Delen via

  • Artikel

[Nieuwsbrievenarchief ^] [< Volume 7, Speciale aankondiging] [Volume 8, Nummer 1 >]

The Systems Internals Newsletter Volume 7, Number 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 augustus 2005 - In dit probleem:

  1. INLEIDING
  2. GASTREDACTIE
  3. WAT IS ER NIEUW IN SYSINTERNALS
  4. SYSINTERNALS FORUM
  5. BLOG VAN MARK
  6. ARTIKELEN VAN MARK
  7. SPREEKSCHEMA VAN MARK
  8. AANSTAANDE TRAINING VOOR SYSINTERNALS/WINDOWS OS INTERNALS

Winternals Software is de toonaangevende ontwikkelaar en provider van geavanceerde systeemhulpprogramma's voor Windows.

Winternals kondigt de release van twee nieuwe producten aan. Pak 5.0 van de beheerder maakt het eenvoudiger dan ooit om een onstabiel, niet-opstartbaar of vergrendeld systeem te herstellen met nieuwe hulpprogramma's zoals de automatische crash analyzer, AD Explorer en Inside for AD, waardoor realtime bewaking van AD-transacties mogelijk wordt. Ook nieuw is Recovery Manager 2.0, die aanpasbare, krachtige, ultrasnel terugdraaien voor bedrijfskritieke servers, desktops en notebooks biedt om op afstand één systeem of duizenden systemen tegelijkertijd in de hele onderneming te herstellen.

Voor volledige productdetails, multimediademo's, webinars of om een proef-CD van een van beide producten aan te vragen, gaat u naar http://www.winternals.com

INLEIDING

Hallo allemaal,

Welkom bij de Sysinternals nieuwsbrief. De nieuwsbrief heeft momenteel 55.000 abonnees.

Bezoeken aan de website sysinternals blijven klimmen! In juli hadden we meer dan 900.000 unieke bezoekers. Het meest gebruikte hulpprogramma voor de maand was Process Explorer met 275.000 downloads! Omdat ik de hulpprogramma's regelmatig bijwerk, moet u ervoor zorgen dat u de nieuwste versie gebruikt. De beste manier om wijzigingen bij te houden, is door u te abonneren op mijn RSS-feed op http://www.sysinternals.com/sysinternals.xml (en als u nog geen RSS gebruikt om websites bij te houden, moet u beginnen!).

In dit probleem deelt Wes Miller, Product Manager bij Winternals Software, zijn ervaring in uitvoering als niet-beheerder. We zeggen allemaal dat we het moeten doen, maar weinig computerprofessionals oefenen eigenlijk wat ze prediken (zelf inbegrepen). Misschien begin ik binnenkort...

--Mark Russinovich

GASTREDACTIE

Leven als een niet-beheerder door Wes Miller

U bent een lokale beheerder op de computer waarop u dit leest. En helaas worden de meeste gebruikers met Windows XP (NT en 2000 ook) uitgevoerd als lokale beheerders omdat het veel werk kost om ervoor te zorgen dat alle toepassingen en scenario's in een onderneming werken zonder dat gebruikers beheerders zijn, dus... we nemen de gemakkelijke weg en maken de wereldbeheerders. Dit is niet goed.

Daarom heb ik onlangs besloten om te worden uitgevoerd als een normale gebruiker (Power User, zoals velen weten, is geen veilig account om te gebruiken omdat het bevoegdheden heeft die een escalatie van bevoegdheden kunnen toestaan en lid kunnen worden van de groep Administrators).

Mijn eerste gedachte was om de prachtige Windows XP Fast User Switch-functionaliteit te gebruiken; Ik kan me aanmelden bij mijn niet-beheerders- en beheerdersaccount en gewoon heen en weer schakelen tussen sessies. Maar helaas is die functie niet beschikbaar wanneer u deelneemt aan een domein (te slecht voor zakelijke gebruikers).

Mijn tweede gedachte was om RunAs te gebruiken, maar het (of een snelkoppeling die is gedefinieerd om alternatieve referenties te gebruiken) vraagt altijd om een gebruikersnaam en wachtwoord. Dat was ook niet acceptabel, omdat ik mijn beheerdersreferenties niet handmatig wilde invoeren telkens wanneer ik een app heb uitgevoerd waarvoor beheerdersrechten nodig waren.

Sinds ik de Sysinternals-tools al jaren heb gebruikt, vroeg ik Mark Russinovich om PsExec te laten werken als ik geen beheerder ben. De reden dat PsExec niet uit de doos werkt, is dat het een kleine service installeert die vervolgens het werk uitvoert; voor het installeren van de service zijn beheerdersreferenties vereist, die natuurlijk niet werken vanuit mijn niet-beheerdersaccount.

Markeer genadig verbeterde PsExec, zodat als u nu alternatieve referenties opgeeft EN een proces uitvoert op het lokale systeem, PsExec het proces maakt als een onderliggend proces met de alternatieve referenties (en maakt de service niet meer om het onderliggende proces te maken).

Hierdoor kon ik snelkoppelingen instellen om mijn favoriete beheer-apps uit te voeren met PsExec om het proces te starten.

Ah, maar PsExec (en RunAs) kunnen niet worden uitgevoerd *.cpl en *.msc bestanden, in ieder geval niet rechtstreeks vanaf de opdrachtregel. Misschien uit luieheid, misschien omdat ik iets naadlooss wilde - ik heb een klein WSH-script gemaakt dat een exe, specifiek bestand om te openen, en eventuele parameters, en de naam run.vbs. Nu voer ik run.vbs uit met wat ik wil openen (zelfs MMC-consoles of applets van het configuratiescherm) en het is vrijwel naadloos. Dit is de opdrachtregel die ik uitvoer in het WSH-script:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Een van de belangrijkste catch-22's die ik niet heb kunnen overwinnen, is het installeren van software die moet worden geïnstalleerd als een specifieke gebruiker. Het beste (slechtste?) voorbeeld hiervan dat ik heb gezien, is het nieuw geïntroduceerde Google Desktop. U moet een beheerder zijn om te installeren (natuurlijk) en het bevat logica om de installatie te blokkeren als u RunAs of PsExec probeert te gebruiken. Het bericht 'Google Desktop installeren onder andere referenties dan de actieve gebruiker wordt momenteel niet ondersteund'. Ik krijg niet helemaal waarom, afgezien van het feit dat het helpt om hun testmatrix te verminderen. Ik heb een opdrachtprompt gestart als Administrator, mezelf toegevoegd aan de groep Administrators, PsExec gebruikt om een opdrachtprompt als mezelf uit te voeren (omdat Explorer niet in de war was met mijn groepslidmaatschap) en het opnieuw uitgevoerd. Prima gewerkt. Toen het klaar was, liet ik mezelf weer uit.

Nee, niet dood eenvoudig, maar het betekende dat mijn account slechts een lid was van de groep Administrators voor een minimale hoeveelheid tijd - en ik hoefde me nooit af te melden.

Houd er rekening mee dat ik dropMyRights niet heb gekoppeld of genoemd als een techniek om een systeem te beveiligen - ik geloof niet dat het is. Als niet-beheerder wordt uitgevoerd, wordt uw systeem beveiligd. Selectief uitvoeren van gevaarlijke apps zoals niet-beheerder niet - het kan enigszins risico verminderen - maar ik geloof niet dat het een praktijk is die moet worden aangemoedigd.

U kunt het totaal optellen door over te schakelen van een beheerdersaccount naar een gebruikersaccount voor dagelijks gebruik. U kunt dit doen om de kwetsbaarheid voor aanvallen te verminderen die door uw Windows-systeem wordt gebruikt. Ik moedig je aan om het eens te proberen en je ervaringen vast te leggen.

WAT IS ER NIEUW IN SYSINTERNALS

Sinds de laatste nieuwsbrief in april zijn er veel hulpprogramma's bijgewerkt. De twee met de grootste verbeteringen waren Process Explorer en Autoruns. Hier volgt een gedetailleerde lijst met wijzigingen per hulpprogramma:

Process Explorer V9.25

  • Unified 32-bits en 64-bits (x64) binaire
  • ondersteunt Windows Vista
  • geeft nu informatie over de 64-bits gebruikers- en kernelmodusstack weer
  • een lijst van 32-bits geladen DLL's voor 32-bits processen (Wow64) op 64-bits systemen
  • in-memory afbeelding tekenreeks scannen en verpakte afbeelding markeren
  • procesvenstermanipulatie (minimaliseren, maximaliseren, enzovoort)
  • optie nieuwe kolom voor informatie over ondertekende afbeeldingen
  • optie voor het weergeven van een realtime CPU-grafiek in het ladepictogram
  • CPU-grafiek en I/O-deltakolommen naar de procesweergave
  • beveiligingsdescriptors voor procesbeveiliging weergeven en bewerken (zie tabblad Beveiliging van proceseigenschappen)

PsTools v2.2

  • PsShutdown bevat een -v-schakeloptie voor het opgeven van de duur die het meldingsdialoogvenster weergeeft of het dialoogvenster helemaal weglaat
  • PsLoglist heeft een oplossing voor tijdnotatie voor de CSV-uitvoer
  • PsInfo toont nu volledige hotfix-informatie, inclusief IE-hotfixes
  • PsExec werkt nu als Runas wanneer u opdrachten uitvoert op het lokale systeem, zodat u deze kunt uitvoeren vanuit een niet-beheerdersaccount en de wachtwoordvermelding scriptt

Filemon v7.01

  • duidelijkere foutberichten voor wanneer een account geen bevoegdheden heeft om Filemon uit te voeren of Filemon al wordt uitgevoerd
  • consolideert de 32-bits en 64-bits (x64) versies in één binair bestand

Autoruns v8.13

  • verschillende typen autostarts worden nu gescheiden op verschillende tabbladen van het hoofdvenster
  • nieuwe weergave 'Alles' die u een snelle weergave geeft voor alle geconfigureerde autostarts
  • nieuwe autostartlocaties, waaronder KnownDLLs, hijacks van installatiekopieën, opstartinstallatiekopieën, en meer Explorer- en Internet Explorer-invoegtoepassingslocaties
  • toont meer informatie over afbeeldingen
  • ondersteunt 64-bits Windows XP en 64-bits Windows Server 2003
  • kan worden geïntegreerd met Process Explorer om details weer te geven van het uitvoeren van autostartprocessen

DebugView v4.41

  • legt nu foutopsporingsuitvoer voor kernelmodus vast in x64-versies van 64-bits Windows en ondersteunt schakelen tussen kloktijd en verstreken tijdmodi

Handle v3.1

  • één uitvoerbaar bestand ondersteunt zowel 32-bits Windows als x64 Windows XP en Windows Server 2003

RootkitRevealer v1.55

  • geavanceerdere detectiemechanismen voor rootkits, waarbij de fase wordt ingesteld voor de volgende escalatieronde door de rootkit-community

Ctrl2cap 64-bits update

  • Ctrl2cap werkt nu op 64-bits Windows XP en Windows Server 2003

TCPView v2.4

  • de zoekfunctionaliteit van de domeinnaam van het hulpprogramma Sysinternals Whois is nu beschikbaar in TCPView

SYSINTERNALS FORUM

Bezoek een van de 14 interactieve Sysinternals-forums (http://www.sysinternals.com/Forum). Met meer dan 1500 leden zijn er 2574 berichten geweest in 945 verschillende onderwerpen.

BLOG VAN MARK

Mijn blog is gestart sinds de laatste nieuwsbrief- dit zijn de berichten sinds de laatste nieuwsbrief:

  • Niet-aanpasbare processen
  • Windows zonder services uitvoeren
  • Het geval van het periodieke systeem loopt vast
  • Pop-upblokkering? Welke pop-upblokkering?
  • Een explosie van auditrecords
  • Bufferoverloop in Regmon-traceringen
  • Bufferoverloop
  • Dagelijks uitvoeren op 64-bits Windows
  • Groepsbeleidsinstellingen omzeilen
  • De zaak van het mysterieuze vergrendelde bestand
  • Opvolgen van .NET World
  • De komende .NET-wereld - Ik ben bang

Als u de artikelen wilt lezen, gaat u naar http://www.sysinternals.com/blog

ARTIKELEN VAN MARK

Mark's twee meest recente artikelen in Windows en IT Pro Magazine waren:

  • "Unearthing Rootkits" (juni 2005)
  • Power Tools-kolom: optimaal profiteren van Bginfo

Deze zijn online beschikbaar voor abonnees op http://www.windowsitpro.com/

SPREEKSCHEMA VAN MARK

Na zeer gewaardeerde gesprekken bij Microsoft TechEd in Orlando en Amsterdam, geniet ik van een rustigere zomer. My TechEd Orlando breakout session, "Understanding and Fighting Malware: Viruses, Spyware and Rootkits", was een van de top 10-beoordeelde sessies op TechEd, bekeken live door meer dan 1000 TechEd-deelnemers en webcast live naar meer dan 300 webviewers. U kunt de webcast op aanvraag bekijken op http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

Evenementen waar ik in de komende maanden op spreek, zijn onder andere:

  • Windows Connections (2 november 2005, San Francisco, CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (preconference tutorial 11 september 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT Forum (14-18 november 2005, Barcelona, Spanje) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Zie Voor de nieuwste updates http://www.sysinternals.com/Information/SpeakingSchedule.html

LAATSTE OPENBARE INTERNE FUNCTIES/PROBLEEMOPLOSSINGSKLASSE VOOR 2005: SAN FRANCISCO 19-23 SEPTEMBER

Als u een IT-professional bent die Windows-servers en -werkstations implementeert en ondersteunt, moet u onder het oppervlak kunnen graven wanneer er iets misgaat. Als u inzicht hebt in de interne functies van het Windows-besturingssysteem en weet hoe u geavanceerde hulpprogramma's voor probleemoplossing kunt gebruiken, kunt u dergelijke problemen oplossen en beter inzicht krijgen in systeemprestaties. Inzicht in de interne functies kan programmeurs helpen om beter te profiteren van het Windows-platform, en geavanceerde technieken voor foutopsporing te bieden.

In deze klasse krijgt u een uitgebreid inzicht in de kernelarchitectuur van Windows NT/2000/XP/2003, waaronder de interne functies van processen, threadplanning, geheugenbeheer, I/O, services, beveiliging, het register en het opstartproces. Ook behandeld zijn geavanceerde probleemoplossingstechnieken zoals malware-desinfectie, crashdumpanalyse (blauw scherm) en eerdere opstartproblemen. U leert ook geavanceerde tips voor het gebruik van de belangrijkste hulpprogramma's van www.sysinternals.com (zoals Filemon, Regmon, & Process Explorer) om een reeks systeem- en toepassingsproblemen op te lossen, zoals trage computers, virusdetectie, DLL-conflicten, machtigingsproblemen en registerproblemen. Deze hulpprogramma's worden dagelijks gebruikt door Microsoft-productondersteuning en zijn effectief gebruikt om een groot aantal bureaublad- en serverproblemen op te lossen, dus als u bekend bent met hun werking en toepassing, helpt u bij het oplossen van verschillende problemen in Windows. Praktijkvoorbeelden worden gegeven die een succesvolle toepassing van deze hulpprogramma's tonen om echte problemen op te lossen. En omdat de cursus is ontwikkeld met volledige toegang tot de Broncode en ontwikkelaars van de Windows-kernel, weet u dat u het echte verhaal krijgt.

Als dit intrigerend klinkt, komt u naar onze laatste openbare hands-on (bring your own laptop) Windows internals & geavanceerde probleemoplossingsklasse in San Francisco, 19-23 (ons 2006-schema is nog niet voltooid, maar zal waarschijnlijk Austin in het voorjaar, Londen in juni en San Francisco opnieuw in september 2006 omvatten). En als u 20 of meer personen hebt, is het misschien aantrekkelijker om een privéklasse op locatie uit te voeren (e-mail seminars@... voor meer informatie).

Ga naar

Bedankt voor het lezen van de Sysinternals Nieuwsbrief.

Gepubliceerd woensdag 24 augustus 2005 16:34 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 7, Speciale aankondiging] [Volume 8, Nummer 1 >]