【IT168 专稿】在Windows Server 2008系统环境下上网冲浪时，我们常常会在无意之中访问到一些暗藏了恶意代码的网页内容，这些恶意代码可能会偷偷在本地服务器系统中创建非法账号，以便日后通过该非法账号对服务器系统进行非法攻击。如果我们不及时将潜藏在本地服务器系统中的非法账号“揪出”来的话，那么Windows Server 2008服务器系统会随时受到安全威胁；那么我们如何才能在第一时间内找到潜藏在本地服务器系统中的非法账号呢？其实，巧妙地修改Windows Server 2008系统的安全策略，我们就可以让系统在非法账号自动创建的那一刻，智能地弹出警报信息，告诉我们当前有非法账号已经创建；看到这样的警报信息后，我们就能迅速采取措施将非法账号从本地服务器系统中“驱除”出去了，那么本地服务器系统的安全性也就能得到有效保证了。

　　自动揪出非法账号的实现思路

　　由于Windows Server 2008系统自带的事件查看器程序新增加了一项特殊功能，这项功能能够为服务器系统中的一些特殊事件绑定计划任务，当服务器系统中的指定特殊事件发生时，被绑定的计划任务就能被触发而自动执行。利用这样的功能，我们可以先在本地服务器系统中手工添加一个创建用户账号的特殊事件，然后在Windows Server 2008系统自带的事件查看器程序中执行绑定计划任务功能，通过该功能创建一个自动报警的计划任务，这样的话日后本地服务器系统中有新的用户账号创建时，那么自动报警的任务就会被触发执行，到时我们看到服务器系统弹出的报警信息时，就能在第一时间知道本地服务器系统中有非法账号成功创建了，如此一来就能实现自动揪出非法账号的目的了。

　　设置策略，对账号创建操作进行审核

　　考虑到在缺省状态下，Windows Server 2008系统自带的事件查看器程序并不会对账号创建事件进行自动记录，为此我们需要采用手工方法修改系统的安全策略，确保Windows Server 2008系统系统能够启用账号管理审核功能。在进行这种设置时，我们可以按照如下步骤来操作：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从弹出的“开始”菜单中依次点选“设置”/“控制面板”命令，在其后出现的窗口中双击“管理工具”图标，打开本地服务器系统的管理工具列表窗口；

　　从该管理工具列表窗口中找到“本地安全策略”选项，再用鼠标双击该选项，打开本地安全策略控制台窗口；在该窗口的左侧列表区域，将鼠标定位于“本地策略”节点选项上，再选中该节点下面的“审核策略”子项，在对应“审核策略”子项的右侧列表区域中，找到“审核账户管理”选项，并用鼠标双击该选项，打开审核账户管理属性设置窗口，如图1所示；

　　选中该设置窗口中的“成功”复选项，单击“确定”按钮后，Windows Server 2008系统将会自动审核本地服务器系统中的每个账户管理事件，具体包括用户账号的创建操作、更改操作、删除操作等，每当这些操作成功时，本地服务器系统的事件查看器程序就会自动将它们记录保存下来。

　　新建账号，来指定创建账号触发事件

　　由于特定的计划任务需要依赖特定的触发事件，为此要想让我们从Windows Server 2008服务器系统那里及时得到报警通知，我们还需要先采用手工方法新建一个用户账号，以便为自动报警任务指定一个触发事件。在Windows Server 2008系统中创建用户账号时，可以按照如下步骤来进行：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从弹出的“开始”菜单中依次点选“程序”/“服务器管理器”命令，打开本地系统的服务器管理器窗口；

　　其次在该管理器窗口的左侧显示区域，将鼠标定位于“配置”节点选项上，再依次点选该节点选项下面的“本地用户和组”/“用户”子项，用鼠标右键单击“用户”子项，从弹出的快捷菜单中执行“新建用户”命令，打开如图2所示的用户账号创建设置窗口，在该设置窗口中随意创建一个用户账号，最后单击“创建”按钮结束用户账号创建任务，如此一来我们就能从系统事件查看器中找到创建账号触发事件了。

　　绑定任务，对账号创建事件自动报警

　　做好了上面的准备工作后，我们现在就能让Windows Server 2008系统自动跟踪非法账号的创建操作了，一旦有用户账号在上网冲浪的过程中突然创建时，本地服务器系统的事件查看器程序就能自动执行特定的计划任务，我们只要将该计划任务设置为自动报警提示就可以了，下面就是具体的操作步骤：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从弹出的“开始”菜单中依次点选“设置”/“控制面板”命令，在其后出现的窗口中双击“管理工具”图标，打开本地服务器系统的管理工具列表窗口；

　　从该管理工具列表窗口中找到“事件查看器”选项，用鼠标双击“事件查看器”选项，打开事件查看器管理窗口；在该管理窗口的左侧列表区域中，用鼠标依次展开“Windows日志”/“安全”分支选项，在对应该分支选项的右侧列表区域中我们就能非常清楚地看到本地服务器系统有关安全的系统事件了；在对应“安全”分支选项的中间显示区域中，我们可以根据“日期和时间”排序来快速找到之前创建用户账号的事件；

　　用鼠标右键单击之前创建用户账号的事件选项，从弹出的快捷菜单中点选“将任务附加到此事件”命令，打开一个标题为“创建基本任务”的向导设置框，单击其中的“下一步”按钮，随后屏幕上会出现一些提示信息，根据这些提示信息我们可以确认这些信息的准确性，要是发现它们都正确无误时，继续单击“下一步”按钮；

　　这时我们将看到一个如图3所示的设置对话框，在这里我们可以根据自己的需要设置具体要执行的计划任务；Windows Server 2008系统共为我们提供了三种类型的任务操作，一种是启动应用程序操作，这项任务操作也是系统默认指定的操作，另外两种操作分别是发送电子邮件和显示报警信息。为了实现自动报警功能，我们可以选中这里的“显示消息”选项，然后根据向导提示设置好报警消息的标题以及具体报警内容，例如“小心了，有用户账号偷偷创建成功了！”，再单击“完成”按钮退出任务创建向导窗口。

　　完成上面的设置任务后，Windows Server 2008系统将会自动弹出提示，告诉我们已经在任务计划列表中添加了一个计划任务，单击提示窗口中的“确定”按钮退出提示窗口。日后，每当恶意程序在本地服务器系统中偷偷创建非法用户账号时，Windows Server 2008系统就会自动弹出警报窗口，告诉我们“小心了，有用户账号偷偷创建成功了！”，看到这样的报警信息我们就能及时知道本地服务器系统中有非法账号存在了，到时我们就能快速进入用户账号列表窗口找到非法用户账号，并且将非法用户账号及时删除掉了。