2005 年 8 月 24 日 - この問題:

  1. 概要
  2. ゲスト編集
  3. SYSINTERNALS の新機能
  4. SYSINTERNALS フォーラム
  5. MARK のブログ
  6. MARK の記事
  7. MARK の話し方のスケジュール
  8. 今後の SYSINTERNALS/WINDOWS OS INTERNALS トレーニング

ウインターナルス ソフトウェアは、ソフトウェア開発のための高度なシステム ツールの主要な開発者Windows。

2 つの新しい製品のリリースをお知らせします。 管理者の Pak 5.0 を使用すると、自動クラッシュ アナライザー、AD エクスプローラー、AD の内部などの新しいツールを使用して、不安定な、起動できない、またはロックアウトされたシステムを修復し、AD トランザクションをリアルタイムで監視できます。 また、Recovery Manager 2.0 も新し、ミッション クリティカルなサーバー、デスクトップ、ノートブックに対してカスタマイズ可能で強力で超迅速なロールバックを提供し、企業全体で 1 つのシステムまたは数千のシステムを同時にリモートで復元できます。

製品の詳細、マルチメディア デモ、ウェビナー、またはいずれかの製品の試用版 CD を要求する場合は、以下を参照してください。 http://www.winternals.com

概要

皆さん、こんにちは。

Sysinternals ニュースレターへようこそ。 このニュースレターには現在、55,000 人のサブスクライバーがいます。

Sysinternals Web サイトへのアクセスは引き続き行います。 7 月には、90 万人を超える一意の訪問者がいました。 その月の最も頻繁にアクセスされるツールは、275,000 ダウンロードのプロセス エクスプローラーでした。 ツールを頻繁に更新する場合は、最新バージョンを使用してください。 変更に対応する最善の方法は、 で RSS フィードをサブスクライブする方法です (まだ RSS を使用して Web サイトに対応していない場合は、開始 http://www.sysinternals.com/sysinternals.xml する必要があります)。

この問題では、Wes Miller (Product Manager) が、管理者以外のユーザーとして実行した経験を共有しています。私たちは皆、それを行う必要があると言っていますが、実際に練習するコンピューターの専門家は少なからずいます (私も含まれています)。 近い間に開始される可能性があります。.

--Mark Russinovich

ゲスト編集

Wes Miller による非管理者としての生活

これを読んでいるコンピューターでは、ローカル管理者である可能性があります。 残念ながら、Windows XP (NT および 2000 も) を実行しているユーザーの大半は、ローカル管理者として実行されます。これは、ユーザーが管理者でなくてもエンタープライズ作業のすべてのアプリケーションとシナリオを確実に行うのに多大な作業が必要なのでです。私たちは簡単に取り出し、世界の管理者にしています。 これは良くありません。

そのため、最近、通常のユーザーとして実行することを決定しました (Power User は、特権攻撃のエスカレーションを許可し、Administrators グループのメンバーになる特権を持つ、使用できる安全なアカウントではありません)。

私の最初の考えは、XP Fast User Switching 機能Windowsすばらしい機能を使用することでした。管理者以外のアカウントと管理者アカウントにログインし、セッション間で切り替えるだけでした。 ただし、残念ながら、ドメインに参加すると、その機能は使用できません (ビジネス ユーザーには悪すぎます)。

2 つ目の考え方は RunAs を使用する場合でしたが、ユーザー名とパスワードの入力は常に求められます (または代替資格情報を使用するように定義されたショートカット)。 また、管理者権限が必要なアプリを実行するたび、管理者資格情報を手動で入力したくなかったので、これは許容できません。

そのため、私は Sysinternals ツールを何年も使用してきたので、管理者ではない場合は PsExec を動作させるマーク Russin vlanh に頼みました。PsExec で問題が発生しなかった理由は、小さなサービスをインストールして作業を実行するためです。サービスをインストールするには管理者の資格情報が必要です。もちろん、管理者以外のアカウントでは機能しません。

別の資格情報を指定し、ローカル システム上でプロセスを実行している場合に、PsExec によって代替資格情報を使用して子プロセスとしてプロセスが作成されます (また、子プロセスを作成するサービスは作成されなくなりました)。

これにより、PsExec を使用してお気に入りの管理者アプリを実行してプロセスを起動するショートカットを設定できます。

Ah ですが、PsExec (および RunAs) では および ファイルを実行できません。少なくとも、コマンド ラインから直接実行 *.cpl*.msc することはできません。 おそらく、何かシームレスなものが必要だったためと考えられます。exe、開く特定のファイル、パラメーターを受け取る小さな WSH スクリプトを作成し、run.vbs という名前を付けしました。 ここで、開run.vbs (MMC コンソールやコントロール パネル のアプレットも含む) を使用してアプリを実行します。これは非常にシームレスです。 WSH スクリプトで実行するコマンド ラインを次に示します。

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

私が克服できない最も重要な catch-22 の 1 つは、特定のユーザーとしてインストールする必要があるソフトウェアのインストールです。 最適 (最悪? ) この例は、新しく導入された Google Desktop です。 (もちろん) インストールする管理者である必要があります。実際には、RunAs または PsExec を使用しようとしてインストールをブロックするロジックが含まれています。"アクティブなユーザーとは異なる資格情報で Google Desktop をインストールすることはできません" というメッセージが返されます。テスト マトリックスを減らすのに役立つという事実を除いて、理由があまり得てはいない。 ログオフせずに回避するために、管理者としてコマンド プロンプトを起動し、自分自身を Administrators グループに追加し、PsExec を使用してコマンド プロンプトを自分として実行し (エクスプローラーがグループ メンバーシップについて混乱していたので)、もう一度実行しました。 問題ありません。 完了したら、もう一度自分を削除しました。

いいえ、簡単ではありません。ただし、アカウントは最小限の時間だけ Administrators グループのメンバーであり、ログオフする必要はありませんでした。

システムをセキュリティで保護する手法として DropMyRights にリンクしたり、言及したりしていないので注意してください。そうではないと思います。 管理者以外として実行すると、システムがセキュリティで保護されます。 管理者以外として危険なアプリを選択的に実行すると、リスクが多少軽減される可能性がありますが、推奨すべきプラクティスではないと思います。

合計すると、管理者アカウントから毎日使用するユーザー アカウントに切り替えるのは、Windows システムの使用によって公開される攻撃面を減らすために実行できる 1 つのことです。 体験を試して記録してみてください。

SYSINTERNALS の新機能

4 月の最後のニュースレター以降、多くのツールが更新されました。 最も機能強化された 2 つの機能は、プロセス エクスプローラーと自動実行です。 ツール別の変更の詳細な一覧を次に示します。

プロセス エクスプローラー V9.25

  • 32 ビットおよび 64 ビット (x64) バイナリの統合
  • では、Windows Vista がサポートされます
  • 64 ビット のユーザーとカーネル モードのスタック情報が表示される
  • 64 ビット システム上の 32 ビット (Wow64) プロセス用に読み込まれた 32 ビット DLL を一覧表示します
  • メモリ内イメージ文字列のスキャンとパックされた画像の強調表示
  • プロセス ウィンドウの操作 (最小化、最大化など)
  • 署名されたイメージに関する情報の新しい列オプション
  • トレイ アイコンにリアルタイム CPU グラフを表示するオプション
  • プロセス ビューへの CPU グラフと I/O デルタ列
  • プロセス セキュリティ記述子の表示と編集 (プロセス プロパティの[セキュリティ] タブを参照してください)

PsTools v2.2

  • PsShutdown には、通知ダイアログが表示またはダイアログを完全に省略する期間を指定する -v スイッチが含まれています
  • PsLoglist の csv 出力に対する時刻の書式設定の修正
  • PsInfo に IE 修正プログラムを含む完全な修正プログラム情報が表示される
  • PsExec は、ローカル システムでコマンドを実行するときに Runas と同様に動作し、管理者以外のアカウントから実行し、パスワード エントリのスクリプトを作成できます

Filemon v7.01

  • Filemon または Filemon を実行するために必要な特権がアカウントに既に実行されていない場合のより明確なエラー メッセージ
  • 32 ビットおよび 64 ビット (x64) バージョンを 1 つのバイナリに統合します

自動実行 v8.13

  • メイン ウィンドウの異なるタブに分離されたさまざまな自動開始の種類
  • 構成された自動開始のクイック ビューを提供する新しい "すべて" ビュー
  • 既知のDLL、イメージ ファイルハイジャック、ブート実行イメージ、その他のエクスプローラーやInternet Explorerの場所など、新しい自動開始の場所
  • 画像に関する詳細を表示します
  • では、64 ビット Windows XP と 64 ビット Windows Server 2003 がサポートされます
  • プロセス エクスプローラーと統合して、自動開始プロセスの実行の詳細を表示する

DebugView v4.41

  • x64 バージョンの 64 ビット Windows でカーネル モードデバッグ出力をキャプチャし、クロック時間モードと経過時間モードの切り替えをサポートする

v3.1 を処理する

  • 単一の実行可能ファイルでは、32 ビット Windows と x64 Windows XP と Windows Server 2003 の両方がサポートされます

RootkitRevealer v1.55

  • より高度なルートキット検出メカニズム。ルートキット コミュニティによる次のエスカレーションのステージを設定する

Ctrl2cap 64 ビット更新

  • Ctrl2cap が 64 ビット の XP および Windows Server 2003 Windowsで動作する

TCPView v2.4

  • Sysinternals Whois ユーティリティのドメイン名参照機能が TCPView で使用できる

SYSINTERNALS フォーラム

14 の対話型 Sysinternals フォーラム ( にアクセスしてください。http://www.sysinternals.com/Forum). 1500を超えるメンバーがある場合、945の異なるトピックでは2574が日付に投稿されています。

MARK のブログ

最後のニュースレター以降にブログが開始されました。最後のニュースレター以降の投稿は次のとおりです。

  • 気プロセス
  • サービスを使用せずに Windows を実行する
  • システムが定期的にハングする場合
  • ポップアップブロック ポップアップブロックとは何ですか。
  • 監査レコードの爆発的な増加
  • Regmon トレースでのバッファーオーバーフロー
  • バッファーオーバーフロー
  • 64ビット Windows で毎日実行する
  • グループポリシー設定の回避
  • 不可解なロックされたファイルのケース
  • .NET World フォローアップ
  • 今後 .NET の世界で怖い

記事を読むには、「」を参照してください。 http://www.sysinternals.com/blog

マークの記事

Windows の2つの最新記事をマークし、Pro マガジンは次のようになりました。

  • "明らかルートキット" (2005 年6月)
  • パワーツール列: Bginfo を最大限に活用する

これらは、でサブスクライバーに対してオンラインで利用できます。 http://www.windowsitpro.com/

マークの読み上げスケジュール

州オーランドとアムステルダムにおいて、Microsoft TechEd で高い評価を行った後は、より静かな夏を楽しんでいます。 私の TechEd 州オーランドブレイクアウトセッションは、「マルウェア、スパイウェア、およびルートキット」として、TechEd での上位10の評価されたセッションの1つであり、1000 TechEd の参加者と web キャストが 300 web ビューアーにライブで表示されています。 必要に応じて、 http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture = en-us で web キャストを見ることができます。

今後の月に開催されるイベントは次のとおりです。

  • Windows 接続 (November 2、2005、サンフランシスコ、CA)-http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional 開発者カンファレンス (事前カンファレンスチュートリアル、2005年9月11日、ロサンゼルス)-http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT フォーラム (11 月14-18、2005、バルセロナ、スペイン)- http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

最新の更新については、「」を参照してください。 http://www.sysinternals.com/Information/SpeakingSchedule.html

2005の最後のパブリック内部内部/トラブルシューティングクラス: サンフランシスコ (9 月) 19-23

IT プロフェッショナルが Windows サーバーとワークステーションをデプロイしてサポートしている場合は、問題が発生したときに表面の下を掘り下げることができる必要があります。 Windows オペレーティングシステムの内部を理解し、高度なトラブルシューティングツールを使用する方法を知っておくと、このような問題に対処し、システムパフォーマンスの問題をより効果的に把握するのに役立ちます。 内部構造を理解することは、プログラマが Windows プラットフォームをより適切に活用し、高度なデバッグ手法を提供するのに役立ちます。

このクラスでは、プロセスの内部構造、スレッドスケジューリング、メモリ管理、i/o、サービス、セキュリティ、レジストリ、ブートプロセスなど、Windows NT/2000/XP/2003 のカーネルアーキテクチャについて深く理解しています。 また、マルウェアの感染、クラッシュダンプ (ブルースクリーン) 分析、過去の起動の問題など、高度なトラブルシューティング手法についても説明します。 また、 www.sysinternals.com の主要なツール (Filemon、Regmon、プロセスエクスプローラーなど) を使用して 、コンピューターの低速、ウイルス検出、DLL の競合、アクセス許可の問題、レジストリの問題など、システムとアプリケーションのさまざまな問題のトラブルシューティングを行うための高度なヒントについても説明します。 これらのツールは、Microsoft 製品サポートによって毎日使用され、さまざまなデスクトップおよびサーバーの問題を解決するために効果的に使用されているため、Windows でのさまざまな問題に対処するのに役立ちます。 実際の問題を解決するために、これらのツールが正常に適用されたことを示す実際の例を示します。 また、コースは Windows カーネルのソースコードと開発者に完全にアクセスして開発されているので、実際の話をしていることがわかります。

このサウンドをおもしろい Windows した場合は & 、19-23 年9月 (2006 スケジュールはまだ終了していませんが、年 2006 9 月にロンドン、ロンドンはロンドン、ロンドンは5月で、サンフランシスコは年9月) になります。 20人以上のユーザーがいる場合は、自分の場所でプライベートのオンサイトクラスを実行する方が魅力的です (電子メール seminars@...詳細)。

詳細については、「」を参照してください。 http://www.sysinternals.com/Troubleshooting.html


Sysinternals ニュースレターをお読みいただき、ありがとうございます。

2014年8月24日公開水曜日、2005 4:34 PM、ottoh

[ニュースレターアーカイブ ^][ volume 7、特別発表][ボリューム8、番号 1 ]

[ニュースレターアーカイブ ^][ volume 7、特別発表][ボリューム8、番号 1 ]

システムの内部ニュースレターボリューム7、番号2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich