Sysinternals: швейцарский нож для Windows Server
13.10.2025
Введение
Sysinternals — это коллекция бесплатных утилит от Microsoft, созданная Марком Руссиновичем и Брайсом Когсвеллом.
Она помогает системным администраторам получать доступ к низкоуровневой информации о Windows Server: процессах, файловой системе, сетевых соединениях и автозапуске.
Набор насчитывает более 60 инструментов и является стандартом де-факто для диагностики и устранения неполадок.
Основные возможности
- Диагностика производительности ЦП, дисков и памяти.
- Поиск причин сбоев и ошибок приложений.
- Контроль безопасности и анализ подозрительных процессов.
- Удалённое администрирование через PsTools.
- Работа с Active Directory и службами.
Ключевые утилиты
| Утилита | Назначение | Интерфейс |
|---|---|---|
| Process Explorer | Расширенный диспетчер задач, показывает связи процессов, загруженные DLL и дескрипторы. | GUI |
| Process Monitor (ProcMon) | Отслеживает операции с файлами, реестром и сетевыми вызовами. | GUI |
| PsTools | Пакет для удалённого управления (PsExec, PsList, PsKill). | CLI |
| Autoruns | Просмотр и управление автозапуском программ и служб. | GUI |
| TCPView | Мониторинг всех TCP/UDP-соединений и связанных процессов. | GUI |
| Sysmon | Логирование событий безопасности и системных изменений. | CLI |
Практические сценарии
- Долгая загрузка системы — используйте
Autoruns, чтобы отключить ненужные элементы автозапуска. - Ошибка “Файл занят” —
HandleилиProcess Explorerпокажут, какой процесс держит файл. - Высокая нагрузка на ЦП —
PsListилиProcess Explorerпомогут найти источник. - Подозрительная активность в сети —
TCPViewпокажет, кто устанавливает соединения. - Аудит безопасности — настройте
Sysmonи анализируйте логи в журнале событий.
Автоматизация с помощью PsTools
Sysinternals отлично подходит для автоматизации. С помощью PsExec можно запускать скрипты PowerShell или команды CMD на десятках серверов одновременно.
Например, для перезапуска службы обновления: