Windows XP是微軟融合了Win 2K/NT之安全、堅(jiān)固與Win Me/98之易用、靈活的第一代操作系統(tǒng)。為了提高安全性和易用性，Win XP不僅改進(jìn)了許多原有的GUI工具和命令行工具，同時(shí)還增加了一些新的工具，而且這些工具不再通過Resource Kit（資源工具包）發(fā)布，而是直接把最有用的工具作為Support Tools包裝到了OS軟件包，放在安裝CD的SupportTools目錄下。如果你打算深入、全面地管理XP，這些工具能夠幫你完成日常的監(jiān)視、管理任務(wù)，加固Win XP的安全。;;;;一、獲得系統(tǒng)信息;;;;知己知彼，百戰(zhàn)不殆，這句話表明了要想百戰(zhàn)不殆，一個重要的前提就是“知己”。以前，你需要運(yùn)行一大堆工具才能獲知操作系統(tǒng)已經(jīng)安裝了哪些Service Pack、Hotfix以及系統(tǒng)的網(wǎng)絡(luò)配置。Win XP新增了一個命令行工具Systeminfo（Systeminfo.exe），幫你輕而易舉地完成這些工作。Systeminfo通過WMI（Windows管理規(guī)范）API列舉出系統(tǒng)配置信息，輸出信息按照OS、硬件平臺、安裝配置、已安裝的補(bǔ)丁分門別類，一目了然。圖一;;;;圖一是不帶任何命令行參數(shù)運(yùn)行Systeminfo的結(jié)果片斷，如果要診斷遠(yuǎn)程機(jī)器，只要加上一個“/s ”參數(shù)。另外，Systeminfo還允許通過“/u ”和“/p ”參數(shù)指定運(yùn)行Systeminfo的用戶身份，如果只提供用戶名字但省略密碼，Systeminfo將提示輸入密碼，輸入密碼時(shí)屏幕上不會有回顯——如果旁邊有人看著你運(yùn)行Systeminfo，這個功能讓你無所顧忌。;;;;另一個檢測系統(tǒng)配置的實(shí)用工具是Spcheck（Spcheck.exe），用于檢測Service Pack級的組件信息，以前這個工具只通過 Product Support Service（PSS）提供，但現(xiàn)在加入到了Support Tools。Spcheck要用到一個數(shù)據(jù)文件spcheck.ini，這個文件包含了各個網(wǎng)絡(luò)組件的每一個文件的信息，鑒于操作系統(tǒng)需要不斷更新，所以spcheck.ini不隨XP一起提供，而是通過網(wǎng)絡(luò)發(fā)布，http://support.microsoft.com/default.aspx?scid=kb;en-us;q279631頁面提供了針對Win XP/2K/NT 4和Exchange Server 5.5等的各個spcheck.ini版本的鏈接。圖二;;;;下載spcheck.ini的XP版本，把它保存到安裝Support Tools的目錄，解開壓縮，然后運(yùn)行spcheck。spcheck將生成報(bào)告文件spcheck.rpt——其實(shí)這是一個文本文件，可以用記事本打開，圖二顯示了spcheck.rpt文件的一個片斷。;;;;二、監(jiān)視系統(tǒng);;;;說到監(jiān)視系統(tǒng)狀態(tài)，人們最熟知的就是按Ctrl+Alt+Del彈出的“任務(wù)管理器”。不過任務(wù)管理器的功能有限，如果要了解哪個進(jìn)程啟動了子進(jìn)程，或者有哪些進(jìn)程服務(wù)在運(yùn)行，你可能會想到tlist.exe命令行工具。;;;;不過XP沒有提供tlist.exe，代之以另一個工具Tasklist（Tasklist.exe）。Tasklist是針對XP多用戶環(huán)境開發(fā)的，能夠報(bào)告每一個正在運(yùn)行進(jìn)程的會話信息，但和tlist.exe不同的是，Tasklist不會列出父進(jìn)程的每一個子進(jìn)程（但愿以后的版本會增加這個非常實(shí)用的功能）。Tasklist能夠查詢遠(yuǎn)程系統(tǒng)，用/v參數(shù)可得到詳細(xì)信息（包括窗口標(biāo)題、用戶名字）。如圖三所示，用/m參數(shù)可以顯示出裝入某個DLL的進(jìn)程——如果你懷疑某個DLL實(shí)際上是一個木馬程序，這一功能非常有用。圖三;;;;當(dāng)網(wǎng)絡(luò)防火墻/路由器的通信指示燈開始狂閃，在以前的Windows上，我用Netstat工具（netstat.exe）查找哪些TCP或UDP端點(diǎn)正在使用我的系統(tǒng)，然后大致地判斷應(yīng)該是哪個或哪些進(jìn)程正在發(fā)送或接收數(shù)據(jù)，但如果要精確地判斷端點(diǎn)和進(jìn)程的從屬關(guān)系就必須使用第三方工具。;;;;在XP中，Netstat命令的功能已經(jīng)改進(jìn)，能夠顯示出哪些進(jìn)程正在使用端點(diǎn)。只要加上/o參數(shù)，Netstat會在端點(diǎn)之后顯示出進(jìn)程ID，如圖四所示。如果使用/a參數(shù)，Netstat能夠顯示出所有端點(diǎn)——不管是活動狀態(tài)的，還是監(jiān)聽狀態(tài)的。圖四;;;;有時(shí)監(jiān)視每一個進(jìn)程打開了哪些文件也是非常有用的。在以前的Windows中，我們可以安裝資源工具包的oh.exe。但在XP中，雖然Support Tools的幫助文件提到了oh.exe，安裝好的Support Tools卻不帶oh.exe。但是，XP提供了一個新的Openfiles命令行工具（Openfiles.exe），它能夠報(bào)告進(jìn)程打開的各個文件。和oh.exe相似，Openfiles也要求打開系統(tǒng)內(nèi)核監(jiān)視，而這會消耗一些內(nèi)存，降低文件、打印、郵件、數(shù)據(jù)庫等操作的性能。打開系統(tǒng)監(jiān)視的命令是openfiles /local on，它會啟用系統(tǒng)全局標(biāo)志“維護(hù)對象列表”，需要重新啟動系統(tǒng)才能生效（你可以執(zhí)行g(shù)flags.exe查看Openfiles命令設(shè)置了哪些標(biāo)志）。;;;;重新啟動系統(tǒng)后，不帶參數(shù)執(zhí)行Openfiles就可以看到一個進(jìn)程清單以及各個進(jìn)程打開的文件（包括共享文件），圖五就是Openfiles執(zhí)行結(jié)果的一個片斷。如果要查看哪個用戶正在運(yùn)行打開文件的進(jìn)程，執(zhí)行openfiles /query /v，如圖六。圖五圖六;;;;Openfiles還有其他一些命令行參數(shù)，主要用來控制輸出格式，另外還可以用Openfiles來監(jiān)視遠(yuǎn)程系統(tǒng)打開的文件，前提是遠(yuǎn)程系統(tǒng)必須啟用監(jiān)視功能。;;;;就監(jiān)視系統(tǒng)狀態(tài)而言，事件日志屬于最難的部分。在運(yùn)行了大量應(yīng)用軟件或者啟用了安全審計(jì)的系統(tǒng)上，審計(jì)/事件信息可能很快達(dá)到數(shù)兆之多，要在如此龐大的事件信息庫中尋找特定的事件紀(jì)錄是相當(dāng)困難的——至少是相當(dāng)耗時(shí)的。XP新增了一個Eventtriggers工具（eventtriggers.exe），能夠在事件日志中發(fā)生任意事件時(shí)執(zhí)行指定的命令。假設(shè)當(dāng)有人試圖登錄系統(tǒng)但驗(yàn)證身份失敗時(shí)，我們想要執(zhí)行 C:AdminInvalidLogon.cmd腳本，可設(shè)置如下：eventtriggers /create /l security /eid 529 /tr“登錄失敗”/tk c:adminInvalidLogon.cmd /ru:administrator。;;;;InvalidLogon.cmd腳本將在本地系統(tǒng)管理員的身份下運(yùn)行。系統(tǒng)將要求為/ru參數(shù)指定的用戶輸入密碼。如果不指定運(yùn)行InvalidLogon.cmd腳本的用戶，系統(tǒng)默認(rèn)使用“Local System”，但使用Local System可能導(dǎo)致某些命令無法執(zhí)行，所以本人的建議是最好指定一個具有適當(dāng)權(quán)限的用戶。經(jīng)試驗(yàn)發(fā)現(xiàn)，從事件出現(xiàn)到觸發(fā)/運(yùn)行指定的命令之間會有約60秒的延遲。就象許多其他XP新增的工具一樣，eventtriggers也能夠操作遠(yuǎn)程的XP系統(tǒng)。;;;;三、監(jiān)視網(wǎng)絡(luò);;;;如果你曾經(jīng)排解過服務(wù)器/客戶機(jī)之間的通信問題，可能已經(jīng)熟悉網(wǎng)絡(luò)監(jiān)視工具Netmon.exe，不過這個工具是隨著服務(wù)器操作系統(tǒng)提供的。XP的Support Tools有一個Netcap工具（netcap.exe），它和Netmon.exe一樣也能夠捕獲網(wǎng)絡(luò)通信。第一次運(yùn)行Netcap時(shí)它會提示說正在安裝網(wǎng)絡(luò)監(jiān)視驅(qū)動程序。Netcap能夠讀取Netmon 2.0以上版本創(chuàng)建的篩選文件，Netmon也能夠讀取Netcap捕獲的數(shù)據(jù)。;;;;在網(wǎng)絡(luò)上運(yùn)行IP Security（IPSec）的用戶都知道，Ipsecmon是一個監(jiān)視IPSec組件的實(shí)用工具。奇怪的是，XP并沒有提供這個工具，不過不必?fù)?dān)心，在XP中Ipsecmon已被一個稱為“IP安全監(jiān)視器”的MMC管理單元替代，后者的監(jiān)視功能進(jìn)一步加強(qiáng)，而且兼具監(jiān)視本地/遠(yuǎn)程系統(tǒng)的能力。;;;;選擇菜單“文件”→“添加/刪除管理單元”，點(diǎn)擊“添加”打開“添加獨(dú)立管理單元”對話框，從管理單元清單中找到并選中“IP安全監(jiān)視器”，點(diǎn)擊“添加”，再在“添加/刪除管理單元”對話框中點(diǎn)擊“確定”返回MMC控制臺，如圖七。本地機(jī)器的節(jié)點(diǎn)包含兩個子節(jié)點(diǎn)：主模式，快速模式。兩種模式分別對應(yīng)IPSec協(xié)商過程的第一、二兩個階段。圖七;;;;四、管理系統(tǒng);;;;在以前的Windows中，使用Support Tools中的kill.exe工具可以關(guān)閉一個進(jìn)程。XP把kill.exe換成了taskkill.exe，增加了關(guān)閉遠(yuǎn)程系統(tǒng)上進(jìn)程的能力，能夠根據(jù)進(jìn)程名稱、窗口標(biāo)題關(guān)閉進(jìn)程，能夠關(guān)閉子進(jìn)程，甚至能夠根據(jù)一組指定的條件關(guān)閉一系列進(jìn)程，允許定義的條件包括：進(jìn)程狀態(tài)，內(nèi)存使用情況，CPU使用情況，裝入的DLL，用戶名字，服務(wù)名字。;;;;從最早的NT 3.1開始，Windows就能夠注銷連接到共享資源的用戶或關(guān)閉用戶打開的文件。在XP中，你可以要求操作系統(tǒng)關(guān)閉本地或遠(yuǎn)程用戶打開的文件。例如，如果要關(guān)閉文件，只要執(zhí)行Openfiles命令時(shí)加上/disconnect參數(shù)。就象tasklist.exe一樣，Openfiles允許指定用戶名字、文件名字和打開模式等條件。;;;;利用Logoff命令行工具（logoff.exe）能夠強(qiáng)行注銷XP上的用戶。雖然早期的Windows版本也提供了Logoff命令，但它們只能注銷遠(yuǎn)程登錄到服務(wù)器的用戶；在XP中，Logoff命令能夠注銷控制臺用戶了。;;;;總地看來，本文介紹的安全管理工具是人們長久以來盼望Windows提供的工具。雖然說操作系統(tǒng)的易用性在不斷提高，但從另一方面理解，操作系統(tǒng)正變得越來越復(fù)雜——當(dāng)你要穿過易用的界面深入掌握、控制Windows時(shí)，不得不運(yùn)用大量的工具，即使你是一個普通的愛好者而不是專職管理員也一樣。本文介紹的許多工具是從原來的資源工具包轉(zhuǎn)移到安裝操作系統(tǒng)CD，這本身就說明現(xiàn)在該是我們掌握這些工具的時(shí)候了。