[Bülten Arşivi ^] [< Cilt 7, Özel Duyuru] [Cilt 8, Sayı 1 >]
Systems Internals Bülten Cilt 7, Sayı 2
http://www.sysinternals.com
Telif Hakkı (C) 2005 Mark Russinovich
24 Ağustos 2005 - Bu sorunda:
- GİRİŞ
- KONUK EDITORYAL
- SYSINTERNALS'DEKI YENILIKLER
- SYSINTERNALS FORUMU
- MARK'IN BLOGU
- MARK'IN MAKALELERİ
- MARK'ıN KONUŞMA PROGRAMı
- YAKLAŞAN SYSINTERNALS/WINDOWS IŞLETIM SISTEMI DAHILILERI EĞITIMI
Winternals Software, Windows için gelişmiş sistem araçlarının önde gelen geliştiricisi ve sağlayıcısıdır.
Winternals, iki yeni ürünün piyasaya sürülecek olduğunu duyurmaktan mutluluk duyuyor. Yöneticinin Pak 5.0'ı otomatik kilitlenme çözümleyicisi, AD gezgini ve AD için Inside gibi yeni araçlarla kararsız, önyükleme yapılamaz veya kilitli olmayan bir sistemi onarmayı her zamankinden daha kolay hale getirir ve AD işlemlerinin gerçek zamanlı izlenmesini sağlar. Ayrıca yeni Kurtarma Yöneticisi 2.0, kuruluş genelinde aynı anda tek bir sistemi veya binlerce sistemi uzaktan geri yüklemek için görev açısından kritik sunucular, masaüstleri ve not defterleri için özelleştirilebilir, güçlü, ultra hızlı geri alma sağlar.
Tüm ürün ayrıntıları, multimedya tanıtımları, web seminerleri için veya her iki ürünün deneme CD'sini istemek için lütfen adresini ziyaret edin http://www.winternals.com
GİRİŞ
Herkese merhaba,
Sysinternals bültenine hoş geldiniz. Bültenin şu anda 55.000 abonesi var.
Sysinternals web sitesine yapılan ziyaretler tırmanmaya devam ediyor! Temmuz ayında 900.000'den fazla benzersiz ziyaretçimiz vardı. Ay için en sık erişilen araç 275.000 indirme ile İşlem Gezgini'ydi! Araçları sık sık güncelleştirdiğim için en son sürümü kullandığınızdan emin olun. Değişikliklere ayak uydurmanın en iyi yolu adresinde RSS akışıma http://www.sysinternals.com/sysinternals.xml abone olmaktır (ve henüz web sitelerine ayak uydurmak için RSS kullanmıyorsanız, başlamanız gerekir!).
Bu sorunda, Winternals Software Ürün Yöneticisi Wes Miller yönetici olmayan bir çalışan olarak çalışma deneyimini paylaşıyor. Hepimiz bunu yapmamız gerektiğini söylüyoruz, ancak birkaç bilgisayar uzmanı gerçekte ne öğüt aldıklarını (kendim dahil) uyguluyor. Belki yakında başlarım...
--Mark Russinovich
KONUK EDITORYAL
Wes Miller'ın yönetici olmayan hayatı
Bunu okuduğun bilgisayarda yerel yönetici olma ihtimalin var. Ve ne yazık ki, Windows XP (NT ve 2000) çalıştıran kullanıcıların çoğunluğu yerel yönetici olarak çalışır çünkü bir kuruluştaki tüm uygulamaların ve senaryoların kullanıcılar yönetici olmadan çalışmasını sağlamak için önemli bir çalışma gerektirir . kolay yolu bulup dünya yöneticileri yaparız. Bu hiç iyi değil.
Bu nedenle kısa süre önce normal bir kullanıcı olarak çalışmaya karar verdim (Power User, ayrıcalık yükseltme saldırısına izin verebilen ve Yöneticiler grubunun üyesi olabilecek ayrıcalıklara sahip olduğu için kullanmak için güvenli bir hesap değildir).
İlk düşüncem harika Windows XP Hızlı Kullanıcı Değiştirme işlevini kullanmaktı; Yönetici olmayan ve yönetici hesabımda oturum açıp oturumlar arasında geçiş yapabilirim. Ancak ne yazık ki bir etki alanına katıldığınızda bu özellik kullanılamaz (iş kullanıcıları için çok kötü).
İkinci düşüncem RunA'ları kullanmaktı, ancak bu (veya alternatif kimlik bilgilerini kullanmak için tanımlanan bir kısayol) her zaman bir kullanıcı adı ve parola ister. Yönetici hakları gerektiren bir uygulamayı her çalıştırışımda yönetici kimlik bilgilerimi el ile girmek istemediğim için bu da kabul edilebilir değildi.
Bu yüzden, sysinternals araçlarını yıllardır kullandığımdan, yönetici değilsem Mark Russinovich'ten PsExec'i çalışır hale getirmesini istedim. PsExec'in kutudan çıkmama nedeni, daha sonra işi yapan küçük bir hizmet yüklemesidir; hizmeti yüklemek için yönetici kimlik bilgileri gerekiyor, bu da yönetici olmayan hesabımdan işe yaramaz.
PsExec'i, şimdi alternatif kimlik bilgileri belirtirseniz VE yerel sistemde bir işlem çalıştırırsanız PsExec işlemi alternatif kimlik bilgileriyle alt işlem olarak oluşturur (ve artık alt işlemi oluşturmak için hizmeti oluşturmaz).
Bu, işlemi başlatmak için PsExec kullanarak en sevdiğim yönetici uygulamalarını çalıştırmak için kısayolları ayarlamama olanak sağladı.
Ah, ancak PsExec (ve RunAs) ve *.msc dosyalarını çalıştıramaz*.cpl; en azından doğrudan komut satırından çalıştırılamaz. Belki de tembellikten dolayı, belki de sorunsuz bir şey istediğim için - herhangi bir exe dosyasını, belirli bir dosyayı ve herhangi bir parametreyi açan ve run.vbs olarak adlandıran küçük bir WSH betiği oluşturdum. Şimdi run.vbs dosyasını açmak istediğim her şeyle (MMC konsolları veya denetim masası uygulamaları bile) çalıştırıyorum ve neredeyse sorunsuz. WSH betiğinde çalıştırdığım komut satırı şu şekildedir:
psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters
Üstesinden gelemediğim en önemli catch-22'lerden biri, belirli bir kullanıcı olarak yüklenmesi gereken yazılımları yüklemektir. Gördüğüm en iyi (en kötü?) örnek, yeni tanıtılan Google Desktop'tır. Yüklemek için yönetici olmanız gerekir (elbette) ve RunAs veya PsExec kullanmaya çalışırsanız yüklemeyi engellemek için aslında mantığı vardır. "Google Desktop'ı etkin kullanıcıdan farklı kimlik bilgileri altında yükleme şu anda desteklenmiyor" iletisini döndürür. Test matrislerini azaltmaya yardımcı olmasının dışında nedenini tam olarak anlamadım. Oturumu kapatmadan bu sorunu çözmek için Yönetici olarak bir komut istemi başlattım, kendimi Yöneticiler grubuna ekledim, PsExec kullanarak komut istemini kendim olarak çalıştırdım (Explorer'ın grup üyeliğim konusunda kafası karışmış olduğundan) ve yeniden çalıştırdım. İyi çalıştı. İş bittiğinde, kendimi tekrar bıraktım.
Hayır, kolay değil, ama hesabımın az bir süre için Administrators grubunun yalnızca bir üyesi olduğu anlamına geliyordu ve hiçbir zaman oturumu kapatmam gerekmedi.
DropMyRights'a bir sistemin güvenliğini sağlamak için bir teknik olarak bağlanmadığıma veya bahsetmediğime dikkat edin - öyle olduğuna inanmıyorum. Yönetici olmayan olarak çalıştırmak sisteminizin güvenliğini sağlar. Yönetici olmayanların tehlikeli uygulamaları seçmeli olarak çalıştırması , riski bir ölçüde azaltabilir - ancak bunun teşvik edilmesi gereken bir uygulama olduğuna inanmıyorum.
Her şeyi özetlemek gerekirse, bir yönetici hesabından günlük kullanımınız için bir kullanıcı hesabına geçmek, Windows sisteminizi kullanımınız tarafından kullanıma açılan saldırı yüzeyini azaltmak için yapabileceğiniz bir işlemdir. Denemenizi ve deneyimlerinizi kaydetmenizi tavsiye ederim.
SYSINTERNALS'DEKI YENILIKLER
Nisan ayındaki son bültenden bu yana birçok araç güncelleştirildi. En büyük iyileştirmelere sahip olan ikisi İşlem Gezgini ve Otomatik Çalıştırmalar'dı. Araçlara göre değişikliklerin ayrıntılı bir listesi aşağıdadır:
İşlem Gezgini V9.25
- birleşik 32 bit ve 64 bit (x64) ikili
- Windows Vista'nın desteklemektedir
- şimdi 64 bit kullanıcı ve çekirdek modu yığın bilgilerini görüntüler
- 64 bit sistemlerde 32 bit (Wow64) işlemleri için 32 bit yüklü DLL'leri listeler
- bellek içi görüntü dizesi tarama ve paketlenmiş görüntü vurgulama
- işlem penceresi işleme (simge durumuna küçültme, ekranı kaplama vb.)
- imzalı görüntüler hakkında bilgi için yeni sütun seçeneği
- tepsi simgesinde gerçek zamanlı CPU grafiği görüntüleme seçeneği
- İşlem görünümüne CPU grafiği ve G/Ç değişim sütunları
- işlem güvenliği tanımlayıcılarını görüntüleme ve düzenleme (bkz. İşlem özelliklerinin Güvenlik sekmesi)
PsTools v2.2
- PsShutdown, bildirim iletişim kutusunun görüntülendiği süreyi belirtmek veya iletişim kutusunu tamamen kapatmak için bir -v anahtarı içerir
- PsLoglist'in csv çıkışı için bir zaman biçimlendirme düzeltmesi var
- PsInfo artık IE düzeltmeleri de dahil olmak üzere tam düzeltme bilgilerini gösteriyor
- PsExec artık yerel sistemde komut çalıştırdığınızda Runas gibi çalışır ve bunu yönetici olmayan bir hesaptan çalıştırmanıza ve parola girişi betiği oluşturmanıza olanak sağlar
Filemon v7.01
- Bir hesabın Filemon'ı çalıştırmak için gerekli ayrıcalıkları olmadığında veya Filemon zaten çalışıyorsa için daha net hata iletileri
- 32 bit ve 64 bit (x64) sürümleri tek bir ikili dosyada birleştirir
Otomatik çalıştırma v8.13
- artık ana pencerenin farklı sekmelerine ayrılmış farklı otomatik başlangıç türleri
- tüm yapılandırılmış otomatik başlangıçlarda hızlı bir görünüm sağlayan yeni "Her şey" görünümü
- KnownDLL'ler, görüntü dosyası ele geçirmeleri, önyükleme yürütme görüntüleri ve daha fazla Explorer ve Internet Explorer eklenti konumu gibi yeni otomatik başlangıç konumları
- görüntüler hakkında daha fazla bilgi gösterir
- 64 bit Windows XP ve 64 bit Windows Server 2003'i destekler
- çalışan otomatik başlangıç işlemlerinin ayrıntılarını göstermek için İşlem Gezgini ile tümleşir
DebugView v4.41
- şimdi 64 bit Windows'un x64 sürümlerinde çekirdek modu hata ayıklama çıkışını yakalar ve saat saati ile geçen zaman modları arasında geçiş yapma desteği sunar
v3.1'i işleme
- tek yürütülebilir dosya hem 32 bit Windows hem de x64 Windows XP ve Windows Server 2003'i destekler
RootkitRevealer v1.55
- daha gelişmiş rootkit algılama mekanizmaları, rootkit topluluğu tarafından bir sonraki yükseltme turu için aşamayı ayarlama
Ctrl2cap 64 bit Güncelleştirme
- Ctrl2cap artık 64 bit Windows XP ve Windows Server 2003'te çalışıyor
TCPView v2.4
- Sysinternals Whois yardımcı programının etki alanı adı arama işlevi artık TCPView'da kullanılabilir
SYSINTERNALS FORUMU
14 etkileşimli Sysinternals forumlarından birini ziyaret edin (http://www.sysinternals.com/Forum). 1500'den fazla üyeyle, 945 farklı konu başlığında bugüne kadar 2574 gönderi yapıldı.
MARK'IN BLOGU
Blogum son bültenden itibaren başladı - son bültenden sonra gelen gönderiler şunlardır:
- Eşiği Kaldırılamayan İşlemler
- Hizmet Olmadan Windows Çalıştırma
- Periyodik Sistemin Askıda Kalma Durumu
- Açılan Pencere Engelleyicisi mi? Hangi Açılır Pencere Engelleyicisi?
- Denetim Kayıtlarında Patlama
- Regmon İzlemelerinde Arabellek Taşması
- Arabellek Taşması
- 64 bit Windows'ta Her Gün Çalıştırılıyor
- Grup İlkesi Ayarlarını Aşma
- Gizemli Kilitli Dosyanın Durumu
- .NET World Takip
- Yaklaşan .NET Dünyası - Korkuyorum
Makaleleri okumak için http://www.sysinternals.com/blog
MARK'IN MAKALELERİ
Mark'ın Windows ve IT Pro Magazine'deki en son iki makalesi:
- "Rootkit'leri Ortaya Çıkarılıyor" (Haziran 2005)
- Power Tools sütunu: Bginfo'lardan en iyi şekilde yararlanın
Bunlar şu konumdaki abonelere çevrimiçi olarak sunulur: http://www.windowsitpro.com/
MARK'ıN KONUŞMA PROGRAMı
Orlando ve Amsterdam'daki Microsoft TechEd'de yüksek puanlı konuşmaların ardından, daha sessiz bir yazın tadını çıkarıyorum. TechEd Orlando tartışma oturumum olan "Kötü Amaçlı Yazılımları Anlama ve Mücadele: Virüsler, Casus Yazılımlar ve Rootkitler", TechEd'de 1000'den fazla TechEd katılımcısı ve 300'den fazla web görüntüleyicisi tarafından canlı olarak görüntülenen en iyi 10 oturumdan biriydi. web yayınını isteğe bağlı olarak http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&adresinden izleyebilirsiniz; Culture=en- US
Önümüzdeki aylarda konuşacağım etkinlikler şunlardır:
- Windows Bağlantıları (2 Kasım 2005, San Francisco, CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
- Microsoft 2005 Professional Developers Conference (ön koşul öğreticisi 11 Eylül 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
- Microsoft BT Forumu (14-18 Kasım 2005, Barselona, İspanya) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx
En son güncelleştirmeler için bkz. http://www.sysinternals.com/Information/SpeakingSchedule.html
2005 IÇIN SON GENEL İÇ/SORUN GIDERME SıNıFı: SAN FRANCISCO 19-23 EYLÜL
Windows sunucularını ve iş istasyonlarını dağıtan ve destekleyen bir BT uzmanıysanız, işler yolunda gitmediğinde yüzeyin altına inebilmeniz gerekir. Windows işletim sisteminin iç özelliklerini anlamak ve gelişmiş sorun giderme araçlarını kullanmayı bilmek, bu tür sorunlarla başa çıkmanıza ve sistem performansı sorunlarını daha etkili anlamanıza yardımcı olur. İç bilgileri anlamak, programcıların Windows platformundan daha iyi yararlanmasına ve gelişmiş hata ayıklama teknikleri sağlamasına yardımcı olabilir.
Bu sınıfta, windows NT/2000/XP/2003 çekirdek mimarisi hakkında ayrıntılı bilgi edineceksiniz. İşlemlerin iç özellikleri, iş parçacığı zamanlama, bellek yönetimi, G/Ç, hizmetler, güvenlik, kayıt defteri ve önyükleme işlemi de dahil olmak üzere. Ayrıca kötü amaçlı yazılım dezenfeksiyonu, kilitlenme bilgi dökümü (mavi ekran) analizi ve önyükleme sorunlarının aşılması gibi gelişmiş sorun giderme teknikleri de ele alınmıştır. Ayrıca yavaş bilgisayarlar, virüs algılama, DLL çakışmaları, izin sorunları ve kayıt defteri sorunları gibi çeşitli sistem ve uygulama sorunlarını gidermek için www.sysinternals.com (Filemon, Regmon ve İşlem Gezgini gibi) temel araçları kullanma hakkında gelişmiş ipuçları da öğreneceksiniz. Bu araçlar, Microsoft Ürün Desteği tarafından günlük olarak kullanılır ve çok çeşitli masaüstü ve sunucu sorunlarını çözmek için etkili bir şekilde kullanılmıştır, bu nedenle bunların çalışmasına ve uygulamasına aşina olmak Windows'taki farklı sorunlarla ilgilenmenize yardımcı olur. Gerçek sorunları çözmek için bu araçların başarılı bir şekilde uygulanmasını gösteren gerçek dünya örnekleri verilecektir. Kurs, Windows çekirdek kaynak kodu ve geliştiricilerine tam erişimle geliştirildiği için gerçek hikayeyi öğrendiğinizi biliyorsunuz.
Bu ilgi çekici geliyorsa, 19-23 Eylül'de San Francisco'daki son halka açık uygulamalı (kendi dizüstü bilgisayarınızı getirin) Windows dahili ve gelişmiş sorun giderme sınıfımıza gelin (2006 programımız henüz kesinleştirilmemiştir, ancak büyük olasılıkla baharda Austin, Haziran ayında Londra ve Eylül 2006'da san Francisco'yu da içerecektir). 20 veya daha fazla kişiniz varsa, bulunduğunuz konumda özel bir yerinde sınıf çalıştırmayı daha çekici bulabilirsiniz (e-posta seminars@... bölümüne bakın.
Daha fazla bilgi edinmek ve kaydolmak için http://www.sysinternals.com/Troubleshooting.html
Sysinternals Bülteni'ni okuduğun için teşekkür ederiz.
Yayın tarihi: 24 Ağustos 2005 Çarşamba 16:34 ottoh
[Bülten Arşivi ^] [< Cilt 7, Özel Duyuru] [Cilt 8, Sayı 1 >]