TRƯỜNG HƯỚNG DẪN
- Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
- Tìm hiểu về Process Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
- Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
- Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
- Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ cùng nhau
Nếu bạn đã từng muốn kết nối với một máy tính khác và chạy lệnh, nhanh chóng lấy thông tin về các tiến trình đang chạy và tùy ý giết chúng, hoặc thậm chí dừng dịch vụ trên máy tính khác, bạn có thể sử dụng các tiện ích PsTools để làm tất cả những điều này và thậm chí hơn.
Rõ ràng bạn có thể sử dụng Remote Desktop hoặc một dịch vụ tương tự để kết nối với bất kỳ máy tính Windows nào và thực sự nhìn thấy desktop và làm bất cứ thứ gì bạn sẽ làm cục bộ, nhưng các tiện ích PsTools cho phép bạn thực hiện nhiều tác vụ từ dòng lệnh - hoặc tốt hơn, từ một tập lệnh mà bạn có thể sử dụng lại sau.
Đây là loại tiện ích hoạt động tốt nhất trong môi trường doanh nghiệp, và làm chủ những công cụ này chắc chắn sẽ giúp bạn quản lý hệ thống tốt hơn, tiết kiệm thời gian và cho phép bạn làm mọi thứ một cách thông minh hơn. Làm mọi thứ thông minh hơn và nhanh hơn là một kỹ năng quan trọng để trở thành một sysadmin tuyệt vời.
Có mười hai công cụ trong bộ PsTools và một số công cụ cực kỳ hữu ích, một số khác đã được thay thế bằng các công cụ được tích hợp vào các phiên bản Windows mới hơn và có một vài công cụ khác không hữu ích cho hầu hết mọi người. Chúng tôi sẽ xem xét tất cả chúng để bạn hiểu cách chúng hoạt động và lý do tại sao bạn có thể muốn sử dụng chúng.
- PsExec - thực hiện các tiến trình trên một máy tính từ xa
- PsFile - hiển thị các tệp được mở trên máy tính từ xa thông qua mạng
- PsGetSid - hiển thị mã định danh bảo mật cho máy tính hoặc người dùng
- PsInfo - liệt kê thông tin về một hệ thống
- PsKill - giết chết quá trình theo tên hoặc ID
- PsList - liệt kê thông tin về các tiến trình trên dòng lệnh
- PsLoggedOn - liệt kê các tài khoản được đăng nhập trên máy tính hoặc kết nối từ xa
- PsLogList - kéo nhật ký sự kiện trên dòng lệnh
- PsPasswd - thay đổi mật khẩu cho người dùng
- PsPing - một tiện ích ping khá đơn giản với một số tính năng bổ sung
- PsService - liệt kê và thay đổi các dịch vụ Windows
- PsShutdown - tắt, đăng xuất hoặc tạm ngưng máy tính
- PsSuspend - tạm ngưng và tiếp tục các quy trình (thay vì giết chúng)
It’s worth noting that you can use a tool like PsExec to execute all sorts of command-line utilities on remote computers… including really useful ones like the Autoruns command line tool and many more. The possibilities are endless once you’ve embraced the power of PsTools.
Tất cả các công cụ này có thể được sử dụng trên các máy tính cục bộ, nhưng chúng chủ yếu có ích để kết nối với các máy tính từ xa và thực hiện các lệnh trên chúng.
Kết nối với máy tính từ xa (Cú pháp cho tất cả các tiện ích)
Tất cả các tiện ích có thể chạy trên máy tính cục bộ hoặc từ xa, vì vậy tất cả chúng đều có cùng một đối số đầu tiên cho tên máy tính nếu cần thiết. Lưu ý rằng bạn có thể sử dụng địa chỉ IP nếu bạn muốn thay thế. Nếu bạn bỏ qua đối số này, lệnh sẽ hoạt động trên máy tính cục bộ của bạn.
psinfo \computername
Bạn cũng có thể liệt kê nhiều máy tính như psinfo computer1, computer2, computer3, hoặc bạn có thể đặt tất cả các tên vào một tệp và tham chiếu như psinfo @ computerlist.txt. Cú pháp cuối cùng là psinfo * hoạt động trên tất cả các máy tính trong miền, có thể không phải thứ bạn sẽ sử dụng hàng ngày.
Nếu bạn cần kết nối với thông tin đăng nhập thay thế vì tài khoản máy tính cục bộ của bạn có tên người dùng và mật khẩu khác với máy tính khác, bạn có thể sử dụng tùy chọn -u và -p, mặc dù chúng tôi lưu ý rằng bạn có thể không muốn sử dụng -p dòng lệnh có mật khẩu trong lệnh vì lý do bảo mật.Cập nhật: như bản phát hành mới nhất của PsExec, không có công cụ nào chuyển mật khẩu thành văn bản rõ ràng nữa, do đó, lo lắng duy nhất là nếu ai đó có thể đọc tệp kịch bản của bạn và xem mật khẩu ở đó.
psinfo \computername -u “user” -p “Password”
Phần “người dùng” của lệnh sẽ thay đổi thành “DOMAIN user” nếu bạn đang ở trong môi trường miền và cần thay đổi từ người dùng hiện đang chạy.
Chú thích:bạn thường sẽ cần phải kết nối với các máy tính từ xa bằng tài khoản quản trị viên.
Định cấu hình quyền truy cập quản trị từ xa
Nếu bạn đang ở trong một môi trường miền, mà hầu hết mọi người cần sử dụng PsTools sẽ là, bạn có thể bỏ qua phần này hoàn toàn vì mọi thứ sẽ hoạt động tốt. Đối với bất kỳ ai chạy Windows 7, 8 hoặc Vista trong môi trường gia đình hoặc sử dụng một vài máy tính trong một văn phòng không có miền, bạn cần phải điều chỉnh User Account Control trên máy tính từ xa để cho phép PsTools chạy đúng cách.
Vấn đề được Microsoft mô tả tốt:
When a user who is a member of the local administrators group on the target remote computer establishes a remote administrative connection by using the net use * \remotecomputerShare$ command, for example, they will not connect as a full administrator. The user has no elevation potential on the remote computer, and the user cannot perform administrative tasks.
Để giải thích theo cách khác, khi bạn cố kết nối với một máy tính khác và chạy một thứ yêu cầu quyền truy cập của quản trị viên, không có cách nào kích hoạt lời nhắc UAC và chấp nhận lời nhắc từ máy tính của bạn, vì vậy nó sẽ không kết nối với tư cách quản trị viên.
Và một lần nữa, nếu bạn ở trong môi trường miền, vấn đề này không tồn tại và không cần phải thay đổi. Và nếu bạn chỉ là thử nghiệm với một loạt các máy ảo, bạn không phải lo lắng nhiều.
Để tinh chỉnh UAC để cho phép PsTools chạy, bạn sẽ muốn mở Registry Editor và điều hướng đến khóa sau:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionPoliciesSystem
Khi bạn ở đó, hãy tạo một DWORD 32 bit mới ở phía bên phải, đặt tên cho nó là LocalAccountTokenFilterPolicy và giá trị của 1. Bạn không phải khởi động lại máy tính để làm cho cài đặt có hiệu lực.
Note: just to clarify, this setting needs to happen on the remote computer that you are connecting to.
PsExec
PsExec có lẽ là công cụ mạnh mẽ nhất trong bộ công cụ này, vì bạn có thể thực hiện bất kỳ lệnh nào trong dấu nhắc lệnh cục bộ giống như thực hiện nó trên máy tính từ xa. Điều đó bao gồm bất cứ thứ gì có thể chạy trên dòng lệnh - bạn có thể thay đổi giá trị đăng ký, chạy tập lệnh và tiện ích hoặc kết nối từ máy tính đó với máy tính khác. Đầu ra của các lệnh sẽ được hiển thị trên máy tính cục bộ của bạn, chứ không phải trên bộ điều khiển từ xa.
Cú pháp rất đơn giản:
psexec \computername apptorun.exe
Thực tế, mặc dù, bạn cũng muốn bao gồm tên người dùng và mật khẩu trên dòng lệnh. Ví dụ, để kết nối với một máy tính khác và kiểm tra danh sách kết nối mạng, bạn sẽ sử dụng một cái gì đó như thế này:
psexec \computername -u User -p Password ipconfig
Lệnh đó sẽ tạo ra kết quả tương tự như sau:
