načítání...
menu
nákupní košík
Košík

je prázdný
a
b

Kniha: Windows Sysinternals: Vylaďte si systém – Matúš Selecký

Windows Sysinternals: Vylaďte si systém
-15%
sleva

Kniha: Windows Sysinternals: Vylaďte si systém
Autor: Matúš Selecký

Přehled nástrojů balíku Sysinternals a integrovaných pomocných programů operačního systému Windows. Popsané nástroje vhodné ke správě, diagnostice a ladění lokálních a vzdálených ... (celý popis)
Titul doručujeme za 4 pracovní dny
Vaše cena s DPH:  369 Kč 314
+
-
rozbalKdy zboží dostanu
10,5
bo za nákup
rozbalVýhodné poštovné: 49Kč
rozbalOsobní odběr zdarma

hodnoceni - 0%hodnoceni - 0%hodnoceni - 0%hodnoceni - 0%hodnoceni - 0%   celkové hodnocení
0 hodnocení + 0 recenzí

Specifikace
Nakladatelství: » Computer press
Médium / forma: Tištěná kniha
Rok vydání: 2013
Počet stran: 248
Rozměr: 167 x 225 mm
Úprava: ilustrace
Vydání: 1. vyd.
Spolupracovali: překlad Martin Herodek
Vazba: brožovaná lepená
Datum vydání: 14. 8. 2013
Nakladatelské údaje: Brno, Computer Press, 2013
ISBN: 9788025138236
EAN: 9788025138236
Ukázka: » zobrazit ukázku
Popis / resumé

Přehled nástrojů balíku Sysinternals a integrovaných pomocných programů operačního systému Windows. Popsané nástroje vhodné ke správě, diagnostice a ladění lokálních a vzdálených operačních systémů Windows.

Popis nakladatele

Potřebujete ke správě, zabezpečení a diagnostice systému propracovanější nástroje než ty, které nabízí systém Windows? Jste zvídavý uživatel, specialista IT nebo vývojář, který rád ladí a optimalizuje? Právě pro vás je zde průvodce a referenční příručka zároveň, v níž najdete všechny důležité souborové, diskové, síťové, procesní, bezpečnostní a systémové nástroje Windows Sysinternals. Představení jednotlivých utilit vždy začíná stručným úvodním štítkem obsahujícím kategorii utility, velikost, odkaz URL, případně QR kód vedoucí na stránku nástroje na portálu Sysinternals.com. Dále se pak ponoříte do seznamu všech podporovaných parametrů. Dozvíte se také, v jakých konkrétních situacích lze utilitu v praxi využít. Autor se v knize věnuje mimo jiné těmto tématům: - Jak lze vytvořit, detekovat a odstranit alternativní datové proudy - Způsoby vytváření a detekce tvrdých a měkkých odkazů - Jak diagnostikovat problémy se síťovým připojením a konektivitu - Jak kontrolovat vzdáleně otevřené soubory - Jak sledovat aktuálně otevřené síťové připojení - Jak monitorovat procesy a vytížení procesoru v prostředí příkazového řádku - Jak zjišťovat detailnější informace o vlastnících domén - Jaké jsou možnosti zrychlení spouštění operačního systému Windows - Na kterých clusterech pevného disku je uložen konkrétní soubor - Kde najít význam chybových kódů V příloze navíc naleznete například slovníček pojmů nebo seznam zkratek pro přístup k systémovým konzolím. O autorovi: Matúš Selecký působí v oblasti ICT pět let, z toho tři roky v oblasti bezpečnosti. Je absolventem několika kurzů z dílen společností Microsoft, Cisco, ECCouncil a CompTIA zaměřených na diagnostiku, správu a zabezpečení síťové infrastruktury. Je členem mezinárodní profesní organizace IEEE, konkrétně spolku IEEE Computer Society. V současnosti působí na pozici síťového administrátora v nadnárodní společnosti, která poskytuje služby v oblasti IT outsourcingu. Hlavní náplní jeho práce je zajišťování bezpečnosti počítačových sítí čtvrté největší společnosti na světě. (vylaďte si systém)

Předmětná hesla
Microsoft Windows
Windows Sysinternals
Správa operačních systémů
obslužné programy
Administrace
Kniha je zařazena v kategoriích
Matúš Selecký - další tituly autora:
 (e-book)
Penetrační testy a exploitace Penetrační testy a exploitace
Arduino -- Uživatelská příručka Arduino
 (e-book)
Arduino Arduino
 
Recenze a komentáře k titulu
Zatím žádné recenze.


Ukázka / obsah
Přepis ukázky

143

KAPITOLA 4

Bezpečnostní nástroje V této kapitole budou blíže představeny utility Sysinternals z kategorie Security Tools. Jedná se o nástroje zaměřené na testování a diagnostiku, správu a konfi guraci zabezpečení systému Windows. Některé z popisovaných nástrojů najdou uplatnění při bezpečnostních testech soft - waru a nastavení operačního systému Windows. Kapitola o bezpečnostních utilitách přináší například informace o kontrole přístupových práv, typech rootkitů, možnostech zrychlování spouštěcího procesu operačního systému Windows nebo způsobech bezpečného odstraňování souborů z pevného disku. Následující text blíže představuje tyto nástroje:

SYSINTERNALS:

 AccessChk  PsLogList

 AccessEnum  PsLoggedOn

 Autologon  RootkitRevealer

 Autoruns  SDelete

 LogonSessions  ShareEnum

 PsExec  ShellRunas

 SigCheck

OSTATNÍ:

 Msconifg  SigVerif

 Runas

V této kapitole:

 AccessChk, AccessEnum

 Autologon, Autoruns

 Msconfi g, LogonSessions

 PsExec, PsLoggedOn

 PsLogList, RootkitRevealer

 SDelete, ShareEnum

 ShellRunas, Runas

 SigCheck, SigVerif

 Verifi er


144

KAPITOLA 4 Bezpečnostní nástroje

AccessChk

Název: AccessChk

Velikost: 110 kB

Kategorie: Security tools

Typ utility: CMD

URL: http://technet.microsoft.com/en-us/sysinternals/bb664922

Popis Nástroj AccessChk umožňuje síťovým administrátorům získávat informace o  přístupových právech. Mezi informace, které lze na výstupu aplikace získat, je typ přístupových práv pro konkrétní uživatele nebo uživatelské skupiny k souborům, adresářům, službám systému Windows, registrovým klíčům nebo globálním objektům. Použití accesschk [-s][-e][-u][-r][-w][-n][-v][[-a]|[-k]|[-p [-f] [-t]] [-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <fi le, directory, registry key, process, service, object> Seznam podporovaných parametrů

-a Jméno přístupového práva Windows. Použitím zástupného znaku hvězdičky „*“ se zobrazí všechny

účty přiřazené k právu. Při specifi kování konkrétního přístupového práva se ve výpisu zobrazí jen uži

vatelský účet nebo skupina, která je přiřazena k danému právu.

-c Jméno služby Windows, například jako SNMPTRAP. Pokud se místo jména zadá zástupný znak hvěz

dičky „*“, zobrazí se seznam přístupových práv pro všechny služby.

-d Zpracování adresářů nebo nejvyšší úrovně klíčů.

-e Zobrazení jen explicitně uvedených úrovní integrity (podporované jen na Windows Vista a vyšších).

-f Zobrazení všech informací včetně skupin a práv.

-k Jméno registrového klíče, například hklmsoftware.

-i Ignorování zděděných položek řízení přístupu (Access Control Entries, ACE). Tento parametr lze použí

vat při výpisu plných přístupových seznamů.

-l Zobrazení plného přístupového seznamu. Použitím parametru -i se ignorují zděděné položky řízení

přístupu.

-n Zobrazení jen objektů, které nemají přístupová práva.

-o Jméno objektu v Object Manager namespace (předvolené je root). K prohlížení obsahu adresářů je

potřeba specifi kovat jméno se zpětným lomítkem na konci, nebo přidat parametr -s. Přidáním para

metru -t a defi nováním typu objektu (například Section) se zobrazí jen objekty specifi kovaného

typu.


AccessChk

145

- p Jméno nebo PID procesu, například cmd.exe (použitím zástupného znaku hvězdičky „*“ namísto jmé

na se zobrazí všechny procesy). Tento parametr lze používat spolu s parametrem -f, který umožní

zobrazení plných informací o skupinách a právech. Dalším parametrem, který je možné přidat, je -t.

Tento parametr zobrazí vlákna.

-q Vynechání banneru ve výpisu výstupu.

-r Zobrazení jen objektů, které mají přístup pro čtení.

-s Rekurze.

-t Filtrování objektů (například Section).

-u Potlačení chyb.

-v Rozšíření výstupních informací (včetně Windows Vista Integrity Level – viz Poznámku).

-w Zobrazení jen objektů, které mají přístup pro zápis.

Poznámka: Windows Vista Integrity Level je komponenta bezpečnostní architektury systému Windows, která umožňuje omezovat přístupová práva aplikací, které běží pod stejným uživatelským účtem, ale mají přiřazenou nižší důvěryhodnost. Například neznámý, potenciálně nebezpečný kód stažený z Internetu má zabráněno měnit systémová nastavení, uživatelská data nebo manipulovat jinými aplikacemi. Podrobnější informace o této komponentě najdete na stránkách projektu MSDN (http://msdn.microsoft.com/en-us/library/bb625957.aspx).

Příklady použití

Nástroj v základním použití vypisuje přístupová práva pro objekty, které mají nastavené právo

čtení a zápisu. V případě, že testovaný objekt nemá specifi kovaná žádná z těchto práv, bude

výpis prázdný.

1. Testování přístupových práv čtení a zápisu pro konkrétního uživatele (NovakM) k sou

borům a adresářům v systémovém adresáři:

accesschk NovakM c:windows

RW c:windowsaddins

RW c:windowsAppCompat

RW c:windowsAppPatch

RW c:windowsARJ.PIF

RW c:windowsassembly

RW c:windowsatiogl.xml

RW c:windowsativpsrm.bin

R c:windowsfsvc.exe

RW c:windowscamcodec100.ini

RW c:windowscs

RW c:windowsCSUP.txt

RW c:windowsCursors

2. Otestování, kdo v systému má právo změnit nastavení času:

accesschk -a SeInteractiveLogonRight

S-1-5-32-551 Poznámka: Windows Vista Integrity Level je komponenta bezpečnostní architektury systému Windows, která umožňuje omezovat přístupová práva aplikací, které běží pod stejným uživatelským účtem, ale mají přiřazenou nižší důvěryhodnost. Například neznámý, potenciálně nebezpečný kód stažený z Internetu má zabráněno měnit systémová nastavení, uživatelská data nebo manipulovat jinými aplikacemi. Podrobnější informace o této komponentě najdete na stránkách projektu MSDN (http://msdn.microsoft.com/en-us/library/bb625957.aspx).xx


146

KAPITOLA 4 Bezpečnostní nástroje

BUILTINUsers

BUILTINAdministrators

VIAGROS-HPGuest

VIAGROS-HP\__vmware__

3. Zobrazení přístupových práv ke službě SkypeUpdate:

accesschk -c SkypeUpdate -q

SkypeUpdate

RW NT AUTHORITYSYSTEM

RW BUILTINAdministrators

R NT AUTHORITYINTERACTIVE

R NT AUTHORITYSERVICE Využití Nástroj je určen pro systémové administrátory, kteří potřebují mít přehled o  přístupových právech uživatelů síťové infrastruktury. Nástroj mohou používat například i analytici při bezpečnostním auditu fi remní sítě. AccessEnum

Název: AccessEnum

Velikost: 51 kB

Kategorie: Security tools

Typ utility: GUI

URL: http://technet.microsoft.com/en-us/sysinternals/bb897332

Popis Utilita AccessEnum umožňuje kontrolovat a vypisovat přístupová práva k souborům, adresářům a registrovým klíčům. Specifi ckou vlastností této utility je, že ve výpisu testovaných objektů uvádí jen rozdílná přístupová práva ve srovnání s nadřazeným (rodičovským) objektem. Pro názornost je níže popsán postup práce s utilitou a ukázka výpisu. AccessEnum testuje 3 druhy přístupových práv – čtení, zápis, zablokovaný přístup. Jednou z výhod aplikace je i možnost exportu výsledků testu, který lze případně použít k dalšímu zpracování, nebo jen pro archívní účely. Příklady použití Je potřeba otestovat přístupová práva v adresářové struktuře:

 TestFolder


AccessEnum

147

 Folder_A

 Folder_B

 Folder_C Otestování nastavených přístupových práv k adresáři zahrnuje:

1. Spuštění utility AccessEnum.

2. Vložení cesty k testovanému adresáři TestFolder do adresního řádku.

3. Klepnutí na tlačítko Scan.

Následně dojde k  otestování přístupových práv. Výsledek se zobrazí formou výpisu, jaký je vyobrazen na obrázku 4.1. Výpis informuje o právech rodičovského adresáře TestFolder (první řádek výpisu), adresáře Folder_A a Folder_B (druhý a třetí řádek výpisu) jsou vypsány, protože obsahují odlišné nastavení přístupových práv než rodičovský adresář (Deny přístup pro účet User). Poslední adresář Folder_C se ve výpisu nezobrazí, protože má stejné nastavení přístupových práv jako rodičovský adresář Folder. Obrázek 4.1 AccessEnum Klepnutím pravým tlačítkem myši na řádek výpisu se zobrazí místní nabídka se třemi volbami (viz obrázek 4.2). Tyto volby umožňují:

 zobrazení vlastností testovaného adresáře (volba

Properties);

 procházení adresáře (volba Explore);

 odstranění řádku z výsledku, ignorování výsledků (vol

ba Exclude). Utilita AccessEnum umožňuje testovat také registrové klíče. Prostřednictvím tlačítka Registry je možné vyvolat dialog, který zobrazí okno pro procházení struktury systémových registrů.

Obrázek 4.2 AccessEnum –

místní nabídka


148

KAPITOLA 4 Bezpečnostní nástroje

Získané výsledky testování je možné uložit v textovém formátu. Export výsledků testu je vhod

né použít například v situacích, kdy je zapotřebí získat přístupová práva jednotlivých souborů

umístěných v testovaných adresářích.

Výsledný soubor obsahuje řadu informací, které se mohou zdát na první pohled nepřehledné.

V hlavičce souboru je možné vidět legendu, která vysvětluje, co znamenají jednotlivé záznamy

mezi uvozovkami (Path – cesta, Read – právo čtení, Write – právo zápisu, Deny – zamítnutý pří

stup). Následně je na každém řádku zapsán výsledek testu jednoho souboru, případně adresáře:

„Path“ „Read“ „Write“ „Deny“

„C:Windows“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller, Users“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller“

„“

„C:WindowsaddinsFXSEXT.ecf“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller, Users“

„NT SERVICETrustedInstaller“

„“

„C:WindowsAppCompatProgramsRecentFileCache.bcf“

„Administrators, NT AUTHORITYSYSTEM“

„Administrators, NT AUTHORITYSYSTEM“

„“

„C:WindowsAppPatchAcGenral.dll“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller, Users“

„NT SERVICETrustedInstaller“

„“

„C:WindowsAppPatchAcLayers.dll“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller, Users“

„NT SERVICETrustedInstaller“

„“

„C:WindowsAppPatchAcRes.dll“

„Administrators, NT AUTHORITYSYSTEM, NT SERVICETrustedInstaller, Users“

„NT SERVICETrustedInstaller“

„“

Následující upravený výpis demonstruje, jak je potřeba číst soubor obsahující export výsledků:

„Path“ – „C:Windows“

„Read“ – „Administrators, NT AUTHORITYSYSTEM,

NT SERVICETrustedInstaller, Users“

„Write“ – „Administrators, NT AUTHORITYSYSTEM,

NT SERVICETrustedInstaller“

„Deny“ – „“

Využití

Tato utilita najde uplatnění například při vývoji a testování soft warových aplikací. Tyto apli

kace musejí mít po instalaci do systému nastavená přístupová práva k jednotlivým adresářům.

V případě jejich nesprávného nastavení by například uživatelé nemohli zapisovat do protokolů,

měnit konfi guraci aplikace atd. Prostřednictvím AccessEnum je možné relativně rychle najít

nesprávně nastavená přístupová práva. Manuální kontrola přístupových práv každého sou


Autologon

149

boru a adresáře jednotlivě by byla časově náročná a existuje tu poměrně velké riziko selhání lidského faktoru, který by mohl některá chybná nastavení přehlédnout. Autologon

Název: Autologon

Velikost: 76,9 kB

Kategorie: Security tools

Typ utility: GUI

URL: http://technet.microsoft.com/en-us/sysinternals/bb963905

Popis Pomocí tohoto nástroje je možné konfi gurovat funkci Autologon, která je běžnou součástí operačního systému Windows. Funkce Autologon umožňuje, aby uživatel nemusel při každém spuštění počítače zadávat přihlašovací jméno a heslo. Tato utilita je vhodná zejména tam, kde stanici používá jeden uživatel, a neexistují rizika odcizení citlivých údajů. Vhodné je to například pro domácí uživatele.

Upozornění: Ve fi remním prostředí, kde jsou na stanicích a  síťových úložištích uloženy citlivé

údaje, ať už o zákaznících nebo projektech, není vhodné tuto funkci používat. Firma se totiž tímto

vystavuje riziku ztráty, respektive neoprávněného získání dat třetí osobou. Utilita obsahuje jednoduché grafi cké rozhraní (obrázek 4.3), prostřednictvím něhož lze specifi kovat konkrétního uživatele, doménu a heslo, které se má použít při automatickém přihlášení. Konfi gurace automatického přihlášení vyžaduje defi - nování uživatelského jména, hesla, případně domény, pokud se jedná o doménový účet. Po zadání požadovaných přihlašovacích údajů je potřeba pomocí tlačítka Enable toto nastavení uložit. Pokud je potřeba do systému přihlásit jiného uživatele, během bootování systému Windows je nutné držet stisknutou klávesu s, která zobrazí klasický přihlašovací dialog, kde lze opět zadat libovolné přihlašovací jméno, heslo, případně doménu. Využití Jak už bylo uvedeno výše, tato aplikace najde uplatnění hlavně u domácích uživatelů. Ve fi - remním prostředí není její použití (povolení automatického přihlašování do systému) příliš

Upozornění: Ve fi remním prostředí, kde jsou na stanicích a  síťových úložištích uloženy citlivé

údaje, ať už o zákaznících nebo projektech, není vhodné tuto funkci používat. Firma se totiž tímto

vystavuje riziku ztráty, respektive neoprávněného získání dat třetí osobou.

Obrázek 4.3 Autologon


150

KAPITOLA 4 Bezpečnostní nástroje

vhodné. Představuje to přemostění bezpečnostního opatření – přihlašovacího mechanismu. V případě krádeže zařízení (například notebooku) má útočník otevřenou cestu do systému. Autoruns

Název: Autoruns

Velikost: 536 kB

Kategorie: Security tools

Typ utility: CMD, GUI

URL: http://technet.microsoft.com/en-us/sysinternals/bb963902 Popis Utilita Autoruns je velmi komplexním nástrojem, který poskytuje informace a  umožňuje správu služeb, aplikací, knihoven, ovladačů a dalších doplňků, které se spouštějí při bootování operačního systému nebo při přihlašování uživatele. Nástroj umožňuje diagnostikovat problémy:

 Při spouštění systému – ovladače bránící, respektive znemožňující správné spuštění ope

račního systému.

 S rychlostí spouštění systému – při startu operačního systému, pokud se spouští příliš

mnoho procesů, které se navíc snaží o  kontrolu aktualizací po síti, může být samotný

proces startu operačního systému zdlouhavý.

 Podezření na přítomnost škodlivého soft waru – škodlivý soft ware se může automaticky

přidat do seznamu aplikací, které se mají spouštět po startu. Tím může například získat

kontrolu nad stanicí hned od začátku.

Tato utilita je dostupná ve dvou variantách. S grafi ckým rozhraním a ve formátu pro příkazový řádek. Po rozbalení archívu je možné najít dva soubory. Autoruns.exe je utilita s grafi ckým rozhraním, Autorunsc.exe je varianta utility pro příkazový řádek. Autoruns.exe Utilita ve variantě s grafi ckým rozhraním (autoruns.exe) po spuštění rozdělí všechny zjištěné informace o spouštěných knihovnách, aplikacích a modulech do osmnácti kategorií (viz obrázek 4.4). U jednotlivých položek je uveden název a cesta k souborům (knihovny, spustitelné soubory atd.), datum vytvoření souboru, v případě dostupnosti i krátký popis a jméno vydavatele, případně vlastníka souboru.


Autoruns

151

Obrázek 4.4 Autoruns

Tip: V předvoleném nastavení jsou systémové položky skryty. Zobrazíte je vypnutím volby skrývání

systémových položek. Uvedené nastavení je možné vypnout v nabídce:

Options → Filter Options → Hide Windows entries

U  jednotlivých položek v  seznamech je možné klepnutím pravým tlačítkem myši vyvolat

místní nabídku, která obsahuje rozšiřující volby. Místní nabídka obsahuje několik položek:

 Delete – vybraný záznam bude odstraněn (soubor nebude odstraněn, smaže se jen z vy

braného seznamu).

 Copy – kopírování vybrané položky.

 Jump to Entr y – přechod k dané položce v registrových záznamech (otevře se nové okno

aplikace Regedit).

 Jump to Image – přechod k souboru zvolené položky (otevře se nové okno Průzkumníka

s adresou aktuálního umístění zvolené položky).

 Search Online – vyhledávání informací na Internetu (ve verzi 11.34 tato funkce nefun

govala správně).

 Process Explorer – propojení s utilitou Process Explorer.

 Properties – zobrazení vlastností zvolené položky.

Aplikace Autoruns umožňuje upravovat tato nastavení pro všechny uživatelské účty, které

jsou na dané stanici vytvořeny. Změny nastavení pro jiný uživatelský účet je možné docílit

přepnutím uživatele v aplikaci Autoruns. Samotné přepnutí realizujete volbou User → Volba

nového uživatele.

Aplikace umožňuje export získaných informací ve formátu ARN (proprietární formát) a TXT.

Tip: V předvoleném nastavení jsou systémové položky skryty. Zobrazíte je vypnutím volby skrývání

systémových položek. Uvedené nastavení je možné vypnout v nabídce:

Options→ Filter Options → Hide Windows entries


152

KAPITOLA 4 Bezpečnostní nástroje

Autorunsc.exe Varianta aplikace Autorun pro příkazový řádek nabízí obdobné možnosti jako grafi cká verze s tím rozdílem, že navíc umožňuje export do formátů CSV a XML. Použití Autorunsc.exe autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot>

-a Výpis všech záznamů (použití tohoto parametru vypíše několik desítek obrazovek záznamů).

-b Výpis záznamů spouštěných při bootování systému.

-c Tisk výstupu do formátu CSV.

-d Výpis záznamů z kategorie Appinit DLL.

-e Moduly k Exploreru (pozor, nikoliv Internet Exploreru).

-g Informace o miniaplikacích (Vista a vyšší).

-h Informace o Image Hijacks.

-i Moduly a doplňky Internet Exploreru.

-l Výpis záznamů spouštěných při přihlášení uživatele.

-m Skrývání záznamů podepsaných Microsoftem.

-n Informace o kategoriích Winsock Protocol a Network Providers.

-p Výpis ovladačů tiskáren.

-r Informace o kategorii LSA Providers.

-s Seznam služeb spouštěných automaticky a nezablokovaných ovladačích.

-r Naplánované úlohy.

-v Ověření digitálních podpisů.

-w Záznamy Winlogon.

-x Tisk do formátu XML.

-z Specifi kování offl ine Windows systému, který má být skenován.

user Určení jména uživatelského účtu, jehož položky autorun budou zobrazeny.

Tip: Při používaní aplikace Autoruns určené pro příkazový řádek je vhodné výstup vždy přesměrovat

do souboru. Prohlížení výpisu několika desítek záznamů může být na obrazovce monitoru

komplikovanější. V případě potřeby dalšího (softwarového) zpracování je určitě výhodné použít

například formát XML.

Tip: Při používaní aplikace Autoruns určené pro příkazový řádek je vhodné výstup vždy přesměrovat

do souboru. Prohlížení výpisu několika desítek záznamů může být na obrazovce monitoru

komplikovanější. V případě potřeby dalšího (softwarového) zpracování je určitě výhodné použít

například formát XML.


Autoruns

153

Příklad použití Autorunsc.exe

Výpis aplikací a služeb spouštěných po startu operačního systému:

autorunsc

HKLMSOFTWAREMicrosoftActive SetupInstalled Components

Themes Setup

%SystemRoot%system32 egsvr32.exe /s /n /i:/UserInstall

%SystemRoot%system32 hemeui.dll

Windows Theme API

Microsoft Corporation

6.1.7601.17514

c:windowssystem32 hemeui.dll

Microsoft Windows

“%ProgramFiles%Windows MailWinMail.exe” OCInstallUserConfi gOE

Windows Mail

Microsoft Corporation

6.1.7600.16385

c:program fi leswindows mailwinmail.exe

[DISABLED] Microsoft Windows Media Player

%SystemRoot%system32unregmp2.exe /ShowWMP

Microsoft Windows Media Player Setup Utility

Microsoft Corporation

12.0.7600.16385

c:windowssystem32unregmp2.exe

[DISABLED] Internet Explorer

C:WindowsSystem32ie4uinit.exe -UserIconConfi g

IE Per-User Initialization Utility

Microsoft Corporation

9.0.8112.16421

c:windowssystem32ie4uinit.exe

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

SpybotSD TeaTimer

C:Program Files (x86)Spybot - Search & DestroyTeaTimer.exe

System settings protector

Safer-Networking Ltd.

1.6.6.32

c:program fi les (x86)spybot - search & destroy eatimer.exe

RESTART_STICKY_NOTES

C:WindowsSystem32StikyNot.exe

Rychle poznamky

Microsoft Corporation

6.1.7600.16385

c:windowssystem32stikynot.exe

[DISABLED] SymphonyPreLoad

“C:Program Files (x86)IBMLotusSymphonyframeworksharedeclipse

pluginscom.ibm.symphony.standard.launcher.win3

2.x86_3.0.1.20120110-2000IBM Lotus Symphony” -nogui -nosplash

IBM

3.0.0.0

c:program fi les (x86)ibmlotussymphonyframeworksharedeclipse


154

KAPITOLA 4 Bezpečnostní nástroje

pluginscom.ibm.symphony.standard.launcher.win32 .x86_3.0.1.20120110-2000ibm lotus symphony.exe Využití Tento nástroj najde svoje uplatnění zejména ve fi remní sféře, kde administrátor může provádět bezpečnostní audit na pracovních stanicích zaměstnanců a kontrolovat tak aplikace, knihovny, služby a další moduly, které se spouštějí po startu systému nebo přihlášení uživatele. Využití není vyloučeno ani v domácím prostředí. Prostřednictvím této utility je možné částečně urychlit start systému, případně přihlášení uživatele, a zkrátit tím čas, za který bude operační systém připraven k použití. Msconfi g Msconfi g je systémová utilita, kterou lze konfi gurovat spouštění (bootování) operačního systému, automaticky spouštěné služby a aplikace při startu operačního systému. Nástroj nabízí pro detailnější nastavení pět karet (viz obrázek 4.5). Obrázek 4.5 Msconifg Možnosti nastavení

 General – karta, která obsahuje základní nastavení spouštění operačního systému. Vybí

rat lze ze tří režimů – Normal, Diagnostic, Selective.

 Boot – karta umožňující nastavení možnosti multibootu.

 Services – na této kartě je možné nastavit spouštění a blokování služeb při startu operač

ního systému. Obdobné nastavení nabízí i konzole Windows services.msc.

 Startup – karta obsahuje seznam aplikací, které se spouštějí automaticky po startu ope

račního systému. V  tomto seznamu by mělo být co nejméně aplikací. Velké množství

aplikací způsobuje prodlužování doby spouštění operačního systému a doby, kdy bude

systém možné používat. Jedinou aplikací, která by se měla v této kategorii každopádně


LogonSessions

155

nacházet na každém systému, je antivirový soft ware, případně ještě soft warový fi rewall

(v případě, že se nevyužívá integrovaný fi rewall operačního systému).

 To o l s.

Využití Msconfi g je vhodný při snaze o  optimalizaci spouštění operačního systému. Po zakoupení pracovní stanice (osobního počítače, notebooku) s  OEM verzí operačního systému bývají v systému taktéž nainstalovány aplikace konkrétního prodejce. Ve většině případů se jedná o aplikace, které běžný uživatel nevyužije, a často jen zbytečně využívají systémové prostředky. LogonSessions

Název: LogonSessions

Velikost: 133 KB

Kategorie: Security tools

Typ utility: CMD

URL: http://technet.microsoft.com/en-us/sysinternals/bb896769 Popis Nástroj LogonSessions umožňuje zobrazit seznam aktivních uživatelských relací na testovaném systému. Nástroj podporuje jen jeden parametr, který poskytuje výpis rozšířený o seznam procesů spuštěných daným uživatelem. Příklad použití V následujícím příkladu bude prezentováno použití nástroje LogonSessions s jediným podporovaným parametrem. logonsessions -p [0] Logon session 00000000:000003e7: User name: WORKGROUPVIA-HP$ Auth package: NTLM Logon type: (none) Session: 0 Sid: S-1-5-18 Logon time: 26. 10. 2012 15:05:04 Logon server: DNS Domain: UPN: 276: smss.exe 428: csrss.exe 328: svchost.exe 1040: atieclxx.exe


156

KAPITOLA 4 Bezpečnostní nástroje

4444: SearchIndexer.exe

4996: HPWA_Service.exe

4524: WmiPrvSE.exe

[1] Logon session 00000000:000093d1:

User name:

Auth package: NTLM

Logon type: (none)

Session: 0

Sid: (none)

Logon time: 26. 10. 2012 15:05:04

Logon server:

DNS Domain:

UPN:

[2] Logon session 00000000:000003e4:

User name: WORKGROUPVIA-HP$

Auth package: Negotiate

Logon type: Service

Session: 0

Sid: S-1-5-20

Logon time: 26. 10. 2012 15:05:20

Logon server:

DNS Domain:

UPN:

828: svchost.exe

1156: svchost.exe

1912: sqlservr.exe

4564: svchost.exe

4760: wmpnetwk.exe

[3] Logon session 00000000:000003e5:

User name: NT AUTHORITYLOCAL SERVICE

Auth package: Negotiate

Logon type: Service

Session: 0

Sid: S-1-5-19

Logon time: 26. 10. 2012 15:05:20

Logon server:

DNS Domain:

UPN:

952: svchost.exe

2056: svchost.exe

2276: svchost.exe

[4] Logon session 00000000:0001f3b3:

User name: VIA-HPTester

Auth package: NTLM

Logon type: Interactive

Session: 1

Sid: S-1-5-21-4172933926-2951322903-2260617033-1001

Logon time: 26. 10. 2012 15:05:26

Logon server: VIA-HP

DNS Domain:

UPN:

2384: taskhost.exe

2556: dwm.exe


PsExec

157

2588: explorer.exe 2412: cmd.exe 1276: conhost.exe [5] Logon session 00000000:00031be2: User name: NT AUTHORITYANONYMOUS LOGON Auth package: NTLM Logon type: Network Session: 0 Sid: S-1-5-7 Logon time: 26. 10. 2012 15:05:38 Logon server: DNS Domain: UPN: Využití Tento nástroj najde uplatnění hlavně u systémových administrátorů, kteří chtějí mít přehled o aktuálních uživatelských relacích na konkrétním (serverovém) systému. PsExec

Název: PsExec

Velikost: 1,6 MB

Kategorie: Security tools

Typ utility: CMD

URL: http://technet.microsoft.com/en-us/sysinternals/bb897553 Popis Nástroj je součástí balíku PsTools. PsExec umožňuje vzdálené spouštění procesů na jiných stanicích bez nutnosti instalace klientského soft waru. Utilita byla vytvořena jako alternativa k Telnetu. Použití psexec [\computer[,computer2[,...] | @fi le][-u user [-p psswd]][-n s] [-l][-s|-e][-x][-i [session]][-c [-f|-v]][-w directory][-d] [-<priority>][-a n,n,... ] cmd [arguments] Seznam podporovaných parametrů

computer Určení jména vzdálené stanice, na které má nástroj PsExec spouštět aplikace. V případě

vynechání tohoto parametru dojde ke spuštění aplikace na lokálním systému. Při použití

zástupných znaků \* dojde ke spuštění zadaného příkazu na všech stanicích připoje

ných v aktuální doméně.




       
Knihkupectví Knihy.ABZ.cz – online prodej | ABZ Knihy, a.s.
ABZ knihy, a.s.
 
 
 

Knihy.ABZ.cz - knihkupectví online -  © 2004-2020 - ABZ ABZ knihy, a.s. TOPlist