系统安全始终是一个大家关注的热门话题。在这病毒肆虐、黑客横行的时代，仅仅安装防火墙和杀毒软件，并不意味着从此高枕无忧。在很多时候，我们还得借助其他工具来保障系统的安全。Windows系统自带的管理工具，也能成为我们保障安全的好帮手。

使用事件查看器查找黑客入侵踪迹

个人计算机遭到黑客的入侵，导致数据丢失、隐私泄密已经不是新鲜事了。黑客常用的一个招数便是，侵入系统后建立一个后门用户，并将其提升为系统管理员。

那么，我们怎么才能知道，自己电脑有没有被建立过非法用户？有没有并被恶意登录过？答案就在管理工具里。在管理工具的事件查看器中，我们能够查看到自己电脑账户变动信息。

Step 1　在Windows XP中启动组策略编辑器，依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“ 审核策略”，然后双击右侧窗格的“审核账户管理”，勾选“成功”和“失败”审核（如图1）。

Step 2　如果现在怀疑自己的系统被黑客入侵并建立过非法账户，打开控制面板的管理工具中的“事件查看器”，选择“安全性”。在右侧窗格检查“审核成功”事件，很快就可以发现账户的变化。比如，笔者就在这些审核事件中发现创建账户hacker事件（如图2）。通过查看其他事件进一步发现该账户在创建2秒后被提升为administrators，并在稍后删除。由于笔者自己从来没有创建过该用户，因此可以判定电脑被黑客入侵了，稍后果然发现系统中有盗号木马。

使用设备管理器查找隐藏病毒

为了逃脱查杀，很多病毒把自己伪装为系统驱动服务。由于驱动服务加载的优先级最高，而且硬件服务在安全模式也可以加载，因此，一些驱动型病毒很难查杀。现在借助管理工具中的“设备管理器”，就可以轻松剿杀它们了。

Step 1　在Windows XP中打开管理工具，依次展开“计算机管理”→“系统工具”→“设备管理器”，打开设备管理器后单击“查看”→“显示隐藏的设备”。

Step 2　展开“非即插即用驱动程序”，这里我们就可以看到所有驱动型软件的服务程序。比如，笔者杀毒软件检测发现本机存在名为“SupeCD”的病毒，但是始终无法删除。展开上述设备后，在这里发现病毒伪装的驱动服务“SupeCD”，打开该服务切换到“驱动程序”，现在将其启动类型设置为“已停用”（如图3）。单击“驱动程序详细信息”，我们就可以看到病毒真身是“c:\windows\system32\SupeCD.sys”。

Step 3　重启电脑，由于病毒服务被设置为“已停用”，重启后病毒就不会加载。现在按驱动文件路径提示删除病毒即可。

Vista绝招，用防火墙阻止账户连接

在Vista中，系统管理工具里增加了“高级安全Windows防火墙”组件，我们可以用它来更好地保护系统。比如，为了方便远程控制，很多员工使用Vista的远程桌面来登录公司电脑。默认情况下，任何人只要知道账户名和密码，都可以通过IP地址访问登录。为了防止公司电脑被非法登录，最好在不影响方便性的基础上，用防火墙把远程桌面保护起来。

Step 1　在控制面板打开“系统和维护”→“管理工具”，然后单击“高级安全Windows防火墙”，打开防火墙的高级设置并切换到“入站规则”（如图4）。

Step 2　在右侧窗口“入站规则”找到“远程桌面”双击打开，在打开的窗口单击“常规”标签，将连接设置为“只允许安全连接”。切换到“用户和计算机”，我们可以设置指定的用户才能连接该电脑。比如，销售部统计专用电脑，我们要设置只有统计员才有权远程连接。假设统计员账户是TJY。在授权用户下单击“添加”，把TJY用户添加到允许列表，这样只有TJY才能远程连接到这台电脑，其他员工即使有该台电脑账户和密码也无法连接（如图5）。

公司局域网用户可以切换到“作用域”，设置允许连接的具体IP地址或者指定IP起始范围。通过高级安全Windows防火墙，可以精确设置允许连接的类型。