Compartilhar via

  • Artigo

[Arquivo de Boletins Informativos ^] [< Volume 7, Comunicado Especial] [Volume 8, Número 1 >]

Boletim Informativo de Systems Internals Volume 7, Número 2

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

24 de agosto de 2005 - Nesta edição:

  1. INTRODUÇÃO
  2. EDITORIAL CONVIDADO
  3. NOVIDADES NO SYSINTERNALS
  4. FÓRUM DO SYSINTERNALS
  5. BLOG DO MARK
  6. ARTIGOS DO MARK
  7. AGENDA DE PALESTRAS DO MARK
  8. PRÓXIMO TREINAMENTO INTERNO DO SISTEMA OPERACIONAL DO SYSINTERNALS/WINDOWS

O Winternals Software é o principal desenvolvedor e provedor de ferramentas de sistemas avançados do Windows.

O Winternals tem o prazer de anunciar o lançamento de dois novos produtos. O Administrator's Pak 5.0 torna mais fácil do que nunca reparar um sistema instável, não inicializável ou bloqueado com novas ferramentas, como o analisador automático de falhas, o AD Explorer e o Inside for AD, fornecendo monitoramento em tempo real de transações do AD. Outra novidade é o Gerenciador de Recuperação 2.0, que oferece reversão personalizável, poderosa e ultrarrápida para servidores, desktops e notebooks de missão crítica para restaurar remotamente um único sistema ou milhares de sistemas simultaneamente em toda a empresa.

Para obter detalhes completos do produto, demonstrações multimídia, webinars ou solicitar um CD de avaliação de qualquer produto, visite http://www.winternals.com

INTRODUÇÃO

Olá, pessoal.

Bem-vindos ao boletim informativo da Sysinternals. Atualmente, o boletim informativo tem 55,000 assinantes.

As visitas ao site do Sysinternals continuam aumentando! Em julho, tivemos mais de 900.000 visitantes exclusivos. A ferramenta mais acessada para o mês foi o Process Explorer com 275.000 downloads! Como atualizo as ferramentas com frequência, verifique se está usando a versão mais recente. A melhor maneira de acompanhar as alterações é assinar meu feed RSS em http://www.sysinternals.com/sysinternals.xml (e se você ainda não estiver usando o RSS para acompanhar sites, precisa começar!).

Nesta edição, Wes Miller, Gerente de produto da Winternals Software, compartilha sua experiência em execução como não administrador. Todos nós dizemos que devemos fazer isso, mas poucos profissionais de informática realmente praticam o que falam (inclusive eu). Talvez eu comece logo...

- Mark Russinovich

EDITORIAL CONVIDADO

A vida como não administrador por Wes Miller

Provavelmente, no computador em que você está lendo esta mensagem, você é um administrador local. E, infelizmente, a maioria dos usuários que utilizam o Windows XP (NT e 2000 também) são executados como administradores locais porque é necessário um trabalho significativo para garantir que todos os aplicativos e cenários em uma empresa funcionem sem que os usuários sejam administradores. Então, escolhemos o caminho mais fácil, tornamos todos administradores. Isso não é bom.

Então, recentemente decidi executar como um usuário normal (Usuário avançado, como muitos sabem, não é uma conta segura para usar, pois possui privilégios que podem permitir uma escalada de ataque de privilégio e se tornar um membro do grupo de Administradores).

Minha primeira ideia foi usar a maravilhosa funcionalidade de Troca Rápida de Usuário do Windows XP; Eu poderia entrar na minha conta de não administrador e de administrador e alternar entre as sessões. Mas, infelizmente, esse recurso não está disponível quando você ingressa em um domínio (muito ruim para os usuários empresariais).

Minha segunda ideia era usar RunAs, mas ele (ou um atalho definido para usar credenciais alternativas) sempre solicita um nome de usuário e senha. Isso também não era aceitável, pois eu não queria inserir manualmente minhas credenciais administrativas sempre que executava um aplicativo que precisava de direitos administrativos.

Então, como uso as ferramentas Sysinternals há anos, pedi a Mark Russinovich para fazer o PsExec funcionar se eu não fosse um administrador. A razão pela qual o PsExec não funcionou imediatamente é que ele instala um pequeno serviço que faz o trabalho; a instalação do serviço requer credenciais de administrador, o que obviamente não funcionaria na minha conta não administrativa.

Mark teve a gentileza de melhorar o PsExec. Agora, se você especificar credenciais alternativas E executar um processo no sistema local, o PsExec criará o processo como um processo filho com as credenciais alternativas (e não criará mais o serviço para criar o processo filho).

Isso me permitiu configurar atalhos para executar meus aplicativos de administração favoritos usando o PsExec para iniciar o processo.

Ah, mas o PsExec (e RunAs) não podem executar arquivos *.cpl e *.msc - pelo menos não diretamente da linha de comando. Talvez por preguiça, talvez porque eu quisesse algo perfeito - criei um pequeno script WSH que usa qualquer arquivo exe, específico para abrir e quaisquer parâmetros, e o chamei de run.vbs. Agora eu apenas executo run.vbs com o que eu quiser abrir (mesmo consoles MMC ou miniaplicativos do painel de controle) e é praticamente perfeito. Aqui está a linha de comando que executo no script WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Um dos problemas mais significativos que não consegui superar é a instalação de software que deve ser instalado como um usuário específico. O melhor (pior?) exemplo disso que vi é o recém-introduzido Google Desktop. Você precisa ser um administrador para instalar (é claro) e, na verdade, contém lógica para bloquear a instalação se você tentar usar RunAs ou PsExec, retornando "A instalação do Google Desktop com credenciais diferentes do usuário ativo não é suportada no momento". Não entendo bem o porquê, além de ajudar a reduzir a matriz de teste. Para contornar sem fazer logoff, iniciei um prompt de comando como Administrador, adicionei-me ao grupo Administradores, usei o PsExec para executar um prompt de comando como eu mesmo (já que o Explorer estava confuso sobre minha participação no grupo) e o executei novamente. Funcionou bem. Quando terminei, eu saí novamente.

Não, não é fácil, mas significa que minha conta só foi membro do grupo Administradores por um período mínimo de tempo e nunca tive que sair.

Observe que não mencionei ou vinculei o DropMyRights como uma técnica para proteger um sistema - não acredito que seja. Executar como não administrador protege seu sistema. Executar aplicativos perigosos seletivamente como não administrador não - pode reduzir um pouco o risco - mas não acredito que seja uma prática que deve ser incentivada.

Para resumir tudo, mudar de uma conta de administrador para uma conta de usuário para uso diário é uma coisa que você pode fazer para reduzir a superfície de ataque exposta pelo uso do sistema Windows. Eu recomendo você a tentar registrar suas experiências.

NOVIDADES NO SYSINTERNALS

Muitas ferramentas foram atualizadas desde o último boletim informativo de abril. Os dois com os maiores aprimoramentos foram o Process Explorer e o Autoruns. Aqui está uma lista detalhada de alterações por ferramenta:

Process Explorer V9.25

  • binário unificado de 32 bits e 64 bits (x64)
  • compatível com o Windows Vista
  • agora exibe usuário de 64 bits e informações de pilha do modo kernel
  • lista DLLs carregadas de 32 bits para processos de 32 bits (Wow64) em sistemas de 64 bits
  • verificação de cadeia de caracteres de imagem na memória e realce de imagem empacotada
  • manipulação da janela do processo (minimizar, maximizar etc)
  • nova opção de coluna para obter informações sobre imagens assinadas
  • opção para mostrar gráfico de CPU em tempo real no ícone da bandeja
  • Gráfico de CPU e colunas delta de E/S para exibição do processo
  • exibir e editar descritores de segurança do processo (confira a guia Segurança das propriedades do processo)

PsTools v2.2

  • O PsShutdown inclui uma opção -v para especificar a duração que a caixa de diálogo de notificação exibe ou omitir a caixa de diálogo completamente
  • O PsLoglist tem uma correção de formatação de tempo para sua saída csv
  • O PsInfo agora mostra informações completas de hotfix, incluindo hotfixes do IE
  • O PsExec agora funciona como RunAs quando você executa comandos no sistema local, permitindo que você o execute de uma conta não administrador e crie um script para a entrada de senha

Filemon v7.01

  • mensagens de erro mais claras para quando uma conta não tiver privilégios necessários para executar o Filemon ou o Filemon já estiver em execução
  • consolida as versões de 32 bits e 64 bits (x64) em um único binário

Autoruns v8.13

  • diferentes tipos de início automático agora separados em guias diferentes da janela principal
  • nova exibição "Tudo" que oferece uma exibição rápida em todos os inícios automáticos configurados
  • novos locais de início automático, incluindo KnownDLLs, sequestros de arquivo de imagem, imagens de execução de inicialização e mais Explorer e locais de complemento do Internet Explorer
  • mostra mais informações sobre imagens
  • dá suporte ao Windows XP de 64 bits e ao Windows Server 2003 de 64 bits
  • integra-se ao Process Explorer para mostrar detalhes da execução de processos de início automático

DebugView v4.41

  • agora captura a saída de depuração do modo kernel em versões x64 do Windows de 64 bits e suporta a alternância entre os modos de hora do relógio e tempo decorrido

Handle v3.1

  • o executável único dá suporte ao Windows de 32 bits e ao Windows XP x64 e ao Windows Server 2003

RootkitRevealer v1.55

  • mecanismos de detecção de rootkit mais sofisticados, preparando o terreno para a próxima rodada de escalonamento pela comunidade do rootkit

Atualização do Ctrl2cap de 64 bits

  • O Ctrl2cap agora funciona no Windows XP de 64 bits e no Windows Server 2003

TCPView v2.4

  • a funcionalidade de pesquisa de nome de domínio do utilitário Sysinternals Whois agora está disponível no TCPView

FÓRUM DO SYSINTERNALS

Visite um dos 14 fóruns interativos da Sysinternals (http://www.sysinternals.com/Forum). Com mais de 1500 membros, houve 2574 postagens até o momento em 945 tópicos diferentes.

BLOG DO MARK

Meu blog começou desde o último boletim informativo - aqui estão as postagens desde o último boletim informativo:

  • Processos impossíveis de matar
  • Executando o Windows sem serviços
  • O caso do sistema periódico trava
  • Bloqueador de pop-up? Qual bloqueador de pop-up?
  • Uma explosão de registros de auditoria
  • Estouros de buffer em rastreamentos Regmon
  • Estouros de buffer
  • Executar diariamente no Windows de 64 bits
  • Contornando configurações da Política de Grupo
  • O caso do misterioso arquivo bloqueado
  • Acompanhamento do .NET World
  • The futuro .NET World - Estou com medo

Para ler os artigos, visite http://www.sysinternals.com/blog

ARTIGOS DO MARK

Os dois artigos mais recentes do Mark no Windows e no IT Pro Magazine foram:

  • "Desenterrando rootkits" (Junho de 2005)
  • Coluna do Power Tools: Aproveitando ao máximo o Bginfo

Está disponível online para assinantes em http://www.windowsitpro.com/

AGENDA DE PALESTRAS DO MARK

Depois de palestras altamente conceituadas no Microsoft TechEd em Orlando e Amsterdã, estou aproveitando um verão mais tranquilo. Minha sessão de abertura do TechEd Orlando, "Entendendo e combatendo malware: vírus, spyware e rootkits", foi uma das 10 sessões mais bem avaliadas no TechEd, vista ao vivo por mais de 1.000 participantes do TechEd e webcast ao vivo para mais de 300 visualizadores da web. Você pode assistir ao webcast sob demanda em http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&Culture=en- US

Os eventos em que falarei nos próximos meses incluem:

  • Conexões do Windows (2 de novembro de 2005, São Francisco, CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (tutorial de pré-configuração 11 de setembro de 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Fórum de TI da Microsoft (14 a 18 de novembro de 2005, Barcelona, Espanha) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Para obter as atualizações mais recentes, confira http://www.sysinternals.com/Information/SpeakingSchedule.html

ÚLTIMA CLASSE PÚBLICA INTERNA/SOLUÇÃO DE PROBLEMAS PARA 2005: SÃO FRANCISCO DE 19 A 23 DE SETEMBRO

Se você for um profissional de TI implantando e dando suporte a servidores e estações de trabalho do Windows, precisará ser capaz de cavar abaixo da superfície quando as coisas derem errado. Ter compreensão dos aspectos internos do sistema operacional Windows e saber como usar ferramentas avançadas de solução de problemas o ajudará a lidar com esses problemas e a entender os problemas de performance do sistema com mais eficiência. Entender os aspectos internos pode ajudar os programadores a melhor aproveitarem a plataforma Windows, bem como fornecerem técnicas avançadas de depuração.

Nesta aula, você obterá uma compreensão detalhada da arquitetura do kernel do Windows NT/2000/XP/2003, incluindo os aspectos internos dos processos, agendamento de thread, gerenciamento de memória, E/S, serviços, segurança, registro, e o processo de inicialização. Também serão abordadas técnicas avançadas de solução de problemas, como desinfecção de malware, análise de despejo de memória (tela azul) e problemas de inicialização anteriores. Você também aprenderá dicas avançadas sobre como usar as principais ferramentas www.sysinternals.com (como Filemon, Regmon, Process Explorer) para solucionar uma série de problemas de sistema e aplicativos, como computadores lentos, detecção de vírus, conflitos de DLL, e problemas de permissão e problemas de registro. Essas ferramentas são usadas diariamente pelo Suporte a Produtos da Microsoft e têm sido usadas efetivamente para resolver uma ampla variedade de problemas de área de trabalho e servidor, portanto, estar familiarizado com a operação e o aplicativo o ajudará a lidar com diferentes problemas no Windows. Serão dados exemplos do mundo real que mostram a aplicação bem-sucedida dessas ferramentas para resolver problemas reais. E como o curso foi desenvolvido com acesso completo ao código-fonte do kernel do Windows e aos desenvolvedores, você sabe que está recebendo a história real.

Se isso parece intrigante, então venha para a nossa última aula pública prática (traga seu próprio laptop) de solução de problemas avançada e internos do Windows em São Francisco, de 19 a 23 de setembro (nossa agenda de 2006 ainda não foi finalizada, mas provavelmente incluirá Austin na primavera, Londres em junho e São Francisco novamente em setembro de 2006). E se você tiver 20 ou mais pessoas, talvez seja mais interessante realizar uma aula particular presencial na sua localidade (email seminars@... para obter detalhes).

Para obter mais detalhes e se registrar, visite http://www.sysinternals.com/Troubleshooting.html

Obrigado por ler o Boletim Informativo do Sysinternals.

Publicado na quarta-feira, 24 de agosto de 2005 às 16:34 por ottoh

[Arquivo de Boletins Informativos ^] [< Volume 7, Comunicado Especial] [Volume 8, Número 1 >]