安全知识:同一台电脑反复中同一种病毒的防治办法
在很多情况下，同一台电脑经常会发生反复中同一种病毒的事件。比如，中了小邮差后刚杀完毒暂时没事儿了，可过一段时间，病毒又不请自来。这就是所谓的“同一病毒的再感染”。 其实，如何防止病毒再感染是有一些小窍门的。

　　病毒再感染一般有两个原因：一是病毒有了新的变种，二是没有封堵住病毒的传播途径。对第一种原因，我们采用对杀毒软件在线升级到最新版后，就可以完全解决；第二种原因常会在使用电脑的过程中引发以下多种情况。我们只要认真区别对待，就能解决病毒再感染的相关问题。

　　1． 系统、工具软件的漏洞

　　很多病毒利用操作系统和网络工具的漏洞进行传播，比如求职信、小邮差、Bugbear等，它会利用微软浏览器软件的“Iframe”漏洞，即使用户没有打开邮件的附件，仅仅是点击了邮件，病毒就会自动运行了。

　　2． 病毒伪装，引诱用户上当

　　这是大多数蠕虫、木马类病毒的常用手段。信件标题或是内容有引诱用户打开附件的文字，利用聊天工具传播藏有恶意代码的网址等等。

　　3． 用户安全意识不够高

　　一些用户为图使用方便，对于密码的管理过于简单、过于松懈。比如将密码保存到电脑里，使用一些有规律而且很简单的密码，如1234、abcd等，甚至空密码，这样就会给一些有猜密码功能的病毒创造传播的途径。

　　4． 局域网管理的松懈

　　局域网里的所有电脑都可以互联，非常随意地使用共享资源，对共享资源的使用没有设置相应的权限等。

　　5． 没有共同防毒

　　朋友、家人、联系人之间，如果只有少部分用户在防毒，同样会造成病毒的泛滥。

　　以上所有的这些因素都会造成病毒的再感染，在现实使用过程中我们经常只是在中毒后简单地进行杀毒，而没有阻断病毒入侵的通道，这就会使我们经常遭受病毒的骚扰，还抱怨杀毒软件不中用，严重影响正常工作。

　　现今的病毒可谓是“面面俱到”，部分恶性病毒，例如“熊猫烧香”，把能用上的传播方法都捆绑于一身，极大增强了病毒传染的效率。为了防止这类病毒的感染，不仅仅需要杀毒软件厂商的高效工作，还需要互联网用户提高自身的防范意识。同样防病毒只有部分人在做，或只是防住了病毒传播的某一途径，也达不到全面防毒的真正目的。所以，只有广大用户都提高了防毒的安全意识，堵住病毒传染的所有途径，才能真正的让病毒无机可乘，无孔而入。

系统安全： 初级用户如何有效防止电脑被病毒侵入
近来黑客攻击事件频频发生，我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?

　　一、要命的端口

　　计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。某日笔者查看了一位朋友的系统，吃惊地发现开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利。

　　那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序，因此只要我们停止该服务或者卸载该程序，这些端口就自动关闭了。

　　如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用，我们也可以利用瑞星防火墙来屏蔽端口。

　　二、敌人的“进程”

　　在Windows 2000下，可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但有些服务级的进程却被隐藏因而无法看到了，不过通过瑞星的卡卡助手的进程管理功能还是可以看到的。并可以终止不正常的进程。

　　三、别小瞧Windows Update

　　只要点击“开始”菜单中的Windows Update，就到了微软的Windows Update网站，在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次，加上瑞星强大的杀毒软件+防火墙软件+卡卡助手，基本上就能把黑客和病毒拒之门外。

系统安全知识:详细介绍特洛伊木马病毒的发展历史
计算机世界中的特洛伊木马病毒的名字由《荷马史诗》的特洛伊战记得来。故事说的是希腊人围攻特洛伊城十年后仍不能得手，于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。而计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

第一代木马 ：伪装型病毒

　　这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。

第二代木马 ：AIDS型木马

　　继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。

第三代木马：网络传播型木马

　　随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征：

　　第一，添加了“后门”功能。

　　所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。

　　第二，添加了击键记录功能。

　　从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。

　　虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是可以大大降低"中招"的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了解一些新木马的底细，做到知己知彼，百战不殆。

系统安全：Windows系统安全设置方法--初级安全篇
1.物理安全

    服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

    在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

    去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

    虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

    大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

    什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

    “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码

    一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码

    很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10． 使用NTFS格式分区

    把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件

    我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库

12．保障备份盘的安全

    一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

安全知识：计算机加锁--把U盘变成打开电脑的钥匙
在办公室和宿舍等公共场合，你当然不喜欢让别人轻易使用自己的电脑。要是能给电脑加一把硬件锁就好了！如果能将U盘变成电脑的硬件锁，在开机登录系统时必须插上U盘，利用存储在其中的加密信息对用户进行认证，那无疑将进一步提高系统的安全性。没有U盘这把“开机钥匙”，谁也别想进入你的电脑系统。现在有不少软件能利用U盘对系统加密，但相比之下，笔者发现了一款最富个性的软件——Natural Login。

　　Natural Login不仅具有极高的安全性，还提供了自动登录、账户管理、多个U盘自由绑定、应急登录设置、个性化头像、交互式问答登录、鼠标“画图”登录等“独门”绝技。下面就由笔者来向大家介绍一下具体的操作方法吧。

    安装Naturallogin

　　Natural Login的运行环境是Windows NT/2000/XP。正常运行安装和运行Natural Login，用户需要具有系统管理员权限。首次运行Natural Login出现向导界面，在步骤一窗体中需要用户输入注册号，如果没有的话，点击Skip按钮跳过。在步骤二窗体中选择相应的USB设备，在步骤三窗体中输入当前用户的Windows登录密码，在步骤四窗体中输入密码提示问题及答案，在步骤五窗体中可以设置应急登录信息。首先输入当前用户的Windows登录密码，在问题及回答区中设置三到五个问题及对应的答案信息，这样，当忘记登录密码或丢失USB设备时，在登录系统的时，在Natural Login运行界面右下角点击“EMERGENCY LOGIN”按钮，根据预设的问题，依次输入答案，就能顺利进入系统。

    配置Natural Login

　　重启系统后，Natural Login将完全控制Windows登录界面，除了使用应急帐号外，必须插上U盘，点击安装时绑定的用户名，才能进入系统。在任务栏系统托盒中右击Natural Login图标，选择“Natural Login administration”项，打开设置窗口，在Accounts面板中显示已经和U盘绑定的用户信息，选中某个用户名，点击“Edit”按钮能够编辑配置信息。

　　这里以新建用户为例，说明如何实现新用户登录信息和U盘的绑定。点击“New...”按钮打开添加用户窗口，在Account Name 中输入在登录界面显示的用户名称，在Windows Account列表中选择系统存在的用户账号，选择“Exclude from login list”，表示在登录界面不显示该用户名；点击“Change...”按钮，可以改变用户头像，Natural Login提供了很多头像图片。在Windows Password中输入用户密码。

　　如果选择“Ask for Windows password at login time”，在登录系统时必须输入用户密码，如果选择“Auto Login”，在系统登录时，插上U盘就能自动登录。点击“*Add...”按钮，为该用户选择对应的USB设备。事实上，Natural Login的安全性能是很高的，即使设置了自动登录，仍可以进一步加强安全性。

　　在Associated Keys列表中选中为该用户绑定的USB设备名，点击“Additional Security ...”按钮，打开附加安全设置窗口，在其中点击“New...”按钮，在打开的窗口的Scheme Type列表中如果选择“Question && Answer”，在下面输入问题和答案。

　　当登录系统时，不管是否自动登录，必须回答此处预设的问题。如果答错，将不能进入系统。如果选择“Graphical Password”，就会出现一个5×5点阵的图像方框，用户首先在Question中设定一个问题，然后用鼠标在该图像方框点击，“画”出一个简单的图案，这样在登录系统时，必须在对应的问题下的5×5点阵的图像方框中画出相同的图案，方能进入系统。以此类推，可以设置多个这样的附加安全项目。这样，即使“入侵者”拿到U盘也无法进入系统。

　　在主窗口的Keys面板中显示和不同用户绑定的USB设备，可以建立新的USB设备信息，或者编辑存在USB设备信息。USB设备信息由设备名和实际的驱动器盘符组成。这样，在Accounts面板中建立用户和U盘绑定时，根据预设的设备名，就能方便的选择USB设备。

安全知识：经验心得---骗黑客的一种很有效的方法
    大家知道，通过Ping和Tracert程序就能判断目标主机类型 ，Ping最主要的用处就是检测目标主机是否能连通。Tracert利 用ICMP数据包和IP数据包头部中的TTL值，防止数据包不断在IP 互联网上永不终止地循环。

　　许多入侵者首先会Ping一下你的机子，如看到TTL值为 128就认为你的系统为Windows NT/2000；如果TTL值为32则认为目标主机操作系统为Windows 95/98；如果TTL值为255/64就认为是UNIX/Linux操作系统。既 然入侵者相信TTL值所反映出来的结果，那么我们只要修改TTL 值，入侵者就无法入侵电脑了。

　　操作步骤：

　　1.打开“记事本”程序，编写批处理命令：

　　@echo REGEDIT4>>ChangeTTL.reg

　　@echo.>>ChangeTTL.reg

　　@echo [HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesT cpipParameters]>>ChangeTTL.reg

　　@echo "DefaultTTL"=dword:000000">>ChangeTTL.reg

　　@REGEDIT /S/C ChangeTTL.reg

　　2.把编好的程序另存为以.bat为扩展名的批处理文件， 点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即 10进制的255，也就是说把你的操作系统人为地改为UNIX系统了 。同时，在该文件所在的文件夹下会生成一个名为 ChangeTTL.reg 的注册表文件。如果你想运行完这个批处理文件而不产生 ChangeTTL.reg文件，可以在此批处理文件的最后一行加上 deltree/Y ChangeTTL.reg，就可以无须确认自动删除ChangeTTL.reg文件 。

　　说明：在上面的命令中，echo是DOS下的回显命令，如 果想看到程序执行过程，请将“@”去掉。“> >”产生的内容将追加到它后面的文件即ChangeTTL.reg中。 而“DefaultTTL"=dword�000000ff”则是用来设置系统缺省TTL 值的，如果你想将自己的操作系统的TTL值改为其他操作系统的 ICMP回显应答值，请改变“"DefaultTTL"”的键值，要注意将 对应操作系统的TTL值改为十六进制才可以。

　　这样，当入侵者Ping你的机器时，他得到的就是一个假 的TTL值，这个假的TTL值就会误导对方，使入侵者的判断出现 失误，因为针对不同的操作系统的入侵方法并不一样，所以用 这个方法欺骗对方，可以让他摸不着头脑！利用这个方法欺骗 入侵者是不是很妙啊？快试试吧！

系统安全：Windows系统安全设置方法--中级安全篇
．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：http://www.microsoft.com/windows2000/techi...y/sctoolset.asp

　　2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

　　3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

　　4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆事件 成功，失败

审核帐户管理 成功，失败

审核登陆事件 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件 成功，失败

　　5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

　　6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

　　7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

　　8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

　　9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

　　10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

　　11.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

安全攻略： 用简单的命令检查电脑是否被安装木马
一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

　　检测网络连接

　　如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

　　禁用不明服务

　　很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

　　轻松检查账户

　　很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。

　　首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

全知识：系统安全：WindowsXP八种安全模式揭密
    经常使用电脑的人可能都听说过，当电脑出了故障时，Windows会提供一个名为“安全模式”的平台，在这里用户能解决很多问题--不管是硬件（驱动）还是软件的。然而你会使用这个安全模式么？今天我们就来带您认识一下它的真面目。　　 

　　初识安全模式　　　　 

　　要进入安全模式，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：　　　　 

　　1.安全模式　　 　　 

　　只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。　　 　　 

　　如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。　　　 

　　2.带网络连接的安全模式　　　　 

　　在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。 

　　3.带命令行提示符的安全模式　　 　　 

　　只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。　 

　　说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。　　　 

　　4.启用启动日志　　　　 

　　以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。

　　5.启用VGA模式　　 　　 

　　利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。　　 　　 

　　6.最后一次正确的配置　　 　　 

　　使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。　　 

　　7.目录服务恢复模式　　　 

　　这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。　　 

　　8.调试模式　　　 

　　启动时通过串行电缆将调试信息发送到另一台计算机。　　　 

　　如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 

　　现实应用　　 

　　1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。
　　现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。 

　　还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。　　　 

　　2.揪出恶意的自启动程序或服务 　　 

　　如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。　　 
　　可在带网络连接的安全模式下，用带重定向的命令提示符工具TaskList >d:Anquan.txt将当时的进程记录到D：盘根目录下的文本文件 Anquan.txt中。接着，以正常的方式启动电脑，将Anquan.txt中记录到的进程与此时的进程进行比较，你会发现此时的进程要多得多，请逐个结束多出来的进程，并检查网络连接是否正常。如果结束到某一进程时网络连接正常了，则说明就是刚结束的进程就是罪魁祸首。查出后，可删除与进程相关的可执行文件。但还要注意的是，由于它是自动运行的，强行删除后，可能会引起启动时报“找不到某文件”的错误，还得将其与自启动有关的设置全部清除，包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。

　　3.调整分区　　 　 

　　有一次，笔者带着本本儿出差，途中想处理一下下车即用的报表文件，可本本儿偏不争气，启动时报分区错误。天啊，出门在外的，又没带任何工具软件，好在天无绝人之路，还能启动到安全模式下——有法了，命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大，它工作于一个集成的环境，输入Diskpart后，显示图1所示的专用提示符即Diskpart>(注意：这不是一个路径)，在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。说明在先：以下的操作是在台式机上记录下来的。　　 

　　①启动到带命令提示符的安全模式下，输入命令Diskpart。再输入list partition 显示一下分区，显然，其中有两个主分区、两个扩展分区。　　　 

　　②输入“Select Parttition 3”使第3分区(5004MB的那个)，使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较，不难看出，原分区3确实已被删除了。 　　　　 

　　③输入“Select partition 1”使其具有焦点属性，再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。　　 

　　为分区扩容，这可是分区魔术师的专利，“diskpart”也能实现，看来，Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。 　　 

　　说明：将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区，未分配的空间必须在同一磁盘上，并且必须接着带有焦点的分区。　　 　　 

　　如果要被扩容的分区是NTFS格式，扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式，此命令就会失败，但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区，也不能对包含页面文件的分区进行扩容。从图中可看出，我的电脑中有两个主分区，分区5才是活动分区。不然，不能对分区1进行扩容操作。　　　 

　　语法：extend [size=n]　　　　 

　　参数说明： size=n ：添加到当前分区的空间大小 (MB)。如果不指定大小，磁盘就扩展为占用所有最邻近的未分配空间。　　　 

　　④不管对硬盘分区做了什么样的改动，包括创建、删除、扩容等，都用不着重新启动电脑即可生效(这是分区魔术师不能做到的)，但在“我的电脑”却看不到这些分区，这是为什么呢，原来，还没为其指定驱动器号(也就是盘符)，怎样指定盘符呢？下面以为第一个分区指定盘符为例进行说明。 　　 

　　使第1个分区具有焦点属性，再输入命令“Assign”，Diskpart就会自动为其分配一个。当然也可用命令“AssignLetter=X”来手动指定，手动指定时，不能与已存在的盘符如C等相同。经过这样的处理后，就能在“我的电脑”下查看到这些分区了。　　 　　 

　　⑤将分区5设为活动分区，先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit，退出Diskpart集成环境，让电脑自动重启。　　 　　 

　　说明：如果用惯了DiskPart，你就会觉得它的设计很符合人们的思维习惯，一般是先指定焦点，再进行操作，操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令，输入有错时，它还会自动列出子命令列表及简要说明，将你引导到正路上来。另外，安装Windows 2003后，大家最熟悉的分区魔术师(非服务器版)不能正常运行，使用Diskpart确实是一个不错的选择。　　　　 

　　如前所述，在Diskpart下进行任何操作前都必须指定焦点，即指明对哪一对象进行操作，这一方面使的我的操作逻辑清楚，但另一方面，如果对误指定了焦点又执行了破坏性的命令，如删除分区等，会造成无可挽回的损失。所以，请随时用List命令查看各分区状态，焦点分区前有一个星号(*)标志。　 

　　此外，你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除，遇到这种情况，可启动到安全模式下尝试删除这些病毒文件。当然，这里我们也只是介绍了一些比较常见的安全模式用途，算是抛砖引玉吧，希望各位能够在实际的电脑使用中，逐步体验其更多的便捷之处。

系统安全：Windows系统安全设置方法--高级安全篇
1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 http://www.microsoft.com/windows2000/techi...ity/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。