Condividi tramite

  • Articolo

[Archivio newsletter ^] [< Volume 7, Annuncio speciale] [Volume 8, Numero 1 >]

Newsletter Systems Internals Volume 7, Numero 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 agosto 2005 - In questo numero:

  1. INTRODUZIONE
  2. EDITORIALE DEGLI OSPITI
  3. NOVITÀ DI SYSINTERNALS
  4. FORUM DI SYSINTERNALS
  5. BLOG DI MARK
  6. ARTICOLI DI MARK
  7. PROGRAMMA DEGLI INTERVENTI DI MARK
  8. PROSSIMO CORSO DI SYSINTERNALS/COMPONENTI INTERNI SISTEMA OPERATIVO WINDOWS

Winternals Software è il principale sviluppatore e provider di strumenti avanzati di sistemi per Windows.

Winternals è lieto di annunciare il rilascio di due nuovi prodotti. Administrator's Pak 5.0 rende più facile che mai la riparazione di un sistema instabile, non avviabile o bloccato, grazie a nuovi strumenti come l'analizzatore automatico di arresti anomali, AD Explorer e Inside for AD, che fornisce un monitoraggio in tempo reale delle transazioni AD. Un'altra novità è Recovery Manager 2.0, che offre un rollback personalizzabile, potente e ultra-rapido per server, desktop e notebook mission-critical, per ripristinare da remoto un singolo sistema o migliaia di sistemi contemporaneamente in tutta l'azienda.

Per informazioni complete sui prodotti, demo multimediali o webinar o per richiedere un CD di prova di entrambi i prodotti, è possibile visitare http://www.winternals.com

INTRODUZIONE

Ciao a tutti.

Benvenuti alla newsletter di Sysinternals. La newsletter conta attualmente 55.000 abbonati.

Le visite al sito Web di Sysinternals continuano ad aumentare! Nel mese di luglio abbiamo avuto oltre 900.000 visitatori unici. Lo strumento più visitato del mese è stato Process Explorer con 275.000 download! Poiché gli strumenti vengono aggiornati frequentemente, assicurarsi di usare l'ultima versione. Il modo migliore per rimanere al passo con le modifiche è iscriversi al mio feed RSS all'indirizzo http://www.sysinternals.com/sysinternals.xml (e se non si usano ancora gli RSS per tenersi al passo con i siti Web, bisogna iniziare!).

In questo numero, Wes Miller, Product Manager di Winternals Software, condivide la sua esperienza di gestione come non amministratore. Tutti diciamo che dovremmo farlo, ma pochi professionisti dell'informatica mettono in pratica quello che raccomandano (me compreso). Forse inizierò presto...

- Mark Russinovich

EDITORIALE DEGLI OSPITI

La vita da non amministratore di Wes Miller

È probabile che si sia amministratori locali del computer su cui si sta leggendo questo articolo. Purtroppo, la maggior parte degli utenti di Windows XP (ma anche di NT e 2000) opera come amministratore locale, perché garantire che tutte le applicazioni e gli scenari di un'azienda funzionino senza che gli utenti siano amministratori richiede un notevole impegno, quindi... prendiamo la via più facile e nominiamo tutti amministratori. Questo non va bene.

Per questo motivo, di recente ho deciso di operare come utente normale. Come molti sanno, Power User non è un account sicuro da usare in quanto include privilegi che possono consentire un attacco di escalation dei privilegi e far diventare un membro del gruppo Administrators.

Il mio primo pensiero è stato quello di usare la meravigliosa funzionalità di cambio utente rapido di Windows XP; potevo accedere al mio account non amministratore e a quello di amministratore e passare semplicemente da una sessione all'altra. Purtroppo però questa funzionalità non è disponibile quando ci si unisce a un dominio (un vero peccato per gli utenti business).

Il mio secondo pensiero è stato quello di usare RunAs, ma questo (o un collegamento definito per usare credenziali alternative) richiede sempre un nome utente e una password. Anche questo non era accettabile, perché non volevo inserire manualmente le mie credenziali amministrative ogni volta che eseguivo un'applicazione che richiedeva diritti di amministrazione.

Quindi, dal momento che uso gli strumenti di Sysinternals da anni, ho chiesto a Mark Russinovich di far funzionare PsExec anche se non sono un amministratore. Il motivo per cui PsExec non ha funzionato subito è che installa un piccolo servizio che svolge il lavoro; l'installazione del servizio richiede le credenziali di amministratore, che ovviamente non funzionano dal mio account non amministratore.

Mark ha generosamente modificato PsExec in modo che ora, se si specificano credenziali alternative e si esegue un processo sul sistema locale, PsExec crea il processo come processo figlio con le credenziali alternative (e non crea più il servizio per creare il processo figlio).

In questo modo sono riuscito a impostare collegamenti per eseguire le mie applicazioni di amministrazione preferite, usando PsExec per avviare il processo.

Ah, ma PsExec (e RunAs) non riescono a eseguire i file *.cpl e *.msc, almeno non direttamente dalla riga di comando. Forse per pigrizia, forse perché volevo qualcosa di semplice, ho creato un piccolo script WSH che accetta qualsiasi exe, un file specifico da aprire e qualsiasi parametro, e l'ho chiamato run.vbs. Ora posso semplicemente eseguire run.vbs con qualsiasi elemento da aprire (anche console MMC o applet del pannello di controllo) e il funzionamento è praticamente perfetto. Ecco la riga di comando eseguita nello script WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Uno degli inconvenienti più gravi che non sono riuscito a superare è l'installazione di software che devono essere installati come utenti specifici. L'esempio migliore (peggiore?) che ho visto è il nuovo Google Desktop. Per l'installazione è necessario essere un amministratore (ovviamente) e la logica blocca l'installazione se si prova a usare RunAs o PsExec, restituendo un messaggio del tipo: "L'installazione di Google Desktop con credenziali diverse da quelle dell'utente attivo non è attualmente supportata". Non capisco perché, a parte il fatto che contribuisce a ridurre la matrice dei test. Per aggirare il problema senza disconnettermi, ho avviato un prompt dei comandi come Administrator, mi sono aggiunto al gruppo Administrators, ho usato PsExec per eseguire un prompt dei comandi come me stesso (dato che Explorer non era sicuro della mia appartenenza al gruppo) e l'ho eseguito di nuovo. Ha funzionato. Al termine, sono uscito.

No, non è facile, ma significa che il mio account è stato membro del gruppo Administrators solo per un periodo di tempo minimo e non ho mai dovuto disconnettermi.

Da notare che non mi sono collegato né ho menzionato DropMyRights come tecnica per proteggere un sistema: non credo che lo sia. L'esecuzione come non amministratore protegge il sistema. L'esecuzione selettiva di applicazioni pericolose come non amministratore non lo è: può ridurre in qualche modo il rischio, ma non credo che sia una pratica da consigliare.

In sintesi, passare da un account amministratore a un account utente per l'uso quotidiano è una delle misure che si possono adottare per ridurre la superficie di attacco esposta durante l'uso del sistema Windows. Vi invito a provare e a documentare le vostre esperienze.

NOVITÀ DI SYSINTERNALS

Dall'ultima newsletter di aprile sono stati aggiornati molti strumenti. I due miglioramenti più importanti sono stati Process Explorer e Autoruns. Ecco un elenco dettagliato delle modifiche apportate per singolo strumento:

Process Explorer V9.25

  • unificazione dei file binari per le versioni a 32 bit e a 64 bit (x64)
  • supporta Windows Vista
  • ora visualizza informazioni sullo stack in modalità kernel e utente a 64 bit
  • elenca le DLL caricate a 32 bit per i processi a 32 bit (Wow64) nei sistemi a 64 bit
  • analisi delle stringhe di immagini in memoria ed evidenziazione delle immagini compresse
  • manipolazione delle finestre di processo (riduzione a icona, ingrandimento e così via)
  • opzione nuova colonna per informazioni sulle immagini con firma
  • opzione per visualizzare un grafico della CPU in tempo reale nell'icona della barra delle applicazioni
  • grafico CPU e colonne differenziali di I/O nella visualizzazione processo
  • consente di visualizzare e modificare i descrittori di sicurezza del processo (vedere la scheda Sicurezza delle proprietà del processo)

PsTools v2.2

  • PsShutdown include un'opzione -v per specificare il tempo in cui la finestra di notifica rimane visualizzata o per non visualizzarla affatto.
  • PsLoglist include una correzione della formattazione dell'ora per l'output CSV
  • PsInfo ora mostra informazioni complete sugli aggiornamenti rapidi, inclusi quelli di Internet Explorer
  • PsExec ora funziona come Runas quando si eseguono comandi nel sistema locale; è quindi possibile eseguirlo da un account non amministratore e creare script per l'immissione della password

Filemon v7.01

  • messaggi di errore più chiari per i casi in cui un account non dispone dei privilegi necessari per eseguire Filemon o Filemon è già in esecuzione
  • consolida le versioni a 32 bit e a 64 bit (x64) in un singolo file binario

Autoruns v8.13

  • diversi tipi di avvio automatico ora separati in schede diverse della finestra principale
  • nuova visualizzazione "Tutto" che offre una visualizzazione rapida di tutti gli avvii automatici configurati
  • nuovi percorsi di avvio automatico, tra cui DLL note, hijack dei file di immagine, immagini di esecuzione dell'avvio e posizioni di altri componenti aggiuntivi di Esplora risorse e Internet Explorer
  • mostra altre informazioni sulle immagini
  • supporta Windows XP a 64 bit e Windows Server 2003 a 64 bit
  • si integra con Esplora processi per visualizzare i dettagli dell'esecuzione dei processi di avvio automatico

DebugView v4.41

  • acquisisce ora l'output di debug in modalità kernel nelle versioni x64 di Windows a 64 bit e supporta il passaggio dalla modalità tempo di clock e tempo trascorso e viceversa

Handle v3.1

  • un singolo eseguibile supporta sia Windows a 32 bit che Windows XP x64 e Windows Server 2003

RootkitRevealer v1.55

  • meccanismi di rilevamento del rootkit più sofisticati, impostando la fase per il prossimo round di escalation da parte della community rootkit

Aggiornamento di Ctrl2cap per sistemi a 64 bit

  • Ctrl2cap ora funziona in Windows XP a 64 bit e Windows Server 2003

TCPView v2.4

  • la funzionalità di ricerca dei nomi di dominio dell'utilità Whois di Sysinternals è ora disponibile in TCPView

FORUM DI SYSINTERNALS

È possibile visitare uno dei 14 forum interattivi di Sysinternals (http://www.sysinternals.com/Forum). Con oltre 1500 membri, ha registrato fino ad oggi 2574 messaggi su 945 argomenti diversi.

BLOG DI MARK

Il mio blog è nato dopo l'ultima newsletter. Ecco i post dall'ultima newsletter (informazioni in lingua inglese):

  • Unkillable Processes
  • Running Windows with No Services
  • The Case of the Periodic System Hangs
  • Popup Blocker? What Popup Blocker?
  • An Explosion of Audit Records
  • Buffer Overflows in Regmon Traces
  • Buffer Overflows
  • Running Everyday on 64-bit Windows
  • Circumventing Group Policy Settings
  • The Case of the Mysterious Locked File
  • .NET World Follow Up
  • The Coming .NET World - I'm scared

Per leggere gli articoli, visitare http://www.sysinternals.com/blog

ARTICOLI DI MARK

I due articoli più recenti di Mark in Windows e IT Pro Magazine sono:

  • "Unearthing Rootkits" (giugno 2005)
  • Power Tools column: getting the most out of Bginfo

Gli articoli sono disponibili online per gli abbonati all'indirizzo http://www.windowsitpro.com/

PROGRAMMA DEGLI INTERVENTI DI MARK

Dopo gli apprezzati interventi al Microsoft TechEd di Orlando e Amsterdam, mi sto godendo un'estate più tranquilla. La mia sessione di TechEd Orlando, "Understanding and Fighting Malware: Virus, spyware e rootkit", è stata una delle 10 sessioni più votate del TechEd, vista dal vivo da oltre 1000 partecipanti al TechEd e trasmessa in diretta Web a oltre 300 spettatori. È possibile guardare il webcast su richiesta all'indirizzo http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US

Nei prossimi mesi interverrò a diversi eventi, tra cui:

  • Windows Connections (2 novembre 2005, San Francisco, CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (esercitazione preliminare - 11 settembre 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT Forum (14-18 novembre 2005, Barcellona, Spagna) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Per gli ultimi aggiornamenti, visitare http://www.sysinternals.com/Information/SpeakingSchedule.html

ULTIMO CORSO PUBBLICO SU COMPONENTI INTERNI/RISOLUZIONE DEI PROBLEMI PER IL 2005: SAN FRANCISCO 19-23 SETTEMBRE

I professionisti IT che distribuiscono e supportano server e workstation Windows, devono essere in grado di scavare sotto la superficie quando si verificano problemi. La conoscenza dei meccanismi interni del sistema operativo Windows e la capacità di usare strumenti avanzati per la risoluzione dei problemi aiutano ad affrontare questi problemi e a comprendere meglio le prestazioni del sistema. La conoscenza dei meccanismi interni può aiutare i programmatori a sfruttare meglio la piattaforma Windows, oltre a fornire tecniche di debug avanzate.

In questo corso verranno fornite informazioni approfondite sull'architettura del kernel di Windows NT/2000/XP/2003, inclusi i meccanismi interni dei processi, la pianificazione dei thread, la gestione della memoria, le operazioni di I/O, i servizi, la sicurezza, il Registro di sistema e il processo di avvio. Verranno anche illustrate tecniche avanzate per la risoluzione dei problemi, ad esempio la disinfezione del malware, l'analisi dei dump di arresto anomalo del sistema (schermata blu) e il superamento dei problemi di avvio. Verranno inoltre illustrati suggerimenti avanzati sull'uso degli strumenti chiave di www.sysinternals.com (ad esempio Filemon, Regmon e Esplora processi) per risolvere una serie di problemi di sistema e applicazioni, ad esempio computer lenti, rilevamento di virus, conflitti di DLL, problemi di autorizzazione e problemi del Registro di sistema. Questi strumenti vengono usati quotidianamente dal supporto tecnico Microsoft e sono stati applicati in modo efficace per risolvere una vasta gamma di problemi di desktop e server. Di conseguenza, acquisire familiarità con il funzionamento e l'applicazione di questi strumenti aiuterà a gestire diversi problemi in Windows. Verranno forniti esempi del mondo reale che mostrano l'applicazione efficace di questi strumenti per risolvere i problemi reali. Inoltre, poiché il corso è stato sviluppato con accesso completo al codice sorgente del kernel di Windows E ai suoi sviluppatori, si avrà la certezza di conoscere i fatti reali.

Se questo sembra intrigante allora venire alla nostra ultima pratica pubblica (bring your own laptop) Windows internals & advanced troubleshooting class a San Francisco, settembre 19-23 (il nostro programma 2006 non è ancora finalizzato, ma probabilmente includerà Austin in primavera, Londra a giugno e San Francisco di nuovo nel settembre 2006). E se si contano 20 o più persone, potrebbe essere più interessante organizzare un corso privato in loco presso la propria sede. Inviare un messaggio all'indirizzo seminars@... per maggiori informazioni.

Per altri dettagli e per effettuare la registrazione, visitare il sito http://www.sysinternals.com/Troubleshooting.html

Grazie per aver letto la newsletter di Sysinternals.

Pubblicata da ottoh mercoledì 24 agosto 2005 alle 16:34

[Archivio newsletter ^] [< Volume 7, Annuncio speciale] [Volume 8, Numero 1 >]