引入监听装置
另有其他的办法帮助Brookmyre摆脱XP困境,但是那种方法需要很大的勇气。你可以设置监听装置纪录对各种各样对象——比如文件,文件夹,打印机以及注册键值——的访问。
首先你得以管理员的身份登陆,而后如果你明智的话,创建系统还原点(参见最后一段)。下一步,你要关闭文件共享的功能。XP家庭版用户不得不停在这一步了,因为没有这样的选项可用,但是XP Pro用户可以通过Explorer的工具,文件选项,察看来完成这一步。
现在你得设置监听器。首先,运行gpedit.msc来打开组策略编辑器。左边窗口中按计算机配置\Windows设置\ 安全设置\本地策略\审核策略的路径一路向下。
然后你会看到,在右边窗口中显示出可以监听的动作的列表——默认情况下,这些都是不被监听的。双击审核对象访问然后选中属性框中的‘成功’选项。点击OK退出。
下一步就是设置那些你要监听的对象。跟小说中情节一样,转到你想要记录的文件夹。右键点击,选择属性,然后转到安全选项卡,选择“高级”。在高级安全设置对话框中,选中监听选项卡。点击添加……按钮。
为了尽可能简化操作,在‘输入要选择的对象的名称’框中输入“everyone”(不包括引号)。点击检查名称按钮来确保你指定了正确的对象名称,然后点击OK。这样就会开启监听功能。
选择你要监听的方面——比如‘列出文件夹/读取数据’,然后选择‘应用于’选项:如果你使监听日志整齐点儿,就选择‘只对这个文件夹’或者‘该文件夹及其子文件夹’。点击OK来退出打开的对话框。
现在运行事件阅读器,就像之前讲的那样,然后打开安全分支。每次你指定的文件夹被打开你就会在这里看到很多条目,列出时间,用户和其他信息。如果双击一个条目,你就会获得更进一步的信息,尤其是那个‘映射文件名称’它会告诉你什么程序访问了文件夹。
如果你或者其他用户打开了该文件夹,此项会显示Explorer.exe。但如果是其他进程访问了该文件夹,你会看到不同的可执行文件,比如WindowsSearchFilter.exe表示桌面搜索器访问了该文件。
消失的选项卡
我给你讲个有趣的事情。一位读者受托帮同事解决如下的一个麻烦。后者的屏幕保护装置在计算机30秒没有活动后就会运行。更气人的是,当他察看显示属性时,那里竟没有屏幕保护选项卡。
XP Pro中,可以在组策略编辑器中矫正该问题。运行gpedit.msc,然后打开用户配置, 管理模板, 控制面板, 显示分支,你就会在右边的窗口中看到一个‘隐藏屏幕保护选项卡’的设置。双击它,关闭或者‘不设置’就会把选项卡重新找回来。
还有其他的你可以应用的屏保限制——点击低一点的那个扩展选项就可以看到每一项的说明。尽管XP家庭版没有组策略编辑器,但是两个版本都在注册表中保存了这些限制。
因此,XP家庭版中,以管理员的身份登陆后创建还原点,然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路径,在右边窗口中查找叫做NoDispScrSavPage的条目。双击它然后把它的值设为0:这样就可以找回消失的选项卡。
恢复点
我们总是强调创建恢复点的重要性。在标准的XP系统中,从开始菜单点下去,只用5步就可以运行系统恢复。
尽管可以通过%SystemRoot%\System32\restore\rstrui.exe来快速访问,但我们还是建议使用Doug Knox’s SysRestorePoint.exe。双击这个小(20kb)应用,它就会简单地创建系统恢复点。
这个点将被称为自动恢复点——这将它跟Windows创建的叫做系统还原点区分开来。你可以到www.dougknox.com上找到使用方法。