24 de agosto de 2005: en este problema:

  1. INTRODUCCIÓN
  2. EDITORIAL INVITADO
  3. NOVEDADES DE SYSINTERNALS
  4. FORO DE SYSINTERNALS
  5. BLOG DE MARK
  6. ARTÍCULOS DE MARK
  7. PROGRAMACIÓN DE HABLA DE MARK
  8. PRÓXIMO ENTRENAMIENTO DE SYSINTERNALS/WINDOWS OS INTERNALS

Winternals Software es el desarrollador y proveedor líder de herramientas de sistemas avanzados para Windows.

Los invernales están encantados de anunciar el lanzamiento de dos nuevos productos. La versión 5.0 del administrador facilita que sea más fácil que nunca reparar un sistema inestable, no arrancable o bloqueado con nuevas herramientas, como el analizador automático de bloqueos, el explorador de AD y Inside for AD, lo que proporciona supervisión en tiempo real de las transacciones de AD. También es nuevo Recovery Manager 2.0, que proporciona una reversión personalizable, eficaz y ultra rápida para servidores críticos, escritorios y cuadernos para restaurar de forma remota un único sistema o miles de sistemas simultáneamente en toda la empresa.

Para obtener detalles completos del producto, demostraciones multimedia, seminarios web o para solicitar un CD de prueba de cualquiera de los productos, visite http://www.winternals.com

INTRODUCCIÓN

Hola a todos:

Le damos la bienvenida al boletín sysinternals. El boletín tiene actualmente 55 000 suscriptores.

Las visitas al sitio web de Sysinternals siguen a la baja. En julio, teníamos más de 900 000 visitantes únicos. La herramienta a la que se accede con más frecuencia durante el mes fue el Explorador de procesos con 275 000 descargas. Puesto que actualizo las herramientas con frecuencia, asegúrese de que usa la versión más reciente. La mejor manera de mantenerse al día con los cambios es suscribirse a mi fuente RSS en (y si aún no usa RSS para mantenerse al día con los sitios web, debe http://www.sysinternals.com/sysinternals.xml empezar).

En este problema, Wes Miller, jefe de productos de Winternals Software, comparte su experiencia en la ejecución como no administrador. Todos se dice que debemos hacerlo, pero pocos profesionales de equipos realmente practicarán lo que se pregona (incluido yo mismo). Quizás empiece pronto...

--Mark Russinvl

EDITORIAL INVITADO

Vida como no administrador de Wes Miller

Lo más probable es que, en el equipo en el que está leyendo, es un administrador local. Y, lamentablemente, la mayoría de los usuarios que ejecutan Windows XP (NT y 2000 también) se ejecutan como administradores locales porque se requiere un trabajo significativo para garantizar que todas las aplicaciones y escenarios de una empresa funcionan sin que los usuarios sean administradores, por lo que... tomamos la salida fácil y hacemos que los administradores del mundo. Esto no es bueno.

Por lo tanto, recientemente he decidido ejecutarme como un usuario normal (Power User, como muchos saben, no es una cuenta segura de usar, ya que tiene privilegios que pueden permitir una escalada de ataques de privilegios y convertirse en miembro del grupo Administradores).

Mi primera idea era usar la Windows xp Fast User Switching. Podría iniciar sesión en mi cuenta que no es de administrador y simplemente cambiar de una sesión a otra. Pero desafortunadamente, esa característica no está disponible cuando se une a un dominio (demasiado mala para los usuarios empresariales).

Mi segunda idea era usar RunAs, pero (o un acceso directo definido para usar credenciales alternativas) siempre solicita un nombre de usuario y una contraseña. Esto tampoco era aceptable, ya que no quería escribir manualmente mis credenciales administrativas cada vez que ejecuté una aplicación que necesitaba derechos de administrador.

Por lo tanto, como he usado las herramientas de Sysinternals durante años, he pedido a Mark Russinvl que haga que PsExec funcione si no soy administrador. La razón por la que PsExec no funcionaba de forma lista es que instala un pequeño servicio que, a continuación, realiza el trabajo; La instalación del servicio requiere credenciales de administrador, que por supuesto no funcionaría desde mi cuenta que no es de administrador.

Marque PsExec mejorado de forma que ahora, si especifica credenciales alternativas y ejecuta un proceso en el sistema local, PsExec crea el proceso como un proceso secundario con las credenciales alternativas (y ya no crea el servicio para crear el proceso secundario).

Esto me permitió configurar accesos directos para ejecutar mis aplicaciones de administración favoritas mediante PsExec para iniciar el proceso.

Pero PsExec (y RunAs) no pueden ejecutar archivos y , al menos no *.cpl directamente desde la línea de *.msc comandos. Quizás por desasociación, quizás porque quería algo sin problemas: he creado un pequeño script WSH que toma cualquier archivo exe, archivo específico para abrir y cualquier parámetro, y lo run.vbs. Ahora solo se ejecuta run.vbs con lo que quiero abrir (incluso las consolas MMC o los applets del panel de control) y es prácticamente sin problemas. Esta es la línea de comandos que se ejecuta en el script WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Uno de los aspectos más importantes que no he podido superar es la instalación de software que debe instalarse como un usuario específico. Lo mejor (¿peor?) Ejemplo de esto que he visto es la recién presentada Google Desktop. Tiene que ser administrador para instalar (por supuesto) y, en realidad, tiene lógica para bloquear la instalación si intenta usar RunAs o PsExec; devuelve el mensaje "Installing Google Desktop under different credentials than the active user is currently not supported" (No se admite actualmente la instalación de Google Desktop con credenciales diferentes a las del usuario activo). No sé muy bien por qué, aparte del hecho de que ayuda a reducir su matriz de pruebas. Para evitarlo sin cerrar sesión, he iniciado un símbolo del sistema como administrador, me he agregado al grupo Administradores, he usado PsExec para ejecutar un símbolo del sistema como yo mismo (puesto que el Explorador se ha confuso sobre la pertenencia a un grupo) y lo ejecuté de nuevo. Ha funcionado bien. Cuando se ha terminado, me he vuelto a descartar.

No, no es fácil, pero significaba que mi cuenta solo era miembro del grupo Administradores durante un período mínimo de tiempo y nunca he tenido que cerrar sesión.

Tenga en cuenta que no he vinculado ni mencionado DropMyRights como una técnica para proteger un sistema; no creo que lo sea. La ejecución como no administrador protege el sistema. La ejecución selectiva de aplicaciones peligrosas como no administrador no lo hace, ya que puede reducir un poco el riesgo, pero no creo que sea una práctica que se deba fomentar.

Para resumirlo todo, cambiar de una cuenta de administrador a una cuenta de usuario para su uso diario es algo que puede hacer para reducir la superficie de ataque que expone el uso del sistema Windows usuario. Le animo a probarlo y registrar sus experiencias.

NOVEDADES DE SYSINTERNALS

Muchas herramientas se actualizaron desde el último boletín de abril. Las dos con las mejoras más importantes fueron Explorador de procesos y Autoruns. Esta es una lista detallada de los cambios por herramienta:

Explorador de procesos V9.25

  • binario unificado de 32 y 64 bits (x64)
  • admite Windows Vista
  • ahora muestra información de pila de usuario y modo kernel de 64 bits
  • enumera archivos DLL cargados de 32 bits para procesos de 32 bits (Wow64) en sistemas de 64 bits
  • análisis de cadenas de imagen en memoria y resaltado de imágenes empaquetadas
  • manipulación de ventanas de proceso (minimizar, maximizar, etc.)
  • nueva opción de columna para obtener información sobre imágenes firmadas
  • opción para mostrar un gráfico de CPU en tiempo real en el icono de bandeja
  • Gráfico de CPU y columnas delta de E/S para la vista de proceso
  • ver y editar descriptores de seguridad de procesos (consulte ficha Seguridad propiedades del proceso)

PsTools v2.2

  • PsShutdown incluye un modificador -v para especificar la duración que muestra el cuadro de diálogo de notificación u omitir el diálogo por completo.
  • PsLoglist tiene una corrección de formato de tiempo para su salida csv
  • PsInfo ahora muestra información completa de revisiones, incluidas las revisiones de IE.
  • PsExec ahora funciona como Runas al ejecutar comandos en el sistema local, lo que le permite ejecutarlo desde una cuenta que no es de administrador y generar un script de la entrada de contraseña.

Filemon v7.01

  • mensajes de error más claros para cuando una cuenta no tiene privilegios necesarios para ejecutar Filemon o Filemon ya se está ejecutando
  • consolida las versiones de 32 y 64 bits (x64) en un único archivo binario.

Seruns automáticamente v8.13

  • los distintos tipos de inicio automático ahora se separan en pestañas diferentes de la ventana principal.
  • nueva vista "Todo" que proporciona una vista rápida de todos los inicios automáticos configurados
  • nuevas ubicaciones de inicio automático, como knownDLLs, secuestros de archivos de imagen, imágenes de ejecución de arranque y más ubicaciones de explorador y Internet Explorer de complementos
  • muestra más información sobre las imágenes
  • admite 64 bits Windows XP y 64 bits Windows Server 2003
  • se integra con el Explorador de procesos para mostrar los detalles de la ejecución de procesos de inicio automático

DebugView v4.41

  • ahora captura la salida de depuración en modo kernel en versiones x64 de Windows de 64 bits y admite alternar entre el tiempo de reloj y los modos de tiempo transcurrido.

Control de la versión 3.1

  • El archivo ejecutable único es compatible con Windows de 32 bits y x64 Windows XP y Windows Server 2003

RootkitRevealer v1.55

  • mecanismos de detección de rootkit más sofisticados, estableciendo la fase de la siguiente ronda de escalación por parte de la comunidad de rootkit

Actualización de 64 bits de Ctrl2cap

  • Ctrl2cap ahora funciona en versiones de 64 bits Windows XP y Windows Server 2003

TCPView v2.4

  • La funcionalidad de búsqueda de nombres de dominio de la utilidad Sysinternals Whois ya está disponible en TCPView

FORO DE SYSINTERNALS

Visite uno de los 14 foros interactivos de Sysinternals (http://www.sysinternals.com/Forum). Con más de 1500 miembros, ha habido 2574 publicaciones hasta la fecha en 945 temas diferentes.

BLOG DE MARK

Mi blog se inició desde el último boletín: estas son las publicaciones desde el último boletín:

  • Procesos no calificados
  • Ejecución Windows sin servicios
  • El caso del sistema periódico se achaca
  • ¿Bloqueador de elementos emergentes? ¿Qué bloqueador de elementos emergentes?
  • Una explosión de registros de auditoría
  • Desbordamientos de búfer en seguimientos de Regmon
  • Desbordamientos de búfer
  • Ejecutar Todos los días en aplicaciones de 64 bits Windows
  • Evitar directiva de grupo Configuración
  • El caso del archivo bloqueado inhósplo
  • Seguimiento de .NET World
  • El próximo mundo de .NET: estoy desamoralizado

Para leer los artículos, visite http://www.sysinternals.com/blog

ARTÍCULOS DE MARK

Los dos artículos más recientes de Mark en Windows it Pro Magazine fueron:

  • "Unearthing Rootkits" (junio de 2005)
  • Columna de Power Tools: sacar el máximo partido de Bginfo

Están disponibles en línea para los suscriptores en http://www.windowsitpro.com/

PROGRAMACIÓN DE HABLA DE MARK

Después de charlas muy clasificadas en Microsoft TechEd en Orlando y Ámsterdam, me voy a disfrutar de un verano más silencioso. My TechEd Orlando breakout session, "Understanding and Fighting Malware: Viruses, Spyware and Rootkits", was one of the top 10-rated sessions at TechEd, viewed live by over 1000 TechEd attendees and webcast live to over 300 web viewers. Puede ver el webcast a petición en http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

Entre los eventos con los que hablaré en los próximos meses se incluyen:

  • Windows Connections (2 de noviembre de 2005, San Francisco, CA):http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (tutorial de preconferencia el 11 de septiembre de 2005, Los Ángeles):http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Foro de MICROSOFT IT (14-18 de noviembre de 2005, España): http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Para obtener las actualizaciones más recientes, consulte http://www.sysinternals.com/Information/SpeakingSchedule.html

ÚLTIMA CLASE PÚBLICA INTERNA/SOLUCIÓN DE PROBLEMAS PARA 2005: SAN FRANCISCO DEL 19 AL 23 DE SEPTIEMBRE

Si es un profesional de TI que implementa y admite Windows servidores y estaciones de trabajo, debe ser capaz de profundizar debajo de la superficie cuando las cosas vayan mal. Tener conocimiento de los aspectos internos del sistema operativo Windows y saber cómo usar herramientas avanzadas de solución de problemas le ayudará a solucionar estos problemas y comprender los problemas de rendimiento del sistema de forma más eficaz. Comprender lo interno puede ayudar a los programadores a aprovechar mejor la plataforma Windows, así como proporcionar técnicas de depuración avanzadas.

En esta clase, obtendrá una descripción detallada de la arquitectura del kernel de Windows NT/2000/XP/2003, incluidos los internos de los procesos, la programación de subprocesos, la administración de memoria, la E/S, los servicios, la seguridad, el registro y el proceso de arranque. También se tratan técnicas avanzadas de solución de problemas, como la detección de malware, el análisis de volcado de memoria (pantalla azul) y la obtención de problemas de arranque anteriores. También aprenderá sugerencias avanzadas sobre el uso de las herramientas clave de www.sysinternals.com (como Filemon, Regmon, Explorador de procesos) para solucionar una variedad de problemas del sistema y de la aplicación, como equipos lentos, detección de virus, conflictos de DLL, problemas de permisos y problemas del Registro. Estas herramientas se usan diariamente por el soporte técnico de Microsoft y se han usado de forma eficaz para resolver una amplia variedad de problemas de escritorio y servidor, por lo que estar familiarizado con su funcionamiento y aplicación le ayudará a solucionar diferentes problemas en Windows. Se proporcionan ejemplos reales que muestran una aplicación correcta de estas herramientas para resolver problemas reales. Y dado que el curso se desarrolló con acceso completo al código fuente de Windows kernel y a los desarrolladores, sabe que está obteniendo la historia real.

Si esto suena interesante, llega a nuestra última clase de solución de problemas avanzada interna de Windows en San Francisco del 19 al 23 de septiembre (nuestra programación de 2006 aún no se ha finalizado, pero es probable que incluya También en la primavera, Londres en junio y San Francisco de nuevo en septiembre de & 2006). Y si tiene 20 o más personas, puede resultar más atractivo ejecutar una clase privada en el sitio en su ubicación (correo electrónico seminars@... para obtener más información).

Para obtener más detalles y registrarse, visite http://www.sysinternals.com/Troubleshooting.html


Gracias por leer el boletín sysinternals.

Publicado el miércoles, 24 de agosto de 2005 a las 4:34 p. m. por

[Archivo de boletín ^][ Volumen 7, anuncio especial][Volumen 8, número 1 ]

[Archivo de boletín ^][ Volumen 7, anuncio especial][Volumen 8, número 1 ]

The Systems Internals Newsletter Volume 7, Number 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinvl