Admin Werkzeuge fuer Profis

Admin Werkzeuge für Profis

Sysinternals Suite – Powertoys für Windows

Nicht jeder mag die Tools von Mark Russinovich. Aber auch derjenige der sie nicht mag wird irgendwann erkennen, aus welchen Anlass heraus die Tools entstanden sind, und wird sie dann doch einsetzen.

Das erinnert mich gerade an die 80er Jahre. Nein, ich höre kein Modern Talking! Und hinter verschlossenen Türen: You my Heart you’re my Soul….

Unter Umständen kann es während oder nach dem Download von PSExec vorkommen, das der Virenscanner Alarm schlägt. Das liegt daran, das Kriminelle das Tool unter anderem dafür einsetzen, um Prozesse mit Systemrechten auszuführen. Das gleiche gilt für pskill.

Windows Sysinternals

Ihr könnt die Tools aber auch direkt ausführen, indem ihr euch die Sammlung im Explorer einbindet.

net use u: https://live.sysinternals.com
net use u: https://live.sysinternals.com /persistent:yes

Anschließend wechselt ihr in das Verzeichnis U:\ listet die Tools mit dem Befehl Dir auf und startet diese direkt.

Hier eine Tabelle aus der hervorgeht, wofür die einzelnen Tools eingesetzt werden können.

Was kann die Sysinternals Suite?

ProgrammnameGUI oder nichtBeschreibung
AccessCHKneinzeigt effektive Berechtigungen von Dateien, Registry-Schlüsseln, Diensten, Prozessen usw.
AccessEnumjazeigt Zugriffsrechte für Ordner und Registry-Schlüssel
CacheSetjaGröße des System File Cache festlegen – Finger weg, das bremst allenfalls
Contigneindefragmentiert einzelne Dateien
Disk usageneinberechnet die Größe eines Ordners mitsamt seiner Unterordner Dateiname: du.exe
Disk2vhdjakopiert den kompletten Inhalt eines physischen Datenträgers inklusive Partitionierung in eine virtuelle Festplatte
DiskExtneinzeigt, auf welche Datenträger ein Volume verteilt ist (kennt allerdings keine Storage Spaces)
Diskmonjaprotokolliert, auf welche Sektoren welcher Datenträger zugegriffen wird
EFSDumpneinsucht in einem Laufwerk oder Ordner nach EFS-verschlüsselten Dateien EFS ist die NTFS-eigene Dateiverschlüsselung (nicht zu verwechseln mit de LaufwerksverschlüsselungBitLocker)
LDMDumpneinzeigt Infos über dynamische Laufwerke
MoveFileneinverschiebt und löscht Dateien beim nächsten Neustart, die vorher von anderen Prozessen blockiert sind
NTFSinfoneinInformationen über das NTFS-Dateisystem eines Laufwerks
PageDfrgneindefragmentiert Dateien, die exklusiv geöffnet sind; geschrieben für Windows NT und 2000, funktioniert unter Windows 10 nicht mehr, und ist da auch nicht mehr nötig
PendMovesneinzeigt, welche Dateien und Ordner beim nächsten Neustart umbenannt oder gelöscht werden
SDeleteneinlöscht und überschreibt einzelne Dateien; Achtung: Kopien etwa in Temp-Ordnern, Papierkorbetc. bleiben erhalten
Sigcheckneinerrechnet Prüfsummen verschiedener Formate für eine Datei und kann sie von virustotal.com prüfen lassen
Streamsneinzeigt, welche Dateien sogenannte Alternate Data Streams (kurz ADS) enthalten
Syncnein"Hardware sicher entfernen" per Kommandozeile
VolumeIdneinändern der Volume-ID eines Datenträgers (auszulesen mit "fsutil fsinfo volumeinfo c:", steht unter "Volumeseriennummer")
Active Directory ExplorerjaViewer und Editor fürs Active Directory; kann Snapshots erstellen und vergleichen; Dateiname: ADExplorer.exe
AdRestoreneinstellt gelöschte Objekte im Active Directory wieder her
Insight for Active Directoryjazeigt in Echtzeit die Interaktion von Clients mit dem Active Directory; hilft, Verbindungsprobleme zu analysieren; Dateiname: ADInsight.exe
PipeListneinzeigt geöffnete benannte Pipes zur Interprozesskommunikation
PsFileneinzeigt, welche Dateien und Ordner von einem anderen Rechner aus geöffnet sind (wie Computerverwaltung/System/Freigegebene Ordner/Geöffnete Dateien)
PsPingneinPing-Ersatz
ShareEnumjazeigt alle Freigaben einer Windows-Maschine
TCPViewjazeigt aktive TCP-Verbindungen
WhoisneinWhois-Abfrage von Domains, funktioniert nicht bei deutschen Domains
Autorunsjazeigt, was Windows beim Hochfahren automatisch so mit startet
Handleneinzeigt an, welcher Prozess welche Dateien geöffnet hält
ListDLLsneinlistet die von einem Prozess geladenen DLLs auf
Portmonjaüberwacht und zeigt Aktivitäten an seriellen und parallelen Ports
ProcDumpneinerzeugt manuell oder Trigger-gesteuert Dumps laufender Prozesse
Process Explorerjaalternativer Taskmanager; Dateiname: Procexp.exe [9]
Process Monitorjazeigt alle (!) Zugriffe auf Dateien, Ordner, Registry … Dateiname: Procmon.exe
PsExecneinProgramme mit erhöhten Rechten starten, auch remote auf anderen Rechnern
PsGetSidneinübersetzt SIDs in Klarnamen und Klarnamen in SIDs
PsKillneinschießt laufende Prozesse(bäume) ab, auch Remote auf anderen Rechnern
PsListneinDetails zu allen laufenden Prozessen
PsServiceneinDienste verwalten
PsSuspendneinpausiert Prozesse, auch auf anderen Rechnern
ShellRunasjaergänzt das Kontextmenü um "Run as different user"
VMMapjaAnalyse von virtuellem und physischem Prozessspeicher
Autologonjarichtet eine automatische Anmeldung für ein Konto an Windows ein
LogonSessionsneinInformationen über die derzeit angemeldeten Benutzer- und systemeigenen Konten
PsLoggedOnneinzeigt die angemeldeten Nutzerkonten
PsLogListneinzeigt Eventlog-Einträge
Sysmonjaprotokolliert sicherheitsrelevante Datei-, Registry- und Prozess-Operationen in der Ereignisanzeige
ClockResneingibt die Auflösung des System-Zeitgebers aus
Coreinfoneinliest Informationen über den Prozessor aus: Features, Caches, Kerne, Sockel
LiveKdneinDebugger für Windows; Braucht die Debugging Tools for Windows
LoadOrderjazeigt an, welche Treiber und Dienste während welcher Phase des Bootens geladen werden. Die ersten von ntoskrnl.exe ("Boot"), die nächsten von smss.exe ("System") sowie zuletzt vpm Services.exe ("Automatic")
PsInfoneinzeigt einige wenige Systeminformationen, auch von Remote-Rechnern. Achtung: Manche Angaben sind unzuverlässig, etwa die zum RAM
RAMMapjaDetails zur RAM-Belegung von Prozessen, Dateien etc.
WinObjjazeigt Infos über den Namensraum des NT Object Manager
BgInfojatapeziert den Desktop mit einigen Systeminfos
CPUSTRESjaStresstest für die CPU
Ctrl2capneinmacht aus der Feststell- eine Strg-Taste
DebugViewjafängt Debug-Ausgaben von Programmen auf und zeigt sie an
Desktopsjavirtuelle Desktops, unter Windows 10 nicht mehr nötig
Hex2decneinrechnet Dezimal in Hexadezimal und umgekehrt um
NotmyFaultjalöst einen Bluescreen aus
PsPasswdneinändert Passwörter von Nutzerkonten, auch remote auf anderen Rechnern; gedacht für Batch-Skripte, um auf vielen verwalteten Rechnern das Admin-Passwort auf einen Schlag zu ändern
RegDelNullneinsucht und löscht ungültige Registry-Einträge, deren Namen Null-Zeichen enthalten
RegistryUsage³neinberechnet die Größe von Registry-Schlüsseln; Dateiname: ru.exe
RegJumpneinöffnet Regedit mit dem übergebenen Schlüssel, nimmt auch Schlüssel aus der Zwischenablage
Stringsneinzeigt alle in einer Datei enthaltenen Zeichenketten
Testlimitneinsimuliert zu Debug-Zwecken vollen Speicher und andere Ressourcen-Knappheiten
ZoomItjaBildschirmlupe, von Russinovich vor allem für die eigenen technischen Vorträge programmiert
DiskViewjazeigt, wo die Daten auf einem Datenträger liegen
FindLinksneinzeigt, welche Hardlinks auf eine Datei zeigen
Junctionneinerzeugt symbolische Verknüpfungen und zeigt sie an
PsShutdownneinfährt Windows herunter, auch auf anderen Rechnern
TCPVConneinAnzeige der Gegenstellen von TCP- und UDP-Verbindungen

https://www.der-windows-papst.de/2020/09/18/allow-users-to-manage-windows-services/