無論在Internet還是Intranet環境下，網絡會時時刻刻遭遇各式各樣的安全威脅;為了能夠“知己知彼，百戰不殆”，我們必須想辦法充分對系統自身的網絡安全狀態進行明察秋毫，才能有的放矢地化解安全威脅。監控網絡安全狀態的變化，有多種方法可供選用，不過很多方法都需要借助專業工具的幫忙才能完成;其實，重要主機系統自身就具有這方面的本領，我們只要自力更生、對其進行深入挖掘，完全也可以對系統的網絡安全變化進行明察秋毫。

1、監控網絡服務變化

一旦局域網中的重要主機被網絡病毒攻擊，那么對應系統中的網絡服務狀態可能會發生明顯的變化。為此，我們可以通過及時監控重要主機系統中的網絡服務狀態變化情況，來判斷目標主機是否遭遇了網絡病毒或木馬程序的襲擊。那如何才能知道目標主機系統中新啟動了哪些網絡服務，又關閉了哪些網絡服務呢?其實很簡單，我們可以利用Windows系統自帶的netstart命令，來快速監測出網絡服務的狀態變化情況，下面就是具體的監測步驟：

首先在重要主機運行狀態正常的情況下，依次單擊“開始”/“運行”命令，在彈出的系統運行文本框中，輸入“cmd”字符串命令，單擊回車鍵后，將系統狀態切換到DOS命令行狀態;

其次在DOS命令行狀態下輸入字符串命令“netstart>e:\normal.txt”，單擊回車鍵后，目標主機系統就會自動將正常狀態下的網絡服務啟用狀態信息輸出保存到“e:\normal.txt”文件中了，我們可以將該文件作為目標主機系統網絡服務正常狀態的參照;

日后，當我們感覺目標主機系統突然運行緩慢或出現其他明顯異常現象時，可以再次執行字符串命令“netstart>e:\ignor.txt”，將目標主機系統狀態不正常時的網絡服務狀態信息輸出保存到“e:\ignor.txt”文件中;

之后，在DOS命令行狀態下執行“fce:\normal.txte:\ignor.txt”字符串命令，來比較目標主機系統發生明顯異常后的網絡服務狀態信息，看看究竟有哪些新的網絡服務被啟動成功了，這些新啟動的網絡服務很可能就是網絡病毒的進程服務或木馬服務，此時我們應該采用手工方法強行將新的網絡服務關閉掉，再借助專業的殺毒軟件來對重要主機系統進行病毒查殺操作，直到恢復重要主機系統的工作狀態為止。

2、監控共享狀態變化

一些木馬或惡意攻擊程序為了達到攻擊目的，往往會偷偷在重要主機系統中創建隱藏共享文件夾，并通過該隱藏共享文件夾來偷窺對應系統中的隱私信息。為了避免重要主機系統中的隱私信息被他人偷窺，我們必須想辦法對本地系統中的共享文件夾狀態變化情況進行監控，一旦發現有陌生的共享文件夾被偷偷創建時，必須及時將它刪除;那么如何對重要主機系統中的共享文件夾狀態變化情況進行監控呢?我們可以利用Windows系統內置的netshare命令來實現這一監控目的，下面就是該方法的具體實現步驟：

首先打開目標重要主機系統的“開始”菜單，點選其中的“運行”命令，在彈出的系統運行框中執行“cmd”命令，將系統切換到DOS命令行工作狀態;

其次在該工作狀態的命令行提示符下，執行“netshare>e:\old.txt”字符串命令，Windows系統會將當前狀態下的所有共享文件夾狀態信息自動輸出存儲到“e:\old.txt”文件中，此時進入對應系統的“我的電腦”窗口中，打開“e:\old.txt”文件時，我們就能清楚地看到目標主機系統中的所有共享狀態信息了。

日后定期在目標主機系統中執行一次“netshare>e:\new.txt”字符串命令，將最新的共享文件夾狀態信息輸出保存到“e:\new.txt”文件中;為了判斷出共享狀態信息是否發生變化，我們繼續執行“fce:\old.txte:\new.txt”字符串命令，該命令執行的結果會準確告訴我們目標主機系統中的共享文件夾究竟發生了哪些變化，例如新創建的共享文件夾有哪些，被取消的共享文件夾有哪些等等。

當然，如果想對共享狀態的變化情況進行自動監控時，我們可以打開記事本程序，在文本編輯窗口中輸入下面的命令行代碼：

@echooff

netshare>e:\new.txt

fce:\old.txte:\new.txt

3、監控登錄狀態變化

一些不自覺的用戶，往往會趁主人離開計算機的那一段間隙，偷偷登錄對應系統，來偷窺重要的隱私信息。那么我們能否找到一種合適的辦法，來對用戶的偷偷登錄行為進行自動監控，并將監控的結果自動反饋給計算機的主人呢?答案是肯定的!我們可以在WindowsVista以上版本系統中，啟用登錄監控功能來對用戶的偷偷登錄行為進行自動監控，下面就是具體的監控操作步驟：

首先依次單擊目標主機系統桌面上的“開始”、“運行”選項，打開對應系統的運行文本框，在其中執行“gpedit.msc”字符串命令，彈出組策略編輯界面;

其次將鼠標定位于該編輯界面左側列表中的“計算機配置”分支上，同時從目標分支下面依次展開“管理模板”、“Windows組件”、“Windows登錄選項”節點選項，再用鼠標雙擊目標節點下面的“在用戶登錄期間顯示有關以前登錄的信息”組策略選項，打開目標組策略屬性窗口;

檢查該屬性窗口中的“已啟動”選項是否已經被選中，一旦看到它還沒有處于選中狀態時，我們應該及時選中它，同時單擊“確定”按鈕執行設置保存操作，這么一來目標主機系統日后就能支持登錄監控功能了。

日后，要是有非法用戶趁計算機主人暫時離開現場，偷偷利用主人的賬號登錄進入本地系統時，Windows系統的登錄監控功能就能把非法用戶偷偷登錄行為記憶下來了，下次計算機主人重新登錄系統時，就能看到具體的監控結果了，包括偷偷登錄操作使用的用戶賬號名稱、登錄時間等等。

4、監控賬號狀態變化

為了達到惡意攻擊或監視目的，非法攻擊者常常會偷偷地在系統后臺創建惡意賬號，日后他們就能利用惡意賬號對重要主機實施攻擊行為了。為了保護重要主機系統的安全，我們必須想辦法在第一時間發現惡意賬號的創建行為，并及時刪除惡意賬號;要做到這一點，其實很簡單，我們可以巧妙利用Windows系統的審核功能，來對惡意賬號的創建操作進行自動報警，下面就是具體的操作步驟：

首先對目標主機系統的賬號創建事件進行審核。在缺省狀態下，Windows系統不會自動對惡意賬號的創建行為進行監控，只有對該操作啟用審核功能后，系統日志才會對賬號創建事件進行跟蹤、記錄;在審核惡意賬號的創建操作時，我們可以先打開目標主機系統的運行文本框，在其中執行“secpol.msc”字符串命令，彈出本地安全策略控制臺界面;

其次將鼠標定位于“安全設置”分支上，并從目標分支下面依次展開“本地策略”、“審核策略”節點選項，再用鼠標雙擊目標節點下面的“審核賬戶管理”選項，進入如圖3所示的目標組策略屬性窗口，將該窗口中的“成功”、“失敗”選項選中，同時單擊“確定”按鈕執行設置保存操作;

接著依次點選“開始”/“設置”/“控制面板”命令，單擊系統控制面板窗口中的“用戶賬戶”圖標，在其后彈出的用戶賬戶管理窗口中，手工創建一個用戶賬號，創建完畢后，我們再打開目標主機系統的計算機管理窗口，并從中逐一展開“系統工具”、“事件查看器”、“Windows日志”、“系統”節點選項，在目標節點選項下面我們就可以看到剛才的用戶賬號創建操作記錄了;

下面再用鼠標右鍵單擊該記錄選項，從彈出的快捷菜單中執行“附加任務到事件”命令，打開附加任務向導對話框，按照向導屏幕的提示，設置好附加任務的名稱，選擇好合適的任務內容，這里我們選中“顯示消息”作為具體的報警方式，之后設置好具體的報警內容，例如可以輸入“有人剛剛創建了惡意賬號，請及時查看”，最后單擊“完成”按鈕結束附加任務的設置操作，這么一來日后目標主機系統中一旦有人偷偷創建惡意賬號時，系統屏幕上會自動彈出類似“有人剛剛創建了惡意賬號，請及時查看”這樣的報警信息，看到這樣的報警內容，我們就能迅速采取措施進行安全防范了。