[電子報封存 ^][ 第 7 卷, 特別公告] [<第 8 卷, 數位 1 >]
Systems Internals 電子報第 7 卷第 2 期
http://www.sysinternals.com
著作權 (C) 2005 Mark Russinovich
2005 年 8 月 24 日 - 本期內容:
- 簡介
- 來賓評論
- SYSINTERNALS 最新動向
- SYSINTERNALS 論壇
- MARK 的部落格
- MARK 的文章
- MARK 的演講排程
- 即將推出的 SYSINTERNALS/WINDOWS OS 內部訓練
Winternals Software 是領先業界的開發商,提供諸多適用於 Windows 的先進系統工具。
Winternals 榮幸宣布推出兩項新產品。 在使用自動當機分析器、AD 總管、Inside for AD 等新工具時,管理員的 Pak 5.0 比舊版更輕易修復不穩定、無法啟動或鎖定的系統,所以可以提供 AD 交易的即時監控。 另外更新的是復原管理員 2.0,提供可自訂、強大、極速的復原功能,所以任務關鍵性伺服器、桌上型電腦和筆記型電腦,可以遠端同時復原整個企業的單一系統或數千個系統。
如需完整的產品詳細資料、多媒體示範、網路研討會,或欲索取任何產品的試用 CD,請前往 http://www.winternals.com
簡介
大家好,
歡迎閱讀 Sysinternals 電子報。 本電子報目前有 55,000 名訂閱者。
Sysinternals 網站的訪客數持續攀升! 7 月時,我們有 900,000 名以上不重複的訪客。 當月最常存取的工具是是處理序總管,有 275,000 次下載量! 基於工具經常更新,請確保您使用的是最新版本。 掌握變更消息的最佳方式是在 http://www.sysinternals.com/sysinternals.xml 訂閱我的 RSS 摘要 (如果您未使用 RSS 追蹤網站資訊,請務必開始追蹤!)。
本期中,Winternals Software 的產品經理 Wes Miller 分享以非管理員身分執行的自身經驗。大家都說該做,但鮮少有電腦專業人員說到做到 (包括我自己)。 或許我很快會行動……
-Mark Russinovich
來賓評論
〈非管理員的生活〉,筆者 Wes Miller
您可能是本機管理員,正在電腦上閱讀本篇文章。 多數使用者會以本機管理員身分執行 Windows XP (包括 NT 和 2000),很遺憾的是因為企業沒有使用者擔任管理員,導致確保所有應用程式和案例正常執行,可占大半的工作,所以我們採取簡單的解決方法,讓大家可以成為管理員。 這不是好方法。
所以我最近決定以一般使用者身分執行 (大多人知道進階使用者不是安全帳戶,因為進階使用者有權限可允許成為管理員群組的成員,且可能加劇權限攻擊)。
我第一個想法是使用美妙的 Windows XP 快速切換使用者功能,就可以登入非管理員和管理員帳戶,然後來回切換工作階段。 但可惜的是,加入網域後無法使用該功能 (對企業用戶來說很不幸)。
我的第二個想法是使用 RunAs,但 RunAs (或定義為使用替代憑證的快速鍵) 一律會提示輸入使用者名稱和密碼。 這也行不通,因為我不想每次執行需要管理員權限的應用程式,都要手動輸入管理憑證。
而且我已使用 Sysinternals 工具多年,所以我要求 Mark Russinovich 讓 PsExec 可在我不是管理員身分時使用。PsExec 無法立即使用的原因是,這程式會安裝小型服務,然後執行工作 (安裝服務需要管理員憑證,所以當然無法從非管理員帳戶運作)。
Mark 大方增強 PsExec,所以如果您目前在本機系統上執行處理序,並指定替代憑證,PsExec 會使用替代憑證建立處理序為子處理序 (但不再建立建立子處理序的服務)。
所以我可以設定快速鍵,使用 PsExec 啟動處理序,執行我慣用的管理應用程式。
但 PsExec (和 RunAs) 無法執行 *.cpl 和 *.msc 檔案,至少詞法直接從命令列執行。 或許出於懶惰,或許是因為我希望順暢無礙,我建立了簡短的 WSH 指令碼,並命名為 run.vbs,而這指令碼接受任何 exe、任何參數並可開啟特定檔案。 我現在要開啟任何作業 (包括 MMC 主控台或控制台小程式),只需執行 run.vbs,因為這幾乎是順暢無礙。 以下是我在 WSH 指令碼中執行的命令列:
psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters
我無法解決 catch-22 中最重要的一個問題是,安裝軟體必須以特定的使用者身分。 我看到最好 (最差?) 的範例是新推出的 Google Desktop。 您必須是管理員才能安裝 (想當然耳),而且封鎖安裝其實有個中的道理,如果您嘗試使用 RunAs 或 PsExec 會傳回訊息,「目前不支援以不同於動態使用者的憑證安裝 Google Desktop」。我不太明白為什麼,只知道這有助減少測試矩陣。 為了在不登出的情況下解決,我以管理員身分啟動命令提示字元、新增自己至管理員群組、使用 PsExec 以我的使用者身分執行命令提示字元 (因為總管會混淆我的群組成員資格),然後再次執行。 運作正常。 完成後,我退出群組。
不,過程不大容易,但我的帳戶只要短暫加入管理員群組成員,而且不必登出。
請注意,我沒有談到或提到保護系統的 DropMyRights 技術,因為我不認同這技術。 以非管理員身分執行可保護您的系統。 選擇以非管理員身分執行危險的應用程式無法保護系統 (雖然可能稍微降低風險),但我不認為這是值得鼓勵的實際做法。
終歸一句,若要減少所用 Windows 系統公開的攻擊面,從管理員帳戶切換為您每日使用的使用者帳戶,是您可以採取其中一個的做法。 我建議您嘗試並記錄體驗。
SYSINTERNALS 最新動向
自從之前發佈 4 月電子報以來,許多工具都更新了。 大幅增強的兩個功能是處理序總管和 Autoruns。 以下是按工具列出的變更詳細清單:
處理序總管 V9.25
- 整合 32 位元與 64 位元 (x64) 二進位
- 支援 Windows Vista
- 目前已顯示 64 位元使用者和核心模式堆疊資訊
- 列出 64 位元系統上適用於 32 位元 (Wow64) 的 32 位元載入 DLL
- 記憶體內部映像字串掃描和封裝的映像醒目提示
- 處理序視窗操作 (最小化、最大化等)
- 簽署映射資訊的新資料行選項
- 區域圖示中顯示即時 CPU 圖形的選項
- 處理序檢視的 CPU 圖形和 I/O 差異資料行
- 檢視並編輯處理序安全性描述項 (請參閱處理序屬性的安全性索引標籤)
PsTools v2.2
- PsShutdown 包含 -v 開關,可以指定通知對話方塊顯示或忽略對話方塊的時間
- PsLoglist 的 csv 輸出已有時間格式化修正
- PsInfo 已可顯示完整的 Hotfix 資訊,包括 IE Hotfix
- PsExec 目前在本機系統上執行命令時,功能如同 Runas,您可以從非管理員帳戶執行 PsExec 或編寫密碼輸入
Filemon v7.01
- 帳戶沒有執行 Filemon 的必要權限,或已執行 Filemon 時的錯誤訊息更清楚
- 整合 32 位元與 64 位元 (x64) 版本為單一二進位
Autoruns v8.13
- 不同的自動啟動類型目前會分別顯示於主視窗的不同索引標籤
- 新的「所有項目」檢視提供您快速檢視所有已設定的自動啟動
- 新的自動啟動位置,包括 KnownDLL、映像檔劫持、開機執行映射,及更多總管和 Internet Explorer 的附加元件位置
- 顯示更多映像資訊
- 支援 64 位元 Windows XP 和 64 位元 Windows Server 2003
- 整合處理序總管,即可顯示執行自動啟動處理序的詳細資料
DebugView v4.41
- 目前可在 x64 版本的 64 位元 Windows 上擷取核心模式偵錯輸出,並支援切換時鐘時間或經過時間模式
Handle v3.1
- 單一可執行檔同時支援 32 位元 Windows 與 x64 Windows XP 和 Windows Server 2003
RootkitRevealer v1.55
- 更精密的 rootkit 偵測機制,可設定 rootkit 社群下一次升級的階段
更新 Ctrl2cap 64 位元
- Ctrl2cap 已適用於 64 位元 Windows XP 和 Windows Server 2003
TCPView v2.4
- TCPView 已可使用 Sysinternals Whois 公用程式的網域名稱查閱功能
SYSINTERNALS 論壇
歡迎瀏覽 14 個互動式 Sysinternals 論壇 (http://www.sysinternals.com/Forum). 至今已有 1500 名以上的成員,在 945 不同主題發佈 2574 則貼文。
MARK 的部落格
上期電子報後我開始撰寫部落格,以下是上期電子報後發佈的文章:
- 無法刪除的處理序
- 執行沒有服務的 Windows
- 定期系統停止回應的案例
- 快顯封鎖程式? 快顯封鎖程式是什麼?
- 稽核記錄爆炸
- Regmon 追蹤的緩衝區溢位
- 緩衝區溢位
- 每天在 64 位元 Windows 上執行
- 規避群組原則設定
- 神秘鎖定檔案的案例
- .NET World 後續追蹤
- 即將發行的 .NET World - 令人畏懼
若要閱讀文章,請前往 http://www.sysinternals.com/blog
MARK 的文章
Mark 在 Windows 和 IT 專業雜誌上的最新兩篇文章:
- 〈Unearthing Rootkits〉(2005 年 6 月)
- Power Tools 資料行:充分利用 Bginfo
訂閱者可線上閱讀這些文章:http://www.windowsitpro.com/
MARK 的演講排程
在奧蘭多和阿姆斯特丹深獲好評的 Microsoft 技術教育後,我享受著較平靜的夏天。 奧蘭多技術教育研討會「了解並對抗惡意程式:病毒、間諜軟體和 Rootkits」,是技術教育前 10 名熱門課程,有超過 1000 人到場參與技術教育,及 300 多人觀看網路廣播直播。 您可以視需要 http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949&觀看網路廣播;Culture=en- US
我會在之後幾個月演說的活動:
- Windows Connections (2005 年 11 月 2 日加州舊金山) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
- Microsoft 2005 專業開發人員會議 (2005 年 9 月 11 日洛杉磯會前教學課程) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
- Microsoft IT 論壇 (2005 年 11 月 14 日至 18 日西班牙巴賽隆納) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx
如需最新的更新訊息,請參閱 http://www.sysinternals.com/Information/SpeakingSchedule.html
2005 年最後一場公用內部/疑難排解課程:9 月 19 日至 23 日舊金山
如果您的專業是 IT 部署及支援 Windows 伺服器與工作站,您必須能在問題發生時,探究背後的原因。 瞭解 Windows 作業系統的內部原理,並瞭解如何使用進階疑難排解工具,將幫助您更有效地處理此類問題,並瞭解系統效能問題。 了解內部原理可以幫助程式設計師善用 Windows 平台,並提供進階的偵錯技術。
在本課程中,您會深入了解 Windows NT/2000/XP/2003 的核心架構,包括處理序內部、執行緒排程、記憶體管理、I/O、服務、安全性、登錄和開機程序。 課程內容還包括進階疑難排解技術,例如惡意程式碼殺毒、損毀傾印 (藍色畫面) 分析,及解決啟動問題。 您也將瞭解使用來自 www.sysinternals.com (例如 Filemon、Regmon 和 Process Explorer) 的密鑰工具,針對一系列系統和應用程式問題進行疑難解答的進階秘訣,例如計算機緩慢、病毒偵測、DLL 衝突、許可權問題和登錄問題。 Microsoft 產品支援每天使用這些工具,有效解決各種電腦和伺服器問題,因此熟悉這些工具的操作和應用,可協助您處理 Windows 的不同問題。 我們提供真實範例,示範應用這些工具成功解決的實際問題。 由於課程使用完整存取 Windows 核心原始程式碼,並且透過開發人員進行開發,因此您看到的會是真實案例。
如果這聽起來很耐人尋味,那麼來到我們最後一個公開實際操作(攜帶您自己的筆記型電腦)Windows 內部和高級疑難解答類別在三藩市,9月19-23(我們的2006年時程表尚未完成,但可能會包括奧斯丁在春季,倫敦6月,和三藩市再次在2006年9月)。 如果你們至少有 20 人,或許更有興趣於你們所在地點舉辦不公開的現場課程 (請傳送電子郵件至 Seminars@…索取詳細資料)。
如需詳細資料及報名課程,請前往 http://www.sysinternals.com/Troubleshooting.html
感謝您閱讀 Sysinternals 電子報。
發佈時間:2005 年 8 月 24 日下午 4:34,發佈者:ottoh