有的时候,Windows Server 2008系统一旦遭遇了木马或病毒程序攻击后,系统中会莫名其妙地多出许多隐藏共享文件夹,木马或病毒往往就是利用这些隐藏的共享文件夹来实现偷偷监控本地重要资源目的的。如果我们采用手工方法来查询本地服务器系统中重要资源的共享状态变化时,不但工作量很大,而且也很容易出现遗漏;事实上,巧妙地利用Windows Server 2008系统自带的“net share”命令,我们可以将对应系统中的所有隐藏共享资源记录下来;日后我们怀疑系统中重要资源的共享状态发生变化时,再使用“net share”命令记录一次系统的共享状态信息,之后利用fc命令来比较前后两次的状态变化,如此一来我们就能快速地知道哪些共享文件夹是新创建的,哪些文件夹的共享状态已经被取消了。在使用“net share”命令记录本地服务器系统的共享资源状态变化时,我们可以按照下面的操作来进行:
首先在Windows Server 2008系统桌面中用鼠标逐一点选“开始”/“程序”/“附件”选项,从其后出现的“附件”子菜单中选中“命令提示符”项目,并用鼠标右键单击该项目,从弹出的快捷菜单中执行“以管理员身份运行”命令,将系统状态切换到DOS命令行工作状态;
其次在DOS命令行工作状态中,输入字符串命令“net share > d:\111.txt”,单击回车键后,Windows Server 2008系统中所有重要资源的共享状态信息全部被保存到“d:\111.txt”文件中了,此时我们在系统资源管理器窗口中,打开“d:\111.txt”文件时,就会看到本地服务器系统中的所有共享文件夹记录了。
以后每过一段时间,我们再在Windows Server 2008系统中执行一次“net share > d:\222.txt”字符串命令,之后在MS-DOS窗口中继续执行字符串命令“fc d:\111.txt d:\222.txt”,就能快速知道本地服务器系统中的共享状态信息是否发生变化了,并且还能准确地知道究竟是哪些共享文件夹是刚刚新创建的,哪些共享文件夹的共享状态已经被取消了。
一般来说,要是我们在Windows Server 2008系统中安装了太多的未验证硬件驱动程序时,本地服务器系统的工作状态稳定性就会受到明显影响,以后服务器系统如果发生莫名其妙故障现象时,我们排除起来就比较困难。为此,及时了解Windows Server 2008系统中未验证设备的驱动程序状态,对维护系统的稳定运行就显得非常有必要了;在Windows Server 2008系统环境下,我们可以巧妙地通过系统自带的Sigverif命令,来快速查看本地服务器系统中所有的未验证驱动程序状态,下面就是具体的查看步骤:
首先在Windows Server 2008系统桌面中依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入字符串命令“Sigverif”,单击“确定”按钮,屏幕上将会出现设置窗口;
其次从该设置窗口中单击“开始”按钮,Windows Server 2008系统就会对本地计算机硬盘进行自动扫描,当扫描任务完成以后,我们就可以直观地了解到本地服务器系统中究竟有哪些驱动程序还没有经过数字签名认证;对于这些没有经过数字签名认证的设备驱动程序,我们应该定期地到网上搜索一下,看看是否有最新的经过认证的驱动程序可以使用。
不少木马或病毒程序在对Windows Server 2008服务器系统尝试进行恶意攻击时,常常会暗中利用克隆帐号的方法来远程监控本地服务器系统的一切举动,很显然这种暗中克隆帐号的手段会严重威胁本地服务器系统的运行安全性。为了保护本地服务器系统的运行安全性,我们应该及时对系统的帐号状态变化情况进行跟踪监视,以便将一些陌生的用户帐号从本地服务器系统中及时“揪”出来;下面,我们可以巧妙地通过Windows Server 2008系统内置的net user命令,来快速通透系统帐号状态变化:
首先按照前面的操作步骤,以系统管理员身份打开Windows Server 2008系统的MS-DOS窗口,在该窗口的命令行提示符下,输入字符串命令“net user > d:\333.txt”,单击回车键后,服务器系统就会自动将本地系统的所有帐号信息全部保存到“d:\333.txt”文件中了;
以后怀疑Windows Server 2008系统被他人非法监控时,可以再执行一次“net user > d:\444.txt”命令,然后利用fc命令比较“d:\333.txt”文件与“d:\444.txt”文件的异同,就能快速地找到本地服务器系统中用户帐号的状态变化了。
要是我们从比较结果中发现陌生的用户帐号属于administrator组成员时,那么这个陌生的帐号很可能是被木马程序非法克隆了,此时我们必须及时将它从系统中删除掉,如此一来非法攻击者就无法利用那个克隆帐号对Windows Server 2008服务器系统进行恶意监视或控制了。
