在系统中部署好的安全防范措施，经过用户的一些不经意或不恰当操作后，有些就逐步偏离了“正轨”，无法继续发挥安全防范作用了。有鉴于此，我们需要开动脑筋，想方设法，让系统安全重新恢复“正轨”。

让防火墙恢复“正轨”

大家知道，善于利用Windows系统自带的防火墙，能有效地防范网络病毒和木马的攻击。但防火墙在平时的工作过程中，很容易受到恶意程序的操控而脱离“正规”，不能发挥安全防范作用。例如，当大家打开系统防火墙基本配置界面，发现其中的“设置”按钮处于灰色不可点状态时，就预示着防火墙的运行状态已经“脱轨”，无法正常发挥作用了。

此时，要让系统防火墙运行状态恢复“正轨”，可以右击系统桌面上的“计算机”图标，单击右键菜单中的“管理”命令，打开计算机管理窗口。在该管理窗口的左侧子窗格中，将鼠标定位到“计算机管理”、“服务和应用程序”、“服务”节点上，在对应“服务”节点的右侧子窗格中，找到与系统自带防火墙程序有关的“Windows Firewall/Internet Connection Sharing(ICS)”服务。

接着用鼠标右键单击该服务选项，执行快捷菜单中的“属性”命令，切换到目标系统服务的属性设置窗口，单击该设置窗口的“常规”选项卡，在选项设置页面中，能很清楚地看到目标系统服务的启动状态是不是正常。

要是发现该系统服务不能正常运行时，那直接单击“启动”按钮将它先启动起来。要是看到该服务无法被正常启动的时候，还需要检查一下系统中的“Server”服务是否运行正常，该服务如果无法正常运行时，也容易造成“Windows Firewall/Internet Connection Sharing(ICS)”服务工作状态不正常。为了确保系统防火墙服务日后也能自动运行，建议将该系统服务的“启动类型”参数调整为“自动”，确认后执行设置保存操作即可。

让系统服务恢复“正轨”

当Windows系统遭遇恶意程序攻击时，系统服务中可能会混入不安全分子，它们其实就是病毒木马的“化身”，这些伪装服务的存在，既会消耗系统资源，又会威胁系统安全。为了让系统服务恢复“正轨”，大家不妨借助“WinServices”工具，及时创建系统运行正常时的服务快照，日后遇到系统被攻击时，可以与之前的服务快照进行比较，以此来了解对哪个系统服务进行了更改、添加或移除操作。如果发现系统服务变化很大时，还能利用其内置的快速恢复功能，对系统服务进行迅速净化，让潜藏在系统服务列表中的各种伪装服务全部停止运行。

启动“WinServices”程序，打开该程序的主操作界面（如图1所示），从中能看到Windows系统中的所有服务选项。当Windows系统运行正常，且无染毒时，应为当前系统服务创建一个快照，日后以此作为参照标准。逐一点选“File”、“Save Services”命令，定义好快照文件的名称和保存路径，就能为正常的系统服务创建好快照了。当Windows系统日后被潜藏有不正常服务时，可以依次点选“File”、“Restore Services”命令，将先前生成的快照文件导入进 来，这 样“WinServices”工具就会自动以快照文件为标准，来识别当前的系统服务是否发生了变化。如果系统服务真的偏离“正规”，大家能看到相关报警提示信息，倘若想恢复特定系统服务状态时，可以选中它们，并点击“Restore service”按钮即可。如果要将Windows系统中的所有服务恢复“正轨”时，只要简单地在报警提示框中点击“Restore all”按钮即可。

图1 WinServices界面

图2 配置IE ESC

让安全设置恢复“正规”

为了防止恶意程序通过IE浏览器的安全漏洞入侵Windows系统，很多用户总是愿意将IE浏览器的安全访问级别设置为“中-高”，在这种安全访问级别控制下，大部分恶意网页都能被正常过滤掉。但上网一段时间后，IE浏览器的安全设置等级，可能在悄无声息中被修改为了低级别，而且安全访问等级设置无法继续修改，这会让许多恶意程序趁虚而入！

之所以会出现这种现象，主要是恶意程序偷偷攻击了IE浏览器，让其安全设置偏离了“正规”。在Windows Server 2008系统环境下，可以巧妙利用系统新推出的IE增强安全配置功能，让IE浏览器安全设置恢复“正规”。

首先依次单击“开始”、“程序”、“管理工具”、“服务器管理器”命令，弹出系统服务器管理器窗口，在该窗口的右侧显示区域找到“安全信息”项下面的“配置IE ESC”功能选项，并用鼠标单击该功能选项，进入如图2所示的设置对话框。勾选“管理员”位置处的“禁用”选项，勾选“用户”位置处的“禁用”选项，确认后退出设置对话框。

接着进入IE浏览器窗口，依次单击“工具”、“Internet选项”菜单命令，在其后弹出的选项设置对话框中，点选“安全”选项卡，同时在对应的选项设置页面中，将Internet区域的安全级别调整为“中-高”，再单击“确定”按钮保存设置操作即可。

让系统注册表恢复“正轨”

因为操作错误或非法攻击等原因，系统注册表常常会偏离“正规”，给系统安全运行带来潜在威胁。为了让系统注册表运行状态快速恢复“正规”，我们可以使用“Registry Life”工具，对系统注册表中的各种错误进行强制修复。

启动运行“Registry Life”工具后，它会自动扫描整个系统注册表，扫描任务完成后，系统注册表中存在的各个错误和错误数量都会列写在主操作窗口中。其中，该工具会用红色感叹号标记突出显示错误的地方，大家可以直观识别出错误属于什么类型。要想对存在的错误进行清除修复时，只要在主操作窗口中单击“Run registry cleanup”按钮，弹出错误清除向导设置框，点击“Start”按钮，“Registry Life”工具就能智能逐项分析系统注册表中存在的错误，分析结束后，大家能看到对错误信息的详细说明，再点击“Fix”按钮，错误修复操作就会正式开始。

图3 配置自动更新

系统注册表工作一段时间后，或许会产生垃圾或出现错误，定期清除垃圾，能让注册表处于最安全、最稳定的工作状态。在进行该操作时，先进入“Registry Life”主操作窗口，逐一单击“Main Functions”、“Registry Optimization”命令，展开注册表优化设置界面，点击“Perform the registry optimization”按钮，位于系统注册表各个位置处的的所有错误和垃圾，就能被目标工具强行修复或清除掉了。

让系统更新恢复“正轨”

有时进入系统属性框，大家会发现自动更新界面中某些功能选项处于灰色不可用状态，这会造成补丁更新不及时，从而影响系统的安全防范效果。造成系统更新功能偏离“正规”的原因，多半是该功能被恶意程序偷偷停用了，此时可以依次点选“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，打开系统组策略对象编辑窗口。

在该窗口左侧列表中，逐一点击“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组 件”、“Windows Update”分支选项，双击指定分支下的“配置自动更新”选项，勾选如图3所示界面中的“已启用”选项，确认后退出设置对话框，这样补丁更新功能或许就可以恢复正常了。

如果补丁更新功能还是无法恢复“正规”时，可以查 看“Automatic Updates”系统服务是否启用起来，因为该服务是补丁更新功能正常运行的重要前提。在进行该项检查操作时，先使用“services.msc”命令，调出系统服务列表界面，用鼠标双击其中的“Automatic Updates”选项，打开目标系统服务属性窗口，如果发现该服务运行不正常时，可以点击“启动”按钮将其恢复运行。倘若与补丁更新功能有关的系统文件受到损坏时，也可能造成该功能无效，这时可依次执行“regsvr32 vbscript.dll”、“regsvr32 jscript.dll”等命令，重新注册相关DLL文件看看。

让系统状态恢复“正轨”

尽管使用杀毒软件、防火墙等安全工具，可以改善系统安全防范能力，但这仅限于恶意程序的攻击防护方面。对来自用户自身的错误操作，或者是一些安全威胁较大的测试操作，上述安全工具就不能很好保护地系统状态的安全了。

此时可以使用虚拟系统技术，来让受到破坏的系统状态快速恢复“正轨”。比方说，要对一些应用程序的兼容性和安全性进行检测时，可以选择在“ShadowUser”这款影子系统中进行，因为这种虚拟系统不会对原有的操作系统带来任何影响，也不会在程序测试过程中，产生任何对系统运行有安全威胁的垃圾内容，用户的所有操作在下一次利用原有系统启动计算机时，都能被智能恢复到以前的状态，整个恢复过程不需要人工的参与。

运行“ShadowUser”程序后，大家会看到系统的启动菜单中，多出了一个与之关联的启动项，而原有操作系统的启动项仍然保持不变。要让虚拟系统发挥安全保护作用，一定要先对其进行合适的配置操作。点击主操作界面中的“配置”选项卡，在对应选项设置页面的“分区”位置处，勾选好需要被虚拟系统保护的特定磁盘分区，默认状态下计算机系统中的所有磁盘分区都会受到该虚拟系统的安全防护。要是特定磁盘分区被选中后，执行虚拟系统重新启动操作时，对应磁盘分区中的内容都会被快速恢复到原先的状态。如果不想保护某个磁盘分区中的内容时，只要取消对应分区的选中状态即可。

倘若特定磁盘分区中的特定文件夹不重要，不需要进行安全保护时，只要在“排除列表”位置处，将其添加进来，日后重新启动虚拟系统时，目标文件夹中的数据内容不会被自动恢复。有时，需要将虚拟环境下的一些操作保存下来，这时不妨进入“自动存储”设置页面，指定好自动保存文件夹位置，到时“ShadowUser”工具会将虚拟环境下的操作内容自动存储到指定路径。

单击主操作界面中“选项”按钮，打开程序选项设置框，在“壁纸”设置项处，能通过配置个性化的桌面墙纸，来提醒用户当前正处于虚拟系统环境状态，避免因为操作失误而造成重要数据发生丢失现象。在多用户帐户环境下，还能打开“管理”页面，为虚拟系统配置登录密码以及其他个性化参数，确保虚拟系统的使用安全。要频繁使用虚拟系统时，可以进入“常规”选项设置页面，勾选“重启后继续保持在影子模式状态”选项，日后每次开机启动计算机系统时，虚拟系统将会成为首选操作系统。

结束各种设置操作后，依次单击主操作界面中的“模式”、“开启影子系统”命令，重新启动计算机后将会切换到虚拟系统状态，在该状态下进行一些安全威胁较大的操作，都能让系统状态快速恢复“正轨”，因为所有可能存在的威胁操作，在重启后都会自动消失。