Eines der mächtigsten Tools aus der Sammlung von Sysinternals ist PsExec. Es wird oft als „Telnet-Ersatz für Windows“ bezeichnet. Allerdings bietet es weitere sinnvolle Features, die vor allem aus Sicherheitsaspekten relevant sind. Mit psexec lassen sich Prozesse unter einem anderen Sicherheitskontext starten.
Wen beispielsweise die Benutzerkontensteuerung unter Vista und Windows 7 stört, oder wer als XP-Nutzer erst gar keine hat, der kann mit psexec Programme wie einen Browser, die anfällig für das Einfangen von Malware sind, ohne Administratorrechte starten. Der Internet-Explorer lässt sich beispielsweise starten, indem man psexec -l „C:Program FilesInternet Exploreriexplore.exe“ eingibt.
Die Option -l sorgt dafür, dass dem gestarteten Prozess die Administratorrechte entzogen werden. Wer dauerhaft mit geringeren Rechten surfen möchte, sollte sich einen Shortcut auf dem Desktop oder im Startmenü anlegen. So lässt sich die Sicherheit ohne die störenden Pop-ups der Benutzerkontensteuerung erhöhen.
Der SYSTEM-Account: mehr Kontrolle als mit Administratorrechten
Auch mit Administratorrechten kann man unter Windows nicht alles machen. Der eigentliche Superuser-Account unter Windows heißt SYSTEM. Anders als der Benutzer root unter Unix, ist es nicht möglich, sich auf regulärem Weg unter diesem Account einzuloggen. Mit Administratorrechten erhält man beispielsweise keinen Zugriff auf die Benutzerdatenbank (SAM) in der Registry (siehe Bild 1).
Viele Shareware-Programme nutzen die Registry, um ihr eigenes Installationsdatum einzutragen. So lässt sich ein begrenzter Demo-Zeitraum realisieren, nach dessen Ablauf für das Programm bezahlt werden muss. Meist hat man selbst als Administrator keine Möglichkeit, dieses Datum nachträglich zu verändern.
Einfache Abhilfe schafft der Kommandozeilenbefehl psexec -s regedit.exe (bis XP/2003) beziehungsweise psexec -s -i 1 regedit.exe (ab Vista/2008). Auf diese Weise wird der Registry-Editor unter dem SYSTEM-Account ausgeführt und man erhält vollen Zugriff auf die gesamte Registry (siehe Bild 2).
Auch die Nutzung von PsExec als „Telnet-Ersatz“ kann durchaus praktisch sein. Einen Telnet- oder SSH-Dämon bekommt man mit Windows nicht standardmäßig installiert. Wer sich die Mühe einer Installation einmal gemacht hat, wird schnell feststellen, dass das – höflich ausgedrückt – „ungeschickte“ Konsolen-API von Windows dazu führt, dass man nicht einmal die Pfeiltasten benutzen kann, um eine Falscheingabe zu korrigieren.
PsExec funktioniert grundsätzlich mit jedem Windows-Rechner ab Windows 2000, ohne dass die Installation eines Dämons notwendig ist. Allerdings muss die Firewall von Clientrechnern (Windows XP/Vista/7) so konfiguriert werden, dass WMI-Befehle durchgelassen werden. Das ist nur auf Servercomputern (Windows 2003 oder 2008) bereits vorkonfiguriert. Mit dem Befehl psexec \<Rechnername> -u <Benutzername> cmd.exe lässt sich so eine Kommandozeile auf einem anderen Rechner verschaffen.
Neueste Kommentare
2 Kommentare zu Kleine Tools mit viel Power: Microsoft Technet Sysinternals
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
psexec geht nicht wie angegeben
Hallo,
leider funktioniert ein psexec -s regedit.exe
Man sieht zwar im Taskmanager, dass ein Regedit unter dem Systemkontext läuft, allerdings wird kein Fenster angezeigt. Ich darf auch mal aus der Hilfe zitieren:
„PsExec is a light-weight telnet-replacement that lets you execute processes on other systems, complete with full interactivity for console applications, without having to manually install client software.“
Die Aufmerksamkeit bitte auf „for console applications“ richten.
Regedit ist nunmal keine Konsolenanwendung.
Also nicht wundern, wenn es nicht geht, oder gibt es einen Trick, damit man das Fenster sieht.
AW: psexec geht nicht wie angegeben
Mittlerweile habe ich herausgefunden, wie es geht, man muss auch bei XP psexec -s -i regedit ausführen, dann klappt es auch. Das -i ist für alle nicht Konsolenanwendungen erforderlich.
Ich hoffe jemand bessert das im Artikel aus, dann kann er auch meine beiden Kommentare löschen.
Danke.