Esta utilidad acaba de recibir una
actualización mayor para pasar a la versión 2.0 que aporta nuevas
características y funciones. Accesschk y RU reciben actualizaciones menores.
Las herramientas de Sysinternals (liderada por Mark
Russinovich y comprada por Microsoft en 2006) son una serie de utilidades para
administradores de sistemas Windows: monitores de comportamiento de archivos,
de registro, explorador de procesos, y un largo etcétera. Afortunadamente, a
pesar del nuevo cargo y responsabilidades de Russinovich (ahora CTO de Azure),
las utilidades de Sysinternals no solo continúan disponibles sino que además
siguen recibiendo actualizaciones.
System Monitor (Sysmon)
es un servicio del sistema y controlador de dispositivo Windows que una vez
instalado en un sistema, permanece residente después de reiniciarlo, destinado
a monitorizar y registrar la actividad del sistema en el registro de eventos de
Windows. Proporciona información detallada sobre la creación de procesos,
conexiones de red y cambios en la de fecha de creación de archivos. Está
especialmente indicado para la detección
de incidentes y análisis forense.
Como novedades, incluye
eventos de carga de controladores y de carga de imágenes con información de la
firma, notificación configurable de algoritmo hash, filtros flexibles para la
inclusión y exclusión de eventos, y la posibilidad de configuración de la
herramienta a través de un archivo de configuración en lugar de la línea de
comandos.
Accesschk, que se
actualiza a la versión 5.21, es una herramienta de línea de comando que muestra
los accesos que tienen usuarios o grupos especificados a los archivos,
directorios, claves del registro y servicios de Windows. Añade nuevos tipos de
permisos de procesos y corrige un problema al mostrar descriptores de seguridad
de procesos.
RU (Registry Usage),
que se actualiza a la versión 1.1, es una utilidad de línea de comandos, que
muestra el uso del registro por claves. Ahora soporta la carga de archivos de
colmena (hive) e informa de y los informes de la última escritura de hora y
fecha se realiza en formato CSV.
En cualquier caso, cabe
recordar que las utilidades de Sysinternals son una magnífica colección de más
de 70 estupendas herramientas para el trabajo de cualquier administrador o
técnico de seguridad .
Más información:
- Sysinternals Utilities Index https://technet.microsoft.com/es-es/sysinternals
- Sysmon v2.0
https://technet.microsoft.com/en-us/sysinternals/dn798348
