連載
» 2006年12月26日 10時00分 UPDATE

Security&Trust ウォッチ(43):Windows管理者必携、Sysinternalsでシステムを把握する

[上野宣,@IT]

 SysinternalsというWebサイトをご存じだろうか?

 何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。

 筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。

 Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。

 このSysinternalsは、Mark Russinovich氏とBryce Cogswell氏が1996年に設立したWinternals Softwareが提供するWebサイトで、現在はMicrosoftに買収されている。そして、2006年11月からMicrosoft TechNetで「Windows Sysinternals」というWebサイトで提供されている。

【Microsoft TechNet: Windows Sysinternals】

http://www.microsoft.com/technet/sysinternals/default.mspx


 これらのツールではセキュリティカテゴリとして登録されているものもあり、PC上で動いているプロセスをさらに細かく表示するツールや、rootkit的動作をする可能性が含まれるレジストリを表示するものなど、不正なプロセスや挙動がないかを把握することも可能だ。今回はこのツール群から、システムのチェックに必要なもの、運用管理に便利なものをいくつかピックアップして紹介しよう。

多機能なプロセス管理ツール:Process Explorer

 Process Explorerは、プロセスに関する情報や、プロセス管理に必要な操作などに必要と思われる機能を数多く盛り込んだプロセス管理のためのツールである。

図1 Process Explorer実行画面 図1 Process Explorer実行画面

 現在稼働しているプロセスについての詳細情報の表示はもちろん、プロセスのkillやリスタート、サスペンド、優先度の変更なども行うことができる。プロセスに関する表示項目は、メニューの[View]→[Select Columns]でカスタマイズすることができるので、必要な項目を追加していくことができる。

 また、メニューの[Options]→[Replace Task Manager]にチェックを入れることで、Ctrl+Shift+Escで呼び出す標準のタスクマネージャをProcess Exploreに置き換えることができる。

プロセスの通信状態を表示:TCPView

 TCPViewは、プロセスが利用するプロトコルやローカル/リモートのアドレス、使用しているポートとその状態をリアルタイムで表示することができるツールである。

図2 TCPView実行画面 図2 TCPView実行画面

 通信の状態を表示する以外には、プロセスを選択して右クリックすることで、ファイルパスの表示やプロセスを終了させることもできる。またTCPViewには、tcpvconというコマンドライン版も同梱されている。

リモートシステム管理ツールセット:PsTools

 PsToolsは、リモートのシステムを管理するためのコマンド集で、Psを接頭辞とする PsExec、PsFile、PsGetSid、PsInfo、PsKill、PsList、PsLoggedOn、PsLogList、PsPasswd、PsService、PsShutdown、PsSuspendの12種類のツールである。

 リモートのWindowsマシンに対してPsToolsのコマンドを使うことで、プロセスの起動(PsExec)・終了(PsKill)や、イベントログの表示(PsLogList)、サービスの管理(PsService)、シャットダウン(PsShutdown)などを実行することができる。

シンボリックリンクを作成:Junction

 Junctionは、Windowsでディレクトリのシンボリックリンクを作成・削除するためのツールである。

 シンボリックリンクを作成することで、ディレクトリに別の名前を与えることができる。そしてそのシンボリックリンクは、元の本体と同様に扱えるようになる。UNIX系のOSを使い慣れている方ならば、Windowsでもシンボリックリンクを活用したいと思ったことがあるのではないだろうか。

> junction.exe c:\symbolic c:\original
Junction v1.04 - Windows junction creator and reparse point viewer
Copyright (C) 2000-2005 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Created: c:\symbolic
Targetted at: c:\original
図3 Junction実行イメージ

 ここで紹介したユーティリティ以外にも、SysinternalsのWebサイトでは、60種類を超えるユーティリティが提供されている。また、Windowsシステムに関する有益な情報も提供されている。システム管理に有用なユーティリティや情報が多数あるので、一度試してみてはいかがだろうか。

 新たなリリースやアップデート情報などは「Sysinternals Site Discussion」で詳しいものが提供されている。RSSフィードも提供されているので、利用者はこちらをチェックしておくとよいだろう。参考までにユーティリティ一覧と簡単な説明をまとめているので、 ぜひ使ってみて欲しい。現在、SysinternalsのWebサイトは英語版しかないが、マイクロソフトのWebサイトなのでそのうち日本語版が作成されることに期待したい。

参考:Sysinternals 全ユーティリティ一覧

ツール名 概要 I/F
Sysinternals Suite Sysinternals 全ツールセット -
AccessChk ファイルやレジストリ、サービスに対してユーザー/グループが持つアクセス権限のチェック CUI
AccessEnum フォルダやファイル、レジストリに対するパーミッション(Read/Write/Deny)のチェック GUI
AdRestore Windows Server 2003 ドメインコントローラから削除されたオブジェクトを再び有効にする CUI
Autologon 自動ログオンを設定 GUI
Autoruns 起動時やログイン時、エクスプローラやIE起動時などに自動実行されるプログラムの閲覧・設定 GUI/CUI
BgInfo システム情報やネットワーク設定などを描画した壁紙を作成し設定する GUI/CUI
BlueScreen ブルースクリーンと呼ばれるエラー画面を模したスクリーンセイバー -
CacheSet キャッシュサイズの上限と下限を調整し設定する GUI
ClockRes システムの時刻時計の分解能を表示 CUI
Contig コマンドライン版の軽量なデフラグツール CUI
Ctrl2cap キーボードのCtrlとCaps Lockを入れ替えるカーネルモードのデバイスドライバ CUI
DebugView OutputDebugStringとDbgPringからのデバッグ情報を表示 GUI
DiskExt ディスクマッピングを表示 CUI
Diskmon 物理ディスクへのアクセスを表示 GUI
DiskView ハードディスクの断片化状態や指定したファイルの位置を表示 GUI
Du 指定したディレクトリの使用状況を表示 CUI
EFSDump EFS (Encrypting File System)で暗号化されたファイル/ディレクトリ情報の表示 CUI
Filemon ファイルシステムへのアクセス状況をリアルタイムに表示 GUI
Handle 開いているファイルやディレクトリを表示 CUI
Hex2dec 10進数/16進数変換の計算機 CUI
Junction シンボリックリンクの作成 CUI
LDMDump LDM(論理ディスクマネージャ)データベースの内容を表示 CUI
ListDLLs 現在利用しているDLLを一覧表示 CUI
LiveKd マイクロソフトのカーネルデバッガを使い稼働中のシステムを調査 CUI
LoadOrder システムに読み込まれているデバイスドライバを一覧表示 CUI
LogonSessions システム上で稼働中のログオンセッションを一覧表示 CUI
MoveFile 次回起動時に指定ファイルの移動/削除の実行 CUI
NewSID SID(セキュリティ識別子)を任意のものに変更 GUI
NTFSInfo NTFSボリュームのサイズやMFT(Master File Table)に関する情報を表示 CUI
PageDefrag ページファイルとレジストリハイブのデフラグを実行 GUI
PendMoves 次回起動時にリネーム/削除が実行されるファイルの一覧表示 CUI
Portmon シリアルとパラレルポートの稼働状況のモニタリングツール GUI
Process Explorer 稼働中のプロセスに関して多彩な機能を提供する強力なツール GUI
Process Monitor ファイルシステムやレジストリ、プロセスなどの稼働状況のモニタリングツール GUI
ProcFeatures プロセッサの情報を表示 CUI
PsExec 指定したユーザーでローカル/リモートでプロセスを実行 CUI
PsFile リモートから開かれているファイルを表示 CUI
PsGetSid 指定したコンピュータ/ユーザーのSIDを表示 CUI
PsInfo リモートレジストリAPIにアクセスしてローカル/リモートのシステム情報の表示 CUI
PsKill プロセス名/IDを指定してローカル/リモートのプロセスをkill CUI
PsList ローカル/リモートのプロセス情報を表示 CUI
PsLoggedOn ローカル/リモートのコンピュータにログイン中のユーザーを表示 CUI
PsLogList ローカル/リモートのイベントログの内容を表示 CUI
PsPasswd ローカル/リモートのユーザーのパスワード変更 CUI
PsService ローカル/リモートのサービスの状態の表示と制御 CUI
PsShutdown ローカル/リモートのコンピュータのシャットダウンと再起動の実行 CUI
PsSuspend ローカル/リモートのプロセスのサスペンドとレジュームの実行 CUI
PsTools ツール名が「Ps」で始まる一連のツールセット CUI
RegDelNull 通常のレジストリエディタでは消せないキーの削除 CUI
RegHide 通常のレジストリエディタでは見えないキーの作成 CUI
Regjump レジストリパスを指定してregeditを起動 CUI
Regmon レジストリへのアクセスのモニタリングツール GUI
RootkitRevealer rootkitベースのマルウェア検出ツール GUI
SDelete 米国防総省準拠方式などを使いファイル/ディレクトリなどを消去 CUI
ShareEnum ネットワーク内のファイル共有の状況を表示 GUI
Sigcheck ファイルのバージョン情報やデジタル署名などを表示 CUI
Streams NTFSの代替データストリーム(ADS)を検出 CUI
Strings バイナリファイル内のUNICODE/ASCII文字列を表示 CUI
Sync ディスクのデータをフラッシュ(UNIXのsyncコマンド風) CUI
TCPView プロセスと関連させてTCP/UDPの状態を表示 GUI/CUI
VolumeID FAT/NTFSドライブのボリュームラベルを設定 CUI
Whois NICの登録情報の表示(whoisコマンド) CUI
WinObj オブジェクトマネージャの名前空間の表示 GUI
ZoomIt デスクトップ画面の拡大表示と描画ツール GUI

Profile

上野 宣(うえの せん)

株式会社トライコーダ代表取締役

ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。

情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記


「SecurityTrust ウォッチ」バックナンバー

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。