Compartir a través de

  • Artículo

[Archivo de boletines ^] [< Volumen 7, Anuncio especial] [Volumen 8, Número 1 >]

Boletín de información interna de sistemas Volumen 7, Número 2

http://www.sysinternals.com
Propiedad intelectual (C) 2005 Mark Russinovich

24 de agosto de 2005, en este problema:

  1. INTRODUCCIÓN
  2. EDITORIAL INVITADA
  3. NOVEDADES DE SYSINTERNALS
  4. FORO DE SYSINTERNALS
  5. BLOG DE MARK
  6. ARTÍCULOS DE MARK
  7. PROGRAMACIÓN DE HABLA DE MARK
  8. PRÓXIMO ENTRENAMIENTO INTERNO DE SYSINTERNALS/SISTEMA OPERATIVO WINDOWS

Winternals Software es el desarrollador líder y proveedor de herramientas avanzadas de sistemas para Windows.

Winternals está encantado de anunciar el lanzamiento de dos nuevos productos. Administrator's Pak 5.0 facilita más que nunca la reparación de un sistema inestable, que no arranca o que está bloqueado, gracias a nuevas herramientas como el analizador automático de fallos, el explorador de AD e Inside for AD, que permite supervisar en tiempo real las transacciones de AD. También es nuevo el Recovery Manager 2.0, que proporciona una reversión personalizable, potente y ultrarrápida para servidores, computadoras de escritorio y notebooks de misión crítica, para restaurar remotamente un solo sistema o miles de sistemas simultáneamente en toda la empresa.

Para obtener todos los detalles del producto, demostraciones multimedia, seminarios web o solicitar un CD de prueba de cualquiera de los productos, visite http://www.winternals.com

INTRODUCCIÓN

Hola a todos:

Bienvenido al boletín de Sysinternals. El boletín tiene actualmente 55 000 suscriptores.

Las visitas al sitio web de Sysinternals siguen aumentando. En julio, tuvimos más de 900 000 visitantes únicos. La herramienta a la que se accede con más frecuencia durante el mes fue el Process Explorer con 275 000 descargas! Como actualizo las herramientas con frecuencia, asegúrese de que está utilizando la última versión. La mejor manera de mantenerse al día con los cambios es suscribirse a mi fuente RSS en http://www.sysinternals.com/sysinternals.xml (y si aún no utiliza RSS para mantenerse al día de los sitios web, ¡debe empezar a hacerlo!).

En este problema, Wes Miller, administrador de productos de Winternals Software, comparte su experiencia en la ejecución como no administrador. Todos decimos que debemos hacerlo, pero pocos profesionales informáticos realmente practican lo que predican (yo incluido). Tal vez empiece pronto...

--Mark Russinovich

EDITORIAL INVITADA

La vida como no administrador de Wes Miller

Lo más probable es que, en el equipo en el que está leyendo esto, usted sea administrador local. Y, lamentablemente, la mayoría de los usuarios que ejecutan Windows XP (NT y 2000 también) lo hacen como administradores locales porque lleva mucho trabajo garantizar que todas las aplicaciones y escenarios de una empresa funcionen sin que los usuarios sean administradores, así que... tomamos el camino más fácil y convertimos al mundo en administradores. Lo cual no es bueno.

Por lo tanto, decidí ejecutar recientemente como un usuario normal (usuario avanzado, como muchos saben, no es una cuenta segura para usar, ya que tiene privilegios que pueden permitir un ataque de escalada de privilegios y convertirse en miembro del grupo Administradores).

Mi primer pensamiento era usar la maravillosa funcionalidad de cambio rápido de usuario de Windows XP; podría entrar en mi cuenta de administrador y no administrador y simplemente cambiar de una sesión a otra. Pero desafortunadamente, esa característica no está disponible cuando se une a un dominio (demasiado malo para los usuarios empresariales).

Mi segundo pensamiento fue usar RunAs, pero este (o un acceso directo definido para usar credenciales alternativas) siempre pide un nombre de usuario y una contraseña. Eso tampoco era aceptable, ya que no quería escribir manualmente mis credenciales administrativas cada vez que ejecutaba una aplicación que necesitaba derechos de administrador.

Así que, como he usado las herramientas de Sysinternals durante años, le pedí a Mark Russinovich que hiciera que PsExec funcionara si yo no era administrador. La razón por la que PsExec no funcionaba desde el principio es que instala un pequeño servicio que luego hace el trabajo; la instalación del servicio requiere credenciales de administrador, que por supuesto no funcionaría desde mi cuenta de no administrador.

Mark amablemente mejoró PsExec para que ahora si especifica credenciales alternativas Y está ejecutando un proceso en el sistema local, PsExec crea el proceso como un proceso secundario con las credenciales alternativas (y ya no crea el servicio para crear el proceso secundario).

Esto me permitió configurar accesos directos para ejecutar mis aplicaciones de administración favoritas mediante PsExec para iniciar el proceso.

Ah, pero PsExec (y RunAs) no pueden ejecutar *.cpl y archivos *.msc, al menos no directamente desde la línea de comandos. Quizás fuera de laziness, quizás porque quería algo sin problemas, creé un pequeño script WSH que toma cualquier exe, archivo específico para abrir, y cualquier parámetro, y lo denominaba run.vbs. Ahora simplemente ejecuto run.vbs con lo que quiera abrir (incluso consolas MMC o applets del panel de control) y es prácticamente perfecto. Esta es la línea de comandos que ejecuto en el script WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Una de las dificultades más importantes que no he podido superar es la instalación de software que debe instalarse como un usuario específico. El mejor (¿peor?) ejemplo de esto que he visto es el recién presentado Google Desktop. Debe ser un administrador para instalar (por supuesto) y realmente tiene lógica en él para bloquear la instalación si intenta usar RunAs o PsExec, devolviendo el mensaje "Instalar Google Desktop con credenciales diferentes de las que el usuario activo no es compatible actualmente". No entiendo muy bien por qué, aparte del hecho de que ayuda a reducir su matriz de prueba. Para evitarlo sin cerrar la sesión, inicié un símbolo del sistema como Administrador, me agregué al grupo de Administradores, utilicé PsExec para ejecutar un símbolo del sistema como yo mismo, (ya que Explorer se confundía acerca de mi pertenencia al grupo), y lo ejecuté de nuevo. Funcionó bien. Cuando estaba listo, me sacó otra vez.

No, no era tan fácil, pero significaba que mi cuenta solo era miembro del grupo de administradores durante un tiempo limitado y nunca tenía que desconectarme.

Tenga en cuenta que no he vinculado ni mencionado DropMyRights como una técnica para asegurar un sistema, no creo que lo sea. La ejecución como no administrador protege el sistema. La ejecución selectiva de aplicaciones peligrosas, ya que no es administrador, puede reducir el riesgo en cierto modo, pero no creo que sea una práctica que se debe fomentar.

Para resumirlo todo, cambiar de una cuenta de administrador a una cuenta de usuario para su uso diario es una cosa que puede hacer para reducir la superficie expuesta a ataques que expone el uso del sistema Windows. Te animo a que lo pruebes y registres tus experiencias.

NOVEDADES DE SYSINTERNALS

Muchas herramientas se actualizaron desde el último boletín de noticias en abril. Las dos con las mayores mejoras fueron el Process Explorer y los Autoruns. A continuación se muestra una lista detallada de los cambios por herramienta:

Process Explorer V9.25

  • binario unificado de 32 y 64 bits (x64)
  • admite Windows Vista
  • ahora muestra información sobre la pila en modo usuario y kernel de 64 bits
  • enumera las DLL cargadas en 32 bits para procesos de 32 bits (Wow64) en sistemas de 64 bits
  • examen de cadenas de imagen en memoria y resaltado de imágenes empaquetadas
  • manipulación de ventanas de proceso (minimizar, maximizar, etc.)
  • nueva opción de columna para información sobre imágenes firmadas
  • opción para mostrar un gráfico de CPU en tiempo real en el icono de bandeja
  • gráfico de CPU y columnas delta de E/S en la vista de procesos
  • ver y editar descriptores de seguridad de procesos (consulte la pestaña Seguridad de las propiedades del proceso)

PsTools v2.2

  • PsShutdown incluye una opción -v para especificar la duración del diálogo de notificación u omitirlo por completo
  • PsLoglist tiene una corrección de formato de hora para su salida csv
  • PsInfo ahora muestra información completa de revisiones, incluidas las revisiones de IE
  • PsExec ahora funciona como Runas al ejecutar comandos en el sistema local, lo que le permite ejecutarlo desde una cuenta que no es de administrador y generar un script para la entrada de contraseña

Filemon v7.01

  • mensajes de error más claros para cuando una cuenta no tiene los privilegios necesarios para ejecutar Filemon o Filemon ya se está ejecutando
  • consolida las versiones de 32 y 64 bits (x64) en un único binario

Autoruns v8.13

  • los diferentes tipos de inicio automático ahora están separados en diferentes pestañas de la ventana principal
  • nueva vista "Todo" que proporciona una vista rápida en todos los inicios automáticos configurados
  • nuevas ubicaciones de inicio automático, incluidas KnownDLL, secuestros de archivos de imagen, imágenes de ejecución de arranque y más ubicaciones de complementos de Explorer e Internet Explorer
  • muestra más información sobre las imágenes
  • admite Windows XP de 64 bits y Windows Server 2003 de 64 bits
  • se integra con Process Explorer para mostrar los detalles de los procesos de inicio automático en ejecución

DebugView v4.41

  • ahora captura la salida de depuración en modo kernel en versiones x64 de Windows de 64 bits y admite la alternancia entre el tiempo del reloj y los modos de tiempo transcurrido

Handle v3.1

  • un único ejecutable compatible con Windows de 32 bits y x64 Windows XP y Windows Server 2003

RootkitRevealer v1.55

  • mecanismos de detección de rootkits más sofisticados, preparando el terreno para la siguiente ronda de escalada por parte de la comunidad de rootkits

Actualización de Ctrl2cap 64 bits

  • Ctrl2cap ahora funciona en Windows XP y Windows Server 2003 de 64 bits

TCPView v2.4

  • la funcionalidad de búsqueda de nombres de dominio de la utilidad Sysinternals Whois ahora está disponible en TCPView

FORO DE SYSINTERNALS

Visite uno de los 14 foros interactivos de Sysinternals (http://www.sysinternals.com/Forum). Con más de 1500 miembros, ha habido 2574 publicaciones hasta la fecha en 945 temas diferentes.

BLOG DE MARK

Mi blog comenzó desde el último boletín, aquí están las publicaciones desde el último boletín:

  • Procesos irrealizables
  • Ejecución de Windows sin servicios
  • El caso del sistema periódico se bloquea
  • ¿Bloqueador de elementos emergentes? ¿Qué bloqueador de elementos emergentes?
  • Una explosión de registros de auditoría
  • Saturación del búfer en seguimientos de Regmon
  • Saturación del búfer
  • Ejecución diaria en Windows de 64 bits
  • Eludir la configuración de directiva de grupo
  • El caso del misterioso archivo bloqueado
  • Seguimiento del mundo .NET
  • El mundo .NET que viene: tengo miedo

Para leer los artículos, visite http://www.sysinternals.com/blog

ARTÍCULOS DE MARK

Los dos artículos más recientes de Mark en Windows e IT Pro Magazine fueron:

  • "Desenterrando rootkits" (junio de 2005)
  • Columna de Power Tools: sacar el máximo partido de Bginfo

Están disponibles en línea para los suscriptores en http://www.windowsitpro.com/

PROGRAMACIÓN DE HABLA DE MARK

Después de las muy calificadas charlas en Microsoft TechEd en Orlando y Ámsterdam, estoy disfrutando de un verano más tranquilo. Mi sesión de salida de TechEd Orlando, "Understanding and Fighting Malware: Viruses, Spyware y Rootkits", fue una de las 10 sesiones más calificadas en TechEd, vista en directo por más de 1000 asistentes de TechEd y webcast en directo a más de 300 espectadores web. Puede ver el webcast a petición en http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US

Los eventos en los que hablaré en los próximos meses incluyen:

  • Conexiones de Windows (2 de noviembre de 2005, San Francisco, CA): http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Conferencia de desarrolladores profesionales de Microsoft 2005 (tutorial de preconferencia del 11 de septiembre de 2005, Los Ángeles): http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Foro de TI de Microsoft (14-18 de noviembre de 2005, Barcelona, España): http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Para obtener las actualizaciones más recientes, consulte http://www.sysinternals.com/Information/SpeakingSchedule.html

ÚLTIMO CURSO PÚBLICO INTERNO/DE SOLUCIÓN DE PROBLEMAS DE 2005: SAN FRANCISCO 19-23 DE SEPTIEMBRE

Si es un profesional de TI que implementa y admite servidores y estaciones de trabajo de Windows, debe poder profundizar debajo de la superficie cuando las cosas van mal. Conocer el funcionamiento interno del sistema operativo Windows y saber cómo utilizar herramientas avanzadas de solución de problemas le ayudará a solucionarlos y a comprender mejor los problemas de rendimiento del sistema. Comprender las funciones internas puede ayudar a los programadores a aprovechar mejor la plataforma Windows, además de proporcionar técnicas avanzadas de depuración.

En esta clase, obtendrá una descripción detallada de la arquitectura del kernel de Windows NT/2000/XP/2003, incluidos los internos de procesos, programación de subprocesos, administración de memoria, E/S, servicios, seguridad, el registro y el proceso de arranque. También se tratan técnicas avanzadas de solución de problemas, como la desinfección de malware, el análisis de volcados de memoria (pantalla azul) y la superación de problemas de arranque. También aprenderá sugerencias avanzadas sobre el uso de las herramientas clave de www.sysinternals.com (como Filemon, Regmon y Process Explorer) para solucionar problemas de sistema y aplicación, como equipos lentos, detección de virus, conflictos de DLL, problemas de permisos y problemas del registro. El soporte técnico del producto de Microsoft usa estas herramientas diariamente y se han usado de forma eficaz para resolver una amplia variedad de problemas de escritorio y servidor, por lo que estar familiarizado con su funcionamiento y aplicación le ayudará a tratar diferentes problemas en Windows. Se proporcionarán ejemplos reales que muestren una aplicación correcta de estas herramientas para resolver problemas reales. Y como el curso se ha desarrollado con pleno acceso al código fuente del núcleo de Windows Y a los desarrolladores, sabrá que está conociendo la realidad.

Si esto le parece interesante, venga a nuestra última clase pública práctica (traiga su propio portátil) de solución avanzada de problemas internos y de Windows en San Francisco, del 19 al 23 de septiembre (nuestro calendario para 2006 aún no está terminado, pero probablemente incluya Austin en primavera, Londres en junio y San Francisco de nuevo en septiembre de 2006). Si puede reunir a 20 personas o más, quizá le interese más una sesión privada en directo en su localidad (para más información, envíe un correo electrónico a seminars@...).

Para obtener más detalles y registrarse, visite http://www.sysinternals.com/Troubleshooting.html

Gracias por leer el Boletín de Sysinternals.

Publicado el miércoles 24 de agosto de 2005 a las 4:34 p. m. por ottoh

[Archivo de boletines ^] [< Volumen 7, Anuncio especial] [Volumen 8, Número 1 >]