以进程管理服务器系统安全
来自站长百科
为了安全、有效地管理好局域网服务器,相信许多网管员平时挖空了心思、动足了脑筋,从不同的方面主动出击,及时挖掘总结出了很多有效、实用的服务器安全管理技巧,不过,仔细对其中的许多安全管理技巧进行琢磨后,我们不难看出它总离不开一些专业安全工具的帮忙;其实没有专业安全工具在手,我们同样也能够对服务器系统进行一些安全管理操作。这不,现在就从系统进程出发,来向大家推荐一些服务器安全管理的新技巧,希望能够帮助各位更好地管理好服务器系统!
查看服务器陌生进程使用者[ ]
- 一般来说,服务器系统中运行着的每一个应用程序都会自动产生一个服务进程,根据服务进程的使用者信息,我们就能清楚地了解到某个目标进程究竟是本地系统调用的,还是特定应用程序调用的,如果发现某个服务进程是由陌生的应用程序调用时,那我们就有必要怀疑这是网络病毒或木马在作祟了。要想知道服务器中的某个目标进程究竟是哪个使用者在调用时,我们可以按照如下步骤来操作:
- 首先以系统管理员权限进入到局域网的特定服务器系统中,同时按下键盘中的组合键“Ctrl+Alt+Del”,打开对应系统的任务管理器窗口;
- 单击该窗口中的“进程”选项,在对应的选项设置页面中根据“用户名”列表信息,我们就能清楚地查看到调用某个目标服务进程的具体使用者了。
- 要是在进程选项设置页面中,我们无法看到“用户名”列表信息时,我们可以用鼠标单击任务管理器窗口菜单栏中的“查看”选项,从弹出的下拉菜单中执行“选择列”命令,打开如图1所示的设置对话框,检查该对话框中的“用户名”项目是否处于选中状态,正常情况下,“用户名”项目处于选中状态时,我们就可以确保在进程选项设置页面中见到“用户名”列表信息了。
- 倘若经过上述设置操作后,我们还是无法看到系统进程的“用户名”信息时,我们可以:
- 尝试单击服务器系统的“开始”菜单,并执行其中的“运行”命令;
- 在弹出的系统运行文本框中,输入“services.msc”字符串命令;
- 单击“确定”按钮后,进入到服务器系统的服务列表窗口;在该列表窗口中找到系统服务“Terminal Service”;
- 用鼠标左键双击该系统服务,打开“Terminal Service”服务的属性设置界面,在该界面的常规选项设置页面中,我们先看看“Terminal Service”服务是否已经停止运行;
- 一旦发现该服务被停止运行时,我们必须及时单击“启动”按钮将它重新启动起来,相信这么一来我们就能在系统进程选项设置页面中查看到服务器陌生进程的具体使用者信息了。
寻找服务器中病毒木马进程[ ]
- 由于许多网络病毒或攻击木马在发作运行时,一般都有相应的病毒或木马进程潜伏在服务器系统中;为了快速、有效地将藏匿在服务器系统中的网络病毒或攻击木马揪出,我们可以将那些认为有疑问的系统进程名称记录下来,然后将记录下来的陌生进程名称直接粘贴到百度搜索引擎页面中,并通过该网页搜索引擎搜索一下Internet网络中是否有这些陌生系统进程的详细说明;
- 正常来说,服务器中的可疑进程倘若是网络病毒或攻击木马的话,百度搜索引擎就会告诉我们这种病毒或木马的详细说明信息,并且还会提示我们该使用什么样的专杀工具来对付这些病毒或木马,甚至我们还能查到对应网络病毒或木马还会在服务器系统中生成哪些恶意进程。
- 例如,当我们打开百度搜索引擎页面,并在该页面的搜索文本框中输入陌生进程名称
“avserve.exe”,再单击“搜索”按钮后,我们会在其后的结果页面中看到“avserve.exe”进程其实是由网络中非常流行的“震荡波”病毒引起的,通过进一步搜索我们还能了解到“震荡波”病毒会在系统中自动产生avserve2.exe、*_up.exe等相关进程,找到所有相关病毒进程并将它们及时关闭掉,我们就能有效抑制网络病毒的发作运行了。
远程关闭服务器的危害进程[ ]
- 我们知道,合理关闭服务器系统中的一些陌生进程,往往能够有效地保证服务器系统可以一直处于高效运行状态。一般来说,在服务器系统中关闭本地服务进程时,操作非常简单,我们只要先打开任务管理器窗口,并在该窗口的进程标签页面中选中要关闭的目标进程名称,再用鼠标右键单击该目标进程,并执行如图2所示右键菜单中的“结束进程”命令,这样一来目标进程就能被顺利关闭了。
- 不过在很多时候,我们并不会在服务器现场,此时我们要想关闭服务器系统中的某个危害进程时,是不是一定要赶到现场进行关闭呢?其实通过一些专业的网络管理程序,我们可以在局域网的任何位置处对服务器系统中正在运行的危害进程进行远程关闭以及远程管理。现在,笔者就向各位朋友推荐一款这样的网络管理工具——“逍遥游网络大管家”工具,借助该工具我们能够非常方便地远程关闭服务器系统中的危害进程:
- 首先从Internet网络中获取网络管理工具——“逍遥游网络大管家”的安装程序,并按正确的方法将该程序安装到局域网中任意一台能够访问服务器的工作站系统中;待安装操作结束后,启动“逍遥游网络大管家”网络管理程序,随后该网络管理程序就会自动对整个局域网进行搜索,同时会将搜索到服务器以及工作站名称全部显示在对应程序界面中
- 接着在对应的程序界面中,找到目标服务器并用鼠标右键单击该服务器所在主机的图标,再依次单击右键菜单中的“远程操作管理”、“任务查看禁用”菜单选项,随后屏幕上将会自动显示出目标服务器端的任务管理器设置窗口,在该设置窗口中我们可以非常直观地看到服务器系统此刻处于运行状态的所有进程名称,而且在对应的设置窗口中我们还会看到一些管理系统进程的控制选项
- 倘若我们想远程关闭服务器系统中的一个危害进程时,只需要在这里选中目标进程,并选中这里的“结束任务”选项,如此一来目标危害进程就能被强行远程关闭了。除了远程关闭进程外,我们还能远程锁定目标进程;例如要想暂时禁止使用某个目标进程时,我们可以先在对应的设置窗口中选中目标进程,再选中“锁定对象”这个控制选项就能达到目的了,日后需要继续使用目标进程时,只要简单地将“解锁对象”项目选中就可以了。
巧妙关闭服务器的顽固进程[ ]
- 通过前面的描述,我们不难看出关闭服务器系统的进程是一项很简单的操作;然而在实际关闭服务器系统进程的过程中,我们发现执行任务管理器窗口中的“结束进程”命令时,一些顽固的系统进程有时无法被顺利关闭,原来有一部分系统进程往往具有自我保护功能,或者它们正在被应用程序调用,在使用“结束进程”命令关闭这些特殊进程时一般无法获得成功,如此说来,难道我们就无法将服务器系统中这些特殊的系统进程给关闭了?答案是否定的!我们可以按照下面的操作来关闭这些顽固的服务器系统进程:
- 首先按下键盘中的组合键“Ctrl+Alt+Del”,打开服务器系统的任务管理器窗口,在该窗口的进程标签页面中,找到需要关闭的顽固进程选项,并将对应进程选项的PID号码记录下来,假设某病毒进程的PID号码为2628;
- 其次在服务器系统中单击“开始”菜单,并执行其中的“运行”命令,打开服务器系统的运行文本框,在其中输入字符串命令“cmd”,单击回车键后,系统将会自动进入到MS-DOS命令行状态;
- 下面在MS-DOS窗口的命令提示符下,执行“ntsd -c q -p 2628”字符串命令,待该命令被执行成功后,对应PID号码为2628的顽固进程就被服务器系统强行关闭了,此时我们再进入到任务管理器窗口的进程标签页面中,看看是否还能找到PID号码为2628的顽固进程,相信大家肯定不会找到了。
- 要是我们不熟悉DOS命令时,还可以“请出”一些专业进程查杀程序来将服务器系统中的顽固进程关闭掉。现在网络中有许多类似的专业进程查杀程序,比方说进程杀手、Icesword、Kill process等,利用这些专业进程查杀程序我们可以非常方便地将大部分顽固进程删除掉。例如,在服务器系统中正确地安装了“进程杀手”这样的专业程序后,该专业程序就会自动对服务器中的进程进行精简,以便将服务器系统所必需的进程保留下来,其他所有的进程都会被自动关闭。
- 还有一点需要提醒各位的是,有部分网络病毒进程具有“自身复制”本领,病毒在发作运行时可能会在服务器系统中自动生成几个进程选项,我们要是简单关闭其中一个进程时,它又将被其他相关病毒进程自动激活。在关闭这些支持“自身复制”功能的服务进程时,我们可以在服务器系统的任务管理器窗口中执行“结束进程树”命令。
相关条目[ ]
参考来源[ ]
- 站长百科整理