通透Windows 2008系统状态变化
俗话说“知己知彼,百战不殆”,只有充分了解系统自身的各种状态变化,我们才能为系统量身定制好安全防御方案,从而保证自己的系统始终安全、稳定地运行。在对系统自身各方面的状态进行检查时,我们有时需要通过专业工具来帮忙才能完成这项任务,但是对于Windows Server 2008系统来说,我们只要充分利用好该系统自带的功能命令,就能通透Windows Server 2008系统各方面的状态变化了。
很多时候,为了让Windows Server 2008系统运行得更加高效,我们常常采用手工方法来关闭一些暂时用不到的系统服务,以便尽可能地节省宝贵的系统资源;然而,因为对系统中的许多服务选项根本不熟悉,手工修改系统服务后很可能导致Windows Server 2008系统发生一些莫名其妙的故障现象;比方说,某个朋友采用专业的优化工具对Windows Server 2008系统进行优化后,发现原先能够正常使用的打印机却不能正常工作了,那如何才能快速知道当前系统中究竟哪些系统服务的状态发生变化了呢?其实巧妙地使用Windows Server 2008系统自带的“sc query”命令,我们就能快速查看到对应系统中所有服务的工作状态;为了能够找出工作状态发生变化的系统服务,我们可以按照如下步骤进行操作:
首先在对本地计算机系统进行优化之前,将正常的系统服务状态信息备份下来;在进行服务状态信息备份操作时,我们可以依次单击Windows Server 2008系统桌面中的“开始”/“程序”/“附件”选项,从其后出现的“附件”子菜单中选中“命令提示符”项目,并用鼠标右键单击该项目,从弹出的快捷菜单中执行“以管理员身份运行”命令,将系统状态切换到DOS命令行工作状态;
其次在DOS命令行提示符下,输入字符串命令“sc query >d:\aaa.txt”,单击回车键后,屏幕上将会返回的执行结果,这就意味着Windows Server 2008系统在正常工作时的服务状态信息全部被输出保存到“d:\aaa.txt”文件中了;
日后,当我们采用专业工具对Windows Server 2008系统的服务进行优化之后,对应系统要是发生莫名其妙的故障现象时,我们只要再在DOS命令行提示符下执行字符串命令“sc query >d:\bbb.txt”,那样一来被优化过的系统服务状态信息就被成功保存到“d:\bbb.txt”文件中了;
下面,我们继续在MS-DOS窗口中执行字符串命令“fc d:\aaa.txt d:\bbb.txt”,以便通过Windows Server 2008系统自带的fc命令,来比较“d:\aaa.txt”文件和“d:\bbb.txt”文件有什么不同之处;相信通过对比,我们就能快速地知道Windows Server 2008系统中究竟哪些服务的状态变化导致系统发生了莫名其妙的故障现象。例如,要是在优化服务之前打印机能够正常工作,而执行过系统优化服务操作之后,打印机要是不能正常工作时,那我们只要按照上面的操作,就能快速地了解到系统的后台打印服务状态发生变化了,此时我们只要打开对应系统的服务列表窗口,从中找到后台打印服务,并进入该服务的属性设置窗口,之后将该服务重新启动正常,就能解决打印机无法正常工作的故障现象了。
除了利用“sc query”命令可以将系统服务状态信息导出来,通过“net start”命令也能完成这一操作任务。
我们知道,不少流行的木马程序、病毒程序都是想方设法地将自己“乔装”成系统的自启动项,来跟随Windows系统启动而自动运行发作的,因此对系统启动项的状态变化进行及时监视,可以帮助我们很好地保护计算机系统的安全。这不,在Windows Server 2008系统环境下,我们可以巧妙地使用系统自带的“wmic”命令,来将对应系统中的所有自动启动项目状态信息记录下来;日后系统遇到不正常现象的时候,我们再记录一次系统自动启动项目状态信息,之后通过Windows Server 2008系统自带的fc命令来比较前后两次的状态变化,相信这么一来就能快速了解到对应系统的启动项变化内容了。在通透Windows Server 2008系统启动项变化之前,我们必须先将系统运行正常状态下的启动项内容备份下来,下面就是具体的备份步骤:
首先按照前面的操作步骤,以系统管理员身份打开Windows Server 2008系统的MS-DOS窗口,在该窗口的命令行提示符下,输入字符串命令“wmic”,单击回车键后,系统命令提示符将自动变成“wmic:root\cli>”。
其次在该提示符状态下,输入字符串命令“startup list brief > c:\aaa.txt”,单击回车键后,Windows Server 2008系统所有自启动项内容将会被自动保存到“c:\aaa.txt”文件中。
如果日后怀疑由于遭遇木马或病毒袭击Windows Server 2008系统的自动启动项目发生变化时,我们可以按照相同的操作方法,将发生故障之后的自动启动项目内容保存到“c:\bbb.txt”文件中;接着,我们在MS-DOS窗口中继续执行字符串命令“fc c:\aaa.txt c:\bbb.txt”,以便通过Windows Server 2008系统自带的fc命令,来比较“c:\aaa.txt”文件和“c:\bbb.txt”文件有什么不同之处;相信通过对比,我们就能快速发现Windows Server 2008系统中究竟新增加了哪些自启动项目。
同样地,我们还可以在“wmic:root\cli>”系统命令提示符下,执行字符串命令“process list brief”,来观察系统所有进程的状态信息,也可以将进程状态信息备份保存下来,以便日后系统遇到意外现象时,对比检查系统进程状态的变化情况,这种对比检查操作也有利于我们判断Windows Server 2008系统是否遭受了木马或病毒程序的攻击。
有的时候,Windows Server 2008系统一旦遭遇了木马或病毒程序攻击后,系统中会莫名其妙地多出许多隐藏共享文件夹,木马或病毒往往就是利用这些隐藏的共享文件夹来实现偷偷监控本地重要资源目的的。如果我们采用手工方法来查询本地服务器系统中重要资源的共享状态变化时,不但工作量很大,而且也很容易出现遗漏;事实上,巧妙地利用Windows Server 2008系统自带的“net share”命令,我们可以将对应系统中的所有隐藏共享资源记录下来;日后我们怀疑系统中重要资源的共享状态发生变化时,再使用“net share”命令记录一次系统的共享状态信息,之后利用fc命令来比较前后两次的状态变化,如此一来我们就能快速地知道哪些共享文件夹是新创建的,哪些文件夹的共享状态已经被取消了。在使用“net share”命令记录本地服务器系统的共享资源状态变化时,我们可以按照下面的操作来进行:
首先在Windows Server 2008系统桌面中用鼠标逐一点选“开始”/“程序”/“附件”选项,从其后出现的“附件”子菜单中选中“命令提示符”项目,并用鼠标右键单击该项目,从弹出的快捷菜单中执行“以管理员身份运行”命令,将系统状态切换到DOS命令行工作状态;
其次在DOS命令行工作状态中,输入字符串命令“net share > d:\111.txt”,单击回车键后,Windows Server 2008系统中所有重要资源的共享状态信息全部被保存到“d:\111.txt”文件中了,此时我们在系统资源管理器窗口中,打开“d:\111.txt”文件时,就会看到本地服务器系统中的所有共享文件夹记录了。
以后每过一段时间,我们再在Windows Server 2008系统中执行一次“net share > d:\222.txt”字符串命令,之后在MS-DOS窗口中继续执行字符串命令“fc d:\111.txt d:\222.txt”,就能快速知道本地服务器系统中的共享状态信息是否发生变化了,并且还能准确地知道究竟是哪些共享文件夹是刚刚新创建的,哪些共享文件夹的共享状态已经被取消了。
一般来说,要是我们在Windows Server 2008系统中安装了太多的未验证硬件驱动程序时,本地服务器系统的工作状态稳定性就会受到明显影响,以后服务器系统如果发生莫名其妙故障现象时,我们排除起来就比较困难。为此,及时了解Windows Server 2008系统中未验证设备的驱动程序状态,对维护系统的稳定运行就显得非常有必要了;在Windows Server 2008系统环境下,我们可以巧妙地通过系统自带的Sigverif命令,来快速查看本地服务器系统中所有的未验证驱动程序状态,下面就是具体的查看步骤:
首先在Windows Server 2008系统桌面中依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入字符串命令“Sigverif”,单击“确定”按钮,屏幕上将会出现设置窗口;
其次从该设置窗口中单击“开始”按钮,Windows Server 2008系统就会对本地计算机硬盘进行自动扫描,当扫描任务完成以后,我们就可以直观地了解到本地服务器系统中究竟有哪些驱动程序还没有经过数字签名认证;对于这些没有经过数字签名认证的设备驱动程序,我们应该定期地到网上搜索一下,看看是否有最新的经过认证的驱动程序可以使用。
不少木马或病毒程序在对Windows Server 2008服务器系统尝试进行恶意攻击时,常常会暗中利用克隆帐号的方法来远程监控本地服务器系统的一切举动,很显然这种暗中克隆帐号的手段会严重威胁本地服务器系统的运行安全性。为了保护本地服务器系统的运行安全性,我们应该及时对系统的帐号状态变化情况进行跟踪监视,以便将一些陌生的用户帐号从本地服务器系统中及时“揪”出来;下面,我们可以巧妙地通过Windows Server 2008系统内置的net user命令,来快速通透系统帐号状态变化:
首先按照前面的操作步骤,以系统管理员身份打开Windows Server 2008系统的MS-DOS窗口,在该窗口的命令行提示符下,输入字符串命令“net user > d:\333.txt”,单击回车键后,服务器系统就会自动将本地系统的所有帐号信息全部保存到“d:\333.txt”文件中了;
以后怀疑Windows Server 2008系统被他人非法监控时,可以再执行一次“net user > d:\444.txt”命令,然后利用fc命令比较“d:\333.txt”文件与“d:\444.txt”文件的异同,就能快速地找到本地服务器系统中用户帐号的状态变化了。
要是我们从比较结果中发现陌生的用户帐号属于administrator组成员时,那么这个陌生的帐号很可能是被木马程序非法克隆了,此时我们必须及时将它从系统中删除掉,如此一来非法攻击者就无法利用那个克隆帐号对Windows Server 2008服务器系统进行恶意监视或控制了。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/jtjc/win10/173795.html