脓毒血症定义:监控Windows操作 网管可用

在公共场合下，很可能是多个人共同使用同一台计算机;如果有人在共用计算机系统中随意操作，很可能会造成系统发生瘫痪或其他不正常现象。为了有效保护共用计算机系统的运行安全性，我们需要想办法对用户的Windows操作记录进行暗中监控，以便日后Windows系统遇到问题时，可以及时找到一点蛛丝马迹，同时也能提高Windows系统故障的恢复效率。其实，无需要外力工具的帮忙，我们只要自己动手，来对Windows系统进行合适设置，就能让各种操作记录尽在自己的监控中了!
　　监控使用时间
　　如果想监控到用户使用Windows系统的持续时间时，我们可以想办法记录下Windows系统的启动运行时间以及关闭结束时间，然后根据它们的时间差，就能监控到用户持续使用计算机的具体时间了。当用户还在使用计算机的时候，我们可以依次单击对应系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中，输入字符串命令“cmd”，单击“确定”按钮后，将系统屏幕切换到DOS命令行工作状态;在该状态下的命令行提示符下，输入字符串命令“systeminfo >> d:\11.txt”，单击回车键后，Windows系统就会自动在D盘根目录下面创建一个名为“11.txt”文本文件，该文件中保存了Windows系统的各种配置信息;打开“11.txt”文本文件，我们会在如图1所示的界面中，看到目前的计算机系统已经持续运行了3个多小时，很明显通过上述命令，我们就能轻松监控到Windows系统持续使用的时间了。

图1 时间监控
　　当然，为了实现自动监控效果，我们可以将字符串命令“systeminfo >> d:\11.txt”写入保存到一个批处理文件中，假设在这里我们将它保存到“11.bat”批处理文件中;下面，我们需要想办法让Windows系统在执行关机操作时，自动执行“11.bat”批处理文件，以便将本次Windows系统持续运行的时间输出保存到D盘根目录下面的“11.txt”文本文件中：
　　首先依次单击“开始”/“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“确定”按钮，打开对应系统的组策略控制台窗口;
　　其次在该控制台窗口的左侧显示区域，依次展开“本地计算机策略”/“计算机配置”/“Windows设置”/“脚本(启动/关机)”节点选项，在对应“脚本(启动/关机)”节点选项的右侧显示区域，找到“关机”目标组策略选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开“关机”组策略属性设置窗口，如图2所示;

图2 关机脚本
　　单击该设置窗口中的“添加”按钮，在其后出现的“添加脚本”对话框中，输入“11.bat”批处理文件的详细路径信息，再单击“确定”按钮保存好上述设置操作，这样一来日后Windows系统每次关闭运行之前，都会自动把本次系统运行的持续时间等系统配置信息输出保存到“11.txt”文本文件中，下次我们只要打开该文本文件，就能一目了然地看到上一个用户持续操作计算机的具体时间了。
监控上网记录
　　我们知道，Windows系统自带的IE浏览器在默认状态下，可以自动把每一个上网用户浏览过的网站历史记录保存下来，可是稍微有点上网冲浪经验的朋友都知道保存下来的网站历史记录也能够被手工清除掉;如果我们能够想办法将IE浏览器自动记录下来的网站历史记录，自动转移到其他安全的位置，让上网用户无法通过手工方法清除的话，那么我们日后就能通过查看IE浏览器历史文件夹中的内容，来实现监控上网记录的目的了。
　　考虑到Windows系统自带IE浏览器的浏览历史记录内容，默认保存在C:\Documents and Settings\Administrator\Local Settings\History文件夹中，因此我们只要让Windows系统自动定期备份这个文件夹就可以了，下面就是具体的实现步骤：
　　首先启动运行本地系统中的记事本程序，在弹出的文件编辑窗口中，输入下面的命令行代码：
　　@echo off
　　copy "C:\Documents and Settings\user\Local Settings\History" f:\ /y
　　其中的“user”为特定用户的登录帐户，在确认上面的代码输入正确后，再依次单击“开始”/“保存”命令，将上面的代码内容保存为扩展名为“bat”的批处理文件，假设我们在这里将上面的代码保存为“22.bat”，执行该批处理文件后，IE浏览器的浏览历史记录内容就会自动保存备份到F盘根目录;
　　为了实现自动定期备份操作，我们下面需要创建一个任务计划;在进行这种操作时，我们可以依次单击“开始”/“程序”/“附件”/“系统工具”/“任务计划”命令，打开对应系统的任务计划列表窗口，用鼠标双击其中的“添加任务计划”图标，打开任务计划添加向导对话框;
　　其次依照向导屏幕的提示单击“下一步”按钮，当向导屏幕询问我们运行哪种程序时，我们可以单击对应界面中的“浏览”按钮，从其后出现的程序选择对话框中，将先前创建成功的“22.bat”批处理文件选中并导入进来;
　　继续单击“下一步”按钮，系统屏幕上会出现如图3所示的向导设置窗口，在该设置窗口中为新任务计划取一个合适名称，这里我们将该名称设置为“监控上网记录”，同时选中“每天”选项，之后设置好每天运行目标任务的具体时间，我们可以将该时间定为“8:30”，同时指定Windows系统每隔一刻钟执行一次目标任务计划，最后单击“完成”按钮结束任务计划的创建操作;


    
    图3 计划任务向导
　　如此一来，Windows系统日后每天都会从早上8:30开始，每隔一刻钟执行一次“22.bat”批处理文件，来将网站历史记录保存备份到F盘根目录下;如果我们想查看监控到的上网记录内容，只需要将F盘根目录下面的“History”拷贝到“C:\Documents and Settings\user\Local Settings”目录下，然后打开Windows系统自带的IE浏览器窗口，并在该窗口中依次单击“查看”/“浏览器栏”/“历史记录”命令就可以了。
监控程序使用
　　很多单位往往会明令禁止在上班期间随意玩游戏或炒股，可是总有一部分不自觉的人在偷偷地玩游戏或炒股;现在，我们不需要任何专业工具的帮忙，只要巧妙地利用Windows系统自带的事件查看器，就能轻松对指定应用程序的使用状态进行监控。现在，我们就以监控QQGame程序为例，向各位朋友详细介绍一下监控应用程序使用状态的操作步骤：
　　首先打开本地系统的资源管理器窗口，找到QQGame程序所在的磁盘分区，检查该磁盘分区使用的格式是否为NTFS，一旦发现不是的话，我们可以打开系统的运行对话框，并在其中执行字符串命令“convert x:/FS:NTFS”，将目标磁盘分区转换成NTFS格式;
　　其次依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的组策略控制台窗口，在该窗口的左侧显示区域，将鼠标定位于“计算机配置”分支选项上，再从该分支下面逐一展开“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略子项;
　　在对应“审核策略”组策略子项的右侧显示区域，用鼠标双击“审核对象访问”目标组策略选项，打开如图4所示的选项设置对话框，选中其中的“成功”复选项，同时单击“确定”按钮保存好上述设置操作;
    
    图4 审核策略
　　再次进入本地系统的资源管理器窗口，从中找到QQGame程序所在的文件夹窗口，用鼠标右键单击目标文件夹，从弹出的快捷菜单中执行“属性”命令，打开目标文件夹的属性设置界面;点选该设置界面中的“安全”标签，并在对应标签设置页面中单击“高级”按钮;之后打开“审核”标签设置页面，单击该页面中的“添加”按钮，在其后出现的选择用户帐号对话框中，将需要监控用户帐号的员工名称选中，最后单击“确定”按钮;
　　紧接着，为需要监控的用户帐号设置好合适的访问权限，在这里我们只要选中“读取”权限就可以了，因为任何用户在玩QQ游戏时，都需要读取QQGame文件夹中的内容;日后用户只要运行了QQGame程序，那么Windows系统自带的事件查看器就能自动把读取QQGame文件夹的操作记录记忆下来。
　　以后，我们想确认某个用户是否在上班时间玩游戏时，只要依次单击“开始”/“运行”命令，在弹出的系统运行文本框中，输入字符串命令“eventvwr.msc”，单击回车键后，打开本地系统的事件查看器窗口，在该窗口的左侧显示区域选中“安全性”选项，在对应“安全性”选项的右侧显示区域，找到相关的事件记录选项，用鼠标双击该记录选项，从其后出现的窗口中我们就能一目了然地看到用户访问QQGame程序的具体时间了。
监控登录状态
　　在Windows Vista系统环境下，我们还可以利用该系统新增加的一项安全功能，来自动监控用户登录本地系统的状态，下面就是具体的监控步骤：
　　首先打开Windows Vista系统的“开始”菜单，从中执行“运行”命令，在系统运行框中输入“gpedit.msc”字符串命令，单击“确定”按钮后，进入本地系统的组策略控制台窗口，逐一展开“计算机配置”、“管理模板”、“Windows组件”、“Windows登录选项”子项;


    
    图5 启用登录记录
　　其次在目标组策略子项下面，用鼠标双击“在用户登录期间显示有关以前登录的信息”项目，打开如图5所示的组策略设置窗口，选中“已启动”，再单击“确定”按钮保存好上述设置操作，这样的话Windows Vista系统就能自动监控用户登录本地系统的状态了。