能审查出不安全文件究竟是被谁锁定的了。知道了锁定文件的“幕后”程序后，倘若想立即对当前锁定文件执行解锁操作时，只要点击“Unlock it”按钮即可；要想对目标锁定文件既要执行解锁，又要执行删除操作时，可以点击“Delete it”按钮。如果在复制文件时看到文件被锁无法进行拷贝时，不妨执行“Unlock &Copy”命令，立即解除文件锁定状态，同时自动进行文件复制操作。