您当前的位置:为了提高安全性和易用性,Win XP不仅改进了许多原有的GUI工具和命令行工具,同时还增加了一些新的工具,这些工具不再通过Resource Kit发布……
为了提高安全性和易用性,Win XP不仅改进了许多原有的GUI工具和命令行工具,同时还增加了一些新的工具,而且这些工具不再通过Resource Kit(资源工具包)发布,而是直接把最有用的工具作为Support Tools包装到了OS软件包,放在安装CD的Support\Tools目录下。如果你打算深入、全面地管理XP,这些工具能够帮你完成日常的监视、管理任务,加固Win XP的安全。
一、获得系统信息
知己知彼,百战不殆,这句话表明了要想百战不殆,一个重要的前提就是“知己”。以前,你需要运行一大堆工具才能获知操作系统已经安装了哪些Service Pack、Hotfix以及系统的网络配置。Win XP新增了一个命令行工具Systeminfo(Systeminfo.exe),帮你轻而易举地完成这些工作。Systeminfo通过WMI(Windows管理规范)API列举出系统配置信息,输出信息按照OS、硬件平台、安装配置、已安装的补丁分门别类,一目了然。
安全工具(图一)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/3u5n294f837a.gif" width=500 onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor: pointer;"/>
图一
图一是不带任何命令行参数运行Systeminfo的结果片断,如果要诊断远程机器,只要加上一个“/s <远程机器名字>”参数。另外,Systeminfo还允许通过“/u <用户名字>”和“/p <密码>”参数指定运行Systeminfo的用户身份,如果只提供用户名字但省略密码,Systeminfo将提示输入密码,输入密码时屏幕上不会有回显——如果旁边有人看着你运行Systeminfo,这个功能让你无所顾忌。
另一个检测系统配置的实用工具是Spcheck(Spcheck.exe),用于检测Service Pack级的组件信息,以前这个工具只通过 Product Support Service(PSS)提供,但现在加入到了Support Tools。Spcheck要用到一个数据文件spcheck.ini,这个文件包含了各个网络组件的每一个文件的信息,鉴于操作系统需要不断更新,所以spcheck.ini不随XP一起提供,而是通过网络发布,http://support.microsoft.com/default.aspx?scid=kb;en-us;q279631页面提供了针对Win XP/2K/NT 4和Exchange Server 5.5等的各个spcheck.ini版本的链接。
安全工具(图二)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/7mjc0r3uj3ii.gif" width=474 onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor: pointer;"/>
图二
下载spcheck.ini的XP版本,把它保存到安装Support Tools的目录,解开压缩,然后运行spcheck。spcheck将生成报告文件spcheck.rpt——其实这是一个文本文件,可以用记事本打开,图二显示了spcheck.rpt文件的一个片断。
二、监视系统
说到监视系统状态,人们最熟知的就是按Ctrl+Alt+Del弹出的“任务管理器”。不过任务管理器的功能有限,如果要了解哪个进程启动了子进程,或者有哪些进程服务在运行,你可能会想到tlist.exe命令行工具。
不过XP没有提供tlist.exe,代之以另一个工具Tasklist(Tasklist.exe)。Tasklist是针对XP多用户环境开发的,能够报告每一个正在运行进程的会话信息,但和tlist.exe不同的是,Tasklist不会列出父进程的每一个子进程(但愿以后的版本会增加这个非常实用的功能)。Tasklist能够查询远程系统,用/v参数可得到详细信息(包括窗口标题、用户名字)。如图三所示,用/m参数可以显示出装入某个DLL的进程——如果你怀疑某个DLL实际上是一个木马程序,这一功能非常有用。
安全工具(图三)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/556h09m0d0n1.gif" width=500 onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor: pointer;"/>
图三
当网络防火墙/路由器的通信指示灯开始狂闪,在以前的Windows上,我用Netstat工具(netstat.exe)查找哪些TCP或UDP端点正在使用我的系统,然后大致地判断应该是哪个或哪些进程正在发送或接收数据,但如果要精确地判断端点和进程的从属关系就必须使用第三方工具。
在XP中,Netstat命令的功能已经改进,能够显示出哪些进程正在使用端点。只要加上/o参数,Netstat会在端点之后显示出进程ID,如图四所示。如果使用/a参数,Netstat能够显示出所有端点——不管是活动状态的,还是监听状态的。
安全工具(图四)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/465jbucr9cl6.gif" width=500 onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor: pointer;"/>
图四
有时监视每一个进程打开了哪些文件也是非常有用的。在以前的Windows中,我们可以安装资源工具包的oh.exe。但在XP中,虽然Support Tools的帮助文件提到了oh.exe,安装好的Support Tools却不带oh.exe。但是,XP提供了一个新的Openfiles命令行工具(Openfiles.exe),它能够报告进程打开的各个文件。和oh.exe相似,Openfiles也要求打开系统内核监视,而这会消耗一些内存,降低文件、打印、邮件、数据库等操作的性能。打开系统监视的命令是openfiles /local on,它会启用系统全局标志“维护对象列表”,需要重新启动系统才能生效(你可以执行gflags.exe查看Openfiles命令设置了哪些标志)。
重新启动系统后,不带参数执行Openfiles就可以看到一个进程清单以及各个进程打开的文件(包括共享文件),图五就是Openfiles执行结果的一个片断。如果要查看哪个用户正在运行打开文件的进程,执行openfiles /query /v,如图六。
安全工具(图五)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/2nj3764y7065.gif" width=500 onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor: pointer;"/>
图五
安全工具(图六)" src="http://searchwindowssecurity.techtarget.com.cn/imagelist/2007/060/f4o4u
