Share via

  • Artykuł

[Archiwum biuletynów ^][< Tom 7, ogłoszenie specjalne][Wolumin 8, Liczba 1 >]

System wewnętrzny biuletyn woluminu 7, numer 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 sierpnia 2005 r. — w tym problemie:

  1. WPROWADZENIE
  2. REDAKCJA GOŚCIA
  3. CO NOWEGO W SYSINTERNALS
  4. SYSINTERNALS FORUM
  5. BLOG MARK
  6. ARTYKUŁY MARK
  7. HARMONOGRAM MÓWIENIA MARK
  8. NADCHODZĄCE SZKOLENIE WEWNĘTRZNE SYSTEMU SYSINTERNALS/WINDOWS OS

Winternals Software jest wiodącym deweloperem i dostawcą zaawansowanych narzędzi systemów dla systemu Windows.

Winternals z przyjemnością ogłasza wydanie dwóch nowych produktów. Administracja istrator's Pak 5.0 ułatwia niż kiedykolwiek naprawianie niestabilnego, niezremontowanego lub zablokowanego systemu za pomocą nowych narzędzi, takich jak automatyczny analizator awarii, eksplorator usługi AD i wewnątrz usługi AD, zapewniając monitorowanie transakcji usługi AD w czasie rzeczywistym. Nowością jest również program Recovery Manager 2.0, który zapewnia możliwość dostosowywania, zaawansowane, bardzo szybkie wycofywanie serwerów o znaczeniu krytycznym, komputerów stacjonarnych i notesów w celu zdalnego przywrócenia pojedynczego systemu lub tysięcy systemów jednocześnie w całym przedsiębiorstwie.

Aby uzyskać szczegółowe informacje o produkcie, pokazy multimedialne, seminaria internetowe lub zażądać wersji próbnej dysku CD produktu, odwiedź stronę http://www.winternals.com

WPROWADZENIE

Witam wszystkich,

Witamy w biuletynie Sysinternals. Biuletyn ma obecnie 55 000 subskrybentów.

Wizyty w witrynie internetowej Sysinternals nadal wspinają się! W lipcu mieliśmy ponad 900 000 unikatowych odwiedzających. Najczęściej używane narzędzie w miesiącu to Eksplorator procesów z 275 000 pobrań! Ponieważ często aktualizuję narzędzia, upewnij się, że używasz najnowszej wersji. Najlepszym sposobem, aby nadążyć za zmianami, jest subskrybowanie mojego kanału informacyjnego RSS pod adresem http://www.sysinternals.com/sysinternals.xml (a jeśli jeszcze nie używasz funkcji RSS, aby nadążyć za witrynami internetowymi, musisz zacząć!).

W tym problemie Wes Miller, Product Manager w Winternals Software, dzieli się swoim doświadczeniem w uruchamianiu jako nie administrator. Wszyscy mówimy, że powinniśmy to zrobić, ale niewielu informatyków rzeczywiście praktykuje to, co głoszą (ja sam). Może zacznę wkrótce...

--Mark Russinovich

REDAKCJA GOŚCIA

Życie jako nieadministrator wes Miller

Kursy są, na komputerze, na którym czytasz, jesteś administratorem lokalnym. I niestety, większość użytkowników z systemem Windows XP (NT i 2000, jak również) działa jako administratorzy lokalni, ponieważ wymaga to znacznej pracy, aby zapewnić wszystkie aplikacje i scenariusze w przedsiębiorstwie pracy bez użytkowników będących administratorami - tak... bierzemy łatwy sposób i sprawiamy, że administratorzy świata. To nie jest dobre.

Dlatego postanowiłem ostatnio uruchomić jako zwykły użytkownik (power user, jak wielu wiadomo, nie jest bezpiecznym kontem do użycia, ponieważ ma uprawnienia, które mogą zezwalać na eskalację ataku uprawnień i stać się członkiem grupy Administracja istrators).

Moja pierwsza myśl miała na celu użycie wspaniałej funkcji szybkiego przełączania użytkowników systemu Windows XP; Mogę zalogować się do konta innego niż administrator i administrator, a następnie przełączać się tam iz powrotem między sesjami. Ale niestety ta funkcja nie jest dostępna podczas dołączania do domeny (zbyt źle dla użytkowników biznesowych).

Moja druga myśl dotyczy użycia uruchomień, ale (lub skrót zdefiniowany do używania alternatywnych poświadczeń) zawsze monituje o nazwę użytkownika i hasło. Nie było to również do przyjęcia, ponieważ nie chciałem ręcznie wprowadzać poświadczeń administracyjnych za każdym razem, gdy uruchamiam aplikację, która wymaga uprawnień administratora.

Tak więc, ponieważ od lat używałem narzędzi Sysinternals, poprosiłem Marka Russinovicha, aby psExec pracował, jeśli nie jestem administratorem. Powodem, dla którego program PsExec nie zadziałał, jest to, że instaluje małą usługę, która następnie wykonuje pracę; Zainstalowanie usługi wymaga poświadczeń administratora, które oczywiście nie będą działać z mojego konta innego niż administrator.

Oznacz bezpłatnie ulepszony program PsExec, aby teraz po określeniu alternatywnych poświadczeń i uruchomieniu procesu w systemie lokalnym program PsExec tworzy proces jako proces podrzędny z alternatywnymi poświadczeniami (i nie tworzy już usługi w celu utworzenia procesu podrzędnego).

Pozwoliło mi to skonfigurować skróty do uruchamiania moich ulubionych aplikacji administracyjnych przy użyciu programu PsExec w celu uruchomienia procesu.

Ah, ale Program PsExec (i RunAs) nie może uruchamiać *.cpl plików i *.msc — przynajmniej nie bezpośrednio z wiersza polecenia. Być może z lenistwa, być może dlatego, że chciałem coś bezproblemowego - stworzyłem mały skrypt WSH, który pobiera dowolny plik exe, konkretny plik do otwarcia i wszystkie parametry i nazwał go run.vbs. Teraz po prostu uruchamiam plik run.vbs z tym, co chcę otworzyć (nawet konsole MMC lub aplety panelu sterowania) i jest prawie bezproblemowe. Oto wiersz polecenia, który uruchamiam w skryscie WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Jednym z najbardziej znaczących catch-22 jest to, że nie udało mi się pokonać, jest instalowanie oprogramowania, które musi być zainstalowane jako określony użytkownik. Najlepszym (najgorszym?) przykładem tego, co widziałem, jest świeżo wprowadzony Google Desktop. Musisz być administratorem, aby zainstalować (oczywiście) i w rzeczywistości ma w nim logikę blokowania instalacji, jeśli spróbujesz użyć Uruchom jako lub PsExec — zwraca komunikat "Instalowanie programu Google Desktop pod różnymi poświadczeniami niż aktywny użytkownik nie jest obecnie obsługiwany". Nie do końca rozumiem, dlaczego, oprócz faktu, że pomaga zmniejszyć macierz testową. Aby obejść go bez wylogowywania, uruchomiłem wiersz polecenia jako Administracja istrator, dodałem się do grupy Administracja istrators, użyto psExec do uruchomienia wiersza polecenia jako siebie (ponieważ Eksplorator był zdezorientowany o moim członkostwie w grupie) i uruchomił go ponownie. Pracował dobrze. Kiedy to się stało, spadłem się z powrotem ponownie.

Nie, nie martwy łatwo, ale oznaczało to, że moje konto było tylko członkiem grupy Administracja istratorów przez minimalny czas - i nigdy nie musiałem się wylogować.

Należy pamiętać, że nie mam związku ani nie wspomniał DropMyRights jako techniki zabezpieczania systemu - nie wierzę, że jest. Uruchamianie jako użytkownik niebędący administratorem zabezpiecza system. Selektywne uruchamianie niebezpiecznych aplikacji, ponieważ nie jest administratorem - może to nieco zmniejszyć ryzyko - ale nie sądzę, że jest to praktyka, która powinna być zachęcana.

Aby podsumować to wszystko, przełączenie się z konta administratora na konto użytkownika do codziennego użycia jest jedną z rzeczy, które można zrobić, aby zmniejszyć obszar ataku, który uwidacznia korzystanie z systemu Windows. Zachęcam cię do wypróbowania i zanotowania swoich doświadczeń.

CO NOWEGO W SYSINTERNALS

Wiele narzędzi zostało zaktualizowanych od ostatniego biuletynu w kwietniu. Dwa z największymi ulepszeniami to Eksplorator procesów i Autoruns. Oto szczegółowa lista zmian według narzędzia:

Eksplorator procesów w wersji 9.25

  • ujednolicone 32-bitowe i 64-bitowe (x64) binarne
  • obsługuje system Windows Vista
  • Teraz wyświetla 64-bitowe informacje o stosie użytkownika i trybu jądra
  • Wyświetla listę 32-bitowych bibliotek DLL załadowanych dla procesów 32-bitowych (Wow64) w systemach 64-bitowych
  • Skanowanie ciągów obrazów w pamięci i wyróżnianie spakowanych obrazów
  • manipulowanie oknem procesów (minimalizowanie, maksymalizowanie itp.)
  • nowa opcja kolumny dla informacji na temat podpisanych obrazów
  • opcja wyświetlania grafu procesora CPU w czasie rzeczywistym w ikonie zasobnika
  • Wykres procesora CPU i kolumny różnicowe we/wy do widoku procesu
  • wyświetlanie i edytowanie deskryptorów zabezpieczeń procesów (zobacz kartę Zabezpieczenia właściwości procesu)

PsTools v2.2

  • Program PsShutdown zawiera przełącznik -v określający czas wyświetlania okna dialogowego powiadomienia lub pomijanie okna dialogowego całkowicie
  • Program PsLoglist ma poprawkę formatowania czasu dla danych wyjściowych csv
  • Narzędzie PsInfo wyświetla teraz pełne informacje o poprawkach, w tym poprawki programu IE
  • Program PsExec działa teraz jak Runas podczas uruchamiania poleceń w systemie lokalnym, co pozwala na uruchamianie go z konta innego niż administrator i skrypt wpisu hasła

Filemon v7.01

  • jaśniejsze komunikaty o błędach, jeśli konto nie ma uprawnień wymaganych do uruchomienia pliku Filemon lub Filemon jest już uruchomiony
  • konsoliduje wersje 32-bitowe i 64-bitowe (x64) w jeden plik binarny

Autoruns v8.13

  • różne typy autostartu są teraz oddzielone na różnych kartach okna głównego
  • nowy widok "Wszystko", który zapewnia szybki widok we wszystkich skonfigurowanych autostartach
  • nowe lokalizacje automatycznego uruchamiania, w tym znane listyDL, przejęcia plików obrazów, obrazy wykonywania rozruchowego i inne lokalizacje dodatków programu Explorer i Programu Internet Explorer
  • wyświetla więcej informacji o obrazach
  • obsługuje 64-bitowy system Windows XP i 64-bitowy system Windows Server 2003
  • integruje się z Eksploratorem procesów, aby wyświetlić szczegóły uruchamiania procesów automatycznego uruchamiania

DebugView 4.41

  • Teraz przechwytuje dane wyjściowe debugowania w trybie jądra w wersjach 64-bitowych systemu Windows i obsługuje przełączanie między trybami zegara i czasu, który upłynął

Obsługa wersji 3.1

  • pojedynczy plik wykonywalny obsługuje zarówno 32-bitowe systemy Windows, jak i x64 Windows XP i Windows Server 2003

RootkitRevealer v1.55

  • bardziej zaawansowane mechanizmy wykrywania zestawu rootkit, ustawiając etap kolejnej rundy eskalacji przez społeczność rootkit

Ctrl2cap 64-bitowa aktualizacja

  • Ctrl2cap działa teraz w 64-bitowych systemach Windows XP i Windows Server 2003

TCPView w wersji 2.4

  • funkcja wyszukiwania nazwy domeny narzędzia Sysinternals KtoTo is jest teraz dostępna w programie TCPView

SYSINTERNALS FORUM

Odwiedź jedno z 14 interakcyjnych forów Sysinternals (http://www.sysinternals.com/Forum). Z ponad 1500 członków, było 2574 postów do tej pory w 945 różnych tematów.

BLOG MARK

Mój blog rozpoczął się od ostatniego biuletynu - oto wpisy od ostatniego biuletynu:

  • Procesy z możliwością unkillable
  • Uruchamianie systemu Windows bez usług
  • Przypadek okresowego systemu zawiesza się
  • Blokowanie wyskakujących okienek? Co blokowanie wyskakujących okienek?
  • Eksplozja rekordów inspekcji
  • Przepełnienie buforu w śladach Regmon
  • Przepełnienie buforu
  • Uruchamianie codziennie w 64-bitowym systemie Windows
  • Obejście Ustawienia zasad grupy
  • Sprawa tajemniczego zablokowanego pliku
  • Kontynuacja platformy .NET World
  • Nadchodzący świat .NET — boię się

Aby przeczytać artykuły, odwiedź stronę http://www.sysinternals.com/blog

ARTYKUŁY MARK

Dwa najnowsze artykuły Marka w windows i IT Pro Magazine były następujące:

  • "Unearthing Rootkits" (czerwiec 2005)
  • Kolumna narzędzi Power Tools: uzyskiwanie jak największej ilości informacji na temat narzędzia Bginfo

Są one dostępne online dla subskrybentów pod adresem http://www.windowsitpro.com/

HARMONOGRAM MÓWIENIA MARK

Po wysoko ocenianych rozmowach w Microsoft TechEd w Orlando i Amsterdamie, cieszę się cichszym latem. Moja sesja breakout TechEd Orlando, "Understanding and Fighting Malware: Virus, Spyware and Rootkits", była jedną z 10 najlepszych sesji ocenianych w TechEd, oglądanych na żywo przez ponad 1000 uczestników TechEd i audycji internetowej na żywo do ponad 300 widzów internetowych. Emisję internetową można obejrzeć na żądanie pod adresem http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

Wydarzenia, na które będę przemawiał w nadchodzących miesiącach, obejmują:

  • Windows Połączenie ions (2 listopada 2005, San Francisco, CA) —http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (samouczek wstępny 11 września 2005 r., Los Angeles) — http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Forum IT firmy Microsoft (14-18 listopada 2005, Barcelona, Hiszpania) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Najnowsze aktualizacje można znaleźć w temacie http://www.sysinternals.com/Information/SpeakingSchedule.html

OSTATNIA PUBLICZNA KLASA WEWNĘTRZNA/ROZWIĄZYWANIE PROBLEMÓW DLA 2005 R.: SAN FRANCISCO WRZEŚNIA 19-23

Jeśli jesteś specjalistą IT wdrażającym i obsługującym serwery z systemem Windows i stacje robocze, musisz mieć możliwość kopania pod powierzchnią, gdy coś pójdzie nie tak. Zrozumienie wewnętrznych elementów systemu operacyjnego Windows i poznanie sposobu korzystania z zaawansowanych narzędzi do rozwiązywania problemów pomoże Ci skuteczniej radzić sobie z takimi problemami i lepiej zrozumieć problemy z wydajnością systemu. Zrozumienie wewnętrznych elementów może pomóc programistom lepiej wykorzystać platformę Windows, a także zapewnić zaawansowane techniki debugowania.

W tej klasie uzyskasz dogłębną wiedzę na temat architektury jądra systemu Windows NT/2000/XP/2003, w tym wewnętrznych procesów, planowania wątków, zarządzania pamięcią, we/wy, usług, zabezpieczeń, rejestru i procesu rozruchu. Omówiono również zaawansowane techniki rozwiązywania problemów, takie jak dezynfekcja złośliwego oprogramowania, analiza zrzutu awaryjnego (niebieski ekran) i problemy z rozruchem w przeszłości. Poznasz również zaawansowane porady dotyczące używania kluczowych narzędzi z www.sysinternals.com (takich jak Filemon, Regmon i Process Explorer) w celu rozwiązywania różnych problemów z systemem i aplikacjami, takich jak powolne komputery, wykrywanie wirusów, konflikty bibliotek DLL, problemy z uprawnieniami i problemy z rejestrem. Te narzędzia są używane codziennie przez pomoc techniczną firmy Microsoft i są używane skutecznie do rozwiązywania wielu różnych problemów z komputerami stacjonarnymi i serwerami, więc zapoznanie się z ich działaniem i aplikacją pomoże Ci w radzeniu sobie z różnymi problemami w systemie Windows. W rzeczywistych przykładach pokazano pomyślne zastosowanie tych narzędzi w celu rozwiązania rzeczywistych problemów. A ponieważ kurs został opracowany z pełnym dostępem do kodu źródłowego jądra systemu Windows i deweloperów, wiesz, że otrzymujesz prawdziwą historię.

Jeśli brzmi to intrygująco, to przyjść do naszych ostatnich publicznych praktycznych (przynieś własny laptop) Windows wewnętrznych i zaawansowanych klas rozwiązywania problemów w San Francisco, wrzesień 19-23 (nasz harmonogram 2006 nie jest jeszcze sfinalizowany, ale prawdopodobnie obejmie Austin wiosną, Londynem w czerwcu i San Francisco ponownie we wrześniu 2006 roku). A jeśli masz 20 lub więcej osób, możesz znaleźć go bardziej atrakcyjne, aby uruchomić prywatną klasę na miejscu w twojej lokalizacji (seminars@ e-mail... aby uzyskać szczegółowe informacje).

Aby uzyskać więcej informacji i zarejestrować się, odwiedź stronę http://www.sysinternals.com/Troubleshooting.html

Dziękujemy za przeczytanie biuletynu Sysinternals.

Opublikowano środę, 24 sierpnia 2005 16:34 przez ottoh

[Archiwum biuletynów ^][< Tom 7, ogłoszenie specjalne][Wolumin 8, Liczba 1 >]