• [アーティクル]

[ニュースレターアーカイブ ^][<Vol. 7、特別発表][Vol. 8、No. 1>]

Systems Internals ニュースレター Vol. 7、No. 2

http://www.sysinternals.com
Copyright (c) 2005 Mark Russinovich

2005 年 8 月 24 日 - 本号の内容:

  1. 概要
  2. ゲスト論説
  3. SYSINTERNALS の新機能
  4. SYSINTERNALS フォーラム
  5. Mark のブログ
  6. Mark の記事
  7. MARK のスピーキング・スケジュール
  8. 今後の SYSINTERNALS/WINDOWS OS INTERNALS トレーニング

Winternals Software は、Windows 用の高度なシステム ツールの主要な開発者およびプロバイダーです。

Winternals は、2 つの新製品のリリースをお知らせします。 管理者の Pak 5.0 は、自動クラッシュ アナライザー、AD エクスプローラー、Inside for AD などの新しいツールを使用して、不安定、起動不能、またはロックアウトされたシステムをこれまで以上に簡単に修復し、AD トランザクションをリアルタイムで監視できるようにします。 また、Recovery Manager 2.0 も新たにリリースされ、ミッション クリティカルなサーバー、デスクトップ、ノートブックに対するカスタマイズ可能で強力かつ超高速なロールバックを提供し、企業全体で単一のシステムまたは数千のシステムを同時にリモート復元します。

製品の完全な詳細、マルチメディア デモ、ウェビナーについて、またはいずれかの製品の試用版 CD のご請求については、http://www.winternals.com をご覧ください。

概要

皆さん、こんにちは。

Sysinternals ニュースレターへようこそ。 現在、ニュースレターの購読者数は 55,000 人です。

Sysinternals の Web サイトへのアクセス数は増加し続けています。 7月の訪問者数 (繰り返しを除く) は 900,000 人を超えました。 月間で最もアクセスが多かったツールは Process Explorer で、ダウンロード数は 275,000 でした。 ツールは頻繁に更新されるため、最新バージョンを使用していることを確認してください。 変更の最新情報を得るため最善の方法は、http://www.sysinternals.com/sysinternals.xml で RSS フィードを購読することです (Web サイトの最新情報を得るために RSS をまだ使用していない場合は、購読を開始する必要があります)。

本号では、Winternals Software のプロダクト マネージャーである Wes Miller が、非管理者ユーザーとして実行した経験を共有しています。皆、実行すべきだと考えているにも関わらず、(私も含め) 実際に彼らが伝えることを実際に実践しているコンピューター担当者はほとんどいません。 私はそろそろ始める予定です。

--Mark Russinovich

ゲスト論説

Wes Miller による非管理者としての日常

おそらく、あなたはこれを読んでいるコンピューターのローカル管理者ではないでしょうか。 残念ながら、Windows XP (NT および 2000 も同様) を実行しているユーザーの大半は、ローカル管理者として実行しています。これは、ユーザーが管理者でなくても企業内のすべてのアプリケーションとシナリオを確実に動作させるためには、多大な作業が必要になるためです。私たちは簡単な方法を取って、その世界の管理者にします。 これは良くありません。

そこで、最近、私は通常のユーザーとして実行することにしました (多くの人がご存知のように、Power User は、特権昇格攻撃を許可して Administrators グループのメンバーになる可能性のある特権を持っているため、安全なアカウントではありません)。

最初に考えたのは、Windows XP の素晴らしいユーザーの簡易切り替え機能を使用することでした。非管理者アカウントと管理者アカウントにログインして、セッション間で相互に切り替えるだけで済みます。 しかし、残念ながら、ドメインに参加している場合にはその機能は利用できません (ビジネスユーザーにとっては非常に残念です)。

2 番目に考えたのは RunAs を使用することですが、この場合 (または、別の資格情報を使用するように定義されたショートカット) は常にユーザー名とパスワードの入力を求められます。 管理者権限が必要なアプリを実行するたびに管理者の資格情報を手動で入力したくなかったので、これも許容できませんでした。

そこで、私は長年 Sysinternals ツールを使用してきたので、管理者でない場合でも PsExec を動作させるように Mark Russinovich に依頼しました。PsExec がそのままでは動作しなかったのは、小さなサービスをインストールすることで動作するからです。サービスをインストールするには管理者の資格情報が必要です。もちろん、管理者以外のアカウントからは動作しません。

Mark は快く PsExec を改良してくれました。それにより、別の資格情報を指定し、かつローカル システム上でプロセスを実行している場合、PsExec は別の資格情報を持つ子プロセスとしてプロセスを作成するようになりました (子プロセスを作成するためのサービスは作成されなくなりました)。

これにより、PsExec を使用してプロセスを起動し、お気に入りの管理アプリを実行するためのショートカットを設定できるようになりました。

ですが、PsExec (および RunAs) は *.cpl および *.msc ファイルを実行できません。少なくともコマンドラインから直接実行することはできません。 めんどくさがりなためか、シームレスなものが欲しかったため、任意の exe、開く特定のファイル、および任意のパラメータを受け取る小さな WSH スクリプトを作成し、run.vbs という名前を付けました。 今は、開きたいもの (MMC コンソールやコントロール パネル アプレットでも) を指定して run.vbs を実行するだけで、ほぼシームレスです。 WSH スクリプトで実行するコマンド ラインを次に示します。

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

克服できなかった最も大きなジレンマの 1 つは、特定のユーザーとしてインストールする必要があるソフトウェアをインストールすることです。 これまでに見た中で最も良い (最悪の?) 例は、新しく導入された Google デスクトップです。 (もちろん) インストールするには管理者である必要があり、実際に RunAs または PsExec を使用しようとするとインストールをブロックするロジックが組み込まれていて、"アクティブ ユーザーとは異なる資格情報での Google デスクトップのインストールは現在サポートされていません" というメッセージが返されます。テスト マトリックスを減らすのに役立つという事実を除けば、その理由はよくわかりません。 ログオフせずにこの問題を回避するため、管理者としてコマンド プロンプトを起動し、自分自身を Administrators グループに追加し、PsExec を使用して自分自身としてコマンド プロンプトを実行し (エクスプローラーが自分のグループ メンバーシップについて混乱していたため)、再度実行しました。 これで正常に動作しました。 それが完了したら、再び自分自身を削除しました。

ものすごく簡単というわけではありませんが、私のアカウントが Administrators グループのメンバーであったのは最小限の時間だけで、ログオフする必要はありませんでした。

システムをセキュリティで保護するための技術として DropMyRights にリンクしたり言及したりしていないことに注意してください。そのようなものではあるとは考えていません。 非管理者として実行すると、システムが保護されます。 非管理者として危険なアプリを選択的に実行することは、リスクを多少は軽減するかもしれませんが、推奨されるべきプラクティスだとは思いません。

すべてをまとめると、管理者アカウントから日常的に使用するユーザー アカウントに切り替えることは、Windows システムを使用することでさらされる攻撃対象領域を減らすためにできることの 1 つです。 ぜひ試してみて、その経験を記録することをお勧めします。

SYSINTERNALS の新機能

前回の 4 月のニュースレター以降、多くのツールが更新されました。 最も大きな機能強化が行われたのは、Process Explorer と Autoruns の 2 つでした。 ツールごとの変更点の詳細なリストは次のとおりです。

Process Explorer V9.25

  • 32 ビットおよび 64 ビット (x64) 統合バイナリ
  • Windows Vista のサポート
  • 64 ビットのユーザーおよびカーネル モードのスタック情報が表示されるようになりました
  • 64 ビット システム上で読み込まれた 32 ビット プロセス用の 32 ビット DLL (Wow64) の一覧表示
  • メモリ内のイメージ文字列のスキャンとパックされたイメージの強調表示
  • プロセス ウィンドウの操作 (最小化、最大化など)
  • 署名付きイメージに関する情報の新しい列オプション
  • トレイ アイコンにリアルタイム CPU グラフを表示するためのオプション
  • プロセス ビューの CPU グラフと I/O デルタ列
  • プロセス セキュリティ記述子の表示と編集 (プロセス プロパティの [セキュリティ] タブを参照)

PsTools v2.2

  • PsShutdown に、通知ダイアログの表示期間を指定したり、ダイアログを完全に省略したりするための -v スイッチを追加
  • PsLoglist の csv 出力の時刻の書式設定が修正されました
  • PsInfo に IE の修正プログラムを含む完全な修正プログラム情報が表示されるようになりました
  • PsExec は、ローカル システムでコマンドを実行するときに Runas と同様に機能し、管理者以外のアカウントから実行し、パスワード入力をスクリプト化できるようになりました

Filemon v7.01

  • アカウントに Filemon の実行に必要な特権がない場合、または Filemon が既に実行されている場合のエラー メッセージがよりわかりやすくなりました
  • 32 ビットおよび 64 ビット (x64) バージョンを 1 つのバイナリに統合

Autoruns v8.13

  • 異なる自動開始の種類がメイン ウィンドウの異なるタブに分離されるようになりました
  • 構成済みのすべての自動開始でクイック ビューを提供する [Everything] ビューが追加されました
  • KnownDLLs、イメージ ファイルのハイジャック、ブート実行イメージ、その他のエクスプローラーやインターネット エクスプローラー アドオンの場所など、自動起動の場所が追加されました
  • イメージに関する詳細情報の表示
  • 64 ビット Windows XP および 64 ビット Windows Server 2003 のサポート
  • Process Explorer と統合して、実行中の自動開始プロセスの詳細を表示

DebugView v4.41

  • x64 バージョンの 64 ビット Windows でカーネル モードのデバッグ出力をキャプチャをするようになり、クロック時間および経過時間モードの切り替えがサポートされるようになりました

Handle v3.1

  • 単一の実行可能ファイルでの 32 ビット Windows と x64 Windows XP および Windows Server 2003 の両方のサポート

RootkitRevealer v1.55

  • より洗練されたルートキット検出メカニズム。ルートキット コミュニティによる次のエスカレーション ラウンドのステージを設定します

Ctrl2cap 64 ビットの更新プログラム

  • Ctrl2cap が 64 ビット Windows XP および Windows Server 2003 で動作するようになりました

TCPView v2.4

  • Sysinternals Whois ユーティリティのドメイン名参照機能が TCPView で使用できるようになりました

SYSINTERNALS フォーラム

14 の対話型の Sysinternals フォーラム (http://www.sysinternals.com/Forum). のいずれかにアクセスしてください メンバーは 1,500 名を超え、これまでに 945 の異なるトピックに 2,574 件の投稿がありました。

MARK のブログ

私のブログは前回のニュースレターから始まりました。前回のニュースレター以降の投稿は次のとおりです。

  • 強制終了できないプロセス
  • サービスなしで Windows を実行する
  • 定期的にシステムがハングするケース
  • ポップアップ ブロッカー? ポップアップ ブロッカーとは
  • 監査レコードの爆発的増加
  • Regmon トレースでのバッファー オーバーフロー
  • バッファー オーバーフロー
  • 64 ビット Windows での日次実行
  • グループ ポリシー設定の回避
  • 謎のロックされたファイルのケース
  • .NET ワールドのフォローアップ
  • 今後の .NET World - 私は怖い

記事を読むには、http://www.sysinternals.com/blog にアクセスしてください

MARK の記事

Mark の Windows と IT Pro Magazine の最新の 2 つの記事は次のとおりです。

  • "ルートキットの解明" (2005 年 6 月)
  • Power Tools コラム: Bginfo を最大限に活用する

これらは、http://www.windowsitpro.com/ でサブスクライバーに対してオンラインで公開されています

MARK のスピーキング・スケジュール

オーランドとアムステルダムで開催された Microsoft TechEd での講演が高く評価された後、私は静かな夏を楽しんでいます。 TechEd Orlando のブレイクアウト セッションである "マルウェアの理解と対策: ウイルス、スパイウェア、ルートキット" は、TechEd でトップ 10 に入る評価を受けたセッションの 1 つであり、1,000 人を超える TechEd 参加者がライブで視聴し、300 人を超える Web 視聴者にライブで Web キャストされました。 Web キャストは、http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US からオンデマンドで視聴できます

今後数か月以内に私が講演する予定のイベントは次のとおりです。

  • Windows Connections (2005 年 11 月 2 日、サンフランシスコ、CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (プレカンファレンス チュートリアル 2005 年 9 月 11 日、ロサンゼルス) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT Forum (2005 年 11 月 14 日から 18 日、バルセロナ、スペイン) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

最新の情報を確認するには、http://www.sysinternals.com/Information/SpeakingSchedule.html をご覧ください

2005 年最後のパブリック内部構造/トラブルシューティング クラス: サンフランシスコ 9 月 19 日から 23 日

Windows サーバーやワークステーションをデプロイし、サポートする IT プロフェッショナルなら、物事がうまくいかないときに表面から見えないところを掘り下げる能力が必要です。 Windows オペレーティング システムの内部を理解し、高度なトラブルシューティング ツールの使用方法を理解することで、このような問題に対処し、システム パフォーマンスの問題をより効果的に理解するのに役立ちます。 内部構造を理解することは、プログラマーが Windows プラットフォームをより良く活用するのに役立つだけでなく、高度なデバッグ テクニックを提供することにもなります。

このクラスでは、プロセスの内部、スレッド スケジューリング、メモリ管理、I/O、サービス、セキュリティ、レジストリ、ブート プロセスなど、Windows NT/2000/XP/2003 のカーネル アーキテクチャについて詳しく理解します。 また、マルウェアの無毒化、クラッシュ ダンプ (ブルー スクリーン) 分析、ブートの過去の問題の取得などの高度なトラブルシューティング手法についても説明します。 また、www.sysinternals.com の主要なツール (Filemon、Regmon、およびプロセス エクスプローラーなど) を使用して、低速コンピューター、ウイルス検出、DLL の競合、アクセス許可の問題、レジストリの問題など、さまざまなシステムとアプリケーションの問題のトラブルシューティングに関する高度なヒントについても説明します。 これらのツールは、Microsoft 製品サポートによって日常的に使用され、さまざまなデスクトップとサーバーの問題を解決するために効果的に使用されているため、操作とアプリケーションに慣れていると、Windows のさまざまな問題に対処するのに役立ちます。 実際の問題を解決するために、これらのツールの成功したアプリケーションを示す実際の例が提供されます。 また、このコースは Windows カーネルのソース コードと開発者にフル アクセスして開発されたので、実際のストーリーを理解していることがわかります。

もしこれに興味がある場合は、9 月 19 日 から 23 日にサンフランシスコで開催される、最後の公開ハンズオン (ノート PC 持参) Windows 内部と高度なトラブルシューティング クラスに参加してください (2006 年のスケジュールはまだ確定していませんが、春にオースティン、6 月にロンドン、2006 年 9 月に再びサンフランシスコが含まれる可能性が高い)。 20 人以上の参加者がいる場合は、自分の場所でプライベート オンサイト クラスを開催する方がよいと思われるかもしれません (詳細については、メールアドレス seminars@... まで)。

詳細と登録については、http://www.sysinternals.com/Troubleshooting.html をご覧ください

Sysinternals ニュースレターをお読みいただき、ありがとうございました。

公開日: 2005 年 8 月 24 日 (水) 午後 4:34 by ottoh

[ニュースレターアーカイブ ^][<Vol. 7、特別発表][Vol. 8、No. 1>]