24 de agosto de 2005 - Nesta edição:
- INTRODUÇÃO
- EDITORIAL CONVIDADO
- O QUE HÁ DE NOVO NA SYSINTERNALS
- FÓRUM SYSINTERNALS
- BLOG DE MARK
- ARTIGOS DE MARK
- O HORÁRIO DO MARK
- PRÓXIMA FORMAÇÃO INTERNA SYSINTERNALS/WINDOWS OS
Winternals Software é o principal desenvolvedor e fornecedor de ferramentas avançadas de sistemas para Windows.
A Winternals tem o prazer de anunciar o lançamento de dois novos produtos. O Pak 5.0 do administrador facilita mais do que nunca a reparação de um sistema instável, insaciável ou bloqueado com novas ferramentas, como o analisador automático de acidentes, o explorador de AD e o Inside for AD, fornecendo monitorização em tempo real de transações de AD. Também é novidade Gestor de Recuperação 2.0, fornecendo um rollback personalizável, poderoso e ultrarrápido para servidores críticos de missão, desktops e computadores para restaurar remotamente um único sistema ou milhares de sistemas em simultâneo em toda a empresa.
Para detalhes completos do produto, demonstrações multimédia, webinars ou para solicitar um CD experimental de qualquer produto, visite http://www.winternals.com
INTRODUÇÃO
Olá a todos,
Bem-vindos ao boletim dos Sysinternals. O boletim tem atualmente 55.000 subscritores.
As visitas ao site Sysinternals continuam a subir! Em julho, tivemos mais de 900.000 visitantes únicos. A ferramenta mais acessada para o mês foi o Process Explorer com 275.000 downloads! Uma vez que actualo as ferramentas com frequência, certifique-se de que está a usar a versão mais recente. A melhor maneira de acompanhar as alterações é subscrever o meu feed RSS http://www.sysinternals.com/sysinternals.xml (e se ainda não estiver a usar RSS para acompanhar os sites, tem de começar!).
Nesta edição, Wes Miller, Product Manager da Winternals Software, partilha a sua experiência em correr como administrador. Todos dizemos que devemos fazê-lo, mas poucos profissionais de informática praticam o que pregam (eu incluído). Talvez comece logo...
--Mark Russinovich
EDITORIAL CONVIDADO
Vida como não administrador por Wes Miller
As probabilidades são que, no computador em que está a ler isto, seja um administrador local. E, infelizmente, a maioria dos utilizadores que executam Windows XP (NT e 2000 também) funcionam como administradores locais porque é preciso um trabalho significativo para garantir que todas as aplicações e cenários numa empresa trabalhem sem que os utilizadores sejam administradores - por isso... tomamos o caminho mais fácil e fazemos os administradores mundiais. Isto não é bom.
Por isso, decidi recentemente correr como um utilizador normal (o Power User, como muitos sabem, não é uma conta segura para usar, pois tem privilégios que podem permitir uma escalada de ataque de privilégio e tornar-se membro do grupo de Administradores).
O meu primeiro pensamento foi utilizar a maravilhosa funcionalidade de comutação rápida de Windows XP; Podia entrar na minha conta de administração e administração e mudar para trás e para a frente entre as sessões. Mas infelizmente essa funcionalidade não está disponível quando se junta a um domínio (é pena para os utilizadores empresariais).
O meu segundo pensamento foi usar o RunAs, mas ele (ou um atalho definido para usar credenciais alternativas) sempre pede um nome de utilizador e senha. Isso também não foi aceitável, pois não queria inserir manualmente as minhas credenciais administrativas sempre que executava uma aplicação que precisava de direitos de administração.
Então, desde que uso as ferramentas Sysinternals há anos, pedi ao Mark Russinovich para fazer o PsExec funcionar se não fosse administrador. A razão pela qual o PsExec não funcionou fora da caixa é que instala um pequeno serviço que depois faz o trabalho; instalar o serviço requer credenciais de administração, o que, claro, não funcionaria a partir da minha conta não administrada.
Mark graciosamente melhorou o PsExec para que agora se especificar credenciais alternativas E estiver a executar um processo no sistema local, o PsExec cria o processo como um processo infantil com as credenciais alternativas (e já não cria o serviço para criar o processo infantil).
Isto permitiu-me configurar atalhos para executar as minhas aplicações de administração favoritas usando o PsExec para lançar o processo.
Ah, mas o PsExec (e o RunAs) não podem executar *.cpl e *.msc ficheiros - pelo menos não diretamente da linha de comando. Talvez por preguiça, talvez porque eu quisesse algo perfeito - criei um pequeno guião WSH que leva qualquer exe, arquivo específico para abrir, e quaisquer parâmetros, e nomeei-o run.vbs. Agora eu só corro run.vbs com o que eu quiser abrir (até consolas MMC ou applets de painel de controlo) e é praticamente sem emenda. Aqui está a linha de comando que corro no guião da WSH:
psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters
Um dos catch-22 mais significativos que não consegui ultrapassar é a instalação de software que deve ser instalado como um utilizador específico. O melhor (pior?) exemplo disto que vi é o google desktop recém-introduzido. Tem de ser um administrador para instalar (é claro) e na verdade tem lógica para bloquear a instalação se tentar utilizar o RunAs ou o PsExec - devolvendo a mensagem: "Instalar o Google Desktop com credenciais diferentes das do utilizador ativo não é atualmente suportado." Não percebo bem porquê, para além do facto de ajudar a reduzir a matriz de teste. Para contornar sem sair, lancei um pedido de comando como Administrador, adicionei-me ao grupo de administradores, usei o PsExec para executar um pedido de comando como eu próprio, (uma vez que o Explorer estava confuso sobre a minha filiação no grupo), e corri novamente. Funcionou bem. Quando acabou, deixei-me de novo de fora.
Não, não é fácil, mas significava que a minha conta era apenas um membro do grupo de administradores por um período mínimo de tempo - e eu nunca tive que sair.
Note que não tenho ligação ou mencionei DropMyRights como uma técnica para proteger um sistema - não acredito que seja. Funcionar como administrador não-administrador protege o seu sistema. Executar seletivamente aplicações perigosas como não administrador não - pode reduzir um pouco o risco - mas não creio que seja uma prática que deve ser encorajada.
Resumindo, mudar de uma conta de administrador para uma conta de utilizador para o seu uso diário é uma coisa que pode fazer para reduzir a superfície de ataque que o seu uso do seu sistema de Windows expõe. Encorajo-vos a tentar gravar as vossas experiências.
O QUE HÁ DE NOVO NA SYSINTERNALS
Muitas ferramentas foram atualizadas desde o último boletim em abril. Os dois com maiores melhorias foram Process Explorer e Autoruns. Aqui está uma lista detalhada de alterações por ferramenta:
Explorador de ProcessoS V9.25
- unificado 32-bit e 64-bit (x64) binário
- apoia Windows Vista
- agora exibe informações de pilha de utilizador e modo kernel de 64 bits
- lista DLLs carregados de 32 bits para processos de 32 bits (Wow64) em sistemas de 64 bits
- digitalização de cadeia de imagem na memória e destaque de imagem embalado
- manipulação da janela do processo (minimizar, maximizar, etc)
- nova opção de coluna para informação sobre imagens assinadas
- opção de exibir um gráfico CPU em tempo real no ícone da bandeja
- Gráfico CPU e colunas delta I/S para a vista do processo
- ver e editar descritores de segurança do processo (ver separador de segurança das propriedades do processo)
PsTools v2.2
- O PsShutdown inclui um interruptor -v para especificar a duração dos visualizadores de diálogo de notificação ou omitir completamente o diálogo
- A PsLoglist tem uma correção de formatação de tempo para a sua saída csv
- O PsInfo agora mostra informações completas sobre hotfixs, incluindo hotfixes IE
- O PsExec agora funciona como o Runas quando executam comandos no sistema local, permitindo-lhe executá-lo a partir de uma conta não administrador e de escrever a entrada da palavra-passe
Filemon v7.01
- mensagens de erro mais claras para quando uma conta não tem privilégios necessários para executar Filemon ou Filemon já está em execução
- consolida as versões de 32 bits e 64 bits (x64) num único binário
Autoruns v8.13
- diferentes tipos de arranque automático agora separados em diferentes separadores da janela principal
- nova visão "Tudo" que lhe dá uma visão rápida em todos os autostarts configurados
- novas localizações de arranque automático, incluindo KnownDLLS, sequestros de ficheiros de imagem, imagens de execução de botas e mais localizações adicionais do Explorer e do Internet Explorer
- mostra mais informações sobre imagens
- suporta Windows XP de 64 bits e 64-bit Windows Server 2003
- integra com o Process Explorer para mostrar detalhes de processos de arranque automático
DebugView v4.41
- agora captura a saída de depuração do modo kernel nas versões x64 de Windows de 64 bits e suporta o toggling entre o tempo do relógio e os modos de tempo decorridos
Cabo v3.1
- suportes executáveis únicos suportam Windows de 32 bits e x64 Windows XP e Windows Server 2003
RootkitRevealer v1.55
- mecanismos de deteção de rootkit mais sofisticados, definindo o palco para a próxima ronda de escalada pela comunidade rootkit
Atualização ctrl2cap de 64 bits
- Ctrl2cap agora funciona em 64-bit Windows XP e Windows Server 2003
TCPView v2.4
- a funcionalidade de procuração de nome de domínio do utilitário Sysinternals Whois está agora disponível em TCPView
FÓRUM SYSINTERNALS
Venha visitar um dos 14 fóruns interativos da Sysinternals (http://www.sysinternals.com/Forum). Com mais de 1500 membros, houve 2574 postos até à data em 945 tópicos diferentes.
BLOG DE MARK
O meu blog começou desde a última newsletter - aqui estão os posts desde a última newsletter:
- Processos imputilizáveis
- Executando Windows sem serviços
- O caso do sistema periódico está pendurado
- Popup Blocker? Que Bloqueador Popup?
- Uma explosão de registos de auditoria
- Transbordo de tampão em vestígios de Regmon
- Transbordo de tampão
- Correr todos os dias em Windows de 64 bits
- Contornar a política do grupo Definições
- O caso do misterioso ficheiro bloqueado
- .NET World Follow Up
- The Coming .NET World - Estou com medo
Para ler os artigos, visite http://www.sysinternals.com/blog
ARTIGOS DE MARK
Os dois artigos mais recentes de Mark na revista Windows e Pro de TI foram:
- "Unearthing Rootkits" (junho de 2005)
- Coluna Power Tools: tirar o máximo partido de Bginfo
Estes estão disponíveis online para assinantes em http://www.windowsitpro.com/
O HORÁRIO DO MARK
Depois de conversas altamente cotadas no Microsoft TechEd em Orlando e Amesterdão, estou a desfrutar de um verão mais calmo. A minha sessão de breakout TechEd Orlando, "Understanding and Fighting Malware: Viruses, Spyware and Rootkits", foi uma das 10 melhores sessões classificadas no TechEd, vista ao vivo por mais de 1000 participantes do TechEd e webcast ao vivo para mais de 300 espectadores web. Você pode assistir o webcast a pedido na http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en-US
Os eventos em que falarei nos próximos meses incluem:
- Windows Connections (2 de novembro de 2005, São Francisco, CA) -http://www.devconnections.com/shows/winfall2005/default.asp?s=61
- Microsoft 2005 Professional Developers Conference (pré-conferência tutorial 11 de setembro de 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
- Microsoft IT Forum (14-18 de novembro de 2005, Barcelona, Espanha) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx
Para obter as últimas atualizações, consulte http://www.sysinternals.com/Information/SpeakingSchedule.html
ÚLTIMA AULA DE INTERNALES/RESOLUÇÃO DE PROBLEMAS PÚBLICAS PARA 2005: SÃO FRANCISCO DE 19 A 23 DE SETEMBRO
Se é um profissional de TI que implementa e suporta Windows servidores e estações de trabalho, precisa de ser capaz de cavar debaixo da superfície quando as coisas correm mal. Ter em compreensão dos internos do sistema operativo Windows e saber como utilizar ferramentas avançadas de resolução de problemas irá ajudá-lo a lidar com estes problemas e a compreender mais eficazmente os problemas de desempenho do sistema. Compreender os internos pode ajudar os programadores a aproveitarem melhor a plataforma Windows, bem como fornecer técnicas avançadas de depuração.
Nesta aula, você ganhará uma compreensão aprofundada da arquitetura kernel de Windows NT/2000/XP/2003, incluindo os internos dos processos, agendamento de fios, gestão da memória, I/O, serviços, segurança, o registo e o processo de arranque. Também estão abrangidas técnicas avançadas de resolução de problemas, tais como desinfeção de malware, análise de despejo de falhas (ecrã azul) e problemas de arranque passados. Também aprenderá dicas avançadas sobre a utilização das ferramentas-chave de www.sysinternals.com (como Filemon, Regmon, Process Explorer) para resolver uma série de problemas de sistema e aplicações, tais como computadores lentos, deteção de vírus, conflitos de DLL, problemas de permissão e problemas de registo. Estas ferramentas são utilizadas diariamente pelo Microsoft Product Support e têm sido utilizadas de forma eficaz para resolver uma grande variedade de problemas de ambiente de trabalho e servidor, pelo que estar familiarizado com o seu funcionamento e aplicação irá ajudá-lo a lidar com diferentes problemas em Windows. Serão dados exemplos do mundo real que mostram uma aplicação bem sucedida destas ferramentas para resolver problemas reais. E como o curso foi desenvolvido com acesso total ao código fonte de Windows e desenvolvedores, sabe que está a receber a história real.
Se isto soa intrigante, então venha ao nosso último lado público (traga o seu próprio portátil) Windows internas & avançaram com a classe de resolução de problemas em São Francisco, de 19 a 23 de setembro (a nossa agenda de 2006 ainda não está finalizada, mas provavelmente incluirá Austin na primavera, Londres em junho e São Francisco novamente em setembro de 2006). E se tiver 20 ou mais pessoas, poderá achar mais atraente executar uma aula privada no local no seu local (e-mail seminars@... para mais detalhes).
Para mais detalhes e para se registar, visite http://www.sysinternals.com/Troubleshooting.html
Obrigado por ler o Boletim Sysinternals.
Publicado quarta-feira, 24 de agosto de 2005 16:34 por ottoh
[Newsletters Archive ^][ Volume 7, Anúncio Especial][Volume 8, Número 1 ]
[Newsletters Archive ^][ Volume 7, Anúncio Especial][Volume 8, Número 1 ]
A Newsletter Sistemas Internas Volume 7, Número 2
http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich