俗話說“知己知彼，百戰不殆”，只有充分了解系統自身的各種狀態變化，我們才能為系統量身定制好安全防御方案，從而保證自己的系統始終安全、穩定地運行。在對系統自身各方面的狀態進行檢查時，我們有時需要通過專業工具來幫忙才能完成這項任務，但是對于Windows Server 2008系統來說，我們只要充分利用好該系統自帶的功能命令，就能通透Windows Server 2008系統各方面的狀態變化了。

　　很多時候，為了讓Windows Server 2008系統運行得更加高效，我們常常采用手工方法來關閉一些暫時用不到的系統服務，以便盡可能地節省寶貴的系統資源;然而，因為對系統中的許多服務選項根本不熟悉，手工修改系統服務后很可能導致Windows Server 2008系統發生一些莫名其妙的故障現象;比方說，某個朋友采用專業的優化工具對Windows Server 2008系統進行優化后，發現原先能夠正常使用的打印機卻不能正常工作了，那如何才能快速知道當前系統中究竟哪些系統服務的狀態發生變化了呢?其實巧妙地使用Windows Server 2008系統自帶的“sc query”命令，我們就能快速查看到對應系統中所有服務的工作狀態;為了能夠找出工作狀態發生變化的系統服務，我們可以按照如下步驟進行操作：

　　首先在對本地計算機系統進行優化之前，將正常的系統服務狀態信息備份下來;在進行服務狀態信息備份操作時，我們可以依次單擊Windows Server 2008系統桌面中的“開始”/“程序”/“附件”選項，從其后出現的“附件”子菜單中選中“命令提示符”項目，并用鼠標右鍵單擊該項目，從彈出的快捷菜單中執行“以管理員身份運行”命令，將系統狀態切換到DOS命令行工作狀態;

　　其次在DOS命令行提示符下，輸入字符串命令“sc query >d:\aaa.txt”，單擊回車鍵后，屏幕上將會返回的執行結果，這就意味著Windows Server 2008系統在正常工作時的服務狀態信息全部被輸出保存到“d:\aaa.txt”文件中了;

　　日后，當我們采用專業工具對Windows Server 2008系統的服務進行優化之后，對應系統要是發生莫名其妙的故障現象時，我們只要再在DOS命令行提示符下執行字符串命令“sc query >d:\bbb.txt”，那樣一來被優化過的系統服務狀態信息就被成功保存到“d:\bbb.txt”文件中了;

　　下面，我們繼續在MS-DOS窗口中執行字符串命令“fc d:\aaa.txt d:\bbb.txt”，以便通過Windows Server 2008系統自帶的fc命令，來比較“d:\aaa.txt”文件和“d:\bbb.txt”文件有什么不同之處;相信通過對比，我們就能快速地知道Windows Server 2008系統中究竟哪些服務的狀態變化導致系統發生了莫名其妙的故障現象。例如，要是在優化服務之前打印機能夠正常工作，而執行過系統優化服務操作之后，打印機要是不能正常工作時，那我們只要按照上面的操作，就能快速地了解到系統的后臺打印服務狀態發生變化了，此時我們只要打開對應系統的服務列表窗口，從中找到后臺打印服務，并進入該服務的屬性設置窗口，之后將該服務重新啟動正常，就能解決打印機無法正常工作的故障現象了。

　　除了利用“sc query”命令可以將系統服務狀態信息導出來，通過“net start”命令也能完成這一操作任務。

　　

　　我們知道，不少流行的木馬程序、病毒程序都是想方設法地將自己“喬裝”成系統的自啟動項，來跟隨Windows系統啟動而自動運行發作的，因此對系統啟動項的狀態變化進行及時監視，可以幫助我們很好地保護計算機系統的安全。這不，在Windows Server 2008系統環境下，我們可以巧妙地使用系統自帶的“wmic”命令，來將對應系統中的所有自動啟動項目狀態信息記錄下來;日后系統遇到不正常現象的時候，我們再記錄一次系統自動啟動項目狀態信息，之后通過Windows Server 2008系統自帶的fc命令來比較前后兩次的狀態變化，相信這么一來就能快速了解到對應系統的啟動項變化內容了。在通透Windows Server 2008系統啟動項變化之前，我們必須先將系統運行正常狀態下的啟動項內容備份下來，下面就是具體的備份步驟：

　　首先按照前面的操作步驟，以系統管理員身份打開Windows Server 2008系統的MS-DOS窗口，在該窗口的命令行提示符下，輸入字符串命令“wmic”，單擊回車鍵后，系統命令提示符將自動變成“wmic:root\cli>”。

　　其次在該提示符狀態下，輸入字符串命令“startup list brief > c:\aaa.txt”，單擊回車鍵后，Windows Server 2008系統所有自啟動項內容將會被自動保存到“c:\aaa.txt”文件中。

　　如果日后懷疑由于遭遇木馬或病毒襲擊Windows Server 2008系統的自動啟動項目發生變化時，我們可以按照相同的操作方法，將發生故障之后的自動啟動項目內容保存到“c:\bbb.txt”文件中;接著，我們在MS-DOS窗口中繼續執行字符串命令“fc c:\aaa.txt c:\bbb.txt”，以便通過Windows Server 2008系統自帶的fc命令，來比較“c:\aaa.txt”文件和“c:\bbb.txt”文件有什么不同之處;相信通過對比，我們就能快速發現Windows Server 2008系統中究竟新增加了哪些自啟動項目。

　　同樣地，我們還可以在“wmic:root\cli>”系統命令提示符下，執行字符串命令“process list brief”，來觀察系統所有進程的狀態信息，也可以將進程狀態信息備份保存下來，以便日后系統遇到意外現象時，對比檢查系統進程狀態的變化情況，這種對比檢查操作也有利于我們判斷Windows Server 2008系統是否遭受了木馬或病毒程序的攻擊。

　　有的時候，Windows Server 2008系統一旦遭遇了木馬或病毒程序攻擊后，系統中會莫名其妙地多出許多隱藏共享文件夾，木馬或病毒往往就是利用這些隱藏的共享文件夾來實現偷偷監控本地重要資源目的的。如果我們采用手工方法來查詢本地服務器系統中重要資源的共享狀態變化時，不但工作量很大，而且也很容易出現遺漏;事實上，巧妙地利用Windows Server 2008系統自帶的“net share”命令，我們可以將對應系統中的所有隱藏共享資源記錄下來;日后我們懷疑系統中重要資源的共享狀態發生變化時，再使用“net share”命令記錄一次系統的共享狀態信息，之后利用fc命令來比較前后兩次的狀態變化，如此一來我們就能快速地知道哪些共享文件夾是新創建的，哪些文件夾的共享狀態已經被取消了。在使用“net share”命令記錄本地服務器系統的共享資源狀態變化時，我們可以按照下面的操作來進行：

　　首先在Windows Server 2008系統桌面中用鼠標逐一點選“開始”/“程序”/“附件”選項，從其后出現的“附件”子菜單中選中“命令提示符”項目，并用鼠標右鍵單擊該項目，從彈出的快捷菜單中執行“以管理員身份運行”命令，將系統狀態切換到DOS命令行工作狀態;

　　其次在DOS命令行工作狀態中，輸入字符串命令“net share > d:\111.txt”，單擊回車鍵后，Windows Server 2008系統中所有重要資源的共享狀態信息全部被保存到“d:\111.txt”文件中了，此時我們在系統資源管理器窗口中，打開“d:\111.txt”文件時，就會看到本地服務器系統中的所有共享文件夾記錄了。

　　以后每過一段時間，我們再在Windows Server 2008系統中執行一次“net share > d:\222.txt”字符串命令，之后在MS-DOS窗口中繼續執行字符串命令“fc d:\111.txt d:\222.txt”，就能快速知道本地服務器系統中的共享狀態信息是否發生變化了，并且還能準確地知道究竟是哪些共享文件夾是剛剛新創建的，哪些共享文件夾的共享狀態已經被取消了。

　　

　　一般來說，要是我們在Windows Server 2008系統中安裝了太多的未驗證硬件驅動程序時，本地服務器系統的工作狀態穩定性就會受到明顯影響，以后服務器系統如果發生莫名其妙故障現象時，我們排除起來就比較困難。為此，及時了解Windows Server 2008系統中未驗證設備的驅動程序狀態，對維護系統的穩定運行就顯得非常有必要了;在Windows Server 2008系統環境下，我們可以巧妙地通過系統自帶的Sigverif命令，來快速查看本地服務器系統中所有的未驗證驅動程序狀態，下面就是具體的查看步驟：

　　首先在Windows Server 2008系統桌面中依次點選“開始”、“運行”命令，在其后出現的系統運行框中輸入字符串命令“Sigverif”，單擊“確定”按鈕，屏幕上將會出現設置窗口;

　　其次從該設置窗口中單擊“開始”按鈕，Windows Server 2008系統就會對本地計算機硬盤進行自動掃描，當掃描任務完成以后，我們就可以直觀地了解到本地服務器系統中究竟有哪些驅動程序還沒有經過數字簽名認證;對于這些沒有經過數字簽名認證的設備驅動程序，我們應該定期地到網上搜索一下，看看是否有最新的經過認證的驅動程序可以使用。

　　

　　不少木馬或病毒程序在對Windows Server 2008服務器系統嘗試進行惡意攻擊時，常常會暗中利用克隆帳號的方法來遠程監控本地服務器系統的一切舉動，很顯然這種暗中克隆帳號的手段會嚴重威脅本地服務器系統的運行安全性。為了保護本地服務器系統的運行安全性，我們應該及時對系統的帳號狀態變化情況進行跟蹤監視，以便將一些陌生的用戶帳號從本地服務器系統中及時“揪”出來;下面，我們可以巧妙地通過Windows Server 2008系統內置的net user命令，來快速通透系統帳號狀態變化：

　　首先按照前面的操作步驟，以系統管理員身份打開Windows Server 2008系統的MS-DOS窗口，在該窗口的命令行提示符下，輸入字符串命令“net user > d:\123.txt”，單擊回車鍵后，服務器系統就會自動將本地系統的所有帳號信息全部保存到“d:\123.txt”文件中了;

　　以后懷疑Windows Server 2008系統被他人非法監控時，可以再執行一次“net user > d:\222.txt”命令，然后利用fc命令比較“d:\123.txt”文件與“d:\222.txt”文件的異同，就能快速地找到本地服務器系統中用戶帳號的狀態變化了。

　　要是我們從比較結果中發現陌生的用戶帳號屬于administrator組成員時，那么這個陌生的帳號很可能是被木馬程序非法克隆了，此時我們必須及時將它從系統中刪除掉，如此一來非法攻擊者就無法利用那個克隆帳號對Windows Server 2008服務器系統進行惡意監視或控制了。

關鍵字： Server 2008、系統狀態