操作安全状态全追踪

2017-11-22

网络安全和信息化 2017年2期

引言：现在不管处于外网环境还是内网环境下，病毒木马程序都是随处可见，各种操作安全事故层出不穷。为了在第一时间发现各类操作中的安全隐患，可以充分利用Windows系统自身功能，配合一些具有自动监控功能的专业工具，实现对重要操作的安全状态全追踪！

现在不管处于外网环境还是内网环境下，病毒木马程序都是随处可见，各种操作安全事故层出不穷。为了在第一时间发现各类操作中的安全隐患，相信很多管理人员恨不得坐在电脑旁边，对每类操作进行全程追踪监控。但人的精力往往有限，不可能一天24小时候都在工作，该怎么办才好呢？幸运的是，可以充分利用Windows系统自身功能，配合一些具有自动监控功能的专业工具，实现对重要操作的安全状态全追踪！

对输入操作全追踪

图1“键盘记录截图”主程序窗口

在多人共用一台计算机上网的环境中，有时要对特定用户的键盘鼠标输入操作进行追踪，以判断其是否对本地计算机进行了有威胁操作。如果以人工方式追踪键盘鼠标输入操作，既不礼貌又不现实，现在通过“键盘记录截图”外力工具可以轻松地全程追踪键盘鼠标输入内容，并能选择随时对当前输入状态进行屏幕截图，而且它躲在系统后台运行，不容易被人察觉。如果本地系统存储空间非常大，可以选择同时存储若干张图片，来记录更多的输入状态。在使用注册版的情况下，善于使用自动追踪截屏，可以提高追踪效率。

启动运行“键盘记录截图”程序后，出现一个提示框，单击“确定”按钮后该程序会自动退回到系统后台运行，从系统任务栏或托盘区域处，都不能发现该程序的“影子”，这种隐藏属性能有效避免他人任意关闭该工具的自动追踪功能，确保全程追踪不受影响。当自己想使用该软件时，只要按下组合键“Ctrl+Alt+右光标键”，进入如图1所示的主程序窗口即可看到正在进行的键盘鼠标输入操作。

对于追踪监控到的输入内容，该软件会将其自动保存到txt类型文本文件中，打开“C:Record”文件夹窗口，可以找到该追踪结果文件。对于追踪到的屏幕内容，该程序会在默认状态下存储为jpg类型图像文件，这种类型文件也能从“C:Record”文件夹窗口中找到。要是当前正在使用自动追踪功能进行抓图操作，不妨打开该工具的设置对话框，按需设置好图像抓取间隔时间。如果担心追踪结果存储在系统分区中不安全时，不妨在“键盘记录截图”主程序窗口，单击右上角位置处的“更改目录”按钮，展开文件夹存储对话框，设置好新的存储路径即可。

对登录操作全追踪

与别人共用计算机时，有时想知道在自己临时离开计算机的那一段时间，是否有其他人悄悄登录过计算机系统，要达到如此追踪目的该如何进行呢？实际上操作相当简单，只要通过Windows系统内置的登录监控功能，就能轻松追踪到用户登录计算机的状态信息，追踪到的结果会自动出现在下次成功登录系统时的桌面上，这样哪些人偷偷使用过计算机，就能一目了然了。

在进行该追踪操作时，先依次单击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在该编辑界面左侧列表窗格中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“Windows登录选项”节点上，找到指定节点下面的“在用户登录期间显示有关以前登录的信息”组策略选项，并用鼠标双击，展开如图2所示的组策略属性对话框。

图2 组策略属性

在默认状态下，可以看到登录操作追踪功能并没有被选启用，这个时候，只要立即选中“已启动”选项，“确认”后退出设置对话框，这样共用计算机就具有追踪登录安全的功能了。当有人趁用户不在计算机现场，悄悄用其他账号登录系统时，那么这个登录操作就会被Windows系统自动追踪保存下来。下次，重新登录计算机系统时，详细的追踪结果就能直观地显示在自己眼前了，这里面的内容包括详细的登录账号名称、具体的登录时间等。根据这些内容，用户就能基本判断出是否有人偷用过计算机了。

对设备状态全追踪

Web服务器是局域网中的重要主机系统，它包含的各设备运行状态，直接影响着系统安全性和稳定性，例如，服务器的风扇运行状态、硬盘读写状态、CPU使用状态等，都与服务器安全和稳定息息相关，所以有必要对这些设备状态进行全追踪，以便可以及时排除服务器各种潜在安全隐患。不过，每次到服务器现场追踪设备状态，肯定是不现实的，特别是在服务器数量很多的情况下，更是不可能的。为了提高追踪效率，可以通过“HWMonitor Pro”外力工具，对局域网中的特定服务器各设备状态进行远程追踪！既可以追踪到服务器系统的风扇运行情况、硬盘读写速度、CPU使用率，又能追踪到CPU工作电压、内存工作电压，根据这些追踪结果，就可以提前判断出服务器系统的安全稳定性怎样，倘若追踪到指标不符合要求时，应该果断采取有效措施，确保服务器系统一直安全稳定工作。

在远程追踪服务器系统状态时，先要正确配置好“HWMonitor Pro”程序参数。因为远程追踪连接默认会使用到服务器的25021端口，而防火墙默认会拦截来自该端口的数据，为了防止出现该现象，一定要让防火墙放行25021端口数据。依次单击“开始”、“设置”、“控制面板”命令，在控制面板窗口中双击“Windows防火墙”图标，展开Windows防火墙基本配置界面，点选“例外”标签，单击对应标签页面中的“添加端口”按钮，输入25021号码，同时任意指定一个端口名称，并勾选“TCP/IP”选项，确认后退出设置。同样地还要开启服务器系统的25021端口，确保服务器系统能正常接受远程追踪请求。

图3“HWMonitor Pro”主操作窗口

之后将“HWMonitor Pro”下载安装到服务器系统中，并开启它的运行状态，展开如图3所示的主操作窗口，逐一点击“Network”、“Listening mode” 命令，强制服务器系统处于追踪侦听模式，该模式下服务器可以正常接受到来自用户的远程追踪连接申请。为了改善操作效率，可以让“HWMonitor Pro”工具工作在自动追踪侦听模式，只要在主操作窗口中依次点击“Tools”、“Option”选项，选中其后界面中的“Enter in listening mode at startup”选项，同时将传输远程数据间隔时间设置为“10”秒钟，确认后退出设置界面。

日后，在局域网的其他计算机系统中，远程追踪服务器设备状态时，也要先将“HWMonitor Pro” 程序下载安装到客户机中，在程序主操作窗口中逐一点选“Network”、“Connect”、“IP address”命令，弹出服务器系统IP地址输入文本框，正确输入服务器系统的IP地址，单击“Connect”按钮，开始与服务器系统建立远程追踪连接。当远程追踪连接成功创建后，服务器系统各设备的状态信息就能直观显示在追踪程序窗口中了，在这里可以一目了然地查看到服务器各设备状态信息，包括风扇转速、显卡温度、硬盘温度、CPU电压、主板南北桥温度、内存电压等设备状态信息。

如果希望将远程追踪到的状态信息记录保存下来，可以尝试启动“HWMonitor Pro”工具的智能图表记录功能，在主操作窗口中，逐一单击“Tools”、“Option”、“Start Recording”命令。

对共享操作全追踪

为了达到偷偷查看他人隐私信息的目的，恶意程序常常会悄悄在终端系统中，生成隐藏共享文件夹，并利用该特殊文件夹来追踪查看本地终端系统隐私。如果希望避免这种安全隐患，应该及时了解到本地终端系统中共享文件夹的状态变化信息，那怎样才能实现这个目的呢？很简单，只要巧妙利用Windows系统自带的“Net share”命令，导出系统发生异常现象前后的共享列表内容，同时比较分析这两个导出文件，就能识别出哪些共享文件夹是新生成的，哪些共享文件夹已被恶意程序偷偷删除了。对于新生成的陌生共享文件夹，必须在第一时间打开对应文件夹窗口，检查其中的文件是否值得怀疑，如认为可疑时，必须立即删除它们，避免恶意程序不能利用该共享文件夹来泄露本地终端系统隐私。下面是详细的追踪操作步骤：

首先在本地终端正常运行时，依次单击“开始”、“运行”命令，弹出系统运行文本框，输入“cmd”命令并回车，切换到MS-DOS命令行状态；在该状态下输入字符串命令“net share > G:xxx.txt”，Windows系统会自动将对应状态下所有共享文件夹名称全部列写出来，同时将其存储到“G:xxx.txt”文本文件中，打开这个文件编辑窗口时，可以一目了然地看到有哪些文件夹正处于共享状态。

图4“找不到相异处”提示

之后，过一段时间在本地终端的MS-DOS窗口中输入一次字符串命令“net share > G:yyy.txt”，将发生变化的共享文件夹名称信息导出存储到“G:yyy.txt”文本文件中，这时如恶意程序悄悄在本地终端中生成了新的隐藏共享文件夹，该文件夹名称也会显示在“G:yyy.txt”文本文件中。

接着需要对先前生成的两个文件进行比较分析，以找出它们的异同之处。在进行比较分析操作时，只要输入字符串命令“fc G:xxx.txt G:yyy.txt”，要是恶意程序没有在本地终端计算机中生成隐藏共享文件夹，那么结果会出现如图4所示的“找不到相异处”提示内容。反之，如果恶意程序已经悄悄生成了隐藏共享文件夹时，那么从比较分析结果中，我们就能知道哪些共享文件夹是新生成的。

当然，如果想对共享文件夹安全变化状态进行全追踪，也可打开记事本程序窗口，在其中输入如下命令代码：