Лабораторная работа Ревизия 3 2 История изменений

6
Лабораторная работа 1. Изучение средств (инструментов)
работы с ОС семейства
Microsoft Window s
Вопросы
Постановка задачи.
Методические указания для самостоятельной работы.
Постановка задачи
Цель
1. Изучить и научиться использовать основные инструменты работы с ОС.
2. Научиться выполнять указанные практические задания (эксперименты).
3.
Задачи
1. Ознакомиться с основными инструментами работы с ОС семейства
Microsoft Windows такими как: Windows Sysinternals Suite, Windows
Administrative Kit (ADK), Windows Driver Device Kit (DDK), Platform
Software Development Kit (Platform SDK), Windows Debugging Tools (WDT), уметь их использовать.
2. Выполнить указанные практические задания (эксперименты), результат занести в отчет.
3. Оформление отчета.

7
1. AccessChk (версия 5.0)
Чтобы удостовериться, что созданная рабочая среда ОС Windows хорошо защищена, администраторам часто необходимо знать, какие права доступа имеют конкретные пользователи или группы к ресурсам — файлам, каталогам, разделам реестра и службам ОС Windows. Интуитивно понятные интерфейс и выводимые данные программы AccessChk позволяют легко решить эту задачу.
Установка
AccessChk — консольная программа. Скопируйте ее в любую из папок, в которых система ищет исполняемые файлы. Введите “accesschk” — это отобразит синтаксис использования.
Программа AccessChk работает в операционных системах Windows Vista, Win2K,
Windows XP и Server 2003, включая 64-разрядные версии.
Использование
синтаксис:
accesschk [-s][-e][-r][-w][-n][-v][[-k][-p][-c]|[-d]]
[имя пользователя] <имя пользователя> <файл, каталог, раздел реестра, служба>
-c В качестве имени указана служба Windows, например ssdpsrv (укажите “*” для вывода на экран всех служб)
-d Обрабатывать только каталоги
-e Выводить только явным образом заданные уровни целостности (только для
ОС Windows Vista)
-k В качестве имени указан раздел реестра, например hklm\software
-n Выводить только объекты, не имеющие правил доступа
-p В качестве имени указано имя или идентификатор процесса (PID), например cmd.exe (укажите в качестве имени “*”, чтобы вывести на экран все процессы)
-q Опустить заголовок
-r Выводить только объекты, к которым есть право доступа на чтение
-s Рекурсивная обработка
-v Выводить подробную информацию (включая уровень целостности ОС
Windows Vista)
-w Выводить только объекты, к которым есть право доступа на запись
Если указано имя пользователя или группы, программа AccessChk выведет действующие права доступа для этой учетной записи, в противном случае — дескриптор безопасности целиком. По умолчанию путь трактуется как путь файловой системы. Для каждого объекта программа AccessChk выводит символ
R, если данная учетная запись имеет право доступа для чтения, W — если есть право доступа для записи, и ничего не выводит при отсутствии обоих прав.
Ключ -v приводит к выводу конкретных прав доступа, предоставленных какой- либо учетной записи.
Примеры
Следующая команда выводит отчет о правах доступа учетной записи “Опытные пользователи” к файлам и каталогам, расположенным в каталоге
\Windows\System32: accesschk "Опытные пользователи" c:\windows\system32

8
Эта команда выводит на экран список служб, к которым группе “Пользователи” предоставлено право доступа на запись: accesschk пользователи -cw *
Для просмотра входящих в HKLM\CurrentUser разделов реестра, к которым у конкретной учетной записи нет прав доступа: accesschk -kns austin\mruss hklm\software
Для просмотра параметров доступа к разделу реестра HKLM\Software: accesschk -k hklm\software
Для просмотра всех находящихся в каталоге \Users\Mark файлов под управлением ОС Vista, которые имеют явным образом указанный уровень целостности: accesschk -e -s c:\users\mark
2. AccessEnum
Гибкая модель безопасности операционных систем Windows на основе технологии NT позволяет в полной мере управлять безопасностью и правами доступа к файлам. Однако распределение прав таким образом, чтобы все пользователи имели надлежащий доступ к файлам, каталогам и разделам реестра, может оказаться сложной задачей. Встроенного в систему способа быстрого просмотра прав доступа пользователей к дереву каталогов или разделов реестра не существует. Программа AccessEnum за несколько секунд создает детальный отчет по параметрам безопасности файловой системы и реестра, что делает ее идеальным инструментом для поиска брешей в системе безопасности и определения излишних прав доступа, которые следует снизить.
AccessEnum работает в операционных системах Windows NT/2000/XP/2003.
Принцип работы
В программе AccessEnum для заполнения списка информацией о правах доступа на чтение и запись, а также об отказе в доступе используются стандартные API-интерфейсы подсистемы безопасности ОС Windows.
3. AdExplorer
Active Directory Explorer представляет собой развитое средство для просмотра и редактирования Active Directory (AD).
AD Explorer можно использовать для удобной навигации базы данных AD, определять избранные местоположения, просмотр свойств объектов и атрибутов, редактировать разрешения, просмотривать схемы объекта и выполнять сложные поиски, которые вы можете сохранять и повторно выполнять.
AD Explorer также включает в себя возможность сохранения снимков AD бази данных для автономного просмотра и сравнения.

9
4. AdRestore
Восстанавливает случайно удаленные объекты Active Directory в доменах Server
2003. Простая служебная программа с интерфейсом командной строки формирует список удаленных объектов домена и дает возможность восстановить каждый из них.
Чтобы составить список всех удаленных объектов в текущем домене, следует запустить AdRestore без параметров: adrestore
Восстановить объект с меткой на удаление можно с помощью параметра -r, за которым следует имя восстанавливаемого объекта. Например, следующая команда восстанавливает учетную запись пользователя John Billings: adrestore -r «John Billings»
AdRestore лишь частично восстанавливает объект. Восстановленный объект не сохраняет всех атрибутов исходного объекта.
5. Autologon
Операционные системы Windows NT и 2000 содержат настройки реестра, позволяющие пользователю избежать очередного отображения диалогового окна входа в систему и выполнить автоматический вход. Однако эти параметры находятся довольно глубоко, и настроить их достаточно сложно. Программа
Autologon выполнит необходимую настройку реестра и позволит включать и отключать автоматический вход в систему.
Программа Autologon весьма проста в использовании. Надо лишь запустить ее, заполнить поля диалогового окна и нажать кнопку Enable (включить). Чтобы отключить автоматический вход в систему, нажмите Disable (отключить). Если параметр DefaultPassword не задан, автоматический вход в систему будет произведен только один раз, а затем будет отключен. Кроме того, если перед выполнением системой автоматического входа удерживается клавиша SHIFT, автоматический вход для этого сеанса не будет использован. Можно передать имя пользователя, домен и пароль в виде параметров командной строки: autologon пользователь домен пароль

10
6. Autoruns
Это средство проверяет большее количество мест, из которых происходит автозапуск программ, чем любой другой монитор автозагрузки. Оно показывает, какие программы настроены на запуск в процессе загрузки или входа в систему, причем эти программы отображаются в том порядке, в каком система Windows обрабатывает их. Такие программы могут находиться в папке автозагрузки или быть прописаны в разделах реестра Run, RunOnce и других.
Средство Autoruns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и многие другие. Средство Autoruns обладает более широким спектром возможностей, чем служебная программа MSConfig, которая входит в состав Windows Me и XP.
Параметр Hide Signed Microsoft Entries (Не показывать элементы с цифровой подписью Microsoft) средства Autoruns позволяет сосредоточить внимание на автоматически запускаемых элементах сторонних производителей, если такие элементы были добавлены в систему. Кроме того, можно просматривать объекты, настроенные на автоматический запуск для других учетных записей, имеющихся в системе. В архив для загрузки также включен вариант программы для работы из командной строки, Autorunsc. Выходные данные этого средства можно получить в формате CSV.
Программа Autoruns работает во всех версиях Windows, включая Windows XP
64-bit Edition (для x64) и Windows Server 2003 64-bit Edition (для x64).
Использование
Просто запустите средство Autoruns, и оно покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer
(включая объекты модулей поддержки обозревателя (BHO)), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы
Windows и многоуровневые поставщики услуг Winsock. Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.
Для просмотра свойств исполняемого объекта, настроенного на автоматический запуск, необходимо выделить этот объект и воспользоваться пунктом меню или кнопкой панели инструментов Properties (Свойства). Если в системе запущена программа
Process Explorer
, а выделенный исполняемый файл используется каким-либо активным процессом, то при выборе в меню Entry (Элемент) пункта
Process Explorer (Process Explorer) откроется диалоговое окно свойств процесса, использующего выделенный объект.
Чтобы перейти к разделу реестра или каталогу файловой системы, который отображается в окне программы, либо к настройке объекта, запускаемого автоматически, достаточно выделить нужный элемент и воспользоваться командой меню или кнопкой панели инструментов Jump (Перейти).
Чтобы отключить объект, запускаемый автоматически, нужно снять соответствующий ему флажок. Удалить такой объект можно с помощью команды меню или кнопки панели инструментов Delete (Удалить).

11
Чтобы просмотреть автоматически запускаемые элементы для учетных записей других пользователей, достаточно выбрать нужный пункт меню User
(Пользователь).
Дополнительные сведения по параметрам отображения и другую полезную информацию можно найти в оперативной справке.
Использование программы Autorunsc
Autorunsc — это вариант программы Autoruns для работы в командной строке.
Ниже приведен синтаксис использования этого средства.
Использование: autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-
o] [-p] [-r] [-s] [-v] [-w] [[-z ] | [пользователь]]]
-a показывать все элементы;
-b объекты, исполняемые на ранних стадиях загрузки;
-c записать выходные данные в CSV-файл;
-d библиотеки DLL инициализации приложений;
-e надстройки Explorer;
-g мини-приложения (гаджеты) боковой панели;
-h перехватчики файлов-образов (Image hijacks);
-i дополнительные компоненты Internet Explorer
-l элементы, автоматически запускаемые при входе в систему
(этот параметр используется по умолчанию);
-m не показывать элементы с цифровой подписью Microsoft;
-n поставщики протокола Winsock;
-p драйверы монитора печати;
-r поставщики LSA;
-s службы в режиме автоматического запуска и неотключенные драйверы;
-t назначенные задания;
-v проверять цифровые подписи;
-w элементы Winlogon;
-x печатать вывод в формате XML;
-z задать для сканирования неактивную систему Windows; пользователь показывать автоматически запускаемые объекты для указанной учетной записи пользователя.
7. BgInfo
Эта полностью настраиваемая программа автоматически генерирует фоновые рисунки рабочего стола, включающие важную информацию о системе, такую как IP-адреса, имя компьютера, сетевые адаптеры и многое другое.
Программа BGInfo (сокращение от «Основные сведения» (Background
Information)), запрашивает рабочую станцию или сервер Windows® на предмет основных данных – от сетевых данных (IP-адрес, маршрутизатор, имя домена,
MAC-адрес) до программного обеспечения и оборудования (имя компьютера, память, версия ОС, уровень пакета обновления). Затем программа выводит все данные на рабочий стол как часть фонового рисунка, и, таким образом, информация очень хорошо видна и не мешает работе.

12
8. CacheSet
CacheSet — это приложение, позволяющее управлять параметрами рабочего набора кэша файлов системы. В отличие от CacheMan, CacheSet работает во всех версиях ОС NT и будет работать без изменений в последующих выпусках пакетов обновления. Помимо контроля минимального и максимального размеров рабочего набора, эта программа позволяет сбрасывать рабочий набор кэша таким образом, что впоследствии он увеличивается в размере по требованию с заданной исходной точки. Есть и другое отличие от CacheMan: изменения размера кэша, внесенные при помощи CacheSet, вводятся в действие незамедлительно. Вместе с приложением поставляется его полный исходный код.
Программа CacheSet помогает настроить производительность размера кэша системы путем коррекции внутренних переменных.
Примечание. Для эксплуатации CacheSet в NT 4.0 с пакетом обновления 4 и в последующих версиях этой ОС необходима привилегия «Increase Quota»
(Увеличение квоты) (в учетных записях администраторов эта привилегия предусмотрена по умолчанию). Обновление программы CacheSet позволяет задействовать эту привилегию при наличии пакета обновления SP4
Установка и применение
Программа CacheSet работает во всех выпущенных версиях NT. После запуска программа выводит текущий размер кэша файлов системы (он обновляется два раза в секунду) и его пиковый размер (максимальное значение с момента последней перезагрузки); кроме того, она позволяет установить новый минимальный и максимальный размеры рабочего набора.
Установка новых размеров
Указав новые значения минимального и максимального размеров, нажмите кнопку «Применить». Возникновение ошибки свидетельствует об одном из следующих обстоятельств: введенный максимум меньше минимума; введенный минимум меньше минимально допустимого размера рабочего набора системы; введенный максимум больше максимально допустимого размера рабочего набора системы. Измените введенные значения и повторите попытку.
После этого, как вы сможете заметить, размер кэша сразу изменится, а затем начнет быстро уменьшаться или, наоборот, прирастать. Дело в том, что раз в секунду система автоматически урезает рабочие наборы. Освобожденные страницы кэша, которые остаются в памяти, зачастую быстро передаются другим программам, которым нужна память в большем объеме. Аналогичным

13 образом, возврат страниц в кэш происходит при доступе приложений к данным файловой системы.
Сброс предыдущих значений
Можно в любое время восстановить рабочий набор значений Cache, который был активным при последнем запуске CacheSet, путем нажатия кнопки «Reset»
(Сброс).
Очистка рабочего набора КЭШа
Чтобы в принудительном порядке освободить все страницы кэша, нажмите кнопку «Очистить». Имейте в виду, что кэш может вновь увеличиться в размере согласно текущим потребностям; поэтому следует отличать эту операцию от сброса (flushing) кэша — в данном случае ранее назначенные кэшу страницы становятся доступными для других программ и при необходимости могут быть возвращены в кэш.
Интерфейс командной строки
Позволяет указать значения минимального и максимального размеров рабочего набора в командной строке CacheSet. CacheSet введет новые значения в действие без подтверждения. Следовательно, программу CacheSet можно ввести в группу программ «Start» (Пуск), и в этом случае каждый раз при загрузке размер кэша будет устанавливаться автоматически.
Синтаксис
: CacheSet [минимальный размер рабочего набора] [максимальный размер рабочего набора]
Принцип работы
В программе CacheSet вызов функции NtQuerySystemInformation применяется для получения данных о настройках кэша, а функции NtSetSystemInformation
— для установки новых размеров. Исходя из сведений о рабочем наборе процесса диспетчер памяти NT принимает решение о том, сколько страниц физической памяти следует передать приложению. В связи с этим в определенных условиях диспетчер памяти может увеличить рабочий набор сверх максимума или, наоборот, сократить ниже минимума. В то же время, параметры определяют общие принципы распределения памяти, а значит, и скорость отклика приложения. Применительно к CacheSet в роли приложения выступает кэш файловой системы.
NtSetSystemInformation осуществляет внутренний вызов функции
MmAdjustWorkingSetSize, которая либо увеличивает, либо уменьшает рабочий набор приложения. Если функции MmAdjustWorkingSetSize передается третий параметр, равный единице, корректируется рабочий набор системного кэша; в противном случае выполняется коррекция текущего процесса
(информационные вызовы системы распространяются только на системный кэш). Передача значений минимального и максимального размера, равных -1, приводит к выполнению функцией MmAjustWorkingSetSize операции очистки рабочего набора — иными словами, из рабочего набора приложения освобождаются все страницы.