Analizar logon Citrix con Procmon
Hace unos días hablamos sobre el proceso de logon en Citrix XenApp y explicamos como analizar todas las fases que intervienen en el logon de un usuario. Hoy quiero explicar cómo analizar un logon desde una herramienta diferente como es Procmon.
Process Monitor (Procmon) es una herramienta de Microsoft que nos permitirá saber en tiempo real todos los procesos que existen en el sistema. Si existe un proceso que interfiere en la sesión de citrix nos dará pistas, si existen problemas con claves de registro, fuentes de sistema o todo lo que esté pasando en el servidor cuando alguien hace login. La aplicación no se instala, en una sesión Xenapp debe estar recogiendo datos previamente para poder analizar el logon y en un VDI habrá que lanzarlo mediante un script en el arranque.
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
PROCEDIMIENTO DE CAPTURA:
- Copiamos el ejecutable en una carpeta que podamos localizar fácilmente (no se instala) y abrimos Procmon en el VDA previamente a lanzar la ejecución de la aplicación desde el Storefront. La lupa debe estar sin la marca X para que esté capturando:
- Lanzamos la aplicación en Xenapp (dado el volumen de datos que recoge en pocos segundos, este proceso debe ser rápido). Revisar la hora para tener un punto de referencia claro.
- Una vez terminada la carga de la aplicación paramos Procmon pulsando sobre la lupa.
- Para hacerse una idea del tiempo y los procesos involucrados, pulsamos el siguiente botón que nos acotará las trazas y los tiempos:
- Se ve la secuencia en estas gráficas:
- Con esa secuencia de tiempo y procesos, procedemos a realizar filtros:
Ejemplo Logon con Procmon
Análisis de un logon con PROCMON.exe para Saplogon y Sharefile. En este ejemplo extraemos los procesos que intervienen en este tipo de sesiones:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 |
UserProfileManager.exe (UPM -- logon -- logoff) smss.exe (Administrador de sesiones Windows) csrss.exe (Proceso en tiempo ejecución Cliente-Servidor) %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 winlogon.exe (Aplicación inicio de sesión) LogonUI.exe (Windows Logon User) dwm.exe (Administrador de ventanas del escritorio) ctxgfx.exe (Gráficos Citrix) mpnotify.exe (Windows NT Notification App) icak2meng.exe (Citrix K2M Engine Process) userinit.exe (Aplicación inicio de sesión) cmd.exe conhost.exe (Host de ventana de consola) acregl.exe (App Compat Registry Lookup) cmstart.exe (Citrix Client Manager Starting Utility) wfshell.exe (wfshell shell) ctfmon.exe (Cargador de CTF) Citrix.Authentication.VirtualSmartcard.Launcher.exe (Citrix Smart Card) MultimediaRedirector.exe (Citrix Multimedia Redirector) CtxMtHost.exe (Citrix Multi-Touch Host) saplogon.exe (App Saplogon) lcalmeUtil.exe (Citrix IME Utility) MultimediaRedirector.exe (Citrix Multimedia Redirector) MultimediaRedirector.exe (Citrix Multimedia Redirector diferente PID) ShareFileDriveMapper.exe ShareFileDriveMapper.exe (App ShareFile) cmd.exe (Procesador comandos) conhost.exe (Host de ventana de consola) icast.exe (Citrix ICA Start helper) LogonUI.exe (Windows Logon User) sapsprint.exe lsass.exe ImaAdvanceSrv64.exe cmstart.exe (Citrix Post-Logon, unidades de red e impresoras por ejemplo) |
¿Te ha gustado la entrada SÍGUENOS EN TWITTER?
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?