Бөлісу құралы:

  • Мақала

[Архив бюллетеней ^] [ Том 7, Специальное объявление] [<Том 8, Число 1 >]

Внутренние информационные бюллетени системы том 7, номер 2

http://www.sysinternals.com
Авторские права (C) 2005 Марк Руссинович

24 августа 2005 г. — в этой проблеме:

  1. ВВЕДЕНИЕ
  2. ГОСТЕВАЯ РЕДАКЦИЯ
  3. НОВЫЕ ВОЗМОЖНОСТИ SYSINTERNALS
  4. ФОРУМ SYSINTERNALS
  5. БЛОГ MARK
  6. СТАТЬИ MARK
  7. РАСПИСАНИЕ РЕЧИ MARK
  8. ПРЕДСТОЯЩИЕ УЧЕБНЫЕ КУРСЫ SYSINTERNALS/WINDOWS OS INTERNALS

Winternals Software является ведущим разработчиком и поставщиком расширенных системных средств для Windows.

Winternals рад объявить о выпуске двух новых продуктов. Pak 5.0 администратора упрощает восстановление нестабильной, непристойной или заблокированной системы с новыми инструментами, такими как автоматический анализатор аварийного сбоя, обозреватель AD и внутри AD, обеспечивая мониторинг транзакций AD в режиме реального времени. Кроме того, новая версия диспетчер восстановления 2.0, обеспечивая настраиваемый, мощный, быстрый откат для критически важных серверов, рабочих столов и записных книжек для удаленного восстановления одной системы или тысяч систем одновременно на всей организации.

Полные сведения о продукте, мультимедийные демонстрации, вебинары или запрос пробного компакт-диска любого продукта, посетите сайт http://www.winternals.com

ВВЕДЕНИЕ

Здравствуйте!

Добро пожаловать в информационный бюллетень Sysinternals. В настоящее время информационный бюллетень имеет 55 000 подписчиков.

Посещение веб-сайта Sysinternals продолжает расти! В июле у нас было более 900 000 уникальных посетителей. Наиболее часто доступ к средству для месяца был обозреватель процессов с 275 000 скачиваемых файлов! Так как я часто обновляю средства, убедитесь, что вы используете последнюю версию. Лучший способ следить за изменениями заключается в том, чтобы подписаться на мой RSS-канал http://www.sysinternals.com/sysinternals.xml (и если вы еще не используете RSS для поддержания работоспособности веб-сайтов, вам нужно начать!).

В этой проблеме Wes Miller, менеджер по продуктам в Winternals Software, делится своим опытом работы с неадминистратором. Мы все говорим, что мы должны сделать это, но немногие компьютерные специалисты на самом деле практикуют то, что они проповедуют (я включил). Может быть, я начну в ближайшее время...

--Марк Руссинович

ГОСТЕВАЯ РЕДАКЦИЯ

Жизнь как неадминистратор Уис Миллер

Скорее всего, на компьютере, на который вы читаете это, вы являетесь локальным администратором. И, к сожалению, большинство пользователей под управлением Windows XP (NT и 2000) выполняются как локальные администраторы, так как это требует значительной работы для обеспечения всех приложений и сценариев в корпоративной работе без администраторов пользователей - поэтому... мы делаем простой выход и сделать мировых администраторов. Это не хорошо.

Таким образом, я решил недавно запустить как обычного пользователя (Power User, как многие знают, не является безопасной учетной записью для использования, так как она имеет привилегии, которые могут позволить эскалации атаки привилегий и стать членом группы администраторов).

Моя первая мысль заключалась в том, чтобы использовать замечательные функции быстрого переключения пользователей Windows XP; Я мог войти в учетную запись, не относящуюся к администратору, и просто переключиться между сеансами. Но, к сожалению, эта функция недоступна при присоединении к домену (слишком плохо для бизнес-пользователей).

Вторая мысль заключалась в том, чтобы использовать runAs, но он (или ярлык, определенный для использования альтернативных учетных данных), всегда запрашивает имя пользователя и пароль. Это также не приемлемо, так как я не хотел вручную вводить мои административные учетные данные каждый раз, когда я запускал приложение, которое требовало прав администратора.

Так что, так как я использовал инструменты Sysinternals в течение многих лет, я попросил Марк Руссинович сделать PsExec работать, если я не администратор. Причина, по которой PsExec не работал из коробки, заключается в том, что она устанавливает небольшую службу, которая затем выполняет работу; для установки службы требуются учетные данные администратора, которые, конечно, не будут работать из моей учетной записи, отличной от администратора.

Помечайте благоразумно расширенный psExec таким образом, чтобы теперь, если вы указали альтернативные учетные данные и выполняете процесс в локальной системе, PsExec создает процесс в качестве дочернего процесса с альтернативными учетными данными (и больше не создает службу для создания дочернего процесса).

Это позволило мне настроить сочетания клавиш для запуска любимых приложений администратора с помощью PsExec для запуска процесса.

Ah, но PsExec (и RunAs) не могут запускаться *.cpl и *.msc файлы , по крайней мере, не напрямую из командной строки. Возможно, из лени, возможно, потому что я хотел что-то простое - я создал небольшой скрипт WSH, который принимает любой exe-файл, конкретный файл для открытия, и любые параметры, и назвал его run.vbs. Теперь я просто запускаю run.vbs с тем, что я хочу открыть (даже консоли MMC или апплеты панели управления) и это довольно просто. Ниже приведена командная строка, выполняемая в скрипте WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Одним из самых значительных перехватов-22, которые я не смог преодолеть, является установка программного обеспечения, которое должно быть установлено в качестве конкретного пользователя. Лучший (худший?) пример этого я видел является недавно появившиеся Google Desktop. Вам нужно быть администратором, чтобы установить (конечно), и на самом деле в нем есть логика, чтобы заблокировать установку, если вы пытаетесь использовать RunAs или PsExec , возвращая сообщение "Установка Google Desktop под разными учетными данными, чем активный пользователь в настоящее время не поддерживается". Я не совсем понимаю, почему, помимо того, что он помогает уменьшить их тестовую матрицу. Чтобы обойти его без выхода из системы, я запустил командную строку от имени администратора, добавил себя в группу "Администраторы", использовал PsExec для запуска командной строки как себя, (так как обозреватель был смущен о членстве в группе), и снова запустите его. Работал хорошо. Когда это было сделано, я бросил себя обратно снова.

Нет, не мёртв, но это означало, что моя учетная запись была только членом группы администраторов в течение минимального периода времени - и я никогда не должен был выйти из системы.

Обратите внимание, что я не связан или не упомянул DropMyRights в качестве техники для защиты системы - я не верю, что это. Работа с неадминистратором защищает систему. Выборочное выполнение опасных приложений, так как неадминистратор не является - это может несколько снизить риск - но я не верю, что это практика, которую следует поощрять.

Чтобы суммировать все это, переключение с учетной записи администратора на учетную запись пользователя для ежедневного использования — это одна вещь, которую можно сделать, чтобы уменьшить область атаки, которую предоставляет ваша система Windows. Я призываю вас дать ему попробовать и записать свои опыты.

НОВЫЕ ВОЗМОЖНОСТИ SYSINTERNALS

Многие инструменты были обновлены с момента последнего бюллетеня в апреле. Два с самыми большими улучшениями были обозреватель процессов и автозапуск. Ниже приведен подробный список изменений по инструменту:

Обозреватель процессов версии 9.25

  • унифицированный 32-разрядный и 64-разрядный (x64) двоичный файл
  • поддерживает Windows Vista
  • Теперь отображается 64-разрядная информация о стеке пользователей и в режиме ядра
  • содержит 32-разрядные библиотеки DLL для 32-разрядных процессов (Wow64) в 64-разрядных системах.
  • Сканирование и выделение упакованных изображений в памяти
  • Обработка окна процесса (свернуть, развернуть и т. д.)
  • Новый параметр столбца для сведений о подписанных изображениях
  • параметр отображения графа ЦП в режиме реального времени в значке области
  • Граф ЦП и разностные столбцы ввода-вывода в представление процесса
  • просмотр и изменение дескрипторов безопасности процесса (см. вкладку "Безопасность" свойств процесса)

PsTools версии 2.2

  • PsShutdown включает переключатель -v для указания длительности отображения диалогового окна уведомления или отключения диалогового окна в целом
  • PsLoglist имеет исправление форматирования времени для выходных данных CSV
  • PsInfo теперь отображает полные сведения о исправлении, включая исправления IE
  • PsExec теперь работает как Runas при выполнении команд в локальной системе, что позволяет запускать его из учетной записи, отличной от администратора, и выполнять скрипт записи паролей.

Filemon версии 7.01

  • более четкие сообщения об ошибках, если у учетной записи нет прав, необходимых для запуска Filemon или Filemon, уже запущены
  • объединяет 32-разрядные и 64-разрядные версии (x64) в один двоичный файл.

Автозапуск версии 8.13

  • различные типы автозапуска теперь разделены на разные вкладки главного окна
  • новое представление "Все" позволяет быстро просматривать все настроенные автозапуски
  • новые расположения автозапуска, включая известные библиотеки DLL, перехват файлов изображений, загрузочные образы и другие расположения надстроек Explorer и Internet Explorer
  • дополнительные сведения о изображениях
  • поддерживает 64-разрядную версию Windows XP и 64-разрядную версию Windows Server 2003
  • интегрируется с обозревателем процессов для отображения сведений о выполнении процессов автозапуска

DebugView версии 4.41

  • теперь записывает выходные данные отладки в режиме ядра в 64-разрядных версиях Windows и поддерживает переключение между временем и истекшего времени

Обработка версии 3.1

  • один исполняемый файл поддерживает как 32-разрядную версию Windows, так и x64 Windows XP и Windows Server 2003

RootkitRevealer версии 1.55

  • более сложные механизмы обнаружения rootkit, устанавливая этап для следующего раунда эскалации сообществом rootkit

Ctrl2cap 64-разрядное обновление

  • Ctrl2cap теперь работает на 64-разрядной версии Windows XP и Windows Server 2003

TCPView версии 2.4

  • Функция подстановки доменных имен служебной программы Sysinternals Whois теперь доступна в TCPView.

ФОРУМ SYSINTERNALS

Посетите один из 14 интерактивных форумов Sysinternals (http://www.sysinternals.com/Forum). С более чем 1500 участниками, было 2574 записи на сегодняшний день в 945 различных темах.

БЛОГ MARK

Мой блог начал с последнего бюллетеня - вот посты с последнего бюллетеня:

  • Неуклимые процессы
  • Запуск Windows без служб
  • Случай периодических зависаний системы
  • Блокировщик всплывающих окон? Какой блокировщик всплывающих окон?
  • Взрыв записей аудита
  • Переполнение буферов в трассировках regmon
  • Переполнение буферов
  • Выполнение ежедневно в 64-разрядной версии Windows
  • Обход параметров групповой политики
  • Случай таинственного заблокированного файла
  • Дальнейшие действия по .NET World
  • Предстоящий .NET World - я боюсь

Чтобы прочитать статьи, посетите сайт http://www.sysinternals.com/blog

СТАТЬИ MARK

Две последние статьи Марка в Windows и IT Pro Magazine:

  • "Unearthing Rootkits" (июнь 2005 г.)
  • Столбец Power Tools: получение наиболее эффективного использования Bginfo

Они доступны в Интернете для подписчиков по адресу http://www.windowsitpro.com/

РАСПИСАНИЕ РЕЧИ MARK

После высоко оцененных переговоров в Microsoft TechEd в Орландо и Амстердаме, я наслаждаюсь тише летом. Моя сессия TechEd Orlando, "Понимание и борьба с вредоносными программами: Вирусы, шпионское поверх и rootkits", была одной из лучших 10-рейтинговых сессий в TechEd, просмотрела более 1000 участников TechEd и веб-трансляции жить более чем на 300 веб-зрителей. Вы можете посмотреть веб-трансляцию по запросу http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

События, на которые я буду выступать в ближайшие месяцы, включают:

  • Windows Connections (2 ноября 2005 г., Сан-Франциско, ЦС) — http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Конференция профессиональных разработчиков Microsoft 2005 (руководство по предварительному выводу 11 сентября 2005 г., Лос-Анджелес) — http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • ИТ-форум Майкрософт (14-18 ноября 2005 г., Барселона, Испания) http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Последние обновления см. в разделе http://www.sysinternals.com/Information/SpeakingSchedule.html

ПОСЛЕДНИЙ ОБЩЕДОСТУПНЫЙ ВНУТРЕННИЙ/УСТРАНЕНИЕ НЕПОЛАДОК КЛАССА ДЛЯ 2005: САН-ФРАНЦИСКО 19-23 СЕНТЯБРЯ

Если вы ит-специалисты по развертыванию и поддержке серверов и рабочих станций Windows, вам нужно быть в состоянии копать под поверхностью, когда что-то пошло не так. Имея понимание внутренних компонентов операционной системы Windows и зная, как использовать расширенные средства устранения неполадок, поможет вам справиться с такими проблемами и понять проблемы с производительностью системы более эффективно. Понимание внутренних компонентов может помочь программистам лучше использовать преимущества платформы Windows, а также предоставлять расширенные методы отладки.

В этом классе вы получите подробное представление об архитектуре ядра Windows NT/2000/XP/2003, включая внутренние процессы, планирование потоков, управление памятью, службы, безопасность, реестр и процесс загрузки. Также рассматриваются расширенные методы устранения неполадок, такие как дезинфицирование вредоносных программ, анализ аварийного дампа (синий экран) и получение прошлых проблем с загрузкой. Вы также узнаете дополнительные советы по использованию ключевых инструментов из www.sysinternals.com (например, Filemon, Regmon и Process Explorer) для устранения неполадок системы и приложений, таких как медленные компьютеры, обнаружение вирусов, конфликты DLL, проблемы с разрешениями и проблемы с реестром. Эти средства используются ежедневно службой поддержки продуктов Майкрософт и эффективно используются для решения различных проблем с настольными компьютерами и серверами, поэтому знакомство с их работой и приложением поможет вам справиться с различными проблемами в Windows. Реальные примеры будут даны, демонстрирующие успешное применение этих средств для решения реальных проблем. И потому что курс был разработан с полным доступом к исходному коду ядра Windows И разработчикам, вы знаете, что вы получаете реальную историю.

Если это звучит интригующим, то приходите к нашей последней общественной работе (принесите свой ноутбук) Внутренние системы Windows и расширенный класс устранения неполадок в Сан-Франциско, 19-23 сентября (наше расписание 2006 года еще не завершено, но, скорее всего, будет включать Остин весной, Лондон в июне, и Сан-Франциско снова в сентябре 2006 года). И если у вас есть 20 или более людей, вы можете найти его более привлекательным для запуска частного класса на сайте в вашем расположении (электронная почта seminars@... дополнительные сведения).

Дополнительные сведения и сведения о регистрации см. в разделе http://www.sysinternals.com/Troubleshooting.html

Благодарим вас за чтение бюллетеня Sysinternals.

Опубликовано в среду, 24 августа 2005 г. 4:34 вечера по оттох

[Архив бюллетеней ^] [ Том 7, Специальное объявление] [<Том 8, Число 1 >]