Derfor crasher lufthavne og it-systemer:Opdatering fra Crowdstrike har ramt Microsofts systemer i hele verden

Artikel top billede

(Foto: Computerworld)

It-nørdens trin for trin-guide: Ned i maskinrummet på Windows 11

Hvis du er fortrolig med Windows 11, så er du klar til at dykke dybere ned i styresystemet. Her klæder vi dig på, så du nemmere kan løse pc-problemer, når de opstår.

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Viden er magt. Derfor borer vi os her ned i maskinrummet i Windows 11, så du bliver klædt på til at forstå, hvad der sker, når der opstår problemer med din computer.

Du kan identificere problemerne og i nogle tilfælde endda vække døde applikationer til live, uden at du skal tvangslukke dem og miste timers arbejde, som ikke er blevet gemt. Vi ser først på Jobliste, som er indbygget i Windows og har alle de værktøjer, du skal bruge til at løse de fleste udfordringer. Men vi introducerer også værktøjet Process Explorer.

1 Lynhurtig orientering

Vi begynder med en hurtig tur gennem Joblistes nøglefunktioner. Først skal vi åbne den – den hurtigste metode kræver tre fingre: Ctrl + Shift + Esc (gem Ctrl + Alt + Delete til de tidspunkter, hvor Windows ikke reagerer). Man kan også få adgang til Jobliste i Windows 10 ved at højreklikke på Proceslinje eller i Windows 11 ved at højreklikke på Start-knappen og vælge Jobliste.

Den basale Jobliste-visning er en enkel liste over kørende apps. Hvis du endnu ikke er kommet videre end hertil, kan du ved at klikke “Flere oplysninger” få adgang til syv faner, der er fyldt med nyttige oplysninger. Overskrifterne fortæller kort, hvad hver sektion kan, men lad os dykke ned i de enkelte sektioner og se, hvad de kan levere i form af nyttig diagnostisk information og redskaber til fejlfinding.

2 Se, hvad der kører

Under fanen “Processer” får man en detaljeret oversigt over det, der kører på pc’en. Den er delt op i tre sektioner: Apps viser, hvilke programmer man har startet via Stifinder – hvis du vil se, hvilke processer hver app kører, klikker du på “>”.

I de fleste tilfælde er der måske kun anført en enkelt proces, eller man kan blot se flere tråde med samme navn som selve appen, men andre kan levere yderligere gode oplysninger. For eksempel vil Word vise et separat element for hvert dokument, man har åbnet, mens Microsoft Edge går videre endnu ved at identificere hver eneste underproces [Billede A].

Billede A

Neden under Apps ligger “Bag-grundsprocesser”, der opregner alle de tredjepartsprogrammer, som kører i baggrunden. Igen kan man udvide nogle af dem, og det kan føre til vigtige oplysninger om processen – eller i hvert fald oplyse, hvilket program der har startet den. Man kan eksempelvis åbne “Antimalware Service Executable” og få oplyst, at der er tale om en del af Microsoft Defenders Antivirus-komponent.

Den sidste sektion nederst er “Windows-processer”, som gælder kerneprocesser, der har relation til Windows, herunder alle kørende Tjenester. Den sidstnævnte kan man også se via den enkelte tjenestes fane, men en af fordelene ved at bruge Processer er, at man kan overskue hver enkelt proces’ ressourceforbrug med kolonner, der dækker cpu, hukommelse, disk og netværk. Når man klikker på en af overskrifterne, får man hurtigt sorteret listen efter ressourceforbrug.

Hvis man vil vide mere om en proces, højreklikker man på den og vælger Egenskaber > fanen Detaljer eller vælger “Søg online” for at iværksætte en Bing-drevet søgning efter procesnavnet og dets underliggende filnavn. Hvis man laver fejlfinding på en app, kan man ved at vælge “Opret dumpfil” få oprettet en fil, som man kan dele med en professionel eller selv studere ved hjælp af det gratis WinDbg Preview (installér det via Microsoft Store).

3 Væk frosne apps til live

En vigtig funktion ved Jobliste består naturligvis i at afslutte programmer eller processer, der ikke reagerer. Man vil bemærke, at den slags processer som regel er markerede, og hvis man vælger processen og klikker “Afslut job” (somme tider skal man klikke mere end én gang), er det tit og ofte nok til at stoppe den. En undtagelse er Stifinder (eller Windows Stifinder, som den bliver kaldt). Når man vælger den, bliver “Afslut job” skiftet ud med en “Genstart”-knap.

Men hvad gør man nu, hvis man konstaterer, at man står over for risikoen for at miste en mængde data, fordi man har været for sjusket med at gemme dokumenter? Med lidt held kan man måske genoplive programmet ved at identificere og afslutte præcis den tråd, der holder sagerne i skak, og hvis man er heldig, kan det være nok til at gelejde appen tilbage til en fungerende tilstand, uden at den bryder ned.

Jobliste kort fortalt

1. Processer

Denne fane giver et praktisk overblik over det hele – fra Store-apps og desktop-programmer til baggrundstjenester – på din pc. Elementerne er delt op i tre sektioner: Apps, Baggrundsprocesser og Windows-processer.

2. Ydelse

Herfra kan du overvåge ydelsen fra vigtige hardwareenheder. En graf leverer historiske data for de seneste 60 sekunder, mens man kan se realtidsdetaljer og nøgleoplysninger om hver komponent.

3. Appoversigt/start

Den førstnævnte giver mulighed for at se ressourceforbruget for kørende apps, som du har installeret fra Microsoft Store, mens den sidstnævnte giver en omfattende liste over programmer og apps, der er indstillet til at starte sammen med Windows, plus et estimat over deres indflydelse på starttiden.

4. Brugere

Hvis flere brugere er logget på din pc, kan du bruge denne fane til at se, hvilke processer hver bruger kører i øjeblikket. Denne funktion vil naturligvis være af begrænset værdi for enkeltbrugere.

5. Detaljer

Denne sektion er potentielt den nyttigste del af Jobliste. Den giver dig oplysninger om – og kontrol med – igangværende processer.

6. Tjenester

Få et hurtigt overblik over kørende Tjenester. Du kan starte og stoppe dem herfra eller springe til det mere omfattende Tjenester-værktøj.

Det gør du ved at højreklikke på den fejlslagne proces og vælge “Gå til detaljer”. Det fører dig til fanen “Detaljer”, hvor du ser processer i alfabetisk orden med langt mere potentielt anvendelig information – deres status (kørende eller stoppet); den bruger, der har startet dem (typisk dig, SYSTEM eller en TJENESTE), og et PID (Process ID).

Når du vil prøve at frigøre en ikke-svarende tråd herfra, højreklikker du på den en gang til og vælger derefter “Analysér venteliste”. Det fremkalder en liste over tråde, som bruger eller venter på at bruge ressourcer, der er i brug andetsteds [Billede B].

Afslutning af tråden kan være nok til at frigøre den oprindelige process – det har vi for eksempel prøvet nogle gange i Firefox, når en individuel fane er blevet ikkesvarende.

Billede B

4 Optimer app-ydelsen

Der er nogle andre praktiske muligheder under fanen “Detaljer” – man kan ændre prioriteringer her, og det kan så forhindre bestemte processer i at overtage din pc og gøre alt andet langsommere.

Det er navnlig et problem hos svagere pc’er (i dette tilfælde kan du overveje Process Lasso (https://bitsum.com/) for at få en automatiseret løsning), men hvis du gerne vil eksperimentere, kan du højreklikke på den problematiske proces og vælge Angiv prioritet > under normal for at se, om det hjælper med at afsløre ressourceslugere [Billede C].

Billede C

Du kan også give tråde større prioritet, hvis du mener, at de behøver ekstra opmærksomhed, men lad være med at give nogen tråd “Realtid”-prioritit, for det vil tvinge Windows i knæ.

En anden mulighed er “Angiv tilhørsforhold”. Den kan give ydelsesforbedringer for ældre programmer, som blev udviklet, da man brugte enkeltkerneprocessorer. Denne indstilling gør det muligt at begrænse en app til at bruge specifikke processorkerner – men i de fleste tilfælde ved Windows, hvad det gør, og det er derfor sjældent nødvendigt.

5 Skærmydelse

Fanen “Ydeevne” gør det muligt at overvåge den virkning, dit kørende system har på centrale hardwarekomponenter: Cpu, ram, diske, netværk og gpu er alle dækket. Du får en graf, der viser de seneste 60 sekunders ydelse [Billede D] plus nøgletal for det aktuelle ressourceforbrug og nogle praktiske oplysninger om den pågældende komponent (for eksempel om hardware-virtualisering i øjeblikket er mulig for din cpu).

Billede D

Hvis du vil overvåge de kumulative virkninger af individuelle apps i form af cpu (forbrugt processortid) og netværk (mængden af overførte data), skal du gå til fanen “Appoversigt”.

Som standard viser den kun apps, der er installeret via Microsoft Store, men man kan få vist alle processer ved at vælge Indstillinger > Vis historik for alle processer. Hvis du vil begynde forfra på overvågningen, klikker du på “Slet forbrugshistorik”.

6 Strømlin startprocessen

Det er forbløffende, så mange apps der konfigurerer sig selv til automatisk at starte sammen med pc’en. Joblistes “Start”-fane giver et godt overblik over dem, der indstiller sig selv til at starte sammen med Windows – sågar apps, der bliver overset af tredjepartsværktøjer som BootRacer.

Heldigvis tilbyder Jobliste en “Startvirkning”-angivelse for hver app, således at man kan udpege dem, der bruger flest ressourcer. Desværre viser denne funktion ofte “Ikke målt” ud for en del af dem. Klik på “Startvirkning”, hvis du vil have listen til at vise dem med den største påvirkning øverst.

De fleste apps konfigurerer sig selv til at starte sammen med Windows for at spare tid. Hvis du kun sjældent bruger en app, kan du markere den og klikke på knappen “Deaktiver”. Så skærer du sekunder af startprocessen, og du frigør hukommelse- og cpu-ressourcer.

De første skridt

Overalt i Jobliste og Process Explorer finder man henvisninger til programmer, processer, handles og tråde. Hvad betyder de, og hvordan forholder de sig til hinanden? Programmer er filsæt, som kræves for at køre en applikation uanset, om det er et spil, en webbrowser, underliggende Windows-programmmer såsom Stifinder eller baggrundstjenester.

Processer leverer de ressourcer, der er nødvendige for at afvikle det eksekverbare program. De er lagret (fysisk og virtuelt) i en reserveret del af ram, som kaldes virtuelt adresseområde, og som omfatter programfilerne på åbne “handles” til systemobjekter.

De er tildelt en sikkerhedskontekst, som bestemmer deres adgang til systemet, en unik procesidentifikator (PID) til identifikation, hukommelsesgrænser og en prioritetsklasse, der bestemmer, hvor hurtigt de kan køre i relation til andre processer. Handles afgør, hvilke ressourcer hver proces kræver (såsom DLL-filer eller input til registreringsdatabasen) plus miljøvariabler.

Hver proces bliver delt op i tråde, så Windows kan allokere tid mellem dem. Hver tråd kan eksekvere enhver del af processens kode – selv dele, der bliver eksekveret af andre tråde – og deler processens virtuelle adresseområde og ressourcer.

De har deres egne egenskaber såsom unikke identifikatorer og undtagelses-handlers, og de er beregnet til at stoppe og starte efter en skemaplan, således at de ikke alle kører samtidig.

7 Afdæk procesrelationer

Jobliste kan fortælle meget om individuelle processer, men den viser ikke, hvordan de er forbundet med hinanden. Hvis du vil grave dybere ned i det, der kører på din pc, anbefaler vi Process Explorer, der er et gratis værktøj fra Microsofts Sysinternals-team.

Der kræves ingen installation – download blot ProcessExplorer.zip fra https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer/, og pak derefter Process Explorer-mappen ud herfra. Når du åbner den, kan du vælge mellem tre eksekverbare filer: procexp.exe rummer både 32-bit- og 64-bit-versioner. Højreklik her, og vælg “Run as administrator”.

Process Explorer starter og viser et farverigt vindue, der minder om Joblistes visning. Forskellen er, at processerne er indlejret i andre processer. Det leverer en brødkrummesti og viser, hvorfra hvert program er udsprunget, og således kan man se, hvor specifikke processer kommer fra.

Blad ned ad listen, så ser du et væld af velkendte programmer, der kommer frem under explorer.exe – alle programmer, der er blevet åbnet på vanlig vis (fra Skrive-bordet, Jobliste eller Menuen Start) kommer frem her. Hvis du senere har åbnet et program via et andet program, kommer målprogrammet, Paint.Net i vores eksempel [Billede E], frem som indlejret i sit udspring, som i dette tilfælde er WinSnap.

Billede E

Farvekodningen hjælper med at se, hvad der foregår i hver proces – vælg Options > Configure Colors… og se, hvad hver farve står for. Du vil bemærke, at de fleste processer under explorer.exe er blålilla eller “Own Processes”, hvilket betyder, at de kører under den samme konto som Process Explorer, typisk din egen. Vær opmærksom på mørklilla processer, fordi disse “Packed Images” kan indeholde komprimeret kode, der er et muligt tegn på malware.

8 Dyk endnu dybere ned

Selvom du mister den multi-indlejrede visning i Process Explorer, kan du stadig identificere det udspring, en proces tilhører, ved at dobbeltklikke på den. Det åbner en “Properties”-dialogboks med flere faner.

Du begynder med fanen “Image”, hvor processen bliver vist sammen med sit udspring; den bruger, som den kører under; dens autostart-lokation (hvis det er relevant); og det kommandolinje-argument, der bliver brugt til at starte den.

Fanen “Image” giver også mulighed for at bekræfte validiteten af et programs digitale signatur (klik Verify), og man kan overgive filen til VirusTotal med henblik på et hurtigt malwaretjek – det anbefaler vi, hvis processen er mørklilla [Billede F].

Billede F

Andre nyttige faner er “Perfor-mance”, “Performance Graph” og “GPU Graph” til måling af processens specifikke ressourceforbrug. Se i fanen “TCP/IP”, hvilke netværksforbindelser en proces bruger. Man kan se de miljøvariabler, en proces har oprettet, via fanen Environ-ment, der ofte giver flere oplysninger.

En af de mange måder, Process Explorer bruger til at vise, hvad der sker under overfladen, er dets visning af detaljeret information om en proces’ tråde. Gå til fanen “Thread” – ignorer advarslen om manglende symbolfiler – og se en liste over alle de tråde, der er knyttet til processen.

Man kan se cpu-brug for enkelte tråde plus de filer, som kalder denne tråd, og det er med til at afsløre, hvor en resourcelæk kan være. Man kan teknisk dræbe eller udsætte individuelle tråde herfra, men gem dit arbejde, før du gør det – man kan nemt ødelægge udspringsprocessen eller sågar selve Windows, hvis man ikke ved, hvad man gør.

9 Kig på handles og DLL-filer

Med Process Explorer kan man også se nærmere på en proces’ handles og DLL-filer, som er de ressourcefiler, der kan deles mellem flere programmer. Vælg din tråd, og tryk Ctrl + H.

Nu kommer der et nyt felt med en liste over dens handles. Herfra dobbeltklikker du på en handle for at få flere oplysninger om den (primært en beskrivelse af handletypen såsom Section eller WindowStation). Det er teknisk muligt at lukke individuelle handles ved at højreklikke og vælge funktionen “Close”, men ligesom med tråde: Hvis du ikke ved, hvad du gør, kan du smadre hele processen.

Tryk Ctrl + D, så skifter det nederste felt til DLL-visning og viser alle de DLL-filer, som den pågældende proces tilgår. Dobbeltklik på en DLL-fil for at se dens “Properties” – gå til fanen “Strings”, hvor du kan se en liste over de strengværdier, den rummer. Tryk Ctrl + H for at gå tilbage til Handles-visning eller Ctrl + L for at slå feltet til og fra.

Spor dit system

Hvis du gerne vil have Process Explorer kørende i baggrunden, klikker du på “Options” for at åbne menuen og markerer både “Hide When Minimized” og “Allow Only One Instance”. Det betyder, at du altid kan få adgang til Process Explorer fra Meddelelsesområdet, og du forhindrer, at flere udgaver af appen kører.

Process Explorers ikon viser en reatids-graf over dit cpu-forbrug – før musen over den, så kommer der en pop op-menu, der viser det samlede cpu-forbrug som en procentsats plus de mest krævende processer, som kører i øjeblikket.

Man kan ændre disse indstillinger via Options > Tray Icons. Man kan vælge gpu-hukommelse og Commit, som giver et estimat over, hvor megen hukommelse systemet skal bruge, baseret på det aktuelle forbrug.

Hvis dit system virker sløvt, kan man kigge på det og åbne Process Explorer for at se mere. Kig omhyggeligt på System-processen. Du kan se et felt, hvor der står “Interrupts”. Det er en kunstig proces, der sporer systemets interaktion med din hardware.

Hvis du ser et højt cpu-forbrug ved dette tal, er det tegn på et potentielt problem med din hardware eller – mere sandsynligt – en driverfejl. Lad være med at klikke her for at få flere oplysninger; der er bogstavelig talt ikke noget at se.

Hvad fortæller denne information dig? Den giver et detaljeret indblik i det, der udgør en proces – hvordan den består af flere tråde, og hvilke ressourcer den bruger i form af handles og DLL-filer. Den viser ikke kun, hvad der sker i de enkelte processer; den viser også, hvordan programmer og processer foregår.

Handles er også nyttige til at udpege de processer, der forhindrer sletning af en fil, fordi den er åben. Vælg Find > Find Handle or DLL, og skriv navnet på den pågældende fil. Klik “Search”, så får du en liste over de processer, der bruger filen. Hvis du lukker dem, burde du have mulighed for at slette filen.