Megosztás a következőn keresztül:

  • Cikk

[Hírlevelek archívuma ^] [< 7. kötet, Különleges közlemény] [8. kötet, 1 >. szám]

The Systems Internals Newsletter Volume 7, Number 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

2005. augusztus 24. – Ebben a kérdésben:

  1. BEVEZETÉS
  2. VENDÉGSZERKESZTÉS
  3. A SYSINTERNALS ÚJDONSÁGAI
  4. SYSINTERNALS FÓRUM
  5. MARK BLOGJA
  6. MARK CIKKEI
  7. MARK BESZÉDÉNEK ÜTEMEZÉSE
  8. A SYSINTERNALS/WINDOWS OPERÁCIÓS RENDSZER BELSŐ KÉPZÉSE

A Winternals Software a Windows fejlett rendszereszközök vezető fejlesztője és szolgáltatója.

A Winternals örömmel jelenti be két új termék kiadását. A rendszergazda Pak 5.0-s verziójával minden eddiginél egyszerűbben lehet helyreállítani egy instabil, kikötés nélküli vagy kizárt rendszert olyan új eszközökkel, mint az automatikus összeomláselemző, az AD Explorer és az Inside for AD, amelyek valós idejű monitorozást biztosítanak az AD-tranzakciókhoz. Szintén új a Recovery Manager 2.0, amely testre szabható, hatékony, ultragyors visszaállítást biztosít a kritikus fontosságú kiszolgálókhoz, asztali számítógépekhez és notebookokhoz, hogy távolról visszaállítson egyetlen rendszert vagy több ezer rendszert egyszerre a vállalaton belül.

A termék teljes részleteiért, multimédiás bemutatókért, webináriumokért vagy bármelyik termék próba CD-jének lekéréséhez kérjük, látogasson el http://www.winternals.com

BEVEZETÉS

Üdvözlök mindenkit!

Üdvözöljük a Sysinternals hírlevélben. A hírlevélnek jelenleg 55 000 előfizetője van.

Látogatások a Sysinternals webhely továbbra is mászni! Júliusban több mint 900 000 egyedi látogatónk volt. A hónap leggyakrabban használt eszköze a Process Explorer volt 275 000 letöltéssel! Mivel gyakran frissítem az eszközöket, győződjön meg arról, hogy a legújabb verziót használja. A legjobb módja annak, hogy lépést tartson a változásokkal, ha feliratkozik az RSS-hírcsatornámra http://www.sysinternals.com/sysinternals.xml (és ha még nem használja az RSS-t, hogy lépést tartson a webhelyekkel, el kell kezdenie!).

Ebben a kérdésben Wes Miller, a Winternals Software termékmenedzsere osztja meg tapasztalatait a nem rendszergazdaként való futtatásban. Mindannyian azt mondjuk, hogy meg kell csinálni, de néhány számítógépes szakemberek ténylegesen gyakorolják, amit prédikálnak (magam is). Lehet, hogy hamarosan elkezdem...

--Mark Russinovich

VENDÉGSZERKESZTÉS

Wes Miller nem rendszergazdai élete

Az esélyek az, hogy a számítógépen, amelyen ezt olvasod, helyi rendszergazda vagy. És sajnos a Windows XP -t (NT és 2000-et) futtató felhasználók többsége helyi rendszergazdaként is fut, mert jelentős munka szükséges ahhoz, hogy a vállalati munka minden alkalmazása és forgatókönyve rendszergazdai jogosultság nélkül működjön - így... Mi a könnyű kiutat, és hogy a világ rendszergazdák. Ez nem jó.

Ezért úgy döntöttem, hogy a közelmúltban úgy döntöttem, hogy normál felhasználóként futok (a Power User, mint sokan tudják, nem biztonságos fiók, mivel olyan jogosultságokkal rendelkezik, amelyek lehetővé teszik a jogosultsági támadások eszkalálódását, és a Rendszergazdák csoport tagjává válhatnak).

Az első gondolat az volt, hogy használja a csodálatos Windows XP gyors felhasználóváltás funkció; Bejelentkezhetek a nem rendszergazdai és rendszergazdai fiókomba, és csak válthatok oda-vissza a munkamenetek között. Ez a funkció azonban sajnos nem érhető el tartományhoz való csatlakozáskor (ez az üzleti felhasználók számára is rossz).

A második gondolatom a futtatókörnyezet használata volt, de ez (vagy egy alternatív hitelesítő adatok használatára definiált parancsikon) mindig felhasználónevet és jelszót kér. Ez sem volt elfogadható, mivel nem akartam manuálisan megadni a rendszergazdai hitelesítő adataimat minden alkalommal, amikor rendszergazdai jogosultságot igénylő alkalmazást futtattam.

Tehát, mivel évek óta használom a Sysinternals eszközöket, megkértem Mark Russinovichot, hogy működjön a PsExec, ha nem vagyok rendszergazda. A PsExec azért nem működött a dobozból, mert egy kis szolgáltatást telepít, amely ezután elvégzi a munkát; A szolgáltatás telepítéséhez rendszergazdai hitelesítő adatokra van szükség, ami természetesen nem működik a nem rendszergazdai fiókomból.

Jelölje meg a bővített PsExec-et, hogy most, ha alternatív hitelesítő adatokat ad meg, és egy folyamatot futtat a helyi rendszeren, a PsExec gyermekfolyamatként hozza létre a folyamatot a másodlagos hitelesítő adatokkal (és a továbbiakban nem hozza létre a szolgáltatást a gyermekfolyamat létrehozásához).

Ez lehetővé tette, hogy parancsikonokat állítsak be a kedvenc rendszergazdai alkalmazások futtatásához a PsExec használatával a folyamat elindításához.

A PsExec (és RunAs) azonban nem futtathat és *.msc nem tud fájlokat futtatni *.cpl – legalábbis közvetlenül a parancssorból nem. Talán lustaságból, talán azért, mert valami zökkenőmenteset akartam - létrehoztam egy kis WSH-szkriptet, amely bármilyen exe-t, adott fájlt nyit meg, és bármilyen paramétert, és run.vbs-nek nevezte el. Most csak futtatom a run.vbs-et bármivel, amit meg akarok nyitni (még MMC-konzolokkal vagy vezérlőpulti kisalkalmazásokkal is), és ez elég zökkenőmentes. A WSH-szkriptben a következő parancssort futtatom:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Az egyik legjelentősebb catch-22's, hogy én nem tudtam leküzdeni a szoftver telepítése, hogy kell telepíteni, mint egy adott felhasználó. A legjobb (legrosszabb?) példa erre láttam a frissen bevezetett Google Desktop. Rendszergazdának kell lennie a telepítéshez (természetesen), és valójában logikája van benne, hogy blokkolja a telepítést, ha runA-kat vagy PsExec-et próbál használni – a következő üzenetet adja vissza: "A Google Desktop telepítése más hitelesítő adatokkal, mint az aktív felhasználó jelenleg nem támogatott." Nem igazán értem, miért, eltekintve attól a ténytől, hogy segít csökkenteni a tesztmátrix. Ahhoz, hogy megkerüljem anélkül, hogy kijelentkeznék, elindítottam egy parancssort rendszergazdaként, hozzáadtam magam a Rendszergazdák csoporthoz, a PsExec használatával futtattam a parancssort magamként (mivel az Explorer összezavarodott a csoporttagságommal kapcsolatban), és újra futtattam. Jól működött. Amikor elkészült, visszadobtam magam.

Nem, nem halott könnyű, de ez azt jelentette, hogy a fiókom csak minimális ideig volt a Rendszergazdák csoport tagja - és soha nem kellett kijelentkeznem.

Ne feledje, hogy én még nem kapcsolódik, vagy megemlítette DropMyRights, mint egy technika, hogy biztonságos a rendszer - nem hiszem, hogy ez. A nem rendszergazdaként való futtatás biztonságossá teheti a rendszert. Szelektíven futó veszélyes alkalmazások, mint nem rendszergazda nem - ez csökkentheti a kockázatot valamelyest -, de nem hiszem, hogy ez egy gyakorlat, amelyet ösztönözni kell.

Összefoglalva, a rendszergazdai fiókról a felhasználói fiókra váltás napi használatra egy dolog, amellyel csökkentheti a Windows-rendszer által elérhetővé vált támadási felületet. Azt javasoljuk, hogy adjon neki egy próbát, és rögzítse a tapasztalatait.

A SYSINTERNALS ÚJDONSÁGAI

Sok eszköz frissült a legutóbbi áprilisi hírlevél óta. A két legnagyobb fejlesztés a Process Explorer és az Autoruns volt. Íme egy részletes lista a módosítások eszköz szerint:

Process Explorer V9.25

  • egyesített 32 bites és 64 bites (x64) bináris
  • támogatja a Windows Vista rendszert
  • mostantól 64 bites felhasználói és kernel módú veremadatokat jelenít meg
  • 32 bites betöltött DLL-eket sorol fel 32 bites (Wow64) folyamatokhoz 64 bites rendszereken
  • memóriabeli képsztring vizsgálata és csomagolt képkiemelés
  • folyamatablak-kezelés (minimalizálás, maximalizálás stb.)
  • új oszlopbeállítás az aláírt képekre vonatkozó információkhoz
  • lehetőség a valós idejű CPU-diagram tálcaikonban való megjelenítésére
  • CPU-gráf és I/O-deltaoszlopok a folyamatnézethez
  • folyamatbiztonsági leírók megtekintése és szerkesztése (lásd a folyamattulajdonságok Biztonsági lapját)

PsTools v2.2

  • A PsShutdown tartalmaz egy -v kapcsolót az értesítési párbeszédpanel megjelenítésének vagy a párbeszédpanel teljes kihagyásának időtartamának megadásához
  • A PsLoglist időformázási javítással rendelkezik a csv-kimenethez
  • A PsInfo mostantól teljes gyorsjavítási információkat jelenít meg, beleértve az IE gyorsjavításokat is
  • A PsExec mostantól úgy működik, mint a Runas, amikor parancsokat futtat a helyi rendszeren, lehetővé téve, hogy egy nem rendszergazdai fiókból futtassa, és szkriptelje a jelszóbevitelt

Filemon v7.01

  • egyértelműbb hibaüzenetek, ha egy fiók nem rendelkezik a Filemon futtatásához szükséges jogosultságokkal, vagy a Filemon már fut
  • a 32 bites és a 64 bites (x64) verziót egyetlen binárissá összesíti

Autoruns v8.13

  • a főablak különböző lapjaira tagolt különböző automatikus indítási típusok
  • új "Minden" nézet, amely gyors nézetet biztosít minden konfigurált automatikus útmutatóhoz
  • új automatikus indítási helyek, beleértve az Ismert DLL-eket, a képfájl-eltérítéseket, a rendszerindítási rendszerindítási rendszerképeket és további Explorer- és Internet Explorer-bővítményhelyeket
  • további információ a képekről
  • támogatja a 64 bites Windows XP és a 64 bites Windows Server 2003 rendszert
  • integrálható a Folyamatkezelővel az automatikus indítási folyamatok futtatásának részleteinek megjelenítéséhez

DebugView v4.41

  • mostantól rögzíti a kernel módú hibakeresési kimenetet a 64 bites Windows x64-verzióiban, és támogatja az óra és az eltelt idő közötti váltást

3.1-s kezelő

  • Az egyetlen végrehajtható fájl támogatja a 32 bites Windows és az x64 Windows XP és a Windows Server 2003 rendszert is

RootkitRevealer 1.55-ös verzió

  • kifinomultabb rootkitészlelési mechanizmusok, a rootkit közösség általi eszkalálás következő fordulójának fázisának beállítása

Ctrl2cap 64 bites frissítés

  • A Ctrl2cap mostantól 64 bites Windows XP és Windows Server 2003 rendszeren is működik

TCPView v2.4

  • A Sysinternals Whois segédprogram tartománynév-keresési funkciója már elérhető a TCPView-ban

SYSINTERNALS FÓRUM

Látogasson el a 14 interaktív Sysinternals fórum egyikére (http://www.sysinternals.com/Forum). Több mint 1500 taggal 2574 bejegyzés volt eddig 945 különböző témában.

MARK BLOGJA

Blogom az utolsó hírlevél óta indult - itt vannak a bejegyzések óta az utolsó hírlevél:

  • Nem használható folyamatok
  • Windows futtatása szolgáltatások nélkül
  • Az időszakos rendszer lefagy
  • Előugró ablakblokkoló? Milyen előugró ablakblokkoló?
  • A naplózási rekordok robbanása
  • Puffertúlcsordulások a Regmon Tracesben
  • Puffer túlcsordulása
  • Mindennapos futtatás 64 bites Windows rendszeren
  • Csoportházirend-beállítások megkerülése
  • A titokzatos zárolt fájl esete
  • .NET World – nyomon követés
  • Az eljövetel .NET world - Félek

A cikkek elolvasásához látogasson el a http://www.sysinternals.com/blog

MARK CIKKEI

Mark két legutóbbi cikke a Windowsban és az IT Pro Magazinban a következő volt:

  • "Unearthing Rootkits" (2005. június)
  • Power Tools oszlop: a legtöbbet kihozni a Bginfo-ból

Ezek online elérhetők az előfizetők számára a következő címen: http://www.windowsitpro.com/

MARK BESZÉDÉNEK ÜTEMEZÉSE

A Microsoft TechEd orlandói és amszterdami előadásai után csendesebb nyarat élvezek. My TechEd Orlando breakout session, "Understanding and Fighting Malware: Viruses, Spyware and Rootkits", egyike volt a 10 legjobban értékelt munkamenetek a TechEd, élőben megtekintette több mint 1000 TechEd résztvevők és webcast élőben több mint 300 webes nézők. A webes küldést igény szerint megtekintheti a következő címen http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&: ; Culture=en- US

Az elkövetkező hónapokban az alábbi eseményekről fogok beszélni:

  • Windows-kapcsolatok (2005. november 2., San Francisco, CA) – http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (preconference tutorial szeptember 11, 2005, Los Angeles) – http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft It Forum (2005. november 14–18., Barcelona, Spanyolország) – http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

A legújabb frissítésekért lásd: http://www.sysinternals.com/Information/SpeakingSchedule.html

UTOLSÓ NYILVÁNOS BELSŐ/HIBAELHÁRÍTÁSI OSZTÁLY 2005-BEN: SAN FRANCISCO SZEPTEMBER 19-23.

Ha Ön informatikai szakember, aki Windows-kiszolgálókat és munkaállomásokat helyez üzembe és támogat, akkor képesnek kell lennie a felszín alá ásni, amikor a dolgok elromlanak. A Windows operációs rendszer belső elemeinek ismerete és a speciális hibaelhárítási eszközök használatának ismerete segít az ilyen problémák kezelésében és a rendszer teljesítményével kapcsolatos problémák hatékonyabb megértésében. A belső megoldások megértése segíthet a programozóknak a Windows platform előnyeinek jobb kihasználásában, valamint fejlett hibakeresési technikák biztosításában.

Ebben az osztályban részletesen megismerheti a Windows NT/2000/XP/2003 kernelarchitektúráját, beleértve a folyamatok belső felépítését, a szálütemezést, a memóriakezelést, az I/O-t, a szolgáltatásokat, a biztonságot, a beállításjegyzéket és a rendszerindítási folyamatot. Emellett olyan speciális hibaelhárítási technikákat is ismertetünk, mint a kártevők fertőtlenítése, az összeomlási memóriakép (kék képernyő) elemzése és a korábbi rendszerindítási problémák elhárítása. A www.sysinternals.com (például a Filemon, a Regmon és a Folyamatkezelő) kulcsfontosságú eszközeivel kapcsolatos speciális tippeket is megismerhet a rendszer- és alkalmazásproblémák, például a lassú számítógépek, a vírusészlelés, a DLL-ütközések, az engedélyekkel és a beállításjegyzékkel kapcsolatos problémák elhárításához. Ezeket az eszközöket a Microsoft terméktámogatása napi rendszerességgel használja, és hatékonyan használják az asztali és kiszolgálói problémák széles körének megoldására, így a működésük és alkalmazásuk ismerete segít a Windows különböző problémáinak kezelésében. Valós példákat fogunk kapni, amelyek bemutatják ezeknek az eszközöknek a sikeres alkalmazását a valós problémák megoldásához. És mivel a kurzust úgy fejlesztették ki, hogy teljes hozzáféréssel rendelkezik a Windows kernel forráskódjához és fejlesztőihez, tudja, hogy a valódi történetet kapja.

Ha ez érdekesnek hangzik, akkor jöjjön el az utolsó nyilvános gyakorlati (hogy a saját laptop) Windows internals > speciális hibaelhárítási osztály San Francisco, szeptember 19-23 (a 2006-os ütemezés még nem véglegesített, de valószínűleg tartalmazza Austin tavasszal, London júniusban, és San Francisco újra szeptember 2006). És ha 20 vagy több embere van, vonzóbbnak találhatja egy privát helyszíni osztály futtatását a helyén (e-mail seminars@... részletekért).

További részletekért és a regisztrációhoz látogasson el a http://www.sysinternals.com/Troubleshooting.html

Köszönjük, hogy elolvasta a Sysinternals hírlevelet.

Közzétéve: 2005. augusztus 24. szerda, 16:34

[Hírlevelek archívuma ^] [< 7. kötet, Különleges közlemény] [8. kötet, 1 >. szám]