Меню
Поиск

Microsoft DaRT 7.0: швейцарский нож сисадмина

31 август, 2011 - 08:22Игорь Дериев

Недавно был представлен Microsoft Desktop Optimization Pack (MDOP) 2011 R2. Однажды мы уже писали об этом продукте, который является своеобразным бонусом для подписчиков Software Assurance, даже несмотря на то, что требует оплаты (в общем-то, символической). По нашему мнению потраченные деньги с лихвой окупаются полезностью инструментов, предназначенных не для абстрактного совершенствования инфраструктуры, а для решения вполне реальных задач, которые встают перед ИТ-отделами большинства компаний.

Напомним, что MDOP представляет собой набор отдельных продуктов, фактически никак не связанных между собой. Состав от версии к версии расширяется, так в MDOP 2011 R2 вошел Microsoft BitLocker Administration and Monitoring (MBAM), предназначенный, как ясно даже из названия, для централизованного внедрения и управления системой полнодискового шифрования BitLocker. К примеру, с его помощью возможно резервное хранение информации для восстановления клиентских ключей в специальной базе данных или прямо в Active Directory.

Кроме того, в MDOP 2011 R2 до версии 2.0 обновилась облачная служба инвентаризации Asset Inventory Service: улучшена масштабируемость (до 100 тыс клиентов), стал возможным учет пакетов App-V и т.д, и до версии 7.0 — Microsoft Diagnostic and Recovery Toolkit 7.0 (DaRT, или MDRT). Вот на последнем как раз хочется остановиться несколько подробнее.

Microsoft DaRT 7.0 швейцарский нож сисадмина
В состав дистрибутива DaRT входят всего три компонента: средство анализа аварийных дампов памяти, мастер создания образа диска, клиент удаленного доступа. Необходимые вспомогательные компоненты (в частности, инструменты отладки) можно загрузить уже в процессе инсталляции.

В свое время основу DaRT составил ERD Commander, приобретенный Microsoft вместе с компанией разработчиком Winternals, одним из основателей которой был небезызвестный Марк Руссинович. Это был очень мощный и интеллектуальный пакет, в котором, в частности, кажется, впервые была реализована возможность внешнего (т.е. без необходимости загрузки обслуживаемой ОС) восстановления контрольных точек System Restore. Соответственно, большинство инструментов ERD Commander перекочевали в DaRT фактически без изменений и, более того, они по-прежнему выделены отдельной группой, на которую даже в официальной документации нередко ссылаются по старому названию.

DaRT представляет собой загрузочный аварийный диск (не считая инструментов для его создания), и, несмотря на свою несомненную полезность, до недавнего времени несколько выбивался из ряда других инструментов MDOP. Действительно, тогда как последние были предназначены для централизованного обслуживания пользовательских систем, загрузочный диск по самой своей природе подразумевал необходимость визита технического специалиста на рабочее место пользователя — недостатки такой схемы в крупных, тем более географически распределенных компаниях очевидны. И вот главное нововведение DaRT 7.0 как раз и состоит в поддержке удаленной работы.

Microsoft DaRT 7.0 швейцарский нож сисадмина
Размер инсталляционного модуля DaRT совсем невелик, так как среду WinPE соответствующий мастер формирует «на лету» из предоставленного дистрибутива Windows.

Поскольку образ диска DaRT строится на основе среды WinPE, которая, в свою очередь, формируется из обычного дистрибутива Windows, видимо, было не слишком сложно включить в его состав стандартную терминальную службу, слегка адаптировав метод аутентификации и, соответственно, разработав специального клиента. Более того, теперь доставка этого образа может осуществляться не только на компакт-диске, но и другими способами, подходящими для различных ситуаций. Так, если его запись на USB-флэш позволит обсуживать компьютеры, не укомплектованные приводоми оптических дисков, то сетевая загрузка, реализуемая через WDS/PXE, позволит техническому персоналу и вовсе не покидать своих рабочих мест. Таким образом, модель решения проблем может быть следующей: сотрудник службы техподдержки по телефону руководит действиями пользователя для загрузки DaRT, выясняет необходимые сетевые параметры, после чего подключается со своего компьютера и дистанционно производит все необходимые исследования и операции.

Microsoft DaRT 7.0 швейцарский нож сисадмина
Поддержка удаленного доступа особо включается в процессе формирования образа DaRT.

Кроме того, поскольку DaRT является расширением обычного аварийного диска Windows, он может быть размещен в аварийном разделе инсталляции Windows 7. К сожалению, размер образа DaRT превышает стандартные 200 МБ, выделяемые для последнего, поэтому потребуется вручную переделать структуру диска, предоставив не менее 300 МБ (рекомендуется 450 МБ, плюс надо учитывать использование собственных драйверов, программ и документов). Оптимальное решение: создание эталонной инсталляции и формирование на ее основе образа для развертывания новых компьютеров.

Microsoft DaRT 7.0 швейцарский нож сисадмина
DaRT локально отображает все необходимые параметры для удаленного подключения (вверху), которые затем нужно указать в соответствующий полях клиента (внизу). Хотя IP-адрес и номер порта могут быть фиксированными.

Естественно, возможность самостоятельного запуска неподготовленным пользователем такого мощного средства как DaRT таит в себе потенциальные опасности. Поэтому на этапе создания загрузочного образа можно явно указать, какие инструменты должны быть доступны локально, а какие — только в удаленном сеансе, т.е. техническому персоналу. Раньше таким образом инструменты просто включались или исключались из образа. С точки зрения безопасности надо учитывать и еще один нюанс: хотя удаленный доступ к DaRT может осуществляться по случайным портам (фиксировать порт имеет смысл в том случае, если, скажем, необходимо настраивать его проброс) и с помощью случайного же «билета» (вместо постоянного пароля), сам сеанс не шифруется, что может представлять определенную угрозу, если трафик выходит за пределы локальной сети компании.

Microsoft DaRT 7.0 швейцарский нож сисадмина
На этапе формирования образа DaRT можно указать инструменты, которые будут доступны только техническому персоналу в удаленном сеансе. К примеру, средства изменения локальных паролей, очистки и низкоуровневого редактирования диска стоит скрыть от пользователя, как особо небезопасные.

Еще один инструмент, появившийся в DaRT с момента последнего обзора — Microsoft Standalone System Sweeper (MSSS). Это полновесный автономный антивирусный сканер, в отличие от Windows Malicious Software Removal Tool, который призван обнаруживать и удалять лишь некоторые, наиболее опасные и актуальные вредоносные программы. В MSSS используются те же движок и базы сигнатур, которые применяются во всех антивирусных продуктах Microsoft (в том числе, Windows Security Essentials). Движок достаточно неплохо себя зарекомендовал в вопросах эффективности обнаружения вирусов, хотя и не блещет скоростью сканирования.

В настоящее время идет бета-тестирование MSSS как отдельного продукта, который, видимо, скоро будет доступен всем пользователям, хотя в составе DaRT он уже присутствует некоторое время. Аналогичные антивирусные сканеры на загрузочных дисках сегодня предлагают многие поставщики антивирусов, в частности, «Лаборатория Касперского». Смысл применения таких решений состоит в исключении возможного влияния присутствующего в системе вредоносного ПО на процесс сканирования и лечения. Известно, что некоторые руткиты умеют достаточно искусно скрывать свое присутствие в работающей системе, даже применяя какие-то компоненты, известные антивирусам. Соответственно, просканировав накопители в другой (гарантированно чистой) системе, их обнаружить гораздо легче.

Microsoft DaRT 7.0 швейцарский нож сисадмина
Настройки MSSS аналогичны таковым в Windows Security Essentials и линейке Forefront. Проверка архивов и эвристика включены по умолчанию.

Отличительной особенностью MSSS является гибкая работа с базами сигнатур. Их можно загрузить и разместить в образе DaRT на этапе его формирования либо обновить непосредственно перед сканированием, загрузив из Интернета или указав локальное местонахождение. В остальном программа достаточно проста и имеет минимум настроек.

Microsoft DaRT 7.0 швейцарский нож сисадмина
Свежие сигнатуры можно загрузить непосредственно перед сканированием. Однако надо помнить, что периодически обновляется и сам движок, т.е. время от времени образ DaRT, видимо, надо будет перестраивать.

А вообще в DaRT входит около полутора десятков различных инструментов, большая часть которых хорошо знакома специалистам еще со времен ERD Commander. С их помощью можно менять пароли локальных пользователей, восстанавливать удаленные файлы, выяснять причины аварийного завершения ОС, исправлять конфигурацию системы, деинсталлировать системные заплатки и многое другое. Кроме того, в образ DaRT можно добавить собственные файлы, к примеру, драйверы для дополнительного оборудования (WinPE позволяет их использовать при инициализации), собственные утилиты, инструкции (скажем, для самостоятельного применения пользователями, если такое подразумевается).

Microsoft DaRT 7.0 швейцарский нож сисадмина
Хотя DaRT представляет собой исключительно мощный инструмент аварийного восстановления Windows, хочется пожелать, чтобы нашим читателям не пришлось прибегать к его услугам.