- Содержание статьи
- Advanced IP Scanner
- NetWrix Inactive Users Tracker
- WinAudit Freeware
- Учет компьютеров с помощью CheckCfg
- MailArchiva Open Source Edition
- Performance Analysis of Logs
- Создаем точку доступа с Virtual Router
- INFO
- Управление RDC-подключениями — RDCMan
- Free Active Directory Tools
- Comodo Time Machine
- Amanda
- WWW
- Core Configurator 2. 0 for Server Core
- Exchange 2010 RBAC Manager
- PowerGUI
- Multi-Tabbed PuTTY
- INFO
- Заключение
- Windows subsystem for Linux
- PowerShell для Linux
- Vim
- Htop
- Git
- GitLab
- SystemRescueCD
- Clonezilla
- Docker
- Wireshark
- TightVNC
- Zenmap
- Filezilla
- Kubernetes
- Выводы
- Интро
- WARNING
- Autoruns
- Process Explorer
- Unlocker
- AVZ
- 1. Wireshark и Microsoft Message Analyzer
- 2. Clonezilla
- 3. PowerShell ISE и его аддоны
- 4. R SAT для Windows 10
- 5. Инструменты Sysinternals
- System Monitor
- AccessChk
- Autoruns
- Process Explorer
- Process Monitor
- 6. 7-zip
- 7. Notepad ++
- 8. Netwrix Account Lockout Examiner
- 9. Process Hacker
- 10. PuTTy
- Используете что-то другое? Делитесь своими находками в комментариях 🙂
Содержание статьи
Встроенные средства администрирования ОС не всегда удобны или зачастую не обладают достаточным функционалом, поэтому арсенал сисадмина со временем пополняется полезными утилитами, надстройками и скриптами, которые существенно упрощают повседневные задачи. Вдвойне отрадно, когда найденное решение не только помогает справиться с определенной проблемой, но и распространяется на безвозмездной основе.
Advanced IP Scanner
NetWrix Inactive Users Tracker
WinAudit Freeware
WinAudit — бесплатная утилита от компании Parmavex Services
, позволяющая произвести полный аудит системы. Не требует установки, может выполняться в режиме командной строки. Программа обладает простым и локализованным интерфейсом, поддерживается запуск на всех версиях Windows, в том числе 64-битных. Сбор данных занимает примерно минуту (продолжительность процесса может варьироваться в зависимости от операционной системы и конфигурации компьютера), результирующий отчет состоит из 30 категорий (поддается настройке). В результате админ может получить данные о системе, установленном ПО и обновлениях с указанием версии и вендора, подключенных устройствах; список открытых сетевых портов (номер, сервис, программа и прочее) и открытых папок; активные сессии; установки безопасности; права доступа к периферии; информацию об учетных записях и группах; список задач/сервисов; программы в автозапуске; записи журналов и системную статистику (uptime, использование памяти, дисков). Также можно задать поиск определенных файлов по имени. Например, чтобы найти музыку и видео на жестких дисках пользователя, достаточно задать соответствующие расширения (avi, mp3 и тому подобные). Результат можно открыть как веб-страницу, экспортировать в файл многих популярных форматов (txt, XML, CSV, PDF) или в базу данных (при помощи мастера, поддерживаются все популярные: MS SQL, MS Access, MySQL, Oracle и другие), отправить по e-mail и распечатать.
Учет компьютеров с помощью CheckCfg
Проблема учета оргтехники и используемого ПО остро стоит в любой организации. Решить ее можно разными способами, один из вариантов предлагает разработчик Андрей Татуков CheckCfg
. Это решение периодически собирает данные о железе, ОС и программах, включая тип CPU, объем ОЗУ, место на дисках, состояние S. M. A. R. T. и прочее. При этом CheckCfg легко справляется с несколькими сотнями компьютеров. Результат выводится в удобной древовидной форме, к локальным каталогам легко получить доступ. Каждому ПК может присваиваться инвентаризационный номер, при необходимости легко сгенерировать отчет в RTF-формате.
MailArchiva Open Source Edition
Некоторые почтовые серверы, вроде MS Exchange, имеют функции архивирования почты, позволяющие при необходимости найти старые сообщения, в том числе и чтобы выявить утечку конфиденциальной информации при расследовании инцидентов. В остальных случаях приходится обеспечивать данные функции самостоятельно. Вариантом решения является разработка компании MailArchiva
, совместимая с большинством современных почтовых серверов (Lotus Domino, MS Exchange, MDaemon, Postfix, Zimbra, Sendmail, Scalix, Google Apps). Поддерживается архивирование по протоколам SMTP, IMAP/POP3, WebDAV и через Мilter (программа имеет встроенный SMTP- и Milter-сервер, IMAP/POP-клиент). Чтобы не собирать всю почту, можно создавать любые правила архивации. Реализовано три уровня доступа к сохраненным данным — пользователь (только своя почта), администратор (настройки и своя почта) и аудитор (вся почта, можно ограничить правилами). В Open Source версии MailArchiva
также реализованы функции интуитивного поиска, в том числе во вложениях (Word, PowerPoint, Excel, OpenOffice, PDF, RTF, ZIP, tar, gz). Работает MailArchiva на Windows, Linux, FreeBSD и Mac OS X.
Performance Analysis of Logs
В случае проблем с производительностью системы обнаружить узкое место при помощи штатного Windows Performance Monitor, не имея опыта, довольно сложно. Для того чтобы разобраться, какие метрики нужно снимать и как правильно интерпретировать результат, потребуется тщательно прошерстить документацию. Утилита PAL (Performance Analysis of Logs, pal.codeplex.com) заметно упрощает поиск «бутылочного горлышка». После запуска она просматривает журналы и анализирует их при помощи встроенных шаблонов. В настоящее время имеются настройки для большинства популярных продуктов MS — IIS, MOSS, SQL Server, BizTalk, Exchange, Active Directory и других. После запуска администратор в мастере PAL Wizard активирует нужные счетчики, просто выбрав шаблон из списка предложенных, указывает текущие настройки сервера (количество CPU и прочие), интервал анализа и каталог для сохранения результата. Через некоторое время будет выдан подробный отчет в HTML и XML, содержащий описание, имя счетчика и показатели (Min, Avg, Max и Hourly Trend). Отчет затем можно легко скопировать в любой документ. Но разбираться далее в собранных параметрах придется все равно самостоятельно. Хотя если PAL показывает, что характеристика находится в зеленом секторе, волноваться не стоит. Сам запрос сохраняется в скрипте PowerShell PAL.ps1, который можно сохранить для дальнейшего использования. Шаблоны представляют собой XML-файлы; взяв за пример любой из них, можно создать свой вариант. Для редактирования параметров в шаблоне предлагается встроенный редактор PAL Editor.
Официально поддерживается Win7, но работает на всех ОС от MS, начиная с WinXP (32/64). Для установки понадобится PowerShell v2.0+, MS . NET Framework 3.5SP1 и MS Chart Controls for Microsoft . NET Framework 3.5.
Создаем точку доступа с Virtual Router
Ситуация, когда компьютер с Wi-Fi-картой необходимо превратить в точку доступа, сегодня отнюдь не редка. Например, нужно быстро развернуть WLAN или расширить зону покрытия Wi-Fi. Изначально работа беспроводной карты предусматривалась только в одном из двух режимов: точка — точка, когда клиенты подсоединяются друг к другу, или как точка доступа. В Win7/2k8 (кроме Win7 Starter Edition) появилась возможность виртуализировать сетевые соединения (технология Virtual Wi-Fi), позволяющая создавать несколько Wi-Fi-модулей со своими настройками при использовании одного физического Wi-Fi-адаптера. Таким образом компьютер может быть подключен к Wi-Fi и в то же время выступать в качестве точки доступа (SAPoint, Software Access Point). Соединение с таким виртуальным хот-спотом защищено при помощи WPA2. Превратить ПК под управлением Win7/2k8R2 в точку доступа можно при помощи консольной утилиты Netsh, через Центр управления сетями и общим доступом, либо воспользовавшись приложением Virtual Router
, обладающим интуитивно понятным GUI и очень простыми настройками. После запуска Virtual Router нужно лишь указать SSD и пароль для подключения, а затем активировать точку доступа. При необходимости остановить работу хот-спота можно также нажатием одной кнопки. Дополнительно в окне отображаются текущие подключения к точке, для каждого можно задать свой значок и изменить некоторые параметры.
INFO
Альтернативой Virtual Router является Сonnectify
, Lite-версия которой хотя и ограничена в возможностях, но предоставляет все необходимое. Также можно посмотреть в сторону mhotspot
.
Управление RDC-подключениями — RDCMan
Для удаленного управления серверами и ПК, работающими под управлением Windows, предназначена оснастка Remote Desktop Connection. Если необходимо устанавливать много RDP-соединений с различными настройками, то работать с ней становится неудобно. Вместо методичного сохранения индивидуальных настроек для каждого удаленного компьютера можно использовать бесплатный инструмент Remote Desktop Connection Manager RDCMan
, автоматизирующий этот процесс. После запуска следует указать настройки RDP-подключения, которые будут использоваться по умолчанию и наследоваться всеми соединениями. Здесь задаем общие учетные данные, шлюз, установки экрана, параметры безопасности и многое другое. Далее создаем нужное количество групп систем (например, по назначению, расположению, версии ОС), для каждой из них можно указать специфические настройки соединения. И последний шаг — заполнение групп системами. Для добавления сервера следует ввести лишь доменное имя, если любой параметр будет отличаться от настроек групп, его можно тут же переопределить. При необходимости системы легко перемещаются между группами простым перетаскиванием. Если систем много, проще создать текстовый файл, указав по одному имени в строке, после чего скормить заготовку утилите. Теперь, чтобы подключиться, достаточно выбрать нужный сервер и в контекстном меню щелкнуть пункт «Connect». Можно одновременно активировать несколько соединений и переключаться между ними.
Free Active Directory Tools
Comodo Time Machine
Возможность восстановления системы при помощи компонента System Restore заложена в Windows, начиная с ХР, но его функциональность, мягко говоря, ограничена, поэтому для бэкапа часто используют сторонние приложения. Бесплатная утилита Comodo Time Machine (comodo.com) позволяет сделать откат ОС до любого предыдущего состояния. Причем она будет работать даже в том случае, когда ОС совсем перестала загружаться. В процессе CTM создает точки восстановления (вручную или по расписанию), в них заносятся все измененные системные файлы, реестр, а также файлы пользователя. Это большое преимущество по сравнению с System Restore, который сохраняет и восстанавливает только системные файлы и реестр. Максимальный размер имеет первая копия, остальные копии хранят лишь измененные файлы. С целью экономии свободного дискового пространства следует периодически создавать новую контрольную точку, удаляя старые архивы. Для возможности восстановления ОС информация о CTM прописывается в загрузочный сектор; чтобы вызвать соответствующее меню, достаточно нажать клавишу Home. Восстанавливать состояние ОС можно также по расписанию, например настроить поведение утилиты так, чтобы при каждой перезагрузке производился автоматический откат к «чистой» версии системы. Это будет полезно, например, в интернет-кафе, где пользователи после себя оставляют в системе много мусора. Кроме полного восстановления ОС, утилита предоставляет возможность получить из архива более раннюю версию любого файла. Реализован поиск, поэтому найти нужные данные можно без проблем.
Amanda
Задачу централизованного резервного копирования данных с рабочих станций и серверов, работающих под управлением Windows и *nix, можно решить при помощи AMANDA
Advanced Maryland Automatic Network Disk Archiver). Изначально программа была создана для работы с ленточными накопителями, но со временем разработчики предложили механизм под названием «виртуальные ленты» (vtapes), позволяющий сохранять собранные данные на жесткие диски и CD/DVD. A MANDA является удобной надстройкой к стандартным Unix-программам dump/restore, GNU tar и некоторым другим, поэтому ее основные характеристики следует рассматривать именно исходя из возможностей этих базовых утилит. Работает по клиент-серверной схеме. Для доступа к компьютерам используются все доступные методы аутентификации: Kerberos 4/5, OpenSSH, rsh, bsdtcp, bsdudp или пароль Samba. Для сбора данных с Windows-систем задействуется специальный агент или, как вариант, Samba. Сжатие и шифрование (GPG или amcrypt) информации можно выполнять как непосредственно на клиенте, так и на сервере. Все настройки параметров резервирования производятся исключительно на сервере, в поставке имеются готовые шаблоны, поэтому разобраться довольно просто.
WWW
На codeplex.com
можно найти большое число весьма полезных утилит.
Инструкция
по запуску Amanda Server на компе под управлением Windows.
Core Configurator 2. 0 for Server Core
Первоначальная настройка сервера, работающего под управлением Win2k8/R2 в режиме Server Core, производится в консоли при помощи команд. Чтобы упростить задачу, разработчики ОС добавили в R2 интерактивный скрипт SCONFIG.cmd, позволяющий настроить основные параметры системы. На Сodeplex доступна альтернатива — замечательный конфигуратор Core Configurator
. Для его работы понадобится наличие компонентов NetFx2-ServerCore, NetFx2-ServerCore и PowerShell. После запуска Start_CoreConfig.wsf получаем меню, в нем находим несколько пунктов, обеспечивающих доступ к основным настройкам, которыми пришлось бы управлять из командной строки: активация продукта, настройка разрешения экрана, часов и временной зоны, сетевого интерфейса, установка разрешений для удаленных RDP-подключений, управление локальными учетными записями, настройки Windows Firewall, включение/отключение WinRM, изменение имени компьютера, рабочей группы или домена, настройка роли, компонентов, Hyper-V и запуск DCPROMO. Если установить флажок «Load at Windows startup», то программа будет загружаться вместе с системой.
Exchange 2010 RBAC Manager
В Exchange 2010 появилась новая ролевая модель доступа, позволяющая тонко контролировать уровень привилегий для пользователей и администраторов в зависимости от выполняемых задач. Единственный минус — встроенные средства управления при помощи командлетов PowerShell не всем могут показаться удобными и понятными. Более развитыми возможностями обладает бесплатный инструмент Exchange 2010 RBAC Manager (RBAC Editor GUI, rbac.codeplex.com), предлагающий понятный графический интерфейс для настройки свойств всех ролей. Разобраться с его особенностями не составит труда даже новичку. Программа написана на C# и использует PowerShell. Для работы понадобится установленный Exchange 2010 Management Tools.
PowerGUI
Едва появившись, командная оболочка PowerShell завоевала симпатии виндовых админов, которые давно нуждались в инструменте, позволяющем автоматизировать многие задачи. С первыми версиями PowerShell разработчики из Microsoft не смогли предложить более-менее функциональный редактор, поэтому нишу заполнили несколько сторонних проектов. Самым лучшим из них на сегодня является PowerGUI
, предоставляющий удобный графический интерфейс для эффективного создания и отладки PowerShell-скриптов. При этом авторы предлагают готовые комплекты сценариев для решения многих задач — их можно использовать в своих разработках.
Multi-Tabbed PuTTY
Свободно распространяемый клиент PuTTY хорошо известен админам, которым необходимо подключаться к удаленным хостам по протоколам SSH, Telnet или rlogin. Это очень удобная программа, позволяющая сохранить настройки сессий для быстрого подключения к выбранной системе. Единственное неудобство — при большом количестве подключений рабочий стол получается загружен множеством открытых окон. Эту проблему решает надстройка Multi-Tabbed PuTTY
, реализующая систему вкладок.
INFO
Изначально PuTTY разрабатывался для Windows, однако позднее был портирован на Unix.
Заключение
Часто нет необходимости ломать голову над решением определенной проблемы: скорее всего, другие администраторы с ней уже столкнулись и предложили свой вариант — конкретную утилиту или скрипт, за который даже не нужно платить.
Всем системным администраторам, независимо от того, администрируете вы Windows или Linux нужен определенный набор программ, инструментов и утилит, которые помогут справиться с непредвиденной ситуацией, проанализировать систему или облегчат решение повседневных задач. Существует очень много таких решений, в том числе и с открытым исходным кодом.
В этой статье мы рассмотрим лучшие программы для системного администратора 2016, которые вы можете использовать в своей работе. В нашем списке будут не только обычные утилиты и программы для определенной операционной системы, но и целые образы. А теперь перейдем к нашему списку.
Windows subsystem for Linux
В последнее время компания Microsoft начала более лояльно относится к Linux, для упрощения работы системных администраторов и разработчиков была выпущена подсистема Windows для Linux, которая позволяет запускать программы Linux в Windows. Это больше чем эмулятор, WSL позволяет запускать окружение Ubuntu прямо в Windows. Это окружение включает оболочку bash и такие популярные утилиты, как sed, awk, grep и другие. Системным администраторам, которым приходится просматривать логи на Windows сервере понравится такая возможность.
PowerShell для Linux
Некоторые системные администраторы в основном работают в Windows, но время от времени должны переключаться на Linux. Чтобы им помочь компания Microsoft портировала PowerShell на Linux. Теперь эта программа распространяется с открытым исходным кодом.
Vim
Хороший текстовый редактор — это один из основных инструментов системного администратора, поскольку во многих ситуациях приходится вносить правки в конфигурационные файлы и важно делать это очень быстро. Редактору Vim недавно исполнилось 25 лет, и он все еще очень активно развивается.
Он выгодно отличается от всех других редакторов тем, что позволяет выполнять редактирование текста и перемещение по нему очень быстро, не отрывая пальцы от основной клавиатуры. Для этого в редакторе реализовано два режима — командный режим, с помощью которого вы можете перемещаться по тексту с помощью буквенных клавиш, а также выполнять различные команды. Второй режим — редактирование, в котором программа превращается в обычный редактор.
Htop
Мониторинг нагрузки на операционную систему — это тоже очень важная задача, которая стоит довольно часто перед системными администраторами. Например, если нужно очень срочно выяснить какая программа перегружает процессор или занимает всю доступную оперативную память. Утилита htop показывает в реальном времени список всех запущенных процессов с возможностью сортировки по нужному параметру, использованию процессора, памяти.
Кроме того, с помощью утилиты можно посмотреть количество потоков ядра процессора, на котором запущенна программа и многое другое. Это одна из самых важных утилит в списке программ системного администратора. Программа работает только в Linux системах.
Git
Контроль версий имеет очень важное значение не только в программировании. Для различных скриптов, конфигурационных и обычных текстовых файлов тоже может быть очень полезным восстановить предыдущую версию.
Изначально система Git была разработана Линусом Торвальдстом для управления разработкой ядра Linux.
Но на сегодняшний день это полноценная платформа, которой пользуется очень большое количество проектов
с открытым исходным кодом. Но она также может быть полезной в сохранении старых версий ваших конфигурационных файлов.
Последняя на данный момент версия — это 2.10, в которой есть много полезных функций. Например, с помощью команды git diff вы можете узнать какие именно строки и в каких файлах были изменены, удаленные строки будут зачеркнуты. Программа может использоваться в Windows и в Linux.
GitLab
Git хорош сам по себе, но он будет намного лучше вместе с системой организации рабочего процесса. Платформа GitLab позволяет решить все эти проблемы. Она имеет как онлайн сервис, так и платформу, которую можно установить на свой сервер. Это отлично подходит для планирования развития инфраструктуры без необходимости полагаться на внешний сервис.
SystemRescueCD
Компьютеры не всегда работают как нужно и имеют обыкновение ломаться. Отличная практика для системных администраторов — это иметь компакт диск или USB диск с набором инструментов, которые помогут восстановить систему или хотя бы данные с проблемных компьютеров.
SystemRescueCD — это активно развивающийся набор утилит для системного администратора на все случаи жизни. Это загрузочный дистрибутив Linux, основанный на Gentoo, который содержит различные инструменты для проверки аппаратного обеспечения, разметки диска, восстановления данных, проверки компьютера на вирусы, настройки сети и многое другое.
В 2016 году были выпущены версии 2.8 и 2.9. В этих версиях образ получил обновления различных компонентов, включая добавление поддержки инструментов для работы с btrfs.
Clonezilla
Иногда лучше не восстанавливать систему с нуля, а иметь резервную копию всей машины, чтобы иметь возможность вернуть систему к жизни за несколько минут. Clonezilla — это де-факто стандарт для создания резервных копий и развертывания образов систем на диск. Вы можете создавать резервные копии, как для отдельных разделов, так и для всего диска целиком.
Программа может использоваться из текущей системы или в виде загрузочного образа с псевдографическим интерфейсом — Clonezilla Live. После того как у вас будет готовая копия, вы можете очень просто восстановиться после неудачной конфигурации или обновления.
В последней версии была добавлена поддержка обнаружения зашифрованных с помощью Windows BitLocker томов, улучшена поддержка EFI, а также обновлено все программное обеспечение до последних версий Debian.
Docker
Контейнеры — это изолированные окружения, которые позволяют запускать несколько систем на одном ядре Linux. Все системы изолированы одна от другой, а также от основной системы. Инструмент настройки контейнеров Docker очень сильно посодействовал развитию контейнеров в 2016 году.
Docker — это открытая платформа, которая позволяет буквально в несколько команд развернуть контейнеры с нужными дистрибутивами Linux и выполнять в них необходимое программное обеспечение. С помощью Docker вы можете упаковать отдельное приложение со всеми его зависимостями, а затем запускать в любом дистрибутиве, где поддерживается Docker.
Вы можете создавать свои программы и обмениваться ими с другими пользователями. Docker позволяет компаниям выбирать систему, в которой будет работать программное обеспечение, не ограничивая разработчиков в инструментах и языках программирования.
В последних версиях Docker была добавлена возможность проверки состояния контейнера и автоматического восстановления в случае проблем, а также теперь контейнеры Docker могут работать не только в Linux,
но и в Windows.
Wireshark
Wireshark — это инструмент для анализа, проходящего через компьютер трафика и сохранения сетевых пакетов. Такая задача может возникнуть при анализе работоспособности сети, сетевых сервисов или веб-приложений. Программа поддерживает огромное количество протоколов, может даже расшифровывать HTTPS трафик при наличии ключа.
Вы можете фильтровать весь трафик по нужным параметрам, сортировать пакеты, просматривать их содержимое и полную информацию, а также многое другое.
Новая версия программы Wireshark 2.0 была выпущена в 2015 году, с тех пор она активно развивается уже в этой ветке. Ее интерфейс был переписан на Qt5, а также сделан более интуитивно понятным.
TightVNC
TightVNC позволяет получить доступ к графическому интерфейсу на удаленном компьютере. С помощью этой программы вы можете управлять компьютером удаленно, фактически, не находясь перед ним. Обычно администраторы управляют серверами Linux через ssh, однако, некоторые пользователи предпочитают использовать графический интерфейс для решения таких задач.
У программы есть возможность шифровать трафик VNC, таким образом, делая его безопасным, точно так же, как и ssh. TightVNC может работать как в Linux, так и в Windows. Затем вы сможете получить доступ к вашему устройству
с любого места, где есть интернет.
Zenmap
Zenmap — это графический интерфейс для популярного сетевого сканера — nmap. С помощью этого инструмента вы можете очень быстро найти все подключенные к сети узлы, проверить топологию сети, а также посмотреть список запущенных служб на каждом из компьютеров.
Также с помощью программы вы можете найти потенциально опасные места в настройке серверов, многими администраторами она используется для проверки доступности узлов или даже измерения времени аптайма.
Filezilla
Наш список утилит для системного администратора подходит к завершению. Во время администрирования серверов достаточно часто приходится передавать файлы. Обычно эта задача выполняется по протоколу FTP. Filezilla — это один из лучших и самых популярных клиентов для передачи и загрузки файлов по FTP. Интерфейс программы разделен на две панели, в одной из них вы видите локальный компьютер, а в другой удаленную файловую систему FTP сервера.
Интерфейс программы интуитивно понятен, и ее можно использовать в Windows, Linux и MacOS.
Kubernetes
Для управления контейнерами лучше использовать специальный инструмент — Kubernetes. Платформа позволяет создавать кластеры контейнеров буквально в две команды. С помощью панели управления можно решить 90% возникающих задач. Установить Kubernetes можно с помощью пакетного менеджера вашего дистрибутива, например yum или apt-get.
Выводы
В этой статье мы рассмотрели программы для системного администратора 2016, которые могут вам очень сильно помочь в администрировании вашей экосистемы компьютеров. А какими инструментами вы пользуетесь? Напишите в комментариях!
Обнаружили ошибку в тексте? Сообщите мне об этом. Выделите текст с ошибкой и нажмите Ctrl+Enter.
Интро
Каждому сисадмину приходится иногда обслуживать компьютеры знакомых или совершать надомные выезды. В этом деле ему помогает проверенный набор утилит. Наш обзор расскажет только о бесплатных, не требующих установки и ставших стандартом де-факто.
WARNING
Использование системных утилит требует понимания логики их работы и устройства самой ОС. Ознакомься со справкой прежде, чем вносить изменения в реестр и вмешиваться в работу активных процессов.
Autoruns
Эта программа стала визитной карточкой Марка Руссиновича и фирмы Winternals Software (более известной по имени сайта — Sysinternals.com), давно поглощенной Microsoft. Сейчас она по-прежнему развивается автором, но юридически принадлежит техническому отделу Microsoft. Текущая версия 13.3 написана в апреле 2015 года. С v.13.0 программа стала не просто удобнее, она получила ряд новых функций, в частности средства расширенной фильтрации, интеграцию с другими системными утилитами и онлайновыми сервисами.
Autoruns отображает самый полный и самый подробный список компонентов автозапуска независимо от их типа. Утилита показывает способы загрузки всех драйверов, программ (включая системные) и их модулей по разделам реестра. Она даже формирует список всех расширений проводника Windows, панели инструментов, автоматически запускаемых служб и многих других объектов, обычно ускользающих от подобных программ.
Цветовая маркировка помогает быстро определить в списке из сотен записей стандартные компоненты, которые имеют цифровую подпись Microsoft, подозрительные файлы и ошибочные строки, которые ссылаются на несуществующие файлы. Чтобы отключить возможность автозапуска любого компонента, достаточно снять флажок напротив него слева.
Часть компонентов автоматически загружается только при входе в систему под определенной учетной записью. В Autoruns можно выбрать записи, соответствующие каждому аккаунту, и просмотреть их отдельно.
Внимания заслуживает и режим командной строки. Он исключительно удобен для экспорта списка элементов автозапуска в текстовый файл, создания расширенных отчетов и выборочной антивирусной проверки всех подозрительных объектов. Полную справку можно прочесть на сайте
, здесь же приведу пример типовой команды:
autorunsc -a blt -vrs -vt > C:\Autor.log
Здесь autorunsc
— модуль программы, запускаемый в режиме командной строки. Ключ -a
указывает, что после него перечислены объекты для проверки. В примере их три: b — boot execute (то есть все, что загружается после старта системы и до входа пользователя); l — logon, компоненты автозагрузки определенного пользователя и t — запланированные задания. Если вместо перечисления blt указать астериск ( *
), то будут проверены все объекты автозапуска.
Ключи -vrs
и -vt
указывают режим работы с онлайновым сервисом VirusTotal. Первый набор задает отправку только тех файлов, у которых отсутствует цифровая подпись Microsoft и которые ранее не проверялись. Если хотя бы один антивирус из полусотни сочтет файл вредоносным, подробный отчет откроется в отдельной вкладке браузера. Второй набор ключей нужен для того, чтобы каждый раз не открывалась вкладка с пользовательским соглашением сервиса VirusTotal и не приходилось подтверждать согласие с ним.
Отчет Autorunsc обычно получается значительным по объему (десятки и сотни килобайт), поэтому читать его на экране неудобно, поэтому в примере вывод перенаправляется в лог-файл. Это обычный текстовый формат в кодировке UCS-2 Little Endian. Вот пример записи из него с одним ложноположительным срабатыванием:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Adobe ARM
"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Adobe Reader and Acrobat Manager
Adobe Systems Incorporated
1.801.10.4720
c:\program files (x86)\common files\adobe\arm\1.0\adobearm.exe
20.11.2014 21:03
VT detection: 1/56
VT permalink: (ссылка на отчет VirusTotal).
Process Explorer
Версия программы Autoruns с графическим интерфейсом может работать вместе с другой утилитой того же автора — Process Explorer (PE). Если сначала запустить PE, а затем Autoruns, то в меню последней появляются дополнительные пункты о просмотре свойств каждого активного процесса из меню автозапуска.
В настройках PE можно указать желаемый способ отображения всех активных процессов: простой перечень с сортировкой по имени или степени загрузки ЦП либо древовидный список с указанием зависимостей. Там же задается опция, которая позволяет проверять неизвестные файлы (определяются по хешу) в VirusTotal. Если ее включить, то через некоторое время справа появится результат проверки. Все объекты, на которые ругается хотя бы один антивирус, будут выделены красным.
При нажатии окно делится по горизонтали, а в нижней части отображается полная информация о выбранном процессе и его действиях в системе. Нажатие вызовет дополнительное окно с индикаторами загрузки ЦП, ГП, ОЗУ, интенсивности операций ввода/вывода, использования накопителей и сети. Для каждого компонента отображается общая нагрузка и самый ресурсоемкий процесс. Для ГП показывается даже процент занятой видеопамяти и нагрузка на каждый чип, если их несколько. Сейчас это особенно актуально, так как многие (вредоносные) программы активно используют видеокарты для неграфических вычислений. Особенно такое поведение характерно для троянских майнеров криптовалют.
По правому клику на любом процессе из списка PE появляется контекстное меню. Оно дублирует все функции встроенного диспетчера задач и добавляет несколько новых. В частности, можно одним кликом отправить соответствующий подозрительному процессу файл на анализ в VirusTotal, выполнить поиск его описания в интернете, сделать дамп или приостановить (suspend) выполнение. Поставленный на паузу процесс перестает реагировать на любые команды (включая внутренние), и его становится легче анализировать. После того как с ним разобрались, можно отправить через Process Explorer команду «возобновить» (resume). Разумеется, без острой необходимости так не стоит делать с системными процессами и утилитами, выполняющими низкоуровневые операции. Перепрошивка BIOS/UEFI, изменение разметки диска, выравнивание разделов и другие подобные операции лучше не прерывать.
Обычно в заголовке каждого окна указано название породившего его приложения, но бывает, что они остаются безымянными. Это особенно характерно для троянов, которые имитируют работу известных программ или маленьких диалоговых окон с кодами ошибок. В Process Explorer есть удобная функция «найти процесс по окну». Достаточно нажать эту кнопку на верхней панели и, удерживая левую клавишу мыши, перенести курсор в область странного окна. В таблице PE автоматически выделится соответствующий ему процесс.
Unlocker
Без сомнений, Марк Руссинович — настоящий гуру среди авторов системных утилит для Windows, но его программы создавались как универсальные инструменты. Иногда стоит воспользоваться более узкоспециализированными средствами. Такими, как творение французского программиста Седрика Коллома (Cedrick Collomb). Его крохотная утилита Unlocker умеет делать только одно: разблокировать занятый каким-либо процессом объект файловой системы, чтобы вернуть контроль над ним. Хоть последняя версия вышла в 2013 году, программа до сих пор выполняет свои функции лучше всех аналогов. Например, она позволяет выгружать из памяти динамические библиотеки, удалять файл index.dat, работать с запрещенными в Windows именами файлов и выполнять большинство действий без перезагрузки.
Unlocker определяет дескрипторы запущенных процессов, которые в данный момент блокируют работу с нужным файлом или каталогом. Такая блокировка требуется для исключения взаимных влияний приложений в многозадачной среде. При нормальном функционировании ОС и программ она исключает случайное удаление используемых файлов, но иногда бывают ошибки. В результате одной из них приложение может зависнуть либо остаться в памяти после закрытия окна. Тогда объект файловой системы может оставаться заблокированным и после того, как в этом исчезнет необходимость.
Сегодня список активных процессов у рядового пользователя начинается от полусотни, поэтому искать среди них зомби можно долго. Unlocker помогает сразу определить, какой процесс блокирует изменение или удаление выбранного файла или каталога. Даже если он не сможет это выяснить из-за ограничений Win32 API, то предложит принудительно выполнить желаемое действие: переименовать, переместить или удалить объект.
Иногда сразу несколько программ могут обращаться к одному каталогу, поэтому среди блокирующих его процессов определяются несколько дескрипторов. В Unlocker есть возможность отменить блокировку всех одной кнопкой.
Начиная с версии 1.9.0 поддерживаются 64-битные версии Windows. Утилита может быть интегрирована в контекстное меню проводника или запускаться в графическом режиме как переносимое приложение. Можно также установить Unlocker Assistant. Он будет висеть в трее и автоматически вызывать Unlocker всякий раз, когда пользователь пытается выполнить манипуляции с заблокированным файлом. Запуск с ключом -h
выведет справку о режиме командной строки. Утилита доступна на сорока языках, хотя особо переводить в ней нечего — все и так интуитивно понятно.
AVZ
Глядя на список возможностей утилиты AVZ, хочется назвать ее аналитической, а не антивирусной. У крохотной программы Олега Зайцева есть множество незаменимых функций, которые облегчают повседневные задачи админа и жизнь продвинутого пользователя. Она поможет выполнить исследование системы, восстановить сбившиеся настройки встроенных компонентов ОС до принятых по умолчанию, обнаружить любые изменения с момента прошлого аудита, найти потенциальные проблемы безопасности, удалить из SPI Winsock троянские компоненты и восстановить подключение к интернету, выявить странное поведение программ и обнаружить руткиты уровня ядра.
Известные зловреды лучше удалять с помощью других антивирусных сканеров. A VZ пригодится для борьбы с неизвестным злом, поиска дыр, через которые оно может просочиться, и устранения последствий заражения. В большинстве случаев AVZ позволяет обойтись без переустановки ОС даже после тяжелой вирусной атаки.
Использовать AVZ можно как портативное приложение, но полный набор функций утилиты раскроется лишь в том случае, если установить AVZPM — собственный драйвер режима ядра. Он контролирует все модули, драйверы и активные приложения, позволяя легко выявлять маскирующиеся процессы и любые технологии подмены их идентификаторов.
AVZGuard — еще один драйвер режима ядра, который можно активировать из меню AVZ. Он разграничивает доступ активных процессов, подавляя антиантивирусную активность на зараженном компьютере. Такой подход позволяет запустить из окна AVZ любое приложение (в том числе другой антивирус) в защищенном режиме.
Одной из хитрых технологий противодействия у вредоносных программ остается метод блокировки своих файлов и воссоздания удаляемых антивирусом элементов при следующей загрузке ОС. Вручную она частично обходится с помощью Unlocker, но у AVZ есть своя технология — Boot Cleaner. Это другой драйвер режима ядра, который расширяет возможности встроенной в Windows функции отложенного удаления при перезапуске. Он загружается раньше, протоколирует результаты работы и может удалять записи реестра, равно как и файлы.
Сам антивирусный сканер AVZ тоже имеет множество ноу-хау. Он способен проверять альтернативные потоки NTFS и ускорять проверку за счет исключения из нее файлов, опознанных как безопасные по каталогу Microsoft или собственной базе. Все угрозы можно искать по определенным типам — например, сразу исключить категорию HackTool. Есть отдельные модули для поиска клавиатурных перехватчиков, открытых троянскими конями портов и поведенческого анализа. A VZ позволяет копировать подозрительные и удаляемые файлы в отдельные папки для их последующего детального изучения.
Требование присылать отчеты AVZ и его модуля «Исследование системы» стали стандартной практикой на многих форумах вирусологов, куда обращаются за помощью в решении нетривиальных проблем.
Разумеется, аптечка опытного админа может насчитывать не один десяток программ, но для решения большей части задач хватит и этих четырех утилит. Остальные ты легко найдешь в подборках по указанным в начале ссылкам.
Набор для управления, наблюдения, бэкапа и диагностики Windows Server, который облегчит работу системных администраторов
.
1. Wireshark и Microsoft Message Analyzer
Утилита
отслеживания сетевого потока данных. Она работает с основными протоколами, имеет чистый интерфейс на GTK
и мощную систему фильтров. Программа работает на Linux
, Solaris
, FreeBSD
, NetBSD
, OpenBSD
, Mac
OS X
и Windows
. Wireshark
показывает подробности сетевых данных. Выявляйте с помощью программы разные проблемы сети.
Microsoft Message Analyzer
захватывает, отображает и анализирует сетевые данные. Изюминка программы – отслеживание системных вызовов, что позволяет сопоставлять поведение установленных приложений с тем, что творится в сети.
Программа подходит для следующих случаев:
- Снимки для анализа безопасности. Захватывайте и сохраняйте данные в сетевом сегменте для нахождения вероятных угроз.
- Диагностика проблем приложений. Программы вроде Скайпа используют разные порты и протоколы. Когда сервер теряет связь с клиентами, создайте снимки попыток соединений в Message Analyzer
и определите возможные помехи. - Диагностика сети и настроек файрвола. Захватывайте данные между машинами. Хост не получает ожидаемого ответа? Определите, где прерывается связь, и не мешает ли файрвол.
2. Clonezilla
Clonezilla
– бесплатный open source инструмент, клонирует диски и виртуальные разделы. Поддерживает системные бэкапы и аварийное восстановление. Доступно два варианта программы: live-версия для одной машины и SE для серверов и больших деплоев.
Сохраняйте резервные копии на внешний USB-диск. Clonezilla
поддерживает файловые системы FAT
, NTFS
, ext2
, ext3
, ext4
, reiserfs
, reiser4
, XFS
, JFS
, JFS
, VMFS
и HFS +
. Она идеальна для одноразовых бэкапов. Единственный минус – Clonezilla
не различает программный RAID
и разбивает его на отдельные устройства.
Версия SE поможет, когда на множестве одинаковых машин отсутствует ОС. Установите операционную систему и нужное ПО на один ПК, сделайте снимок, а затем деплой на остальные машины по сети. Вдобавок Clonezilla SE
бэкапит ночью или в любое другое время.
3. PowerShell ISE и его аддоны
Это интерактивная оболочка на . NET Framework
. Пригодна для автоматизации и управления процессами, а также понимает команды cmd.
Внешним видом и функциональностью PowerShell
похож на cmd. Надстройка Script Browser
позволит вам найти нужные сценарии на TechNet
.
Ещё один полезный аддон – это Script Analyzer
. Он автоматически анализирует скрипты и предлагает изменения.
Установите с помощью следующих команд:
Install-Module -Name Scriptbrowser
Install-Module -Name ISEScriptAnalyzerAddOn
Enable-ScriptBrowser
Enable-ScriptAnalyzer
4. R SAT для Windows 10
Инструменты удалённого управления сервера или RSAT
предоставляют администраторам доступ к Windows Server
и Active Directory
. Он включает в себя:
- Управление сервером.
- Консоль MMC
. - Hyper-V
. - Командлеты PowerShell
. - Инструменты командной строки.
RSAT
переносит утилиты администрирования на обычный десктоп. Нет необходимости использовать удалённый рабочий стол. Это повышает безопасность управления Windows Server
.
5. Инструменты Sysinternals
Набор
пригодится для диагностики проблем и выявления уязвимостей компьютеров под управлением Windows
. В шести категориях около 40 утилит:
- работа с файлами и дисками
- сетевые программы
- процессы
- безопасность
- информация о системе
- разное
System Monitor
Установите эту службу на любой ПК с Windows
. Sysmon
расширяет функции логирования. Он записывает в журнал событий информацию о создании файлов, удалении процессов и сетевых соединениях.
Служба увеличивает количество событий в логе на серверах или десктопах.
AccessChk
Инструмент определяет разрешения групп и пользователей для следующих ресурсов:
- Файлы.
- Директории.
- Реестр.
- Глобальные объекты.
- Службы Windows
.
Уязвимости возникают из-за неправильных разрешений доступа.
Autoruns
Узнайте, какие программы запускаются после загрузки и при входе. Утилита отображает все запуски из папок Startup
, Run
, RunOnce
, а также из ключей реестра. Autoruns
предоставляет информацию о расширениях оболочки проводника, установленных панелях инструментов, вспомогательных объектах браузера, об автоматическом запуске служб и уведомлениях Winlogon
.
Process Explorer
Он позволяет просматривать файлы и пути выполнения процессов. Инструмент показывает производительность ЦП, использование памяти и обрабатывает цифровые подписи.
Process Explorer
работает как альтернатива диспетчеру задач. Он отображает потребление ресурсов, включая память, дескрипторы, объекты и потоки. Замораживайте и уничтожайте выполняющиеся программы с помощью PE
. Используйте интеграцию с VirusTotal
для поиска опасного кода.
Process Monitor
Инструмент содержит информацию о системных файлах, реестре, процессах и потоках. Настройте его на снятие данных активности.
Возможности Process Monitor
:
- Захватывайте информацию процессов: путь, команды, ID
пользователя и сессии, а также нагрузку на сеть. - Подробности служб, утилизация файлов.
- Определяйте ключи реестра с данными приложений.
- Логирование событий.
- Логи операций при загрузке.
- Фильтры поиска.
6. 7-zip
Open source инструмент
обладает малым размером и поддерживает различные алгоритмы сжатия. Работает со всеми распространёнными архивами: zip
, rar
, Gzip
, bzip2
, xz
, tar
и WIM
. Имеет проприетарный формат 7z
с алгоритмом сжатия LZMA
. Программа доступна из консоли с помощью команды p7zip
или через графический интерфейс. Поддерживает интеграцию в проводник и шифрует zip-архивы с помощью AES 256
. Скрывайте названия содержимого в архиве формата 7z
.
7. Notepad ++
Notepad ++
– крутой текстовый редактор. Подходит для работы с кодом. В нём есть подсветка синтаксиса и поддержка регулярных выражений в поиске. Но главное – быстрое время отклика при открытии больших файлов. Редактор поможет сисадминам исследовать длинные логи.
Настройте интерфейс под себя и скройте всё ненужное. Устанавливайте горячие клавиши и функции меню. Notepad++
поддерживает вкладки – работайте с несколькими файлами в одном окне. Другие фичи:
- автоматическое сохранение
- поиск и замена регулярным выражением
- макросы
- множественное редактирование
- разделение экрана и синхронизация прокрутки
- строковые операции, включая сортировку, преобразование регистров и удаление лишних пробелов
8. Netwrix Account Lockout Examiner
Бесплатная утилита
оповещает IT
-администраторов о блокировке учётных записей AD
. Она помогает установить причину для быстрого восстановления нормальных операций. В службу поддержки поступает уведомление со ссылкой на подробности. Выбирайте оповещения для определённых пользователей.
Критические для бизнеса приложения используют служебные учётные записи. Инструмент оповещает администраторов после блокировки для минимизации влияния на бизнес.
9. Process Hacker
Хотите навороченный Task Manager
, который
опережает даже аналог от Sysinternals
:
- Фишка PH
– уведомления о запуске, установке служб и драйверов. Когда устанавливается программа, вы получаете сводку о запускаемых процессах. - Главное окно похоже на аналог в Process Explorer
, но в отличие от PE
, который разбивает информацию, PH
позволяет открывать вкладки кликами по диаграммам в главном окне. PH
показывает имя процессора, общее количество физической памяти. - Он помечает процессы разными цветами в зависимости от типа.
- Доступен поиск по ключевым словам.
- Network
и Disk
– две полезные вкладки с соответствующей информацией о процессах.
Эти функции делают Process Hacker
одним из топовых бесплатных инструментов для сисадминов.
10. PuTTy
PuTTY
– лёгкий и быстрый эмулятор терминала
. Он поддерживает протоколы SSH
, SCP
и rlogin
. Доступен для разнообразных ОС, включая Windows
и Linux
. Поддерживает различные варианты удалённого терминала. PuTTY
позволяет контролировать пользователей с помощью шифрования SHH
, 3DES
, Arcfour
, Blowfish
, DES
или аутентификацией по открытым ключам. Программа поддерживает IPv6
.
В PuTTY
есть клиенты SCP
и SFTP
для командной строки ( pscp
и psftp
). А также plink
– консольная утилита для не интерактивных сессий. PuTTY
– программа для удалённой настройки роутеров, коммутаторов и серверов.