俗話說“知己知彼，百戰(zhàn)不殆”，只有充分了解系統(tǒng)自身的各種狀態(tài)變化，我們才能為系統(tǒng)量身定制好安全防御方案，從而保證自己的系統(tǒng)始終安全、穩(wěn)定地運(yùn)行。在對系統(tǒng)自身各方面的狀態(tài)進(jìn)行檢查時，我們有時需要通過專業(yè)工具來幫忙才能完成這項(xiàng)任務(wù)，但是對于Windows Server 2008系統(tǒng)來說，我們只要充分利用好該系統(tǒng)自帶的功能命令，就能通透Windows Server 2008系統(tǒng)各方面的狀態(tài)變化了。

　　很多時候，為了讓W(xué)indows Server 2008系統(tǒng)運(yùn)行得更加高效，我們常常采用手工方法來關(guān)閉一些暫時用不到的系統(tǒng)服務(wù)，以便盡可能地節(jié)省寶貴的系統(tǒng)資源;然而，因?yàn)閷ο到y(tǒng)中的許多服務(wù)選項(xiàng)根本不熟悉，手工修改系統(tǒng)服務(wù)后很可能導(dǎo)致Windows Server 2008系統(tǒng)發(fā)生一些莫名其妙的故障現(xiàn)象;比方說，某個朋友采用專業(yè)的優(yōu)化工具對Windows Server 2008系統(tǒng)進(jìn)行優(yōu)化后，發(fā)現(xiàn)原先能夠正常使用的打印機(jī)卻不能正常工作了，那如何才能快速知道當(dāng)前系統(tǒng)中究竟哪些系統(tǒng)服務(wù)的狀態(tài)發(fā)生變化了呢?其實(shí)巧妙地使用Windows Server 2008系統(tǒng)自帶的“sc query”命令，我們就能快速查看到對應(yīng)系統(tǒng)中所有服務(wù)的工作狀態(tài);為了能夠找出工作狀態(tài)發(fā)生變化的系統(tǒng)服務(wù)，我們可以按照如下步驟進(jìn)行操作：

　　首先在對本地計(jì)算機(jī)系統(tǒng)進(jìn)行優(yōu)化之前，將正常的系統(tǒng)服務(wù)狀態(tài)信息備份下來;在進(jìn)行服務(wù)狀態(tài)信息備份操作時，我們可以依次單擊Windows Server 2008系統(tǒng)桌面中的“開始”/“程序”/“附件”選項(xiàng)，從其后出現(xiàn)的“附件”子菜單中選中“命令提示符”項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，從彈出的快捷菜單中執(zhí)行“以管理員身份運(yùn)行”命令，將系統(tǒng)狀態(tài)切換到DOS命令行工作狀態(tài);

　　其次在DOS命令行提示符下，輸入字符串命令“sc query >d:\aaa.txt”，單擊回車鍵后，屏幕上將會返回的執(zhí)行結(jié)果，這就意味著Windows Server 2008系統(tǒng)在正常工作時的服務(wù)狀態(tài)信息全部被輸出保存到“d:\aaa.txt”文件中了;

　　日后，當(dāng)我們采用專業(yè)工具對Windows Server 2008系統(tǒng)的服務(wù)進(jìn)行優(yōu)化之后，對應(yīng)系統(tǒng)要是發(fā)生莫名其妙的故障現(xiàn)象時，我們只要再在DOS命令行提示符下執(zhí)行字符串命令“sc query >d:\bbb.txt”，那樣一來被優(yōu)化過的系統(tǒng)服務(wù)狀態(tài)信息就被成功保存到“d:\bbb.txt”文件中了;

　　下面，我們繼續(xù)在MS-DOS窗口中執(zhí)行字符串命令“fc d:\aaa.txt d:\bbb.txt”，以便通過Windows Server 2008系統(tǒng)自帶的fc命令，來比較“d:\aaa.txt”文件和“d:\bbb.txt”文件有什么不同之處;相信通過對比，我們就能快速地知道Windows Server 2008系統(tǒng)中究竟哪些服務(wù)的狀態(tài)變化導(dǎo)致系統(tǒng)發(fā)生了莫名其妙的故障現(xiàn)象。例如，要是在優(yōu)化服務(wù)之前打印機(jī)能夠正常工作，而執(zhí)行過系統(tǒng)優(yōu)化服務(wù)操作之后，打印機(jī)要是不能正常工作時，那我們只要按照上面的操作，就能快速地了解到系統(tǒng)的后臺打印服務(wù)狀態(tài)發(fā)生變化了，此時我們只要打開對應(yīng)系統(tǒng)的服務(wù)列表窗口，從中找到后臺打印服務(wù)，并進(jìn)入該服務(wù)的屬性設(shè)置窗口，之后將該服務(wù)重新啟動正常，就能解決打印機(jī)無法正常工作的故障現(xiàn)象了。

　　除了利用“sc query”命令可以將系統(tǒng)服務(wù)狀態(tài)信息導(dǎo)出來，通過“net start”命令也能完成這一操作任務(wù)。

　　

　　我們知道，不少流行的木馬程序、病毒程序都是想方設(shè)法地將自己“喬裝”成系統(tǒng)的自啟動項(xiàng)，來跟隨Windows系統(tǒng)啟動而自動運(yùn)行發(fā)作的，因此對系統(tǒng)啟動項(xiàng)的狀態(tài)變化進(jìn)行及時監(jiān)視，可以幫助我們很好地保護(hù)計(jì)算機(jī)系統(tǒng)的安全。這不，在Windows Server 2008系統(tǒng)環(huán)境下，我們可以巧妙地使用系統(tǒng)自帶的“wmic”命令，來將對應(yīng)系統(tǒng)中的所有自動啟動項(xiàng)目狀態(tài)信息記錄下來;日后系統(tǒng)遇到不正�，F(xiàn)象的時候，我們再記錄一次系統(tǒng)自動啟動項(xiàng)目狀態(tài)信息，之后通過Windows Server 2008系統(tǒng)自帶的fc命令來比較前后兩次的狀態(tài)變化，相信這么一來就能快速了解到對應(yīng)系統(tǒng)的啟動項(xiàng)變化內(nèi)容了。在通透Windows Server 2008系統(tǒng)啟動項(xiàng)變化之前，我們必須先將系統(tǒng)運(yùn)行正常狀態(tài)下的啟動項(xiàng)內(nèi)容備份下來，下面就是具體的備份步驟：

　　首先按照前面的操作步驟，以系統(tǒng)管理員身份打開Windows Server 2008系統(tǒng)的MS-DOS窗口，在該窗口的命令行提示符下，輸入字符串命令“wmic”，單擊回車鍵后，系統(tǒng)命令提示符將自動變成“wmic:root\cli>”。

　　其次在該提示符狀態(tài)下，輸入字符串命令“startup list brief > c:\aaa.txt”，單擊回車鍵后，Windows Server 2008系統(tǒng)所有自啟動項(xiàng)內(nèi)容將會被自動保存到“c:\aaa.txt”文件中。

　　如果日后懷疑由于遭遇木馬或病毒襲擊Windows Server 2008系統(tǒng)的自動啟動項(xiàng)目發(fā)生變化時，我們可以按照相同的操作方法，將發(fā)生故障之后的自動啟動項(xiàng)目內(nèi)容保存到“c:\bbb.txt”文件中;接著，我們在MS-DOS窗口中繼續(xù)執(zhí)行字符串命令“fc c:\aaa.txt c:\bbb.txt”，以便通過Windows Server 2008系統(tǒng)自帶的fc命令，來比較“c:\aaa.txt”文件和“c:\bbb.txt”文件有什么不同之處;相信通過對比，我們就能快速發(fā)現(xiàn)Windows Server 2008系統(tǒng)中究竟新增加了哪些自啟動項(xiàng)目。

　　同樣地，我們還可以在“wmic:root\cli>”系統(tǒng)命令提示符下，執(zhí)行字符串命令“process list brief”，來觀察系統(tǒng)所有進(jìn)程的狀態(tài)信息，也可以將進(jìn)程狀態(tài)信息備份保存下來，以便日后系統(tǒng)遇到意外現(xiàn)象時，對比檢查系統(tǒng)進(jìn)程狀態(tài)的變化情況，這種對比檢查操作也有利于我們判斷Windows Server 2008系統(tǒng)是否遭受了木馬或病毒程序的攻擊。

　　有的時候，Windows Server 2008系統(tǒng)一旦遭遇了木馬或病毒程序攻擊后，系統(tǒng)中會莫名其妙地多出許多隱藏共享文件夾，木馬或病毒往往就是利用這些隱藏的共享文件夾來實(shí)現(xiàn)偷偷監(jiān)控本地重要資源目的的。如果我們采用手工方法來查詢本地服務(wù)器系統(tǒng)中重要資源的共享狀態(tài)變化時，不但工作量很大，而且也很容易出現(xiàn)遺漏;事實(shí)上，巧妙地利用Windows Server 2008系統(tǒng)自帶的“net share”命令，我們可以將對應(yīng)系統(tǒng)中的所有隱藏共享資源記錄下來;日后我們懷疑系統(tǒng)中重要資源的共享狀態(tài)發(fā)生變化時，再使用“net share”命令記錄一次系統(tǒng)的共享狀態(tài)信息，之后利用fc命令來比較前后兩次的狀態(tài)變化，如此一來我們就能快速地知道哪些共享文件夾是新創(chuàng)建的，哪些文件夾的共享狀態(tài)已經(jīng)被取消了。在使用“net share”命令記錄本地服務(wù)器系統(tǒng)的共享資源狀態(tài)變化時，我們可以按照下面的操作來進(jìn)行：

　　首先在Windows Server 2008系統(tǒng)桌面中用鼠標(biāo)逐一點(diǎn)選“開始”/“程序”/“附件”選項(xiàng)，從其后出現(xiàn)的“附件”子菜單中選中“命令提示符”項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，從彈出的快捷菜單中執(zhí)行“以管理員身份運(yùn)行”命令，將系統(tǒng)狀態(tài)切換到DOS命令行工作狀態(tài);

　　其次在DOS命令行工作狀態(tài)中，輸入字符串命令“net share > d:\111.txt”，單擊回車鍵后，Windows Server 2008系統(tǒng)中所有重要資源的共享狀態(tài)信息全部被保存到“d:\111.txt”文件中了，此時我們在系統(tǒng)資源管理器窗口中，打開“d:\111.txt”文件時，就會看到本地服務(wù)器系統(tǒng)中的所有共享文件夾記錄了。

　　以后每過一段時間，我們再在Windows Server 2008系統(tǒng)中執(zhí)行一次“net share > d:\222.txt”字符串命令，之后在MS-DOS窗口中繼續(xù)執(zhí)行字符串命令“fc d:\111.txt d:\222.txt”，就能快速知道本地服務(wù)器系統(tǒng)中的共享狀態(tài)信息是否發(fā)生變化了，并且還能準(zhǔn)確地知道究竟是哪些共享文件夾是剛剛新創(chuàng)建的，哪些共享文件夾的共享狀態(tài)已經(jīng)被取消了。

　　

　　一般來說，要是我們在Windows Server 2008系統(tǒng)中安裝了太多的未驗(yàn)證硬件驅(qū)動程序時，本地服務(wù)器系統(tǒng)的工作狀態(tài)穩(wěn)定性就會受到明顯影響，以后服務(wù)器系統(tǒng)如果發(fā)生莫名其妙故障現(xiàn)象時，我們排除起來就比較困難。為此，及時了解Windows Server 2008系統(tǒng)中未驗(yàn)證設(shè)備的驅(qū)動程序狀態(tài)，對維護(hù)系統(tǒng)的穩(wěn)定運(yùn)行就顯得非常有必要了;在Windows Server 2008系統(tǒng)環(huán)境下，我們可以巧妙地通過系統(tǒng)自帶的Sigverif命令，來快速查看本地服務(wù)器系統(tǒng)中所有的未驗(yàn)證驅(qū)動程序狀態(tài)，下面就是具體的查看步驟：

　　首先在Windows Server 2008系統(tǒng)桌面中依次點(diǎn)選“開始”、“運(yùn)行”命令，在其后出現(xiàn)的系統(tǒng)運(yùn)行框中輸入字符串命令“Sigverif”，單擊“確定”按鈕，屏幕上將會出現(xiàn)設(shè)置窗口;

　　其次從該設(shè)置窗口中單擊“開始”按鈕，Windows Server 2008系統(tǒng)就會對本地計(jì)算機(jī)硬盤進(jìn)行自動掃描，當(dāng)掃描任務(wù)完成以后，我們就可以直觀地了解到本地服務(wù)器系統(tǒng)中究竟有哪些驅(qū)動程序還沒有經(jīng)過數(shù)字簽名認(rèn)證;對于這些沒有經(jīng)過數(shù)字簽名認(rèn)證的設(shè)備驅(qū)動程序，我們應(yīng)該定期地到網(wǎng)上搜索一下，看看是否有最新的經(jīng)過認(rèn)證的驅(qū)動程序可以使用。

　　

　　不少木馬或病毒程序在對Windows Server 2008服務(wù)器系統(tǒng)嘗試進(jìn)行惡意攻擊時，常常會暗中利用克隆帳號的方法來遠(yuǎn)程監(jiān)控本地服務(wù)器系統(tǒng)的一切舉動，很顯然這種暗中克隆帳號的手段會嚴(yán)重威脅本地服務(wù)器系統(tǒng)的運(yùn)行安全性。為了保護(hù)本地服務(wù)器系統(tǒng)的運(yùn)行安全性，我們應(yīng)該及時對系統(tǒng)的帳號狀態(tài)變化情況進(jìn)行跟蹤監(jiān)視，以便將一些陌生的用戶帳號從本地服務(wù)器系統(tǒng)中及時“揪”出來;下面，我們可以巧妙地通過Windows Server 2008系統(tǒng)內(nèi)置的net user命令，來快速通透系統(tǒng)帳號狀態(tài)變化：

　　首先按照前面的操作步驟，以系統(tǒng)管理員身份打開Windows Server 2008系統(tǒng)的MS-DOS窗口，在該窗口的命令行提示符下，輸入字符串命令“net user > d:\123.txt”，單擊回車鍵后，服務(wù)器系統(tǒng)就會自動將本地系統(tǒng)的所有帳號信息全部保存到“d:\123.txt”文件中了;

　　以后懷疑Windows Server 2008系統(tǒng)被他人非法監(jiān)控時，可以再執(zhí)行一次“net user > d:\222.txt”命令，然后利用fc命令比較“d:\123.txt”文件與“d:\222.txt”文件的異同，就能快速地找到本地服務(wù)器系統(tǒng)中用戶帳號的狀態(tài)變化了。

　　要是我們從比較結(jié)果中發(fā)現(xiàn)陌生的用戶帳號屬于administrator組成員時，那么這個陌生的帳號很可能是被木馬程序非法克隆了，此時我們必須及時將它從系統(tǒng)中刪除掉，如此一來非法攻擊者就無法利用那個克隆帳號對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行惡意監(jiān)視或控制了。

關(guān)鍵字： Server 2008、系統(tǒng)狀態(tài)