5、通透系统帐号状态变化

　　不少木马或病毒程序在对Windows Server 2008服务器系统尝试进行恶意攻击时，常常会暗中利用克隆帐号的方法来远程监控本地服务器系统的一切举动，很显然这种暗中克隆帐号的手段会严重威胁本地服务器系统的运行安全性。为了保护本地服务器系统的运行安全性，我们应该及时对系统的帐号状态变化情况进行跟踪监视，以便将一些陌生的用户帐号从本地服务器系统中及时“揪”出来；下面，我们可以巧妙地通过Windows Server 2008系统内置的net user命令，来快速通透系统帐号状态变化：

　　首先按照前面的操作步骤，以系统管理员身份打开Windows Server 2008系统的MS-DOS窗口，在该窗口的命令行提示符下，输入字符串命令“net user > d:\333.txt”，单击回车键后，服务器系统就会自动将本地系统的所有帐号信息全部保存到“d:\333.txt”文件中了；

　　以后怀疑Windows Server 2008系统被他人非法监控时，可以再执行一次“net user > d:\444.txt”命令，然后利用fc命令比较“d:\333.txt”文件与“d:\444.txt”文件的异同，就能快速地找到本地服务器系统中用户帐号的状态变化了。

　　要是我们从比较结果中发现陌生的用户帐号属于administrator组成员时，那么这个陌生的帐号很可能是被木马程序非法克隆了，此时我们必须及时将它从系统中删除掉，如此一来非法攻击者就无法利用那个克隆帐号对Windows Server 2008服务器系统进行恶意监视或控制了。