• Artikel

[Nyhetsbrev arkiv ^][< Volym 7, specialmeddelande][Volym 8, nummer 1 >]

System Internals Newsletter Volym 7, Nummer 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 augusti 2005 – I det här problemet:

  1. INTRODUKTION
  2. GÄSTREDAKTION
  3. NYHETER PÅ SYSINTERNALS
  4. SYSINTERNALS-FORUM
  5. MARK'S BLOG
  6. MARK'S ARTICLES
  7. MARK'S SPEAKING-SCHEMA
  8. KOMMANDE UTBILDNING FÖR SYSINTERNALS/WINDOWS OS INTERNALS

Winternals Software är den ledande utvecklaren och leverantören av avancerade systemverktyg för Windows.

Winternals är glada att kunna presentera lanseringen av två nya produkter. Administratörens Pak 5.0 gör det enklare än någonsin att reparera ett instabilt, ostartbart eller låst system med nya verktyg som automatisk kraschanalys, AD Explorer och Inside for AD, vilket ger realtidsövervakning av AD-transaktioner. Också nytt är Recovery Manager 2.0, vilket ger anpassningsbar, kraftfull, ultra-snabb återställning för verksamhetskritiska servrar, stationära datorer och notebook-filer för att fjärråterställning av ett enda system eller tusentals system samtidigt i hela företaget.

Fullständig produktinformation, multimediademonstrationer, webbseminarier eller för att begära en utvärderings-CD av någon av produkterna finns i http://www.winternals.com

INTRODUKTION

Hej!

Välkommen till Sysinternals nyhetsbrev. Nyhetsbrevet har för närvarande 55 000 prenumeranter.

Besök på Sysinternals webbplats fortsätter att klättra! I juli hade vi över 900 000 unika besökare. Det mest använda verktyget för månaden var Process Explorer med 275 000 nedladdningar! Eftersom jag uppdaterar verktygen ofta kontrollerar du att du använder den senaste versionen. Det bästa sättet att hänga med i ändringarna är att prenumerera på mitt RSS-flöde på http://www.sysinternals.com/sysinternals.xml (och om du ännu inte använder RSS för att hålla jämna tid med webbplatser måste du börja!).

I det här problemet delar Wes Miller, produktchef på Winternals Software, med sig av sin erfarenhet av att köra som icke-administratör. Vi säger alla att vi borde göra det, men få datorproffs övar faktiskt vad de predikar (inklusive mig själv). Jag kanske börjar snart...

--Markera Russinovich

GÄSTREDAKTION

Livet som icke-administratör av Wes Miller

Oddsen är att på den dator som du läser detta på är du en lokal administratör. Och tyvärr körs de flesta användare som kör Windows XP (NT och 2000 också) som lokala administratörer eftersom det krävs betydande arbete för att säkerställa att alla program och scenarier i ett företag fungerar utan att användarna är administratörer - så... vi tar den enkla vägen ut och gör världens administratörer. Det här är inte bra.

Så jag bestämde mig nyligen för att köra som en normal användare (Power User, som många vet, är inte ett säkert konto att använda eftersom det har privilegier som kan tillåta en eskalering av privilegier attack och bli medlem i gruppen Administratörer).

Min första tanke var att använda den underbara Windows XP Fast User Switching funktioner; Jag kan logga in på mitt konto som inte är administratör och administratör och bara växla fram och tillbaka mellan sessioner. Men tyvärr är den funktionen inte tillgänglig när du ansluter till en domän (synd för företagsanvändare).

Min andra tanke var att använda RunAs, men det (eller en genväg som definierats för att använda alternativa autentiseringsuppgifter) frågar alltid efter ett användarnamn och lösenord. Det var inte heller acceptabelt eftersom jag inte ville ange mina administrativa autentiseringsuppgifter manuellt varje gång jag körde en app som behövde administratörsrättigheter.

Så eftersom jag har använt Sysinternals-verktygen i flera år bad jag Mark Russinovich att få PsExec att fungera om jag inte är administratör. Anledningen till att PsExec inte fungerade ur lådan är att det installerar en liten tjänst som sedan gör arbetet; att installera tjänsten kräver administratörsautentiseringsuppgifter, vilket naturligtvis inte skulle fungera från mitt konto som inte är administratör.

Markera nådigt förbättrade PsExec så att PsExec nu, om du anger alternativa autentiseringsuppgifter och kör en process i det lokala systemet, skapar processen som en underordnad process med alternativa autentiseringsuppgifter (och inte längre skapar tjänsten för att skapa den underordnade processen).

Detta gjorde att jag kunde konfigurera genvägar för att köra mina favoritadministratörsappar med PsExec för att starta processen.

Ah, men PsExec (och RunAs) kan inte köras *.cpl och *.msc filer – åtminstone inte direkt från kommandoraden. Kanske av lathet, kanske för att jag ville ha något sömlöst - jag skapade ett litet WSH-skript som tar någon exe, specifik fil att öppna, och eventuella parametrar, och namngav den run.vbs. Nu kör jag bara run.vbs med vad jag vill öppna (även MMC-konsoler eller kontrollpanel appletar) och det är ganska mycket sömlöst. Här är kommandoraden som jag kör i WSH-skriptet:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

En av de viktigaste catch-22 är att jag inte har kunnat övervinna är att installera programvara som måste installeras som en specifik användare. Det bästa (värsta?) exemplet på detta jag har sett är den nyligen introducerade Google Desktop. Du måste vara administratör för att installera (naturligtvis), och det har faktiskt logik i den för att blockera installationen om du försöker använda RunAs eller PsExec - returnera meddelandet "Installera Google Desktop under andra autentiseringsuppgifter än den aktiva användaren stöds för närvarande inte." Jag förstår inte riktigt varför, bortsett från det faktum att det hjälper till att minska deras testmatris. För att komma runt det utan att logga ut, startade jag en kommandotolk som administratör, lade till mig själv i gruppen Administratörer, använde PsExec för att köra en kommandotolk som mig själv, (eftersom Explorer var förvirrad över mitt gruppmedlemskap) och körde det igen. Fungerade bra. När det var klart släppte jag ut mig själv igen.

Nej, inte helt enkelt, men det innebar att mitt konto bara var medlem i gruppen Administratörer under en minimal tid - och jag behövde aldrig logga ut.

Observera att jag inte har länkat till eller nämnt DropMyRights som en teknik för att skydda ett system - jag tror inte att det är det. Om du kör som icke-administratör skyddas systemet. Selektiv körning av farliga appar som icke-administratör inte gör - det kan minska risken något - men jag tror inte att det är en praxis som bör uppmuntras.

Sammanfattningsvis kan du växla från ett administratörskonto till ett användarkonto för din dagliga användning för att minska den attackyta som din användning av Windows-systemet exponerar. Jag uppmuntrar dig att ge det ett försök och spela in dina erfarenheter.

NYHETER PÅ SYSINTERNALS

Många verktyg har uppdaterats sedan det senaste nyhetsbrevet i april. De två med de största förbättringarna var Process Explorer och Autoruns. Här är en detaljerad lista över ändringar efter verktyg:

Process Explorer V9.25

  • enhetlig 32-bitars- och 64-bitars binärfil (x64)
  • stöder Windows Vista
  • visar nu stackinformation för 64-bitars användare och kernelläge
  • visar en lista över 32-bitars inlästa DLL:er för 32-bitarsprocesser (Wow64) i 64-bitarssystem
  • minnesintern bildsträngsgenomsökning och packad bildmarkering
  • processfönstermanipulering (minimera, maximera osv.)
  • nytt kolumnalternativ för information om signerade bilder
  • alternativ för att visa ett cpu-diagram i realtid i brickikonen
  • CPU-graf och I/O-deltakolumner till processvyn
  • visa och redigera processsäkerhetsbeskrivningar (se fliken Säkerhet för processegenskaper)

PsTools v2.2

  • PsShutdown innehåller en -v-växel för att ange varaktigheten som meddelandedialogrutan visar eller utelämnar dialogrutan helt och hållet
  • PsLoglist har en tidsformateringskorrigering för csv-utdata
  • PsInfo visar nu fullständig snabbkorrigeringsinformation, inklusive IE-snabbkorrigeringar
  • PsExec fungerar nu som Runas när du kör kommandon i det lokala systemet, så att du kan köra det från ett konto som inte är administratör och skripta lösenordsposten

Filemon v7.01

  • tydligare felmeddelanden för när ett konto inte har behörighet att köra Filemon eller Filemon redan körs
  • konsoliderar 32-bitars- och 64-bitarsversionerna (x64) till en enda binär fil

Kör automatiskt v8.13

  • olika autostarttyper som nu är avgränsade på olika flikar i huvudfönstret
  • ny "Allt"-vy som ger dig en snabbvy över alla konfigurerade autostarter
  • nya platser för automatisk start, inklusive Kända DLL:er, kapningar av avbildningsfiler, start-körningsavbildningar och fler explorer- och Internet Explorer-tilläggsplatser
  • visar mer information om bilder
  • stöder 64-bitars Windows XP och 64-bitars Windows Server 2003
  • integreras med Process Explorer för att visa information om att köra automatiska startprocesser

FelsökView v4.41

  • samlar nu in felsökningsutdata i kernelläge på x64-versioner av 64-bitars Windows och stöder växling mellan klocktid och förflutna tidslägen

Hantera v3.1

  • enkel körbar fil stöder både 32-bitars Windows och x64 Windows XP och Windows Server 2003

RootkitRevealer v1.55

  • mer avancerade rootkit-identifieringsmekanismer, vilket anger fasen för nästa eskaleringsrunda av rootkit-communityn

Ctrl2cap 64-bitars uppdatering

  • Ctrl2cap fungerar nu på 64-bitars Windows XP och Windows Server 2003

TCPView v2.4

  • uppslagsfunktionen för domännamnet för verktyget Sysinternals Vem is är nu tillgänglig i TCPView

SYSINTERNALS-FORUM

Besök ett av de 14 interaktiva Sysinternals-forumen (http://www.sysinternals.com/Forum). Med över 1500 medlemmar har det hittills funnits 2574 inlägg i 945 olika ämnen.

MARK'S BLOG

Min blogg började sedan det senaste nyhetsbrevet - här är inläggen sedan det senaste nyhetsbrevet:

  • Okvalificerade processer
  • Köra Windows utan tjänster
  • Fallet med det periodiska systemet låser sig
  • Blockering av popup-fönster? Vilken blockering av popup-fönster?
  • En explosion av granskningsposter
  • Buffertspill i Regmon Traces
  • Buffertspill
  • Körs varje dag i 64-bitars Windows
  • Kringgå grupprincip Inställningar
  • Fallet med den mystiska låsta filen
  • .NET World-uppföljning
  • The Coming .NET World - Jag är rädd

Om du vill läsa artiklarna går du till http://www.sysinternals.com/blog

MARK'S ARTICLES

Marks två senaste artiklar i Windows och IT Pro Magazine var:

  • "Unearthing Rootkits" (juni 2005)
  • Power Tools-kolumn: få ut mesta möjliga av Bginfo

Dessa är tillgängliga online för prenumeranter på http://www.windowsitpro.com/

MARK'S SPEAKING-SCHEMA

Efter högt rankade samtal på Microsoft TechEd i Orlando och Amsterdam njuter jag av en lugnare sommar. My TechEd Orlando breakout session, "Understanding and Fighting Malware: Virus, Spyware and Rootkits", var en av de 10 mest rankade sessionerna på TechEd, som visades live av över 1 000 TechEd-deltagare och webbsändning live till över 300 webbbesökare. Du kan titta på webbsändningen på begäran på http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

Evenemang som jag kommer att tala på under de kommande månaderna inkluderar:

  • Windows Anslut ions (2 november 2005, San Francisco, CA) -http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (förkonferens självstudie 11 september 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT-forum (14-18 november 2005, Barcelona, Spanien) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

De senaste uppdateringarna finns i http://www.sysinternals.com/Information/SpeakingSchedule.html

SENASTE OFFENTLIGA INTERNA/FELSÖKNINGSKLASS FÖR 2005: SAN FRANCISCO 19-23 SEPTEMBER

Om du är IT-proffs på att distribuera och stödja Windows-servrar och -arbetsstationer måste du kunna gräva under ytan när saker går fel. Att förstå det interna i Windows-operativsystemet och veta hur du använder avancerade felsökningsverktyg hjälper dig att hantera sådana problem och förstå problem med systemprestanda mer effektivt. Att förstå de interna funktionerna kan hjälpa programmerare att bättre dra nytta av Windows-plattformen och tillhandahålla avancerade felsökningstekniker.

I den här klassen får du en djupgående förståelse för kernelarkitekturen i Windows NT/2000/XP/2003, inklusive interna processer, trådschemaläggning, minneshantering, I/O, tjänster, säkerhet, registret och startprocessen. Dessutom beskrivs avancerade felsökningstekniker, till exempel desinfektion av skadlig kod, kraschdumpanalys (blå skärm) och att komma förbi startproblem. Du får också lära dig avancerade tips om hur du använder viktiga verktyg från www.sysinternals.com (till exempel Filemon, Regmon och Process Explorer) för att felsöka en rad system- och programproblem, till exempel långsamma datorer, virusidentifiering, DLL-konflikter, behörighetsproblem och registerproblem. Dessa verktyg används dagligen av Microsoft Product Support och har använts effektivt för att lösa en mängd olika skrivbords- och serverproblem, så att känna till deras drift och program hjälper dig att hantera olika problem i Windows. Verkliga exempel kommer att ges som visar framgångsrik tillämpning av dessa verktyg för att lösa verkliga problem. Och eftersom kursen utvecklades med fullständig åtkomst till Windows kernel källkod OCH utvecklare, vet du att du får den verkliga historien.

Om detta låter spännande kommer vi till vår sista offentliga praktiska (bring your own laptop) Windows internals & advanced troubleshooting class in San Francisco, September 19-23 (vårt 2006 schema är inte ännu slutfört, men kommer sannolikt att inkludera Austin under våren, London i juni och San Francisco igen i september 2006). Och om du har 20 eller fler personer kan det vara mer attraktivt att köra en privat klass på plats på din plats (e-post seminars@... för mer information).

Mer information och för att registrera dig finns i http://www.sysinternals.com/Troubleshooting.html

Tack för att du läser Sysinternals nyhetsbrev.

Publicerad onsdag 24 augusti 2005 16:34 av ottoh

[Nyhetsbrev arkiv ^][< Volym 7, specialmeddelande][Volym 8, nummer 1 >]