Partilhar via

  • Artigo

[Arquivo de boletins informativos ^] <[ Volume 7, Anúncio Especial] [Volume 8, Número 1 >]

O Boletim Informativo dos Sistemas Internos Volume 7, Número 2

http://www.sysinternals.com
Direitos de autor (C) 2005 Mark Russinovich

24 de agosto de 2005 - Nesta edição:

  1. INTRODUÇÃO
  2. EDITORIAL CONVIDADO
  3. O QUE HÁ DE NOVO NA SYSINTERNALS
  4. FÓRUM SYSINTERNALS
  5. BLOG DE MARK
  6. ARTIGOS DE MARK
  7. AGENDA DE PALESTRAS DE MARK
  8. PRÓXIMO TREINAMENTO SYSINTERNALS/WINDOWS OS INTERNALS

A Winternals Software é a principal desenvolvedora e fornecedora de ferramentas de sistemas avançados para Windows.

A Winternals tem o prazer de anunciar o lançamento de dois novos produtos. O Pacote 5.0 do administrador torna mais fácil do que nunca reparar um sistema instável, não inicializável ou bloqueado com novas ferramentas, como o analisador automático de falhas, o explorador do AD e o Inside for AD, fornecendo monitoramento em tempo real das transações do AD. Outra novidade é o Recovery Manager 2.0, que oferece reversão personalizável, poderosa e ultrarrápida para servidores, desktops e notebooks de missão crítica para restaurar remotamente um único sistema ou milhares de sistemas simultaneamente em toda a empresa.

Para obter detalhes completos do produto, demonstrações multimídia, webinars ou para solicitar um CD de avaliação de qualquer um dos produtos, visite http://www.winternals.com

INTRODUÇÃO

Olá a todos,

Bem-vindo à newsletter da Sysinternals. A newsletter conta atualmente com 55.000 assinantes.

As visitas ao site da Sysinternals continuam a subir! Em julho, tivemos mais de 900.000 visitantes únicos. A ferramenta mais acessada no mês foi Process Explorer com 275.000 downloads! Como atualizo as ferramentas com frequência, certifique-se de que está a utilizar a versão mais recente. A melhor maneira de acompanhar as mudanças é subscrever o meu feed RSS em http://www.sysinternals.com/sysinternals.xml (e se você ainda não está usando RSS para acompanhar os sites, você precisa começar!).

Nesta edição, Wes Miller, Gerente de Produto da Winternals Software, compartilha sua experiência na execução como não-administrador. Todos nós dizemos que devemos fazê-lo, mas poucos profissionais de informática realmente praticam o que pregam (eu incluído). Talvez eu comece em breve...

--Marcos Russinovich

EDITORIAL CONVIDADO

A vida como não administrador por Wes Miller

As probabilidades são, no computador em que você está lendo isso, você é um administrador local. E, infelizmente, a maioria dos usuários que executam o Windows XP (NT e 2000 também) são executados como administradores locais, porque é necessário um trabalho significativo para garantir que todos os aplicativos e cenários em uma empresa funcionem sem que os usuários sejam administradores - então... tomamos o caminho mais fácil e tornamos o mundo administradores. Isto não é bom.

Então, decidi recentemente executar como um usuário normal (Power User, como muitos sabem, não é uma conta segura para usar, pois tem privilégios que podem permitir uma escalada de ataque de privilégios e se tornar um membro do grupo Administradores).

Meu primeiro pensamento foi usar a maravilhosa funcionalidade Windows XP Fast User Switching; Eu poderia entrar em minha conta de administrador e não-administrador e apenas alternar entre as sessões. Mas, infelizmente, esse recurso não está disponível quando você ingressa em um domínio (muito ruim para usuários corporativos).

Meu segundo pensamento foi usar RunAs, mas ele (ou um atalho definido para usar credenciais alternativas) sempre solicita um nome de usuário e senha. Isso também não era aceitável, pois eu não queria inserir manualmente minhas credenciais administrativas cada vez que executava um aplicativo que precisava de direitos de administrador.

Então, como eu uso as ferramentas Sysinternals há anos, pedi a Mark Russinovich para fazer o PsExec funcionar se eu não for um administrador. A razão pela qual o PsExec não funcionou fora da caixa é que ele instala um pequeno serviço que então faz o trabalho; A instalação do serviço requer credenciais de administrador, o que, obviamente, não funcionaria a partir da minha conta não administrativa.

Marque o PsExec graciosamente aprimorado para que, agora, se você especificar credenciais alternativas E estiver executando um processo no sistema local, o PsExec criará o processo como um processo filho com as credenciais alternativas (e não mais criará o serviço para criar o processo filho).

Isso me permitiu configurar atalhos para executar meus aplicativos de administração favoritos usando o PsExec para iniciar o processo.

Ah, mas PsExec (e RunAs) não podem ser executados *.cpl e *.msc arquivos - pelo menos não diretamente da linha de comando. Talvez por preguiça, talvez porque eu queria algo perfeito - eu criei um pequeno script WSH que leva qualquer exe, arquivo específico para abrir, e quaisquer parâmetros, e nomeou-o run.vbs. Agora eu apenas executo run.vbs com o que eu quero abrir (até mesmo consoles MMC ou applets do painel de controle) e é praticamente perfeito. Aqui está a linha de comando que executo no script WSH:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

Um dos catch-22 mais significativos que eu não tenho sido capaz de superar é a instalação de software que deve ser instalado como um usuário específico. O melhor (pior?) exemplo disso que já vi é o recém-introduzido Google Desktop. Você tem que ser um administrador para instalar (é claro), e ele realmente tem lógica para bloquear a instalação se você tentar usar RunAs ou PsExec - retornando a mensagem, "Instalar o Google Desktop sob credenciais diferentes do usuário ativo não é suportado no momento." Eu não entendo bem o porquê, além do fato de que ajuda a reduzir sua matriz de teste. Para contornar isso sem fazer logoff, lancei um prompt de comando como Administrador, adicionei-me ao grupo Administradores, usei o PsExec para executar um prompt de comando como eu mesmo (já que o Explorer estava confuso sobre minha associação ao grupo) e executei-o novamente. Funcionou bem. Quando terminou, voltei a desistir.

Não, não é fácil, mas isso significava que minha conta era apenas um membro do grupo Administradores por um período mínimo de tempo - e eu nunca tive que fazer logoff.

Note que eu não vinculei ou mencionei DropMyRights como uma técnica para proteger um sistema - eu não acredito que seja. A execução como não-administrador protege o seu sistema. Executar seletivamente aplicativos perigosos como não administrador não - pode reduzir o risco um pouco - mas não acredito que seja uma prática que deva ser incentivada.

Resumindo, mudar de uma conta de administrador para uma conta de usuário para seu uso diário é uma coisa que você pode fazer para reduzir a superfície de ataque que seu uso do sistema Windows expõe. Encorajo-vos a experimentá-lo e a registar as vossas experiências.

O QUE HÁ DE NOVO NA SYSINTERNALS

Muitas ferramentas foram atualizadas desde o último boletim informativo em abril. Os dois com maiores melhorias foram o Process Explorer e o Autoruns. Aqui está uma lista detalhada das alterações por ferramenta:

Explorador de Processos V9.25

  • binário unificado de 32 bits e 64 bits (x64)
  • suporta Windows Vista
  • agora exibe informações de pilha de modo kernel e usuário de 64 bits
  • lista DLLs carregadas de 32 bits para processos de 32 bits (Wow64) em sistemas de 64 bits
  • varredura de cadeia de caracteres de imagem na memória e realce de imagem compactada
  • manipulação de janelas de processo (minimizar, maximizar, etc)
  • nova opção de coluna para informações sobre imagens assinadas
  • opção para exibir um gráfico de CPU em tempo real no ícone da bandeja
  • Gráfico da CPU e colunas delta de E/S para a visualização do processo
  • visualizar e editar descritores de segurança do processo (consulte a guia Segurança das propriedades do processo)

PsTools v2.2

  • PsShutdown inclui uma opção -v para especificar a duração que a caixa de diálogo de notificação exibe ou omitir a caixa de diálogo completamente
  • PsLoglist tem uma correção de formatação de tempo para sua saída csv
  • PsInfo agora mostra informações completas de hotfix, incluindo hotfixes do IE
  • PsExec agora funciona como Runas quando você executa comandos no sistema local, permitindo que você executá-lo a partir de uma conta não-administrador e script a entrada de senha

Filemon v7,01

  • mensagens de erro mais claras para quando uma conta não tem privilégios necessários para executar Filemon ou Filemon já está em execução
  • Consolida as versões de 32 bits e 64 bits (x64) em um único binário

Autoruns v8.13

  • Diferentes tipos de início automático agora separados em diferentes abas da janela principal
  • nova vista "Tudo" que lhe dá uma visão rápida de todos os inícios automáticos configurados
  • novos locais de início automático, incluindo DLLs conhecidas, sequestros de arquivos de imagem, imagens de execução de inicialização e mais locais de complementos do Explorer e do Internet Explorer
  • mostra mais informações sobre imagens
  • suporta Windows XP de 64 bits e Windows Server 2003 de 64 bits
  • integra-se com o Process Explorer para mostrar detalhes da execução de processos de inicialização automática

DebugView v4,41

  • agora captura a saída de depuração do modo kernel em versões x64 do Windows de 64 bits e suporta alternar entre os modos de tempo de relógio e tempo decorrido

Punho v3.1

  • único executável suporta Windows de 32 bits e x64 Windows XP e Windows Server 2003

RootkitRevealer v1,55

  • mecanismos de deteção de rootkit mais sofisticados, preparando o terreno para a próxima rodada de escalonamento pela comunidade rootkit

Atualização de 64 bits Ctrl2cap

  • Ctrl2cap agora funciona no Windows XP de 64 bits e Windows Server 2003

TCPView v2.4

  • a funcionalidade de pesquisa de nome de domínio do utilitário Sysinternals Whois está agora disponível no TCPView

FÓRUM SYSINTERNALS

Venha visitar um dos 14 fóruns interativos do Sysinternals (http://www.sysinternals.com/Forum). Com mais de 1500 membros, houve 2574 posts até à data em 945 tópicos diferentes.

BLOG DE MARK

Meu blog começou desde a última newsletter - aqui estão os posts desde a última newsletter:

  • Processos Inmatáveis
  • Executando o Windows sem serviços
  • O caso do sistema periódico trava
  • Bloqueador de pop-ups? O que Bloqueador de Pop-ups?
  • Uma explosão de registros de auditoria
  • Estouro de buffer em rastreamentos Regmon
  • Estouro de buffer
  • Executando todos os dias no Windows de 64 bits
  • Contornando as configurações de Diretiva de Grupo
  • O caso do misterioso arquivo bloqueado
  • Acompanhamento do mundo .NET
  • O mundo .NET que está chegando - Estou com medo

Para ler os artigos, visite http://www.sysinternals.com/blog

ARTIGOS DE MARK

Os dois artigos mais recentes de Mark no Windows e na IT Pro Magazine foram:

  • "Unearthing Rootkits" (junho de 2005)
  • Coluna Ferramentas Elétricas: tirar o máximo proveito do Bginfo

Estes estão disponíveis on-line para assinantes em http://www.windowsitpro.com/

AGENDA DE PALESTRAS DE MARK

Depois de palestras altamente cotadas no Microsoft TechEd em Orlando e Amsterdã, estou desfrutando de um verão mais tranquilo. Minha sessão de breakout do TechEd Orlando, "Understanding and Fighting Malware: Viruses, Spyware and Rootkits", foi uma das 10 melhores sessões do TechEd, vista ao vivo por mais de 1000 participantes do TechEd e transmitida ao vivo pela web para mais de 300 espectadores da web. Você pode assistir ao webcast sob demanda em http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Cultura=pt- EUA

Os eventos em que falarei nos próximos meses incluem:

  • Windows Connections (2 de novembro de 2005, São Francisco, CA) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional Developers Conference (tutorial pré-conferência 11 de setembro de 2005, Los Angeles) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT Forum (14-18 de novembro de 2005, Barcelona, Espanha) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

Para obter as atualizações mais recentes, consulte http://www.sysinternals.com/Information/SpeakingSchedule.html

ÚLTIMA AULA PÚBLICA DE INTERNOS/SOLUÇÃO DE PROBLEMAS DE 2005: SÃO FRANCISCO DE 19 A 23 DE SETEMBRO

Se você é um profissional de TI implantando e dando suporte a servidores e estações de trabalho Windows, precisa ser capaz de cavar abaixo da superfície quando as coisas dão errado. Ter compreensão dos componentes internos do sistema operacional Windows e saber como usar ferramentas avançadas de solução de problemas irá ajudá-lo a lidar com esses problemas e entender os problemas de desempenho do sistema de forma mais eficaz. Compreender os componentes internos pode ajudar os programadores a tirar melhor partido da plataforma Windows, bem como fornecer técnicas avançadas de depuração.

Nesta classe, você obterá uma compreensão aprofundada da arquitetura do kernel do Windows NT/2000/XP/2003, incluindo os internos dos processos, agendamento de threads, gerenciamento de memória, E/S, serviços, segurança, o registro e o processo de inicialização. Também são abordadas técnicas avançadas de solução de problemas, como desinfeção de malware, análise de despejo de falhas (tela azul) e problemas de inicialização passados. Você também aprenderá dicas avançadas sobre como usar as principais ferramentas do www.sysinternals.com (como Filemon, Regmon, & Process Explorer) para solucionar uma série de problemas de sistema e aplicativos, como computadores lentos, deteção de vírus, conflitos de DLL, problemas de permissão e problemas de registro. Essas ferramentas são usadas diariamente pelo Atendimento Microsoft e têm sido usadas de forma eficaz para resolver uma ampla variedade de problemas de desktop e servidor, portanto, estar familiarizado com sua operação e aplicação irá ajudá-lo a lidar com diferentes problemas no Windows. Serão dados exemplos do mundo real que mostram a aplicação bem-sucedida dessas ferramentas para resolver problemas reais. E como o curso foi desenvolvido com acesso total ao código-fonte do kernel do Windows E aos desenvolvedores, você sabe que está entendendo a história real.

Se isso soa intrigante, então venha para o nosso último hands-on público (traga seu próprio laptop) Windows internals & advanced troubleshooting class em São Francisco, de 19 a 23 de setembro (nosso cronograma de 2006 ainda não está finalizado, mas provavelmente incluirá Austin na primavera, Londres em junho e São Francisco novamente em setembro de 2006). E se você tiver 20 ou mais pessoas, você pode achar mais atraente executar uma aula privada no local em sua localização (e-mail seminars@... para mais detalhes).

Para mais detalhes e inscrições, visite http://www.sysinternals.com/Troubleshooting.html

Obrigado por ler a Newsletter da Sysinternals.

Publicado quarta-feira, 24 de agosto de 2005 16:34 por ottoh

[Arquivo de boletins informativos ^] <[ Volume 7, Anúncio Especial] [Volume 8, Número 1 >]