Freigeben über

  • Artikel

[Newsletter-Archiv ^] [< Band 7, Besondere Ankündigung] [Band 8, Nummer 1 >]

Der Systems Internals Newsletter Band 7, Nummer 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24. August 2005 – In dieser Ausgabe:

  1. EINFÜHRUNG
  2. GASTBEITRAG
  3. NEUIGKEITEN BEI SYSINTERNALS
  4. SYSINTERNALS-FORUM
  5. MARKS BLOG
  6. ARTIKEL VON MARK
  7. MARKS VORTRAGSPLAN
  8. ANSTEHENDE SCHULUNGEN FÜR SYSINTERNALS/WINDOWS-BETRIEBSSYSTEM-INTERNALS

Winternals Software ist der führende Entwickler und Anbieter von erweiterten Systemtools für Windows.

Winternals freut sich, die Veröffentlichung von zwei neuen Produkten bekanntgeben zu können. Administrator's Pak 5.0 macht es einfacher denn je, ein instabiles, nicht startbares oder gesperrtes System mit neuen Tools wie der automatischen Absturzanalyse, dem AD-Explorer und Inside für AD zu reparieren, was die Echtzeitüberwachung von AD-Transaktionen ermöglicht. Ebenfalls neu ist Recovery Manager 2.0, der anpassbare, leistungsstarke, ultraschnelle Rollbacks für unternehmenskritische Server, Desktops und Notebooks bietet, um ein einzelnes System oder Tausende von Systemen gleichzeitig im gesamten Unternehmen remote wiederherzustellen.

Für vollständige Produktdetails, Multimedia-Demos, Webinare oder um eine Test-CD eines der Produkte anzufordern, besuchen Sie bitte http://www.winternals.com.

EINFÜHRUNG

Guten Tag,

Willkommen beim Sysinternals-Newsletter. Der Newsletter hat derzeit 55.000 Abonnent*innen.

Die Sysinternals-Website wird immer häufiger besucht. Im Juli hatten wir über 900.000 individuelle Besucher*innen. Das Tool mit den meisten Zugriffen des Monats war Process Explorer mit 275.000 Downloads! Da ich die Tools häufig aktualisiere, achten Sie darauf, dass Sie die neueste Version verwenden. Am besten bleiben Sie auf dem neuesten Stand, indem Sie meinen RSS-Feed unter http://www.sysinternals.com/sysinternals.xml abonnieren. (Sollten Sie noch nicht RSS verwenden, um bei Websites auf dem Laufenden zu bleiben, wird es höchste Zeit!)

In dieser Ausgabe teilt Wes Miller, Product Manager bei Winternals Software, seine Erfahrungen mit der Nutzung als Nicht-Administrator. Wir alle empfehlen das, aber nur wenige Computerexpert*innen befolgen ihren eigenen Ratschlag (mich selbst eingeschlossen). Vielleicht fange ich bald damit an...

- Mark Russinovich

GASTBEITRAG

Nutzung als Nicht-Administrator von Wes Miller

Aller Wahrscheinlichkeit nach sind Sie auf dem Computer, auf dem Sie das hier lesen, ein lokaler Administrator bzw. eine lokale Administratorin. Leider handelt es sich bei den meisten Benutzer*innen, die Windows XP (NT und 2000) nutzen, um lokale Administrator*innen, da es sehr aufwendig ist, sicherzustellen, dass alle Anwendungen und Szenarien in einem Unternehmen funktionieren, ohne dass Benutzer*innen über Administratorrechte verfügen. Daher machen wir es uns einfach und alle Benutzer*innen zu Administrator*innen. Das ist nicht gut.

Daher habe ich vor Kurzem beschlossen, als normaler Benutzer zu arbeiten. (Power User ist, wie viele wissen, kein sicheres Konto, da es über Berechtigungen verfügt, die es ermöglichen, Angriffe mit Berechtigungserhöhung durchzuführen und Mitglied der Gruppe „Administratoren“ zu werden.)

Mein erster Gedanke war, die wunderbare Windows XP-Funktion für die schnelle Benutzerumschaltung zu verwenden. Dadurch könnte ich mich bei meinem Nicht-Administrator- und bei meinem Administratorkonto anmelden und einfach zwischen den Sitzungen hin und her wechseln. Leider ist dieses Feature aber nicht verfügbar, wenn man einer Domäne beitritt. (Geschäftskunden haben hier also Pech gehabt.)

Mein zweiter Gedanke war, ausführende Konten zu verwenden. Dabei müssen aber immer ein Benutzername und ein Kennwort eingegeben werden. (Das gilt auch bei Verwendung einer Verknüpfung, die für die Verwendung alternativer Anmeldeinformationen definiert ist.) Das war auch nicht akzeptabel, da ich nicht jedes Mal meine Administratoranmeldeinformationen manuell eingeben wollte, um eine App auszuführen, die Administratorrechte erfordert.

Da ich seit Jahren Sysinternals-Tools verwende, habe ich Mark Russinovich gebeten, PsExec so anzupassen, dass es funktioniert, wenn ich kein Administrator bin. PsExec hat zunächst nicht funktioniert, weil es einen kleinen Dienst installiert, der dann die Arbeit erledigt. Für die Installation des Diensts sind Administratoranmeldeinformationen erforderlich, weshalb es natürlich von meinem Nicht-Administratorkonto aus nicht funktioniert hat.

Daraufhin hat Mark freundlicherweise PsExec verbessert, sodass der Prozess als untergeordneter Prozess mit alternativen Anmeldeinformationen erstellt wird, wenn alternative Anmeldeinformationen angegeben werden UND der Prozess auf dem lokalen System ausgeführt wird (anstatt den Dienst zum Erstellen des untergeordneten Prozesses zu erstellen).

Dadurch konnte ich Verknüpfungen einrichten, um meine bevorzugten Administrator-Apps auszuführen, und PsExec zum Starten des Prozesses verwenden.

Aber PsExec und ausführende Konten können jedoch keine Dateien vom Typ *.cpl oder *.msc ausführen – zumindest nicht direkt über die Befehlszeile. Vielleicht aus Faulheit, vielleicht aber auch, weil ich eine nahtlose Lösung wollte, habe ich ein kleines WSH-Skript erstellt, das eine beliebige ausführbare Datei, die zu öffnende Datei und beliebige Parameter akzeptiert, und es „run.vbs“ genannt. Jetzt führe ich einfach „run.vbs“ mit dem aus, was ich öffnen möchte, und das funktioniert ziemlich nahtlos (sogar mit MMC-Konsolen und Systemsteuerungs-Applets). Hier ist die Befehlszeile, die ich in dem WSH-Skript ausführe:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Eine der wesentlichen Hürden, die ich nicht überwinden konnte, ist die Installation von Software, die als bestimmter Benutzer bzw. als bestimmte Benutzerin installiert werden muss. Das beste (oder schlimmste?) Beispiel dafür, das ich gesehen habe, ist die frisch eingeführte Google Desktop-Lösung. Zum Installieren sind (natürlich) Administratorrechte erforderlich, und die Lösung enthält sogar Logik, die die Installation blockiert, wenn Sie versuchen, ein ausführendes Konto oder PsExec zu verwenden. In diesem Fall wird dann eine Meldung mit dem Hinweis zurückgegeben, dass die Installation von Google Desktop unter anderen Anmeldeinformationen als denen des aktiven Benutzers bzw. der aktiven Benutzerin derzeit nicht unterstützt wird. Ich verstehe allerdings nicht ganz, warum – abgesehen von der Tatsache, dass es zur Verringerung ihrer Testmatrix beiträgt. Um das Problem zu umgehen, ohne mich abzumelden, habe ich eine Eingabeaufforderung als Administrator gestartet, mich der Gruppe „Administratoren“ hinzugefügt, PsExec verwendet, um eine Eingabeaufforderung als ich selbst auszuführen (da Explorer hinsichtlich meiner Gruppenmitgliedschaft verwirrt war), und die Lösung erneut ausgeführt. Das hat problemlos funktioniert. Nach Abschluss des Vorgangs habe ich die Gruppe wieder verlassen.

Das ist zugegeben keine ganz so einfache Lösung, aber dadurch war mein Konto nur ganz kurz Mitglied der Gruppe „Administratoren“ – und ich musste mich nie abmelden.

Beachten Sie, dass ich DropMyRights nicht als Technik zum Schützen eines Systems verlinkt oder erwähnt habe. Denn ich glaube nicht, dass es das ist. Die Nutzung als Nicht-Administrator schützt Ihr System. Selektives Ausführen gefährlicher Apps als Nicht-Administrator tut das nicht. Es kann zwar das Risiko etwas reduzieren, aber ich glaube nicht, dass dies eine Praxis ist, die gefördert werden sollte.

Fazit: Die Umstellung von einem Administratorkonto auf ein Benutzerkonto für alltägliche Aufgaben ist etwas, das Sie tun können, um die Angriffsfläche zu verringern, die durch Ihre Nutzung des Windows-Systems entsteht. Ich empfehle Ihnen, es zu versuchen und Ihre Erfahrungen zu dokumentieren.

NEUIGKEITEN BEI SYSINTERNALS

Viele Tools wurden seit dem letzten Newsletter im April aktualisiert. Die umfangreichsten Verbesserungen gab es bei Process Explorer und Autoruns. Hier finden Sie eine detaillierte Liste der Änderungen nach Tool:

Process Explorer V9.25

  • Vereinheitlichte Binärdatei für 32 Bit und 64 Bit (x64)
  • Windows Vista-Unterstützung
  • Anzeige von Stapelinformationen für Benutzer- und Kernelmodus mit 64 Bit
  • Auflistung geladener 32-Bit-DLLs für 32-Bit-Prozesse (Wow64) auf 64-Bit-Systemen
  • In-Memory-Image-Zeichenfolgenüberprüfung und Hervorhebung gepackter Images
  • Prozessfensteränderung (Minimieren, Maximieren usw.)
  • Neue Spaltenoption für Informationen zu signierten Images
  • Option zum Anzeigen eines Echtzeit-CPU-Graphen im Taskleistensymbol
  • CPU-Graph und E/A-Deltaspalten für die Prozessansicht
  • Anzeige und Bearbeitung von Prozesssicherheitsdeskriptoren (siehe Registerkarte „Sicherheit“ der Prozesseigenschaften)

PsTools v2.2

  • Mit dem Schalter „-v“ von PsShutdown kann die Anzeigedauer des Benachrichtigungsdialogfelds angegeben oder die Anzeige ganz deaktiviert werden.
  • PsLoglist verfügt über eine Zeitformatierungskorrektur für die CSV-Ausgabe.
  • PsInfo zeigt jetzt vollständige Hotfixinformationen an, einschließlich IE-Hotfixes.
  • PsExec funktioniert jetzt wie ein ausführendes Konto, wenn Sie Befehle auf dem lokalen System ausführen, sodass Sie es über ein Nicht-Administratorkonto ausführen und die Kennworteingabe per Skript durchführen können.

Filemon v7.01

  • Besser verständliche Fehlermeldungen für den Fall, dass ein Konto nicht über Berechtigungen verfügt, die zum Ausführen von Filemon erforderlich sind, oder wenn Filemon bereits ausgeführt wird
  • Zusammenführung der 32-Bit- und 64-Bit-Version (x64) in einer einzelnen Binärdatei

Autoruns v8.13

  • Verschiedene Autostarttypen sind jetzt auf verschiedene Registerkarten des Hauptfensters aufgeteilt.
  • Eine neue Ansicht („Alles“) bietet einen schnellen Überblick über alle konfigurierten Autostarts.
  • Neue Autostart-Speicherorte, einschließlich KnownDLLs, Imagedatei-Hijacks, Startausführungsimages und weitere Add-On-Speicherorte für Explorer und Internet Explorer
  • Anzeige weiterer Informationen zu Images
  • Unterstützung von Windows XP mit 64 Bit und Windows Server 2003 mit 64 Bit
  • Process Explorer-Integration, um Details zur Ausführung von Autostartprozessen anzuzeigen

DebugView v4.41

  • Erfassung der Kernelmodus-Debugausgabe unter x64-Versionen von 64-Bit-Windows sowie Unterstützung des Umschaltens zwischen Istzeit und verstrichener Zeit

Handle v3.1

  • Einzelne ausführbare Datei unterstützt sowohl Windows mit 32 Bit als auch die x64-Version von Windows XP und Windows Server 2003

RootkitRevealer v1.55

  • Ausgefeiltere Rootkit-Erkennungsmechanismen für die nächste Eskalationsrunde der Rootkit-Community

64-Bit-Update für Ctrl2cap

  • Ctrl2cap funktioniert jetzt unter der 64-Bit-Version von Windows XP und Windows Server 2003

TCPView v2.4

  • Die Domänennamensuche des Whois-Hilfsprogramms von Sysinternals ist jetzt in TCPView verfügbar.

SYSINTERNALS-FORUM

Besuchen Sie eines der 14 interaktiven Sysinternals-Foren (http://www.sysinternals.com/Forum). Mit über 1.500 Mitgliedern gibt es inzwischen 2.574 Beiträge zu 945 verschiedenen Themen.

MARKS BLOG

Mein Blog ist seit dem letzten Newsletter gestartet. Hier sind die Beiträge seit dem letzten Newsletter:

  • Unkillable Processes
  • Running Windows with No Services
  • The Case of the Periodic System Hangs
  • Popup Blocker? What Popup Blocker?
  • An Explosion of Audit Records
  • Buffer Overflows in Regmon Traces
  • Buffer Overflows
  • Running Everyday on 64-bit Windows
  • Circumventing Group Policy Settings
  • The Case of the Mysterious Locked File
  • .NET World Follow Up
  • The Coming .NET World - I'm scared

Die Artikel finden Sie unter http://www.sysinternals.com/blog.

MARKS ARTIKEL

Die beiden neuesten Artikel von Mark im Windows und IT Pro Magazine waren:

  • „Unearthing Rootkits“ (Juni 2005)
  • Power Tools-Kolumne: Getting the Most out of Bginfo

Diese stehen Abonnenten online unter http://www.windowsitpro.com/ zur Verfügung.

MARKS VORTRAGSPLAN

Nach hoch bewerteten Vorträgen bei der Microsoft TechEd in Orlando und Amsterdam genieße ich einen ruhigeren Sommer. Meine Breakoutsitzung „Understanding and Fighting Malware: Viruses, Spyware and Rootkits“ bei der TechEd Orlando war eine der zehn am besten bewerteten Sitzungen der TechEd. Sie wurde live von über 1.000 TechEd-Teilnehmer*innen und per Webcast von über 300 Personen verfolgt. Den Webcast können Sie sich unter http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US ansehen

In den kommenden Monaten spreche ich unter anderem bei folgenden Veranstaltungen:

  • Windows Connections (2. April 2005, San Francisco, Kalifornien): http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (Tutorial vor Beginn der Konferenz am 11. September 2005, Los Angeles): http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft-IT-Forum (14. bis 18. November 2005, Barcelona, Spanien): http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Aktuelle Informationen finden Sie unter http://www.sysinternals.com/Information/SpeakingSchedule.html.

LETZTER ÖFFENTLICHER INTERNALS-/PROBLEMBEHANDLUNGSKURS FÜR 2005: 19. bis 23. SEPTEMBER, SAN FRANCISCO

IT-Expert*innen, die Windows-Server und -Arbeitsstationen bereitstellen und unterstützen, müssen in der Lage sein, hinter die Kulissen zu sehen, wenn Probleme auftreten. Wenn Sie die Internals, die internen Aspekte, des Windows-Betriebssystems verstehen und wissen, wie man erweiterte Tools zur Problembehandlung einsetzt, können Sie solche Probleme besser bewältigen und Probleme mit der Systemleistung besser verstehen. Das Verständnis der Internals kann Programmierer*innen helfen, die Vorteile der Windows-Plattform besser zu nutzen und erweiterte Debugtechniken bereitzustellen.

In diesem Kurs erhalten Sie ein umfassendes Verständnis der Kernelarchitektur von Windows NT/2000/XP/2003, einschließlich der Prozesse, der Threadplanung, der Speicherverwaltung, der E/A, der Dienste, der Sicherheit, der Registrierung und des Startprozesses. Darüber hinaus werden erweiterte Problembehandlungstechniken wie Schadsoftwaredesinfektion, Absturzabbildanalyse (Bluescreen) und die Überwindung von Startproblemen behandelt. Außerdem erhalten Sie fortgeschrittene Tipps zur Verwendung der wichtigsten Tools von www.sysinternals.com (z. B. Filemon, Regmon, Process Explorer), um eine Reihe von System- und Anwendungsproblemen zu beheben, z. B. langsame Computer, Virenerkennung, DLL-Konflikte, Probleme mit Berechtigungen und Registrierungsprobleme. Diese Tools werden täglich vom Microsoft-Produktsupport verwendet und wurden effektiv eingesetzt, um eine Vielzahl von Desktop- und Serverproblemen zu lösen. Wenn Sie also mit dem Betrieb und der Anwendung vertraut sind, können Sie mit verschiedenen Problemen unter Windows umgehen. Beispiele aus der Praxis zeigen die erfolgreiche Anwendung dieser Tools zur Lösung realer Probleme. Und da der Kurs mit vollem Zugang zum Quellcode des Windows-Kernels UND zu den Entwicklern entwickelt wurde, können Sie sicher sein, dass Sie die wahre Geschichte erfahren.

Wenn dies Ihr Interesse geweckt hat, kommen Sie doch zu unserem letzten öffentlichen Praxiskurs über interne Aspekte und erweiterte Problembehandlung für Windows (eigener Laptop erforderlich). Der Kurs findet vom 19. bis 23. September in San Francisco statt. (Unser Zeitplan für 2006 ist noch nicht ganz fertig, umfasst aber wahrscheinlich Austin im Frühjahr, London im Juni und wieder San Francisco im September 2006). Und ab 20 Personen ist es für Sie vielleicht attraktiver, einen privaten Kurs an Ihrem Standort durchzuführen. (Senden Sie dazu eine E-Mail an „seminars@...“, um ausführlichere Informationen zu erhalten.)

Weitere Details sowie die Möglichkeit zur Registrierung finden Sie unter http://www.sysinternals.com/Troubleshooting.html.

Vielen Dank, dass Sie den Sysinternals-Newsletter gelesen haben.

Veröffentlicht am Mittwoch, den 24. August 2005 um 16:34 Uhr von ottoh

[Newsletter-Archiv ^] [< Band 7, Besondere Ankündigung] [Band 8, Nummer 1 >]