Windows服务器安全利器：Sysinternals工具

network

一些企业使用的Windows服务器管理工具的缺乏让我经常感到惊讶。很多我合作过的管理员只是使用Windows服务器内置的工具。

　　这很有可能产生一种副作用，IT专员处于“总是在灭火”的操作模式。但这并不意味着无计可施。

　　很多选择可以用于帮助简化和增强Windows服务器管理任务。特别地，我历来最喜欢的工具集之一就是Windows Sysinternals。它是免费的并且可以快捷地保持Windows服务器的安全。你可以从直接以下链接中下载任意或者全部Sysinternals工具。

• Sysinternals Live tools
• Full Sysinternals suite

　　微软的Sysinternals工具集分为六个不同的类别，如图1所示。

　　Windows服务器管理管理工具中你最可能用到以下两类：1）文件和磁盘和2）过程。特别地，我觉得从安全角度看最有效的是：

• 用于列举用户权利和权限的AccessChk和AccessEnum
• 用于查看和编辑动态目录对象的AdExplorer
• 用于查看活动登录对话和相关过程的LogonSessions
• 用于分析和结束运行或者挂起的Windows程序的Process Explorer
• 用于监测即时文件、注册和线程活动等的Process Monitor
• 用于查看用户登录的本地和远程对话的PsLoggedOn
• 用于决定哪些程序正在使用特定的TCP和UDP连接的TCPView
• 用于可疑进程的虚拟和物理内存利用率的VMMap

　　如果你和我一样，需要一种方法来集中所有的Sysinternals应用到一个界面，检查出Windows系统控制中心的第三方免费软件工具。它不仅继承了Sysinternals GUI和命令行工具，同时能够检查Sysinternals的最新更新，如下图所示。

　　尽管我喜欢Sysinternals的安全工具，但是它并不适用于任何%