miércoles, 21 de enero de 2015

Microsoft actualiza la suite de herramientas de Sysinternals

Sysmon, una de las herramientas creadas por Sysinternals ahora distribuida por Microsoft, es un servicio que registra la actividad de procesos en el registro de eventos de Windows. Esta utilidad acaba de recibir una actualización mayor para pasar a la versión 2.0 que aporta nuevas características y funciones. Accesschk y RU reciben actualizaciones menores.

Las herramientas de Sysinternals (liderada por Mark Russinovich y comprada por Microsoft en 2006) son una serie de utilidades para administradores de sistemas Windows: monitores de comportamiento de archivos, de registro, explorador de procesos, y un largo etcétera. Afortunadamente, a pesar del nuevo cargo y responsabilidades de Russinovich (ahora CTO de Azure), las utilidades de Sysinternals no solo continúan disponibles sino que además siguen recibiendo actualizaciones.

System Monitor (Sysmon) es un servicio del sistema y controlador de dispositivo Windows que una vez instalado en un sistema, permanece residente después de reiniciarlo, destinado a monitorizar y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre la creación de procesos, conexiones de red y cambios en la de fecha de creación de archivos. Está especialmente  indicado para la detección de incidentes y análisis forense.

Como novedades, incluye eventos de carga de controladores y de carga de imágenes con información de la firma, notificación configurable de algoritmo hash, filtros flexibles para la inclusión y exclusión de eventos, y la posibilidad de configuración de la herramienta a través de un archivo de configuración en lugar de la línea de comandos.

Accesschk, que se actualiza a la versión 5.21, es una herramienta de línea de comando que muestra los accesos que tienen usuarios o grupos especificados a los archivos, directorios, claves del registro y servicios de Windows. Añade nuevos tipos de permisos de procesos y corrige un problema al mostrar descriptores de seguridad de procesos.

RU (Registry Usage), que se actualiza a la versión 1.1, es una utilidad de línea de comandos, que muestra el uso del registro por claves. Ahora soporta la carga de archivos de colmena (hive) e informa de y los informes de la última escritura de hora y fecha se realiza en formato CSV.

En cualquier caso, cabe recordar que las utilidades de Sysinternals son una magnífica colección de más de 70 estupendas herramientas para el trabajo de cualquier administrador o técnico de seguridad. Merece la pena revisarlas todas.

Más información:

Sysinternals Utilities Index

Sysmon v2.0



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada