Partage via

  • Article

[Archives des newsletters ^] [< Volume 7, Annonce spéciale] [Volume 8, Numéro 1 >]

Bulletin d’information Systems Internals Volume 7, Numéro 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 août 2005 - Dans ce numéro :

  1. INTRODUCTION
  2. ÉDITORIAL INVITÉ
  3. NOUVEAUTÉS DE SYSINTERNALS
  4. FORUM SYSINTERNALS
  5. BLOG DE MARK
  6. ARTICLES DE MARK
  7. HORAIRE DE DISCUSSION DE MARK
  8. FORMATION INTERNE SYSINTERNALS/WINDOWS OS À VENIR

Winternals Software est le principal développeur et fournisseur d’outils de systèmes avancés pour Windows.

Winternals est heureux d'annoncer la sortie de deux nouveaux produits. Administrator's Pak 5.0 facilite plus que jamais la réparation d'un système instable, non amorçable ou verrouillé avec de nouveaux outils tels que l'analyseur automatique de plantage, l'explorateur AD et Inside for AD, offrant une surveillance en temps réel des transactions AD. Autre nouveauté, Recovery Manager 2.0, qui fournit une restauration personnalisable, puissante et ultra-rapide pour les serveurs, les ordinateurs de bureau et les ordinateurs portables critiques afin de restaurer à distance un seul système ou des milliers de systèmes simultanément dans toute l'entreprise.

Pour plus de détails sur le produit, des démonstrations multimédias, des webinaires ou pour demander un CD d'essai de l'un ou l'autre produit, veuillez visiter http://www.winternals.com

INTRODUCTION

Bonjour,

Bienvenue dans le bulletin Sysinternals. Le bulletin compte actuellement 55 000 abonnés.

Les visites sur le site web de Sysinternals continuent de grimper. En juillet, nous avons eu plus de 900 000 visiteurs uniques. L’outil le plus fréquemment consulté pour le mois était Process Explorer avec 275 000 téléchargements. Étant donné que je mets à jour les outils fréquemment, vérifiez que vous utilisez la dernière version. La meilleure façon de suivre les modifications est de s’abonner à mon flux RSS à l’adresse http://www.sysinternals.com/sysinternals.xml (et si vous n’utilisez pas encore RSS pour suivre les sites web, vous devez commencer).

Dans ce numéro, Wes Miller, Chef de produit chez Winternals Software, partage son expérience de l’exécution en tant que non-administrateur. Nous disons tous que nous devrions le faire, mais peu de professionnels de l’informatique pratiquent réellement ce qu’ils prêchent (moi y compris). Peut-être que je vais commencer bientôt...

-Mark Russinovich

ÉDITORIAL INVITÉ

La vie en tant que non-administrateur par Wes Miller

Il y a de fortes chances que sur l’ordinateur sur lequel vous lisez ce message, vous soyez un administrateur local. Et malheureusement, la majorité des utilisateurs exécutant Windows XP (NT et 2000 également) sont connectés en tant qu’administrateurs locaux, car il faut un travail important pour s’assurer que toutes les applications et scénarios dans une entreprise fonctionnent sans que les utilisateurs soient administrateurs. Nous prenons donc le moyen facile de s’en sortir nous faisons de tout le monde des administrateurs. Ce n’est pas bon.

J’ai donc récemment décidé de me connecter en tant qu’utilisateur normal (Power User, comme beaucoup le savent, n’est pas un compte sécurisé à utiliser, car il dispose de privilèges qui peuvent permettre une escalade non autorisée des privilèges et devenir membre du groupe Administrateurs).

Ma première idée a été d’utiliser la merveilleuse fonctionnalité de changement rapide d’utilisateur Windows XP. Je pourrais me connecter à mon compte non-administrateur et administrateur et simplement basculer entre les sessions. Malheureusement, cette fonctionnalité n’est pas disponible lorsque vous rejoignez un domaine (dommage pour les utilisateurs professionnels).

Ma deuxième idée a été d’utiliser RunAs, mais celui-ci (ou un raccourci défini pour utiliser d’autres informations d’identification) invite toujours à entrer un nom d’utilisateur et un mot de passe. Cela n’était pas non plus acceptable, car je ne voulais pas entrer manuellement mes informations d’identification administratives chaque fois que j’exécute une application qui a besoin de droits d’administrateur.

Donc, étant donné que j’utilise les outils Sysinternals depuis des années, j’ai demandé à Mark Russinovich de faire fonctionner PsExec si je ne suis pas administrateur. La raison pour laquelle PsExec ne fonctionne pas par défaut est qu’il installe un petit service qui effectue ensuite le travail. L’installation du service nécessite des informations d’identification d’administrateur, ce qui ne fonctionne évidemment pas à partir de mon compte non administrateur.

Mark a bien voulu améliorer psExec. À présent, si vous spécifiez d’autres informations d’identification ET exécutez un processus sur le système local, PsExec crée le processus en tant que processus enfant avec les autres informations d’identification (et ne crée plus le service pour créer le processus enfant).

Cela m’a permis de configurer des raccourcis pour exécuter mes applications d’administration favorites à l’aide de PsExec pour lancer le processus.

En revanche, PsExec (et RunAs) ne peuvent pas exécuter les fichiers *.cpl et *.msc, du moins pas directement à partir de la ligne de commande. Peut-être par paresse, peut-être parce que je voulais quelque chose de transparent, j’ai créé un petit script WSH qui prend n’importe quel fichier exe, un fichier spécifique à ouvrir, et tous les paramètres éventuels, et le nomme run.vbs. Maintenant, j’exécute run.vbs avec tout ce que je veux ouvrir (même des consoles MMC ou des applets de panneau de configuration) et c’est à peu près transparent. Voici la ligne de commande que j’exécute dans le script WSH :

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

L’un des problèmes les plus significatifs, parmi les 22 que je n’ai pas pu surmonter, est l’installation de logiciels qui doivent être installés en tant qu’utilisateur spécifique. Le meilleur (ou pire) exemple de cela que j’ai vu est le nouveau Google Desktop. Vous devez être un administrateur pour installer (bien sûr), et il contient en fait une logique pour bloquer l’installation si vous essayez d’utiliser RunAs ou PsExec, renvoyant le message « L’installation de Google Desktop sous des informations d’identification différentes de celles de l’utilisateur actif n’est actuellement pas prise en charge ». Je ne comprends pas vraiment pourquoi, à part le fait que cela aide à réduire leur matrice de test. Pour contourner cela sans me déconnecter, j’ai lancé une invite de commandes en tant qu’administrateur, je me suis ajouté au groupe Administrateurs, j’ai utilisé PsExec pour exécuter une invite de commandes en tant que moi-même (car Explorer était confus quant à l’appartenance à mon groupe) et l’ai réexécutée. Cela a bien fonctionné. Une fois terminé, je me suis supprimé de nouveau.

Non, ce n’est pas facile, mais cela signifie que mon compte n’a été membre du groupe Administrateurs que pendant un minimum de temps, et je n’ai jamais dû me déconnecter.

Notez que je n’ai pas lié ou mentionné DropMyRights comme technique pour sécuriser un système, je ne crois pas que ce le soit. L’exécution en tant que non-administrateur sécurise votre système. L’exécution sélective d’applications dangereuses comme non-administrateur ne le fait pas. Cela peut réduire quelque peu les risques, mais je ne crois pas qu’il s’agit d’une pratique qui devrait être encouragée.

Pour résumer, le passage d’un compte d’administrateur à un compte d’utilisateur pour votre utilisation quotidienne est une chose que vous pouvez faire pour réduire la surface d’attaque exposée par votre utilisation de votre système Windows. Je vous encourage à essayer et à enregistrer vos expériences.

NOUVEAUTÉS DE SYSINTERNALS

De nombreux outils ont été mis à jour depuis le dernier bulletin d’informations en avril. Les deux améliorations les plus importantes ont été Process Explorer et Autoruns. Voici une liste détaillée des modifications apportées par outil :

Process Explorer V9.25

  • binaire unifié 32 bits et 64 bits (x64)
  • prend en charge Windows Vista
  • affiche maintenant les informations de pile en mode utilisateur et noyau 64 bits
  • répertorie les DLL 32 bits chargées pour les processus 32 bits (Wow64) sur les systèmes 64 bits
  • analyse des chaînes d’images en mémoire et mise en surbrillance d’images empaquetées
  • manipulation de fenêtre de processus (réduire, agrandir, etc.)
  • nouvelle option de colonne pour obtenir des informations sur les images signées
  • option permettant d’afficher un graphique processeur en temps réel dans l’icône de la barre d’état
  • graphique processeur et colonnes delta d’E/S dans la vue de processus
  • affichage et modification des descripteurs de sécurité du processus (voir onglet Sécurité des propriétés du processus)

PsTools v2.2

  • PsShutdown inclut un commutateur -v permettant de spécifier la durée affichée par la boîte de dialogue de notification ou d’omettre complètement la boîte de dialogue
  • PsLoglist a un correctif de mise en forme du temps pour sa sortie csv
  • PsInfo affiche désormais des informations complètes sur les correctifs logiciels, y compris les correctifs logiciels d’IE
  • PsExec fonctionne désormais comme Runas lorsque vous exécutez des commandes sur le système local, ce qui vous permet de l’exécuter à partir d’un compte non administrateur et de scripter l’entrée de mot de passe

Filemon v7.01

  • messages d’erreur plus clairs pour les cas où un compte ne dispose pas des privilèges requis pour exécuter Filemon ou Filemon est déjà en cours d’exécution
  • regroupe les versions 32 bits et 64 bits (x64) en un seul binaire

Autoruns v8.13

  • différents types de démarrage automatique désormais séparés sur différents onglets de la fenêtre main
  • nouvelle vue « Tout » qui vous donne une vue rapide de tous les démarrages automatiques configurés
  • nouveaux emplacements de démarrage automatique, y compris KnownDLLs, les détournements de fichiers image, les images d’exécution de démarrage et d’autres emplacements de modules complémentaires Explorer et Internet Explorer
  • affiche plus d’informations sur les images
  • prend en charge Windows XP 64 bits et Windows Server 2003 64 bits
  • s’intègre à Process Explorer pour afficher les détails des processus de démarrage automatique en cours d’exécution

DebugView v4.41

  • capture désormais la sortie de débogage en mode noyau sur les versions x64 de Windows 64 bits et prend en charge le basculement entre les modes d’heure d’horloge et de temps écoulé

Handle v3.1

  • un exécutable unique prend en charge la version 32 bits de Windows et les versions x64 de Windows XP et Windows Server 2003

RootkitRevealer v1.55

  • mécanismes de détection de rootkit plus sophistiqués, qui définissent le stade de la prochaine série d’escalade par la communauté rootkit

Mise à jour Ctrl2cap 64 bits

  • Ctrl2cap fonctionne désormais sur les versions 64 bits de Windows XP et Windows Server 2003

TCPView v2.4

  • la fonctionnalité de recherche de nom de domaine de l’utilitaire Sysinternals Whois est désormais disponible dans TCPView

FORUM SYSINTERNALS

Venez visiter l’un des 14 forums interactifs Sysinternals (http://www.sysinternals.com/Forum). Avec plus de 1500 membres, il y a eu 2574 billets à ce jour dans 945 sujets différents.

BLOG DE MARK

Mon blog a commencé depuis le dernier bulletin d’informations. Voici les billets depuis le dernier bulletin d’informations :

  • Processus incompétents
  • Exécution de Windows sans services
  • Cas des blocages périodiques du système
  • Bloqueur de fenêtres publicitaires ? Quel bloqueur de fenêtres contextuelles ?
  • Une explosion des enregistrements d’audit
  • Dépassements de mémoire tampon dans les traces Regmon
  • Saturations de la mémoire tampon
  • Exécution de Tous les jours sur Windows 64 bits
  • Contournement des paramètres de stratégie de groupe
  • Le cas du mystérieux fichier verrouillé
  • Suivi .NET World
  • Le .NET World à venir - J’ai peur

Pour lire les articles, visitez http://www.sysinternals.com/blog

ARTICLES DE MARK

Les deux articles les plus récents de Mark dans le magazine Windows et IT Pro étaient les suivants :

  • « Unearthing Rootkits » (juin 2005)
  • Colonne Power Tools : tirer le meilleur parti de Bginfo

Ceux-ci sont disponibles en ligne pour les abonnés à l’adresse http://www.windowsitpro.com/

HORAIRE DE DISCUSSION DE MARK

Après des conférences hautement notées à Microsoft TechEd à Orlando et Amsterdam, je profite d’un été plus calme. Ma session en petit groupe à TechEd Orlando, « Comprendre et combattre les programmes malveillants : virus, logiciels espions et rootkits », a été l’une des 10 sessions les mieux notées à TechEd, visionnée en direct par plus de 1000 participants à TechEd et diffusée sur le web en direct à plus de 300 visiteurs web. Vous pouvez regarder la diffusion web à la demande à l’adresse http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US

Les événements durant lesquels je prendrai la parole au cours des prochains mois sont les suivants :

  • Connexions Windows (2 novembre 2005, San Francisco, Californie) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (tutoriel pré-conférence, 11 septembre 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT Forum (14-18 novembre 2005, Barcelone, Espagne) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Pour les dernières mises à jour, consultez http://www.sysinternals.com/Information/SpeakingSchedule.html

DERNIÈRE CLASSE INTERNE PUBLIQUE/RÉSOLUTION DES PROBLÈMES POUR 2005 : SAN FRANCISCO DU 19 AU 23 SEPTEMBRE

Si vous êtes un professionnel de l'informatique déployant et prenant en charge des serveurs et des postes de travail Windows, vous devez être capable de creuser sous la surface lorsque les choses tournent mal. Comprendre les composants internes du système d'exploitation Windows et savoir utiliser des outils de dépannage avancés vous aidera à résoudre ces problèmes et à comprendre plus efficacement les problèmes de performances du système. Comprendre les composants internes peut aider les programmeurs à mieux tirer parti de la plate-forme Windows, ainsi qu'à fournir des techniques de débogage avancées.

Dans cette classe, vous acquerrez une compréhension approfondie de l'architecture du noyau de Windows NT/2000/XP/2003, y compris les éléments internes des processus, la planification des threads, la gestion de la mémoire, les E/S, les services, la sécurité, le registre et le processus de démarrage. Sont également couvertes les techniques de dépannage avancées telles que la désinfection des logiciels malveillants, l'analyse des vidages sur incident (écran bleu) et la résolution des problèmes de démarrage. Vous apprendrez également des conseils avancés sur l'utilisation des outils clés de www.sysinternals.com (tels que Filemon, Regmon, Process Explorer) pour résoudre une série de problèmes de système et d'application, tels que les ordinateurs lents, la détection de virus, les conflits DLL, les autorisations problèmes et problèmes de registre. Ces outils sont utilisés quotidiennement par le support technique Microsoft et ont été utilisés efficacement pour résoudre une grande variété de problèmes de bureau et de serveur. Par conséquent, connaître leur fonctionnement et leur application vous aidera à résoudre différents problèmes sous Windows. Des exemples concrets seront donnés qui montrent l'application réussie de ces outils pour résoudre des problèmes réels. Et parce que le cours a été développé avec un accès complet au code source du noyau Windows ET aux développeurs, vous savez que vous obtenez la vraie histoire.

Si cela semble intrigant, venez à notre dernière classe pratique publique (apportez votre propre ordinateur portable) Windows interne et cours de dépannage avancé à San Francisco, du 19 au 23 septembre (notre calendrier 2006 n’est pas encore finalisé, mais inclura probablement Austin au printemps, Londres en juin, et San Francisco à nouveau en septembre 2006). Et si vous avez 20 personnes ou plus, vous trouverez peut-être plus intéressant de planifier un cours privé sur place à votre emplacement (envoyez un e-mail à seminars@... pour plus d’informations).

Pour plus d’informations et pour vous inscrire, visitez http://www.sysinternals.com/Troubleshooting.html

Merci d’avoir lu le bulletin Sysinternals.

Publié le mercredi 24 août 2005 à 16:34 par ottoh

[Archives des newsletters ^] [< Volume 7, Annonce spéciale] [Volume 8, Numéro 1 >]