所谓CheckList，就是检查清单，在计算机应用中，一般就是指一系列的操作步骤。之所以要建立CheckList，就是因为系统越来越复杂，如果没有一个书面的操作步骤，就很难保证计算机的稳定运转。本文讲述的是Win2K操作系统被攻击者入侵后，系统管理员应该考虑的一些CheckList。

　　1、检查日志文件，看看是否有来自异常位置的连接或者异常的行为。启动“事件查看器”，检查一下奇数登录信息、服务失败信息以及奇数系统重启信息。如果防火墙、Web服务器或者路由器将日志写入不同的机器，请别忘了对这些地方进行检查。

　　2、检查临时用户帐号和组信息。或者启动"用户管理器"程序，或者在命令行状态下执行"net user"、"net group"和"net localgroup"命令，查看当前用户和组清单，确保内置GUEST帐号被禁止使用：

　　3、对所有组进行检查，看看是否有非法组成员存在。默认安装后的组都具有特殊权限，例如，Administrators组成员有权对本地系统做任何事情，Backup operators组成员有权读取系统中的所有文件，PowerUsers组成员有权创建共享。不要让一些不合适的用户隐藏在这些组中。

　　4、检查是否存在不合适的用户权限。

　　5、检查是否有非授权的应用程序正在运行。攻击者为了启动后门程序，通常将启动选项存放在启动文件夹、注册表、或者ini文件中。要检查的位置包括：

　　·启动文件夹

　　一共存在2个启动文件夹，当前用户的和所有用户的。当用户登录时，位于这2个启动文件夹中的所有程序都会执行。当前用户的启动文件夹路径是："C:\Documents and Settings\username\「开始」菜单\程序\启动"，所有用户的启动文件夹路径是"C:\Documents and Settings\All Users.WINNT\「开始」菜单"。