Sysinternals-Suite: So konfigurieren Sie Windows wie ein Profi
Mit mehr als 50 Tools bietet Sysinternals ein umfangreiches Paket zur Wartung und Konfiguration Ihres PC - und das auf Profi-Niveau. Wir präsentieren einige davon.
Es existieren viele, auch kostenlose Tools zur Konfiguration oder Kontrolle von Windows. Die Sysinternals-Tools stechen allerdings seit Jahren deutlich heraus. Die Macher von Sysinternals haben Windows ganz genau unter die Lupe genommen und dabei nicht nur kaum bekannte, sondern auch undokumentierte Funktionen des Betriebssystems aufgedeckt.
Unter den mehr als 50 Tools der Sysinternals-Suite befinden sich einige, die vorrangig für Administratoren von größeren Netzwerken konzipiert wurden und dementsprechend spezifisch eingesetzt werden. Ein großer Anteil der anderen Programme ist für Nutzer geeignet, die ihr Windows-System umfassend prüfen, bereinigen und optimieren wollen. Die Sysinternals-Tools laufen auf allen Systemen von Windows Vista bis Windows 10. Wir haben für Sie einige interessante Informationen zu der Suite und diversen Tools zusammengetragen.
Die Geschichte der Sysinternals-Tools
Der Ursprung der Sysinternals-Tools liegt im Jahr 1996, als die beiden Programmierer Mark Russinovich und Bryce Cogswell die Firma Winternals Software LP gründeten. Dieses Unternehmen stellte spezielle Diagnose-Software für Windows her. Darunter befanden sich auch einige Programme, die mit der Bezeichnung Sysinternals als Freeware bereitgestellt wurden. Daneben verfasste Mark Russinovich für Entwickler und Administratoren eine Buchreihe mit dem Titel Windows Internals, die anhand anschaulicher Programmierbeispiele unterschiedliche interne Windows-Funktionen aufzeigt. Mit den Büchern und Tools schloss Russinovich eine Lücke. Denn Microsoft gibt Programmierern zwar eine umfassende Dokumentation von API-Aufrufen (Application Programming Interface) an die Hand, diese lassen aber häufig wichtige Details außer Acht und bieten keine Beispiele.
So verwundert es nicht, dass Microsoft schnell auf Winternals Software LP aufmerksam wurde und die Firma 2006 aufkaufte. Russinovich und Cogswell sind seitdem an der Verbesserung und Weiterentwicklung von Windows direkt beteiligt. Die Sysinternals-Tools sind ebenfalls Teil von Microsoft geworden und können als Paket bezogen werden. Möchten Sie nur gewisse Tools nutzen, können Sie diese einzeln auf live.sysinternals.com herunterladen. Beziehen Sie die jeweiligen Tools über WSCC, lassen sich die entsprechenden Programme einzeln auswählen und direkt herunterladen, was die Arbeit schneller und angenehmer macht (siehe Punkt 2).
Sysinternals und andere Tools komfortabel mit WSCC installieren
Vor der Nutzung von WSCC müssen Sie das Programm in einen Ordner Ihrer Wahl entpacken. Wenn Sie das Tool erstmals starten, können Sie gewisse Einstellungen bestimmen. Üblicherweise sind die Voreinstellungen ausreichend, sodass der Vorgang mit OK abgeschlossen werden kann. Welche Toolpakete Sie installieren, können Sie im Fenster Software Sources festlegen. Dabei lassen sich mit WSCC nicht nur Programme von Sysinternals, sondern auch von NirSoft installieren. Die Bestätigung der Installation erfolgt per Klick auf OK und im Anschluss auf Yes. Danach erscheint ein Fenster, in dem Sie den Installationspfad definieren. Sollten Sie das portable Tool nutzen, dann übernehmen Sie die Vorgabe .Suite und bestätigen diese mit OK. Nun können Sie nochmals genau prüfen, welche Tools heruntergeladen werden sollen. Wenn Sie ein Programm nicht benötigen, entfernen Sie das Häkchen vor dem jeweiligen Eintrag. Klicken Sie zuletzt auf Install, um die Tools zu beziehen.
In der Baumansicht von WSCC befinden sich auf der linken Seite die Kategorien Sysinternals Suite und, falls installiert, NirSoft Utilities. Zusätzlich werden darunter Gruppen wie File and Disk und Security angezeigt. Die dazugehörigen Tools werden auf der rechten Seite in einer Liste aufgeführt. Jedes Programm lässt sich über eine eigene Schaltfläche starten. Zusätzlich verfügen manche Tools über eine ?-Schaltfläche zur Ansteuerung einer Hilfe-Datei. Das jeweilige Programm kann über den Windows-Explorer oder per Eingabeaufforderung im Download-Verzeichnis aufgerufen werden.
Prüfen Sie mit AutoRuns Ihre automatischen Programmstarts
Der Autostart von Windows zählt zu den bekannteren Funktionen des Systems. Dabei werden Programme nach Start des Systems sofort aufgerufen. Bei einem neuen Computer oder System fällt die Anzahl solcher Starts zunächst gering aus. Im Laufe der Zeit finden sich bei Softwareinstallationen aber neue Programme im Autostart ein. Dadurch verlangsamen sich sowohl der Start von Windows als auch das System als solches. Welche Autostart-Programme Sie behalten möchten, hängt von Ihren Nutzungsgewohnheiten ab. Manche dieser Programme sind sehr praktisch, da sie die Arbeit beschleunigen, wie zum Beispiel der Aufruf über den Infobereich der Taskleiste. Dennoch sollten Sie beachten, dass jedes Autostart-Programm den Systemstart verlangsamt:
Überprüfen Sie laufende Prozesse mit dem Process Explorer
Eine Kontrolle über die aktiven Programme auf Ihrem PC erhalten Sie mit dem Taskmanager von Microsoft. Dieser lässt sich schnell mit der Tastenkombination Strg-Shift-Esc aufrufen. Sie können jedoch auch bei Windows 8.1 und 10 den Punkt Mehr Details auswählen, um anschließend über die Registerkarte Details eine Liste mit den laufenden Prozessen zu sehen.
Zwar ist der Windows-Taskmanager ein solides Tool, der Process Explorer von Sysinternals enthält jedoch mehr Funktionen. Die Aktivitäten auf Ihrem PC werden anhand unterschiedlicher Farben visualisiert. Dabei steht Grün für soeben gestartete und Rot für beendete Prozesse. Die Farbauswahl können Sie jederzeit nach Ihren eigenen Wünschen anpassen. Dafür wählen Sie im Menü Options ? Configure Colors und im Anschluss aus einer Farblegende Ihre bevorzugten Farben. Des Weiteren können Sie mit dem Process Explorer laufende Prozesse in der Baumansicht hervorheben. Denn oft ist diese Ansicht bei vielen aktiven Programmen unübersichtlich. Dazu klicken Sie in der Symbolleiste auf das Fadenkreuz-Icon. Halten Sie die linke Maustaste gedrückt. Nun bewegen Sie das Symbol auf das Fenster mit dem gewünschten Prozess und nehmen den Finger von der linken Maustaste.
Informationen zu den CPU- und Speicheraktivitäten eines Prozesses erhalten Sie in dessen Kontextmenü via Properties und dort über die Registerkarten Performance und Performance Graph. Des Weiteren verrät Ihnen die Registerkarte TCP/IP, welche Netzwerkressourcen ein Programm belegt.
Unbekannte Prozesse: Bei verdächtig wirkenden Prozessen sollten Sie sofort im Kontextmenü Search Online aufrufen. Dort suchen Sie für Informationen nach dem Namen der entsprechenden Datei. Sollte der Verdacht auf Schadsoftware im Raum stehen, dann wählen Sie im Kontextmenü Check VirusTotal aus (siehe Punkt 3).
Tipp: Sie können permanent den Process Explorer anstelle des Windows-Taskmanagers nutzen. Dies stellen Sie im Menü über Options ? Replace Taskmanager ein. Damit kann der Process Explorer auch mit der Tastenkombination Strg-Shift-Esc aufgerufen werden. Über denselben Menüpunkt können Sie die Änderungen jederzeit widerrufen.
Fernzugriff über das Netzwerk mit PsTools
Beim Blick auf die Sysinternals-Sammlung wird Ihnen die Bezeichnung Ps ins Auge springen. Dabei handelt es sich um gewisse Kommandozeilentools, mit denen Aktionen über das Netzwerk von anderen Rechnern aus durchgeführt werden können. Mittels PsTools ist es möglich, aktive Prozesse einzusehen, Prozesse zu starten und zu beenden sowie das System herunterzufahren. Vorher muss der Zielcomputer dafür vorbereitet werden, da Sie vermutlich nicht die Rechte für einen Fernzugriff haben. Im folgenden Teil erklären wir das genaue Vorgehen.
Vorbereitungen: Auf dem Zielcomputer müssen Sie zuerst als Administrator die Eingabeaufforderung aufrufen und die drei folgenden Befehlszeilen eingeben:
sc config RemoteRegistry start= auto
sc start RemoteRegistry
net user Administrator * / active:yes /passwordreq:yes
Achten Sie darauf, dass sich in der ersten Zeile hinter start= ein Leerzeichen befindet. Die zwei sc-Befehle aktivieren den Dienst Remoteregistrierung, der net-Befehl aktiviert das Konto Administrator. Hier erfolgt nun die Vergabe des Passworts.
Nutzer von Windows 8.1 und 10 kommen nicht um einen zusätzlichen Arbeitsschritt herum. Öffnen Sie Regedit mit der Tastenkombination Win-R und klicken Sie auf den Schlüssel Hkey_Local_ Machine\Software\Microsoft\Windows\ CurrentVersion\Policies\System. Im Anschluss konfigurieren Sie einen neuen DWORD-Wert mit dem Wert 1 und bezeichnen diesen als LocalAccountTokenFilterPolicy. Auf diese Weise wird die versteckte administrative Freigabe admin$ aktiviert.
Prüfen Sie, ob Sie über den Windows-Explorer Zugriff auf die Netzwerkfreigaben erhalten. Gehen Sie auf Netzwerk. Falls Sie an dieser Stelle nach der Aktivierung der Datei- und Druckerfreigabe gefragt werden, bestätigen Sie dies. Sonst verhindern die Firewall-Regeln den externen Zugriff auf den Rechner. Zuletzt starten Sie Windows neu, damit die Änderungen in Kraft treten können.
PsTools nutzen: Grundsätzlich können nahezu alle Programme der PsTools auf dem lokalen Rechner genutzt werden. In den Einstellungen finden Sie weitere Möglichkeiten zur Anpassung. Das Tool bietet zudem eine Hilfe-Funktion unter -?. Und das Installationsverzeichnis enthält die Datei Pstools.chm, welche Ihnen sowohl Beschreibungen als auch diverse Beispiele bietet. Für einen Zugriff auf den Rechner benötigen die Tools entweder dessen IP-Adresse oder Namen. Geben Sie dafür in der Befehlszeile Folgendes ein:
tool.exe \\[IP] -u [Benutzer] -p [Passwort] [weitere Optionen]
Wenn Arbeiten nach Administratorenrechten verlangen, dann geben Sie für [Benutzer]Administrator und bei non-administrativen den Namen eines Benutzers ein. Ohne die Eingabe -p verlangt PsTool nach einer Passworteingabe.
psfile identifiziert sowohl die ID als auch den Pfad von Elementen in dem Dateisystem des anderen Rechners, auf den über das Netzwerk zugegriffen wird. Dies ist vor allem dann von Interesse, sobald ein PC via Netzwerk heruntergefahren und potenzieller Datenverlust vermieden werden sollen. pslist verfährt vergleichbar. Allerdings werden dabei zusätzlich die aktiven Prozesse angezeigt. Der Aufruf erfolgt per:
pslist \\[IP] -u [Benutzer] -p [Passwort] -s -r 5
Sie erhalten eine Übersicht der Prozesse, ähnlich dem Windows-Taskmanager, die sich in einem Abstand von 5 Sekunden automatisch aktualisiert. Drücken Sie Strg-C, wenn Sie das Tool schließen wollen.
pskill beendet aktive Prozesse. An dieser Stelle kommt die mit pslist ermittelte Prozess-ID zum Einsatz. psshutdown fährt einen Rechner via Netzwerk herunter oder startet diesen neu. Die Funktionen dieses Tools sind nicht umfangreicher als bei shutdown von Windows.
psping, vergleichbar mit ping von Windows, bietet diverse Einsatzmöglichkeiten. So kann die Erreichbarkeit des mit [IP] angesteuerten Rechners mit folgendem Befehl getestet werden:
psping -n 10 [IP]
Mit dem Programm lassen sich auch Geschwindigkeitstests durchführen. Geben Sie dafür an einem PC im Servermodus diese Zeile ein:
psping -s [IP]:5000
Ersetzen Sie [IP] mit der IP-Adresse des PCs und tippen Sie im Anschluss über einen anderen Rechner die folgende Befehlszeile ein:
psping -b -l 8192 -n 50000 -h 100 [IP]:5000
Nun bezieht sich [IP] auf die Zieladresse des PCs, der als Server dient. Dabei ermittelt das psping die minimale, maximale sowie durchschnittliche Übertragungsrate in MB pro Sekunde. Das Tool beenden Sie auf dem Server mit der Tastenkombination Strg-C.
psexec startet Programme auf einem anderen PC und kann dabei äquivalent zu Telnet auf einem Unix-System eingesetzt werden. Geben Sie dazu diese Befehlszeile ein:
psexec \\[IP] -u Administrator -p [Passwort] cmd.exe
Ersetzen Sie die Platzhalter durch die IP-Adresse und die Anmeldeinformationen auf dem Zielcomputer. Eine interaktive Eingabeaufforderung erlaubt Ihnen, auf dem Zielcomputer Arbeiten durchzuführen, als säßen Sie davor. Auch hier wird die Eingabeaufforderung und Remotesitzung mit Strg-C beendet.Weiterhin besteht die Option, einzelne Befehle oder Skripte auf dem Zielsystem zu starten. Die Ausgabe können Sie sich anzeigen lassen. So erhalten Sie bei Windows 8.1 und 10 eine vollständige Liste der installierten Updates, wenn Sie diesen Befehl ausführen:
psexec \\[IP] -u Administrator -p [Passwort] powershell.exe "Get- WindowsPackage -Online"
Zudem können mit diesem Tool Batchdateien starten, um mehrere Befehle auszuführen. Es ist ratsam, die Batchdatei auf einer Netzwerkfreigabe zu erstellen, da dies mehrere Lösungsmöglichkeiten bietet. Beachten Sie, dass dafür die Freigabe \Server.bat vorhanden sein muss. Ist dies der Fall, erscheint in der Befehlszeile mit leichter Abweichung Folgendes:
psexec \\[IP] -u Administrator -p [Passwort] cmd.exe /c "\\Server \Scripts\Test.bat"
Alle Befehlszeilen, die auf dem Rechner gestartet werden sollen, speichern Sie in der Datei Test.bat. Zuletzt können Sie Befehle an alle im Netzwerk vorhandenen PCs senden. Geben Sie dafür anstelle des Namens oder der IP-Adresse \\* ein. Dies lässt sich auch mit einer Textdatei bewerkstelligen, der Sie zum Beispiel den Namen PC-Liste.txt geben und die pro Zeile eine IP-Adresse beinhaltet. Statt\\[IP] müssen Sie dann @PC-Liste.txt eintippen.
Ihre Netzwerkverbindungen kontrollieren Sie mit TCPView
Ein ebenfalls nützliches Tool ist TCPView, da Sie hiermit sämtliche TCP- und UDP-Endpunkte Ihres Computers in einer grafischen Oberfläche einsehen können. Das Programm zeigt außerdem die Prozesse an, die auf die Endpunkte und Ports zugreifen. So erhalten Sie umfassende Informationen über den Prozess, dessen ID, das Protokoll, die Remoteadresse sowie den Port. Dies ist bei anderen Tools oftmals nicht der Fall, da diese meist nur geöffnete Ports zeigen.
Wenn Sie Verbindungen trennen möchten, dann können Sie dafür ebenfalls TCPView nutzen. Dazu wählen Sie per Rechtsklick im Kontextmenü Close Connection aus. Im Kontextmenü haben Sie darüber hinaus die Möglichkeit, Informationen über die Verbindung zu beziehen und den Prozess zu beenden, der für die Verbindung verantwortlich ist.
Je nach Status werden die Verbindungen in anderen Ampelfarben angezeigt. Während neue Endpunkte in Grün dargestellt werden, sind gelöschte rot eingefärbt. Gelb steht für Verbindungen, die ihren Status ändern. Die Grundeinstellungen von TCPView sehen vor, dass das Tool die Verbindungen jede Sekunde aktualisiert. Möchten Sie die Abtastrate ändern, können Sie diese unter View ? Update Speed festlegen. Den aktuellen Verbindungsstatus speichern Sie mittels File ? Save in einer Textdatei ab. In der Sysinternals-Sammlung ist ebenfalls das Tool Tcpvcon.exe enthalten, welches das Äquivalent zu TCPView darstellt und per Kommandozeile bedient wird.
Untersuchen Sie Programmzugriffe mit dem Process Monitor
Es ist immer ratsam, die genauen Funktionsweisen von Programmen zu kennen. Dies gilt besonders bei Fehlfunktionen oder Sicherheitsbedenken. Aufschluss bietet das Tool Process Monitor (Procmon.exe). Damit erhalten Sie nicht nur Informationen darüber, welche Dateien und Registry-Schlüssel von einem Programm gelesen und beschrieben, sondern auch, welche Internet- oder Netzwerkadressen aufgerufen werden. Allerdings ist die Untersuchung eines Systems mit Process Monitor eine schwierige Angelegenheit. Denn im laufenden Betrieb greifen Programme permanent auf die Festplatte oder das Netzwerk zu. Die Fülle an Informationen fällt aufgrund der Datenmenge folglich sehr hoch aus, was die Recherche nach Relevantem erschwert. Bei der Analyse gehen Sie folgendermaßen vor:
Nachdem Sie den Process Monitor gestartet haben, startet das Programm zeitgleich die Untersuchung des Systems. Den Prüfvorgang schließen Sie nach einiger Zeit per Tastenkombination Strg-E ab. Nun erscheint im Programmfenster eine Auflistung aller aktiven Anwendungen, und zwar in chronologischer Reihenfolge ihres Zugriffs. Dabei können unter Process Name der Name und unter Operation die entsprechende Aktion des jeweiligen Programmes eingesehen werden. Sollte ein Programm beispielsweise einen Wert aus der Registry abfragen, wird dies mit RegQueryValue bezeichnet. CreateFile bedeutet, dass ein Programm versucht hat, eine Datei zu erstellen.
Wenn Sie ein Programm im Detail untersuchen wollen, müssen Sie dafür zunächst einen Filter erstellen. Dafür wählen Sie Filter ? Filter, danach unter Display Entries matching … im ersten Drop-down-Feld den Punkt Process Name und rechts davon Is not aus. Suchen Sie nun im dritten Feld nach dem Namen des entsprechenden Prozesses und bestätigen Sie diesen im rechten Bereich mit Exclude. Daraufhin filtert das Tool alle Informationen, die nichts mit dem jeweiligen Prozess zu tun haben, aus der Liste heraus. Über Add werden diese in die Aktionsliste und die Änderung mit Klick auf OK übernommen. Im nächsten Schritt löschen Sie zunächst mit der Tastenkombination Strg-X den Listeninhalt der aufgezeichneten Zugriffe und beginnen die Analyse mit Strg-E. Zusätzlich können die Inhalte der Zugriffsliste noch weiter eingeschränkt werden. Dafür stehen im rechten Bereich fünf Einstellungsoptionen in Schalterform bereit, mit denen zum Beispiel Registry- oder Netzwerkzugriffe nur angezeigt werden.
In der Regel empfiehlt es sich, einen Prüfvorgang mit Strg-E zu beenden und die anschließende Liste per Strg-X zu entfernen. Starten Sie im Anschluss erneut die Aufzeichnung via Strg-E und danach das zu untersuchende Programm. Genauso können Sie während der Untersuchung auch eine Funktion des Programmes ausführen, um die genauen Folgen zu ermitteln.
Mit Disk2vhd sichern Sie Daten und Ihr System
Mit dem Tool Disk2vhd können das System und alle anderen Festplatteninhalte in einer VHD-Datei gesichert werden. Diese bietet sich vor allem für Backups an, da mit ihnen sowohl auf einzelne Dateien als auch auf das ganze System zugegriffen werden kann. Zwar wurde Disk2vhd in erster Linie für die Anwendung einer Kopie des installierten Systems in einer Virtualisierungssoftware konzipiert, Sie können Windows jedoch auch mit der VHD-Datei booten. Allerdings gilt dies nur für Windows 7 Ultimate, Windows 7 Enterprise, Windows 8 Pro, Windows 10 und Systeme, die im BIOS-Modus installiert wurden.
Bei der Nutzung von Disk2vhd gehen Sie wie folgt vor: Nach Start des Tools werden die Partitionen der Systemfestplatte angezeigt. Diese sind meist bereits mit einem Häkchen versehen. Falls nicht, fügen Sie manuell weitere hinzu, bis alle Partitionen ausgewählt sind. Falls die Datei als Backup genutzt oder in Microsofts Virtualisierungslösung Hyper-V aufgerufen werden soll, legen Sie dies per Häkchen vor Use Vhdx fest. Bei Virtualbox ist dies nicht nötig. Nun bestimmen Sie unter dem Punkt "…" und dort unter VHD File name: den Dateinamen und ihren Speicherort. Zum Abschluss des Vorganges klicken Sie auf Create.
Die Einbindung in das Dateisystem von VHD- oder VHD-X-Dateien erfolgt über die Datenträgerverwaltung per Win-R und diskmgmt.msc. Wählen Sie dafür Aktion ? Virtuelle Festplatte anfügen aus. Die virtuelle Festplatte von Windows wird mit einem Laufwerksbuchstaben versehen und steht Ihnen jetzt zur Wiederherstellung von Dateien zur Verfügung.