Профессионал в любой области, и ИТ не исключение, тщательно подбирает особый комплект инструментов, который должен всегда находиться под рукой и при необходимости помочь оперативно решить большинство типичных задач. Марка инструмента также играет не последнюю роль, поскольку передовые компании дорожат своим именем и не станут халтурить. Опять же, это справедливо и для мира ИТ. В свое время утилиты для DOS и Windows прочно ассоциировались с Питером Нортоном и компанией Symantec, затем появились другие имена — к примеру, Марк Руссинович и Winternals (а также Sysinternals, ресурс для распространения бесплатного ПО).
К чести Microsoft отметим, что она всегда старалась обеспечить пользователей неким джентльменским набором утилит и не гнушалась для этих целей приобретать или лицензировать сторонние разработки. Так, корни дефрагментатора из Windows 9x ведут именно в Symantec (а из линейки Windows NT — в Diskeeper), а утилиты Sysinternals хоть и не вошли непосредственно в состав ОС, но сегодня размещаются по адресу microsoft.com/sysinternals. Виновник настоящего обзора также распространяется отдельно и имеет самое непосредственное отношение к Winternals.
Общее знакомство
У Microsoft есть много не слишком известных широкой публике дополнительных продуктов, которые распространяются не совсем стандартным способом. Один из них — Microsoft Desktop Optimization Pack (MDOP), набор разрозненных инструментов для решения различных административных задач, который является своеобразным бонусом для подписчиков Software Assurance. Он не бесплатен, но его по сути символическая стоимость более чем оправдана. Одним из его компонентов как раз и является Microsoft Diagnostic and Recovery Toolkit (DaRT, или MDRT) — аварийный загрузочный компакт-диск на основе WinPE, объединяющий функциональность стандартного инсталляционного диска последних версий Windows с инструментами, которые раньше входили в состав продукта ERD Commander. Последний был создан как раз компанией Winternals, несколько лет назад влившейся в Microsoft вместе со своим основателем Марком Руссиновичем и всей интеллектуальной собственностью. К примеру, в нем впервые была реализована возможность внешнего (т. е. без необходимости загрузки обслуживаемой ОС) восстановления контрольных точек System Restore, которой теперь могут воспользоваться все обладатели Windows 7. Соответственно, большинство инструментов перекочевали в DaRT фактически без изменений, и ссылки на ERD Commander до сих пор встречаются в документации.
Способы использования
Как уже говорилось, изначально DaRT, как и ERD Commander, представляет собой загрузочный аварийный диск (плюс инструменты для его создания) — в таком виде его использование очевидно: cистемный администратор (либо конечный пользователь — что, скорее, должно быть исключением из правила) просто загружает компьютер с компакт-диска и выполняет необходимые операции. Вместо компакт-диска также можно использовать USB-накопитель — корректно разместить на нем DaRT можно с помощью рекомендованнойMicrosoft утилиты либо вручную, следуя инструкции в руководстве администратора.
Кроме того, поскольку DaRT является расширением обычного аварийного диска Windows и формируется из WIM-образа, он может быть размещен в аварийном разделе инсталляции Windows 7 (и запускаться стандартно по клавише F8). К сожалению, размер образа DaRT превышает стандартные 100 МБ, выделяемые для последнего, поэтому на действующем компьютере для этого потребуется вручную переделать структуру жесткого диска, предоставив DaRT не менее 300 МБ (рекомендуется 450 МБ, плюс надо учитывать использование дополнительных драйверов, программ и документов). Оптимальное решение видится в создании эталонного образа жесткого диска с разделами DaRT и ОС и клонирование с его помощью новых компьютеров.
Этот же WIM-образ DaRT может использоваться для сетевой загрузки средствами WDS/PXE, что, естественно, предполагает наличие соответствующей инфраструктуры, зато не требует переразметки жестких дисков имеющихся компьютеров.
Однако у всех этих методов имеется один существенный недостаток: они предполагают, что для обслуживания аварийного компьютера необходимо находиться непосредственно рядом с ним — это, конечно, не всегда просто, удобно или даже вовсе возможно. Поэтому в DaRT 7, которому и посвящен настоящий обзор, появился встроенный механизм удаленного управления.
Поскольку образ диска DaRT строится на основе среды WinPE, которая, в свою очередь, формируется из обычного дистрибутива Windows, видимо, было не слишком сложно включить в его состав стандартную терминальную службу, слегка адаптировав метод аутентификации и, соответственно, разработав специальный программный клиент. Таким образом, модель использования DaRT может быть следующей: системный администратор или сотрудник службы технической поддержки по телефону руководит действиями пользователя для загрузки DaRT, выясняет необходимые сетевые параметры, после чего подключается со своего компьютера и дистанционно выполняет все требуемые операции. Более конкретно механизм удаленного управления будет рассмотрен ниже.
Создание диска DaRT
Как уже говорилось, MDOP — набор разрозненных инструментов, которые можно инсталлировать и использовать независимо друг от друга. Размер инсталляционного модуля DaRT 7 составляет всего около 8 МБ — это объясняется тем, что для формирования образа понадобится предоставить дистрибутив Windows, а кроме того, ряд необходимых дополнительных компонентов скачиваются уже в процессе. DaRT 7 предназначен для использования с Windows 7 и Windows Server 2008 R2, поэтому в состав актуального MDOP 2011 R2 включены предыдущие версии DaRT, для облуживания более ранних версий ОС. Кроме того, DaRT существует в двух редакциях — x86 и x64, для создания сред соответствующей разрядности.
После установки DaRT 7 в одноименной программной папке появятся четыре ярлыка: справочной системы, Crash Analyzer, Dart Recovery Image, DaRT Remote Connection Viewer. Последний мы обсудим особо; Crash Analyzer представляет собой анализатор аварийных дампов памяти ядра Windows, способный предоставить чуть более подробную информацию, чем «синий экран смерти»; а Dart Recovery Image как раз и является мастером создания ISO-образа. Его (ERDC.exe) также можно запускать из командной строки с параметром /e, который определяет количество дней от текущей даты, в течение которых диск DaRT будет работоспособен.
Как обычно, мастер потребует принять несколько решений, предложив возможные варианты. Сложностей возникнуть не должно, тем более что заново пересобрать образ можно в любой момент. Для начала потребуется указать место расположения дистрибутива Windows 7:
После извлечения необходимых для WinPE файлов будет предложен стандартный список инструментов, где можно указать те, которые не должны быть доступными локально, т. е. непосредственно пользователю. При этом администратор в удаленном сеансе сможет применять все.
Если DaRT планируется использовать дистанционно, соответствующий режим необходимо разрешить при формировании образа. По умолчанию порт будет выбираться случайно, указать его явно может понадобиться, если требуется проброс порта, к примеру, в удаленном офисе. Можно также написать сообщения пользователю, к примеру, с краткой инструкцией, либо просто с номером телефона администратора или службы технической поддержки.
Debugging Tools необходимы для работы Crash Analyzer, в том числе и как отдельного инструмента, скачать их можно еще в процессе установки DaRT и лучше всего сразу включить в состав образа:
На следующем шаге скачиваются базы вирусных сигнатур для Standalone System Sweeper. Понятно, что в составе готового образа они быстро устареют, и кроме того, актуальные можно будет скачать уже в момент использования DaRT. Однако наличие хоть каких-то сигнатур может пригодиться на случай отсутствия соединения с интернетом и пр.
В образ DaRT можно добавить дополнительные драйверы. Достаточно указать соответствующий INF-файл, и мастер самостоятельно скопирует все содержимое папки (с подпапками). Как правило, это требуется для подключения нестандартных сетевых адаптеров и систем хранения. В данном случае добавлен драйвер Wi-Fi-карты — исключительно в демонстрационных целях, т. к. беспроводные соединения DaRT не поддерживаются.
Наконец, в состав DaRT можно включить любые файлы — дополнительные утилиты, инструкции, что-то другое. Их нужно просто скопировать в указанную папку.
На этом шаге мастера начнется формирование собственно ISO-образа, по завершении его можно сразу же записать на оптический диск.
Запуск DaRT
Процесс инициализации DaRT в целом напоминает аварийный режим обычного инсталляционного диска Windows 7, за исключением пары дополнительных шагов в начале и, естественно, более широкого выбора инструментов в конце. Первым делом после загрузки с компакт-диска (USB-накопителя, аварийного раздела, удаленного образа) DaRT выполняется конфигурирование сети:
Здесь под фоновой настройкой понимается использование DHCP, а если это не так, нужно ответить No и настроить параметры вручную.
Затем будет предложено именовать разделы в соответствии с порядком, принятым в установленной на компьютере ОС.
Следующий этап — выбор раскладки клавиатуры и, наконец, поиск на жестких дисках инсталляции Windows. Здесь же можно подключить дополнительные драйверы, если это не было сделано на этапе формирования образа.
В системах с множественной загрузкой потребуется выбрать ту ОС, которую предполагается обслуживать. Если последняя попытка ее загрузки закончилась неудачей, будет автоматически запущен процесс восстановления загрузочных структур:
Прервав его либо дождавшись завершения, вы, наконец, увидите окно с выбором аварийных инструментов, среди которых присутствует (в самом конце) и собственно DaRT:
Инструменты
Итак, DaRT представляет собой набор из полутора десятков утилит, многие из которых работают с привычными структурами Windows, но не теми, которые активны в настоящий момент (в среде WinPE), а теми, что размещены на жестком диске.
Кстати, на этом снимке экрана можно видеть, что инструменты, которые мы запрещали при формировании образа, действительно недоступны пользователю. Также надо иметь в виду, что если у ОС на компьютере испорчены файлы реестра, функциональность некоторых утилит будет ограничена.
Теперь пройдемся вкратце по доступным инструментам.
Registry Editor
В общем-то достаточно стандартный редактор реестра, за исключением того, что он работает с информацией, импортированной из аварийной ОС. Поэтому, к примеру, вы не увидите веток HKCU и HARDWARE в HKLM. Зато Registry Editor позволит не только откорректировать штатно измененные ключи, но и добраться до тех ключей, что обычно заблокированы.
Locksmith
Хотите — слесарь, хотите — взломщик. Утилита позволяет сменить пароль для любой локальной (не доменной) учетной записи, в том числе и для Администратора. Пароль при этом обязан удовлетворять текущим групповым политикам (если таковые использовались). Факт смены пароля фиксируется в системном журнале Security.
Crash Analyzer
Та же утилита, что доступна отдельно после установки DaRT. Она анализирует дампы памяти ядра Windows, которые снимаются при критических сбоях ОС, приводящих к «синему экрану смерти». Больших подробностей и подсказок от этой утилиты ждать, конечно, не стоит, в некоторых случаях (как на снимке экрана) ей вообще не удается понять, что же произошло, однако если она, к примеру, укажет на конкретный драйвер, его можно будет легко запретить через другую утилиту — Computer Management.
File Restore
Сравнительно простая утилита класса undelete, предназначенная, в основном, для восстановления файлов, которые не попали в системную Корзину или были удалены даже оттуда. В отличие от специализированных утилит, File Restore не имеет сложных расширенных режимов восстановления, зато умеет находить удаленные разделы (меню Tools) и работать с дисками, зашифрованными с помощью BitLocker (естественно, при этом понадобится соответствующий пароль).
Disk Commander
Низкоуровневая утилита для работы с жестким диском. Также позволяет находить и восстанавливать удаленные разделы, кроме того умеет перезаписывать MBR, сохранять и восстанавливать таблицу разделов.
Disk Wipe
В обличие от других утилит, Disk Wipe предназначен не для спасения, а для уничтожения — более конкретно, для затирания данных на всем жестком диске или одном из разделов. Доступны два алгоритма: быстрый однопроходный и медленный четырехпроходный, более надежный и используемый государственными структурами США.
Computer Management
Утилита похожа на одноименную консоль, доступную в Windows, однако имеет и некоторые отличия. Отдельных разделов в ней не хватает, зато другие для удобства вынесены на передний план, как, к примеру, Autoruns. Пожалуй, наиболее полезная возможность — быстрое отключение драйвера, приводящего к регулярным критическим сбоям системы.
Explorer
Ожидаемо, самый обычный обозреватель Windows. Позволяет отображать сетевые папки, что пригодится, к примеру, для оперативного переноса данных с аварийной системы.
Solution Wizard
Это не самостоятельная утилита, а мастер, призванный подсказать наиболее подходящий инструмент, исходя из ваших задач. Очень скоро необходимость в нем, конечно, отпадет, и нужные инструменты будут запускаться пользователем напрямую.
TCP/IP Config
Если вы забыли настроить сеть в процессе загрузки DaRT, это можно сделать и уже в процессе работы. Здесь все достаточно стандартно — единственное, напомним, беспроводные соединения не поддерживаются.
Hotfix Uninstall
Бывают случаи, когда к сбоям приводят очередные обновления Windows, хотя они предназначены как раз для исправления каких-то ошибок. С помощью этого инструмента их можно оперативно деинсталлировать — только лучше не все сразу, а по одному, проверяя, не исчезла ли проблема.
SFC Scan
По сути, оболочка к системной утилите SFC (System File Checker), которая проверяет аутентичность системных файлов и при необходимости может восстанавливать их. Работает либо в полностью автоматическом режиме, либо требуя подтверждения по каждому выявленному инциденту.
File Search
Поиск файлов по названию. Может вызываться напрямую, а также из Explorer. Основное применение — найти и скопировать с аварийной системы важные документы.
Standalone System Sweeper
Одно из недавних дополнений DaRT — Microsoft Standalone System Sweeper, полновесный автономный антивирусный сканер. В нем используются те же движок и базы сигнатур, что и во всех антивирусных продуктах Microsoft (в том числе, Windows Security Essentials). Движок достаточно неплохо себя зарекомендовал с точки зрения эффективности обнаружения вирусов, хотя и не блещет скоростью сканирования. Standalone System Sweeper также будет выпущен Microsoft в виде отдельного инструмента, доступного всем пользователям.
Смысл применения внешнего антивируса (которые сегодня предлагаются почти всеми разработчиками) прост. Некоторые руткиты умеют достаточно искусно скрывать свое присутствие в работающей системе, так что обычный антивирус просто не видит соответствующих файлов. При загрузке с аварийного диска они, естественно, остаются неактивными и больше не могут мешать. Вирусы также могут вызывать сбои системы, хотя это встречается все реже.
Standalone System Sweeper позволяет обновлять сигнатуры из интернета или локальной папки, в остальном программа достаточно проста и имеет минимум настроек.
Удаленный режим
Как уже говорилось, Remote Connection — не самодостаточный инструмент, а специальный режим использования DaRT. Он позволяет администратору или сотруднику службы технической поддержки работать с аварийной системой удаленно, без необходимости физического присутствия. Но при этом некоторая подготовительная работа возлагается на пользователя, который должен запустить DaRT любым предусмотренным способом и выбрать Remote Connection:
Первый экран предупреждает, что́ именно произойдет дальше, в том числе здесь может содержаться небольшая инструкция, если она была сформирована на этапе подготовки DaRT. После щелчка на Yes пользователь получит реквизиты, которые необходимо передать администратору:
После этого администратор запускает у себя программу DaRT Remote Connection Viewer, вводит полученные реквизиты и устанавливает удаленный сеанс.
Мандат (ticket) является средством оперативной аутентификации и обеспечивает определенный уровень безопасности, что особенно важно при использовании фиксированного номера порта.
Как только администратор подключится к обслуживаемому компьютеру, локальные клавиатура и мышь будут заблокированы:
А администратор получит доступ ко всем инструментам и полную свободу действия:
Резюме
Аварийные загрузочные диски для обслуживания Windows были популярны всегда. В свое время их активно делали на базе Linux — просто потому, что сложно было придумать другую загрузочную среду (не DOS же, в самом деле). Впрочем, это уже в прошлом, сегодня использование WinPE надежнее и предпочтительнее.
От других подобных разработок DaRT отличается по нескольким важным пунктам. Во-первых, это, пожалуй, наиболее комплексный аварийный диск, объединяющий и большой набор системных инструментов, и антивирусный сканер. Во-вторых, в DaRT не используются недокументированные трюки — только штатные механизмы и средства, что минимизирует возможные проблемы. Наконец, в-третьих, DaRT вообще выделяется множеством способов использования, а дистанционный режим является его уникальной чертой.
Реальную полезность DaRT способен оценить любой системный администратор или даже опытный пользователь. Сам автор не раз прибегал к помощи его инструментов (еще во времена ERD Commander) для смены паролей и отключения драйверов. Единственное препятствие для его использования — схема распространения, хотя на самом деле Software Assurance доступна даже для небольших организаций. К тому же в состав «бонусного» MDOP кроме DaRT входит еще целый ряд полезных инструментов.
