自动报警，谨防恶意创建账号

　　在Windows Server 2008系统环境下上网冲浪时，不小心可能就会碰到一些潜藏有恶意病毒或木马的非法网页，这些恶意病毒或木马往往会在后台偷偷地创建账号信息，日后非法攻击者可能就会通过该恶意账号来对Windows Server 2008系统进行非法攻击。那么我们能否在第一时间内知道本地服务器中有新的账号被创建，然后根据账号属性信息快速判断新账号是恶意账号呢？答案是肯定的，我们可以利用Windows Server 2008系统新增加的事件绑定计划任务功能，为创建账号事件绑定一个自动报警任务，那样一来一旦有新的用户账号在系统中创建时，我们就能及时知道并能采取针对性措施进行应对了，下面就是具体的实现步骤：

　　首先需要指定Windows Server 2008系统对账号创建事件进行审核，确保账号创建成功后我们能从系统的事件查看器程序中得到相关记录。在审核账号管理事件时，我们可以依次单击“开始”/“设置”/“控制面板”命令，然后在弹出的控制面板窗口中双击“管理工具”图标，再从管理工具列表窗口中双击“本地安全策略”图标，进入本地服务系统的安全策略控制台界面；

　　在该控制台界面的左侧显示窗格中，依次展开“本地策略”/“审核策略”分支选项，双击该分支选项下面的“审核账户管理”选项，在其后出现的审核账户管理属性界面中选中“成功”项目，再单击“确定”按钮，那样一来Windows Server 2008系统就会对本地每个账户管理事件进行自动审核，包括创建用户账号、删除用户账号、更改用户账号等操作，每当这些操作成功时，Windows Server 2008系统的事件查看器程序就会将这些操作自动记录保存下来。

　　接着需要指定一个创建账号触发事件，到时我们就能将自动报警任务绑定在这个事件上了。在创建用户账号时，我们可以依次单击“开始”/“程序”/“服务器管理器”选项，在弹出的服务器管理器窗口左侧列表区域中单击“配置”选项，然后选中该选项下面的“本地用户和组”/“用户”子项，再右击“用户”子项，并单击快捷菜单中的“新建用户”命令，打开一个标题为用户账号创建设置对话框，在该对话框中我们可以随意新建一个用户账号，最后单击“创建”按钮退出用户账号创建对话框。

　　下面我们就能把自动报警任务绑定在创建账号事件上了。在进行绑定任务时，我们可以先依次单击“开始”/“设置”/“控制面板”命令，然后逐一双击“管理工具”、“事件查看器”图标，进入本地服务器系统的事件查看器管理界面；在该管理界面的左侧显示窗格中，将鼠标定位于“Windows日志”/“安全”节点选项上，在“安全”节点选项右侧显示窗格中，我们用鼠标选中之前已经创建好的用户账号事件，并用鼠标右击该目标事件选项；

　　之后执行右键菜单中的“将任务附加到此事件”命令，打开创建基本任务向导设置窗口，单击其中的“下一步”按钮，随后屏幕上会出现一些提示信息，根据这些提示信息我们可以确认这些信息的准确性，要是发现它们都正确无误时，继续单击“下一步”按钮；这时，系统将会打开如图4所示的向导设置界面，选中该设置界面中的“显示消息”选项，再设置好相应的报警标题与内容，比方说“有新账号突然创建，请及时审查！”，最后单击“完成”按钮结束自动报警任务绑定设置操作。

　　日后，每当恶意程序在Windows Server 2008系统中偷偷创建非法用户账号时，Windows Server 2008系统就会自动弹出警报窗口，告诉网络管理员“有新账号突然创建，请及时审查！”，看到这样的报警提示信息后网络管理员一般就能立即知道Windows Server 2008系统中有非法账号突然创建了，到时网络管理员再打开用户账号列表窗口，进入新建用户账号的属性界面，根据相关属性信息就能判断新建用户账号究竟是不是恶意账号了；一旦确认新账号是恶意账号时，网络管理员必须立即强行将该账号删除掉，以避免非法攻击者利用该恶意账号对Windows Server 2008系统进行恶意攻击。