Основы Windows on Sysadminium

Идентификаторы безопасности SID

Mon, 04 Oct 2021 00:00:00 +0000

Идентификаторы безопасности

Идентификаторы безопасности — это уникальные номера пользователей, групп, доменов, служб и компьютеров. То есть у тех объектов, которые могут получать доступ к другим объектам, таким как: файлы, драйверы, разделы дисков, реестр.

SID представляет собой число переменной длины, которое состоит из:

номера версии идентификатора;
идентификатора полномочий, который показывает максимальный уровень полномочий. Для группы «Все» равно 1. Для конкретной учетной записи или группы равно 5;
несколько чисел подчиненных полномочий;
значения RID, которое гарантирует уникальность.

SID всегда начинается с “S”, например: S-1-5-21-1463437245-1224812800-863842198-1128.

Системные компоненты безопасности

Fri, 01 Oct 2021 00:00:00 +0000

Монитор безопасности (SRM)

SRM (Security reference monitor) находится в исполняющей системе ntoskrnl.exe, это значит, что он работает в режиме ядра. Коротко говоря, этот монитор отвечает за проверку того, может ли один объект получить доступ к другому объекту.

А также этот монитор использует специальный драйвер Ksecdd.sys который работает в режиме ядра. Именно он реализует систему вызовов ALPC, которая используется для обмена между CRM (режим ядра) и LSASS (пользовательский режим).

Диспетчер электропитания

Thu, 30 Sep 2021 00:00:00 +0000

Режимы эл. питания

Управлению питанием требуется аппаратная поддержка, отвечающая требованиям ACPI (Advansed Configuration and Power Interface). Этот стандарт определяет шесть уровней энергопотребления:

S0 — максимальное;
S1 — режим экономии;
S2 — режим сна при котором процессор работает;
S3 — режим сна при котором процессор отключается;
S4 — режим гибернации. Ток подается только на кнопку включения, система может запуститься с помощью файла гибернации. При запуске используется программа Winresume.exe;
S5 — система выключена.

Из состояний S1-S3, в случае необходимости, система может быстро перейти в состояние S0. Но для перехода из режима S4 на это требуется больше времени.

PnP диспетчер

Wed, 29 Sep 2021 00:00:00 +0000

PnP-диспетчер

PnP-диспетчер является основным компонентом Windows, который позволяет распознавать подключаемое оборудование и производить с ним некоторые действия.

Поддержка технологии PnP основывается на промышленных стандартах подключаемых к шинам устройств. Например в стандарте USB заложен способ самоидентификации устройств подключенных к шине USB.

PnP-диспетчер реализует следующие возможности:

Распознает устройства подключенные при загрузке системы, а также при подключении нового оборудования и при его отключении.
Собирает об устройствах информацию и на её основе выделяет ресурсы для каждого устройства. Ресурсами могут быть: прерывания, диапазон адресов ввода / вывода, регистры ввода / вывода, ресурсы шины и так далее.
Загружает соответствующие драйвера в систему. Если драйвер есть в системе, он будет загружен. Если подходящего драйвера нет, пользователя попросят указать местоположение драйвера, для его установки.
Поддерживает сетевые устройства, например принтеры или проекторы. Для этого специальные драйверы шины распознают сеть как шину, и подключают к этой шине сетевые устройства.

Помимо того что система поддерживает PnP, сами драйверы должны поддерживать эту технологию. Если в системе будет драйвер без поддержки PnP, то он может помешать работе всей системе. Так как PnP-диспетчер занимается распределением ресурсов для оборудования и нечего не знает про не PnP-драйвер, то могут возникнуть конфликты. Кроме того, драйверы без поддержки PnP могут помешать системе перейти в спящий режим или режим гибернации.

Подсистема ввода вывода

Wed, 29 Sep 2021 00:00:00 +0000

Компоненты подсистемы ввода / вывода

Как вы помните, подсистема ввода / вывода работает в режиме ядра. В этой подсистеме работают три диспетчера, которые я опишу ниже.

Во-первых, это диспетчер ввода / вывода. Он обеспечивает связь приложений с устройствами. То есть приложения напрямую с оборудованием не работают. Они лишь могут отправлять запросы этому диспетчеру. А уже он, в свою очередь, передает эти запросы драйверам. Такие запросы называются IRP и они могут помещаться в специальный буфер запросов.

Службы Windows

Tue, 28 Sep 2021 00:00:00 +0000

Основная информация

Из статьи “Системные процессы Windows” вы должны помнить что за запуск и остановку служб отвечает системный процесс Services.exe — диспетчер служб. Именно он запускает дочерние процессы Svhost.exe.

Почти все системные службы запускаются одним и тем же исполняемым файлом — svhost.exe. Но при запуске этому файлу передаются разные параметры командной строки, и для каждой службы они будут разными. Это видно на следующем изображении:

Параметры вызова исполняемого файла svhost.exe для конкретной службы определяется значением из реестра. Ключ реестра при этом следующий — HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\имя_службы:

Системные процессы Windows

Mon, 27 Sep 2021 00:00:00 +0000

Системные процессы

Idle

Этот процесс служит для учета времени бездействия процессора. Другими словами, пока процессор бездействует, он обслуживает потоки этого процесса.

Процесс Idle всегда имеет идентификатор 0. Он содержит по одному потоку на каждое ядро. При этом каждый поток работает на отдельном ядре.

Так как этот процесс имеет наименьший приоритет в системе, то выполняться его потоки на процессоре будут только тогда, когда другие потоки будут бездействовать.

System

Этот процесс содержит много потоков, которые работают в режиме ядра. Он не является полноценным процессом Windows, так как для него нет исполняемого файла. Потоки в этом процессе создаются самим ядром или драйверами при запуске системы.

Основные системные файлы

Thu, 23 Sep 2021 00:00:00 +0000

Системные файлы

Весь код операционной системы располагается в нескольких бинарных файлов, которые мы рассмотрим в этой статье. Все системные файлы находятся в каталоге %systemroot%\System32. Это очень важные файлы, а это значит, что без них система не сможет выполнять свои функции.

Следует помнить что удаление или порча любого из указанных файлов может повредить вашу систему!

Список файлов

В самом главном файле « Ntoskrnl.exe » находится код ядра и всех компонентов исполнительной системы. Да, ядро и исполнительная система находятся в одном файле, но логически их разделяют.

Драйверы Windows

Wed, 22 Sep 2021 00:00:00 +0000

Драйверы

Все привыкли что драйверы это прослойка между оборудованием и операционной системой. И отчасти это верно. Но они могут и не относится к физическому устройству, например есть драйвер файловой системы.

Драйверы представляют собой файлы .sys и обеспечивают интерфейс между вводом/выводом и соответствующим оборудованием или модулем ядра. Драйверы в основном написаны на языке C или C++.

Можно выделить следующие типы драйверов:

Драйвера физических устройств. Они необходимы для работы обычных устройств. Например принтеров, сканеров и другого оборудования.
Фильтры файловой системы. Необходимы, например, для создания программных RAID или шифрования дисков.
Сетевые перенаправители . Это драйверы файловой системы, которые передают запросы по сети на другую машину. В качестве клиента в сетевой операции ввода/вывода отправляет запросы на сервер и обрабатывает ответы. Как сервер получает запросы ввода/вывода и обрабатывает их. Таким образом они позволяют приложению получать доступ к ресурсам на удаленных серверах и управлять ими, как если бы они находились на локальном компьютере.
Драйвера потоков. Необходимы для поддержки сетевых протоколов, например TCP/IP.
Потоковые драйвера-фильтры ядра. Они могут объединятся в цепочки для обработки потоков данных. Например для записи или воспроизведения аудио и видио.
Программные драйвера. Модули ядра, работающие только в режиме ядра. Например многие программы из Sysinternals (Process Explorer, Process Monitor) устанавливают, а затем используют такие модули.

Еще можно разделить их на работающие в пользовательском режиме и в режиме ядра.

Планирование потоков Windows

Fri, 30 Jul 2021 00:00:00 +0000

Планирование потоков в системе

В Windows всегда выполняется хотя бы один поток с самым высоким приоритетом. Если в системе много ядер, то Windows делит все ядра на группы по 64 ядра. Каждому процессу даётся доступ к определённой группе ядер. Следовательно потоки этих процессов могут видеть только свою группу ядер.

Поток выполняется на процессоре определённое время, затем уступает место другому потоку. Кстати, максимальное время на которое поток может занять процессор называется квантом. Причем время кванта можно настроить, выбрав короткие или длинные кванты. Как это сделать, я покажу ниже в этой статье, так что читайте дальше.

Процессы, потоки и задания Windows

Thu, 01 Jul 2021 00:00:00 +0000

Процессы

Процесс стоит воспринимать как контейнер с набором ресурсов для выполнения программы. То есть запускаем мы программу, для неё выделяется часть ресурсов компьютера и эта программа работает с этими ресурсами.

Процессы нужны операционной системе для многозадачности, так как программы работают в своих процессах и не мешают друг другу, при этом по очереди обрабатываются процессором.

Windows процессы состоят из следующего:

Закрытое виртуальное адресное пространство, то есть выделенная для процесса часть оперативной памяти, которая называется виртуальной.
Исполняемая программа выполняя свой код, помещает его в виртуальную память.
Список открытых дескрипторов. Процесс может открывать или создавать объекты, например файлы или другие процессы. Эти объекты нумеруются, и их номера называют дескрипторами. Ссылаться на объект по дескриптору быстрее, чем по имени.
Контекст безопасности. Сюда входит пользователь процесса, группа, привилегии, сеанс и другое.
Идентификатор процесса, то есть его уникальный номер.
Программный поток (как минимум один или несколько). Чтобы процесс хоть что-то делал, в нем должен существовать программный поток. Если потока нет, значит что-то пошло не так, возможно процесс не смог корректно завершиться, или стартовать.

У процессов есть еще очень много свойств которые вы можете посмотреть в «Диспетчере задач» или «Process Explorer«.