[新闻稿存档 ^] [< 第 7 卷,特别公告] [第 8 卷,第 1 号 >]

Systems Internals 通讯第 7 卷,第 2 号

http://www.sysinternals.com
版权所有 (C) 2005 Mark Russinovich


2005 年 8 月 24 日 - 本期:

  1. 简介
  2. 客座社论
  3. SYSINTERNALS 最近更新
  4. SYSINTERNALS 论坛
  5. MARK 的博客
  6. MARK 的文章
  7. MARK 的演讲时间表
  8. 即将推出的 SYSINTERNALS/WINDOWS OS 内部培训

Winternals Software 是 Windows 高级系统工具的领先开发者和提供商。

Winternals 很高兴地宣布两款新产品的发布。 借助管理员的 Pak 5.0,可使用自动故障分析器、AD 资源管理器和 Inside for AD 等新工具更轻松地修复不稳定、无法启动或锁定的系统,从而提供对 AD 事务的实时监视。 此外,恢复管理器 2.0 提供了可自定义且功能强大的超快速回滚功能,可用于任务关键型服务器、台式机和笔记本,以在整个企业中同时远程还原单个系统或数千个系统。

如需完整的产品详细信息、多媒体演示、网络研讨会,或者申请任一产品的试用 CD,请访问 http://www.winternals.com

简介

大家好,

欢迎阅读 Sysinternals 新闻稿。 通讯目前有 55,000 名订阅者。

Sysinternals 网站访问次数持续攀升! 我们在 7 月迎来超过 90 万独立访客。 本月最常访问的工具是进程资源管理器,下载次数为 275,000 次! 因为我会经常更新工具,所以请确保你使用的是最新版本。 实时了解变化的最佳方式是订阅我们的 RSS 信息提要(http://www.sysinternals.com/sysinternals.xml)(如果尚未使用 RSS 实时了解网站变化,你需要开始这样做了!)。

在本期通讯中,Winternals Software 的产品经理 Wes Miller 分享了他以非管理员身份运行的体验。我们都说我们应该这样做,但很少有计算机专业人员(包括我自己)真正实践他们所宣扬的理念。 也许我很快就会开始...

--Mark Russinovich

客座社论

Wes Miller 作为非管理员的生活

你很有可能就是正在阅读本文的计算机的本地管理员。 遗憾的是,大多数运行 Windows XP(NT 和 2000)的用户都是以本地管理员的身份运行的,因为要确保企业中的所有应用程序和方案在没有管理员用户的情况下正常工作需要完成大量的工作 - 因此... 我们就会采取简单的方法,即让所有人成为管理员。 这可不是个好办法。

因此,我最近决定以普通用户的身份运行(正如许多人所知,超级用户不是一个安全的帐户,因为它拥有允许特权攻击升级的特权,并成为管理员组的成员)。

我首先想到的是使用出色的 Windows XP 快速用户切换功能;我可以登录我的非管理员和管理员帐户,然后只需在会话之间来回切换。 但遗憾的是,当你加入域时,此功能不可用, (对业务用户) 太糟糕。但遗憾是,这个功能在你加入域时就会不再可用(这对商业用户来说太糟糕了)。

我的第二个想法是使用 RunAs,但是它(或者定义为使用备用凭据的快捷方式)会始终提示输入用户名和密码。 这也是不可接受的,因为我不想每次运行需要管理员权限的应用时都手动输入我的管理凭据。

由于我已经使用 Sysinternals 工具多年,因此,如果我不是管理员,我就会请 Mark Russinovich 让 PsExec 工作。PsExec不能开箱即用的原因是它安装了一个小型服务,然后由这个服务来完成工作;安装该服务需要管理员凭证,而我的非管理员帐户肯定做不到这一点。

轻松地标记增强的 PsExec 后,如果现在指定备用凭据并在本地系统上运行一个进程,PsExec 就会使用备用凭据将该进程创建为子进程(并且不再创建要创建该子进程的服务)。

通过此操作,我能够设置快捷方式,以使用 PsExec 运行我喜欢的管理员应用来启动该过程。

啊,但 PsExec(和 RunAs)不能运行 *.cpl*.msc 文件 - 至少不能直接从命令行运行。 也许是出于懒惰,也许是因为我想要无缝的东西 - 我创建了一个小型 WSH 脚本,它接受任何 exe、要打开的特定文件和任何参数,并将其命名为 run.vbs。 现在,我只需运行 run.vbs 就可以打开我想打开的任何东西(甚至是 MMC 控制台或控制面板小程序),而且它几乎是无缝的。 下面是我在 WSH 脚本中运行的命令行:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

在我始终无法做到的最重要的《第 22 条军规》中,有一条是安装必须以特定用户身份安装的软件。 刚刚推出的 Google Desktop 就是我见过的最好(最糟糕的?)例子。 你必须是管理员才能安装(这一点理所当然),而且如果你尝试使用 RunAs 或 PsExec,它实际上包含阻止安装的逻辑 - 它会返回消息,“当前不支持使用与活动用户不同的凭据安装 Google Desktop。”除了有助于减少他们的测试矩阵以外,我真是不明白这种设计究竟是为了什么。 为了在不注销的情况下绕过它,我以管理员身份启动了命令提示符,将自己添加到管理员组,使用 PsExec 以自己的身份运行命令提示符(因为资源管理器对我的组成员身份感到困惑),然后再次运行它。 工作正常。 当它完成后,我再次退出。

不,这并不容易,但这意味着我的帐户只在最短的时间内是管理员组的一员 - 而且我从来不需要注销。

请注意,我没有链接到或提到作为保护系统的技术 DropMyRights - 我不相信它是。 以非管理员身份运行可保护系统。 选择以非管理员身份运行危险应用不会,但可能会在某种程度上降低风险,但我认为不应该鼓励采取这种做法。

总之,为了减少使用 Windows 系统时暴露的攻击面,你可以从管理员帐户切换到日常使用的用户帐户。 我鼓励你尝试一下,并记下你的体验。

SYSINTERNALS 最近更新

自从四月份的上一期通讯以来,许多工具都已得到了更新。 其中进程资源管理器和自动运行获得了最显著的增强。 下面是按工具列出的详细更改列表:

进程资源管理器 V9.25

  • 统一的 32 位和 64 位 (x64) 二进制文件
  • 支持 Windows Vista
  • 现在显示 64 位用户和内核模式堆栈信息
  • 列出了 64 位系统上 32 位 (Wow64) 进程的 32 位加载 DLL
  • 内存中映像字符串扫描和打包图像突出显示
  • 进程窗口操作(最小化、最大化等)
  • 有关已签名映像信息的新列选项
  • 用于在托盘图标中显示实时 CPU 图形的选项
  • 进程视图的 CPU 图形和 I/O 增量列
  • 查看和编辑进程安全描述符(请参阅进程属性的“安全”选项卡)

PsTools v2.2

  • PsShutdown 包含一个 -v 开关,用于指定通知对话框显示的持续时间或完全省略对话框
  • PsLoglist 对其 csv 输出进行了时间格式设置修复
  • PsInfo 现在显示完整的修补程序信息,包括 IE 修补程序
  • 现在,当你在本地系统上运行命令时,PsExec 会以类似于 Runas 的方式工作,从而支持你从非管理员帐户运行它并编写密码条目的脚本

Filemon v7.01

  • 当帐户没有运行 Filemon 或 Filemon 正在运行所需的权限时,显示更清晰的错误消息
  • 将 32 位和 64 位 (x64) 版本合并为单个二进制文件

Autoruns v8.13

  • 不同的自动启动类型现在分隔到主窗口的不同选项卡上
  • 新的“一切”视图,支持你快速查看所有已配置的自动启动
  • 新的自动启动位置,包括 KnownDLL、映像文件劫持、启动执行映像,以及更多资源管理器和 Internet Explorer 加载项位置
  • 显示有关图像的详细信息
  • 支持 64 位 Windows XP 和 64 位 Windows Server 2003
  • 与进程资源管理器集成,以显示运行自动启动进程的详细信息

DebugView v4.41

  • 现在可捕获 x64 版本 64 位 Windows 上的内核模式调试输出,并支持在时钟时间和已用时间模式之间切换

Handle v3.1

  • 单一可执行文件同时支持 32 位 Windows 和 x64 Windows XP 和 Windows Server 2003

RootkitRevealer v1.55

  • 更复杂的 rootkit 检测机制,为 rootkit 社区的下一轮升级设置了阶段

Ctrl2cap 64 位更新

  • Ctrl2cap 现在适用于 64 位 Windows XP 和 Windows Server 2003

TCPView v2.4

  • Sysinternals Whois 实用程序的域名查找功能现已在 TCPView 中提供

SYSINTERNALS 论坛

欢迎访问 14 个交互式 Sysinternals 论坛其中之一(http://www.sysinternals.com/Forum). 超过 1500 名成员,迄今为止,已发表 2574 个帖子,涉及 945 个不同主题。

MARK 的博客

我的博客从上一期通讯开始 - 以下是上一期通讯以来发表的帖子:

  • 不可终止的进程
  • 运行无服务的 Windows
  • 定期系统挂起的情况
  • 弹出窗口阻止程序? 什么是弹出窗口阻止程序?
  • 审核记录激增
  • Regmon 跟踪中的缓冲区溢出
  • 缓冲区溢出
  • 在 64 位 Windows 上每日运行
  • 规避组策略设置
  • 神秘锁定文件的情况
  • .NET 世界跟进
  • 即将到来的 .NET 世界 - 我好怕

要阅读文章,请访问 http://www.sysinternals.com/blog

MARK 的文章

Mark 在 Windows 和 IT 专业杂志上发表的最新两篇文章是:

  • “发掘 Rootkit”(2005 年 6 月)
  • Power Tools 列:充分利用 Bginfo

订阅者可以访问 http://www.windowsitpro.com/ 来在线阅读这些文章

MARK 的演讲时间表

在 Orlando 和 Amsterdam 的 Microsoft TechEd 上进行了受到高度评价的演讲后,我正在享受安静的夏日时光。 我参加的在 TechEd Orlando 分组讨论会“了解和对抗恶意软件:病毒、间谍软件和 Rootkit”是 TechEd 排名前 10 位的会议之一,会议现场的 TechEd 与会者超过 1000 人,并向 300 多名 Web 观众进行了网络直播。 可以在 http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US 上点播观看网播

我将在接下来几个月里发表演讲的活动包括:

  • Windows Connections(2005 年 11 月 2 日,加利福尼亚州旧金山)- http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 专业开发人员会议(会前教程 2005 年 9 月 11 日,洛杉矶) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT 论坛 (2005 年 11 月 14-18 日,西班牙巴塞罗那)- http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

有关最新更新,请查看 http://www.sysinternals.com/Information/SpeakingSchedule.html

上一次公开内部/故障排除课程:2005 年 9 月 19-23 日旧金山

如果你是部署与支持 Windows 服务器和工作站的 IT 专业人员,你需要能够在出现问题时深入挖掘。 了解 Windows 操作系统的内部功能并了解如何使用高级故障排除工具将有助于你更有效地处理此类问题并了解系统性能问题。 了解内部内容有助于程序员更好地利用 Windows 平台,并提供高级调试技术。

在本课程中,你将深入了解 Windows NT/2000/XP/2003 的内核体系结构,包括进程内部情况、线程计划、内存管理、I/O、服务、安全性、注册表和启动过程。 你还将了解故障排除技术,例如恶意软件消毒、故障转储(蓝屏)分析、解决启动问题。 你还可在 www.sysinternals.com 上学习各种高级技巧,了解如何使用关键工具(例如 Filemon、Regmon 和 Process Explorer)来排查各种系统和应用程序问题,例如计算机速度缓慢、病毒检测、DLL 冲突、权限问题和注册表问题等。 Microsoft 产品支持部门每天都在使用这些工具,它们已被有效地用于解决各种桌面和服务器问题,因此熟悉它们的操作和应用程序将帮助你处理 Windows 上的不同问题。 我们将提供实际示例,展示如何成功应用这些工具来解决实际问题。 而且在制作课程的过程中,我们可完全访问 Windows 核心源代码,还与开发人员进行完全沟通,所以你看到的故事是真实的。

如果感兴趣,就来参加我们于 9 月 19 日至 23 日在旧金山举办的最后一次公开动手实践(自带笔记本电脑)Windows 内部和高级故障排除课程(2006 年时间表尚未最终确定,但可能会包括 2006 年春季在奥斯汀、6 月在伦敦以及 9 月再次回到旧金山)。 如果你能聚起 20 个或更多的人,那么在你所在的地方举行一场私人现场课程可能会更有吸引力(有关详细信息,请发送电子邮件至 seminars@...)。

如需更多详细信息以及进行注册,请访问 http://www.sysinternals.com/Troubleshooting.html


感谢阅读 Sysinternals 通讯。

发布于 2005 年 8 月 24 日星期三下午 4:34 于 ottoh

[新闻稿存档 ^] [< 第 7 卷,特别公告] [第 8 卷,第 1 号 >]