Self Hosted аналоги AnyDesk
Определенное время помыкавшись с программами удаленного доступа каждый администратор приходит к решению, что нужно либо покупать что-то коммерческое, либо ставить что-то свое.
При этом данный класс программ должен обеспечивать уверенную работу на любом типе подключения, включая медленные мобильные каналы, NAT и прочие радости жизни, а также отсутствие предварительных требований к инфраструктуре и сложному развертыванию ПО.
В идеале – клиент получил единственный файл, установил, продиктовал ID, вы подключились.
Сегодня в качестве таких решений, которые можно развернуть полностью у себя можно рассматривать только Aspia и RustDesk, каждый из которых обладает своими плюсами и минусами.
🔹 Aspia – продукт модульный, что можно записать как в плюсы, так и минусы. Например, для управления ПК вам понадобиться установить на него Host, а для подключения к хосту использовать Client или Console.
Это может быть неудобно, если вам нужно находясь за одним управляемым устройством подключиться к другому управляемому устройству. Придется устанавливать дополнительное ПО.
Адресная книга – это большой плюс данного продукта. Книг может быть несколько, они могут иметь произвольные степени вложенности. Также книгу или ее часть можно экспортировать, например, выгрузив сотруднику только узлы его подразделения.
Минус – книга локальная, хранится в файле, онлайн обновления не предусмотрено, поэтому вопросы ее синхронизации придется решать самостоятельно. Книгу можно также зашифровать, это плюс.
Еще один минус – поддерживаемые платформы. Серверная часть собирается автором сугубо под Ubuntu 20.04 и будет работать на указанной ОС, либо Debian 11. Работоспособность на иных ОС не гарантируется.
Клиенты и инструменты управления доступны только под Windows, мобильного клиента нет.
🔹 RustDesk – более привычный продукт, состоящий из клиента, который может как принимать подключения, т.е. быть хостом, так и использоваться для исходящих подключений.
Плюс – кроссплатформенность, клиент есть под все популярные ОС, включая мобильные.
Дополнительный плюс – TCP туннелирование, позволяющее создать туннель между клиентом и хостом и использовать его по собственному усмотрению.
Сервер поднимается на Ubuntu Ubuntu 18.04 – 22.04 или Debian 10/11, поддерживаются отличные от x86 архитектуры, что позволяет развернуть такой сервер на мини-ПК. Поддерживается также работа в Docker.
В этом плане RustDesk выглядит гораздо более гибко и привлекательно, нежели Aspia.
Но есть один очень большой недостаток. Отсутствие в бесплатной версии адресной книги. Альтернативой может служить избранное, но это совсем не то.
В целом RustDesk с избранным может быть удобен, когда у вас немного управляемых хостов или к большинству из них не нужен постоянный доступ (когда клиент сам присылает вам в нужный момент ID и пароль).
В случае, когда у вас крупная инфраструктура с подразделениями и несколько операторов со своим уровнем доступа данный недостаток становится очень чувствительным, можно даже сказать критическим.
✅ В остальном между программами паритет. Обе быстро работают даже на медленных каналах и имеют достаточно скромные требования к серверной части. Так для начального развертывания будет вполне достаточно VPS с одним ядром, 1 ГБ ОЗУ и 10 ГБ диском.
Что выбрать? Тут уже надо исходить из того, какие из плюсов и минусов для вас более критичны. Либо использовать оба продукта, для разных сценариев.
Определенное время помыкавшись с программами удаленного доступа каждый администратор приходит к решению, что нужно либо покупать что-то коммерческое, либо ставить что-то свое.
При этом данный класс программ должен обеспечивать уверенную работу на любом типе подключения, включая медленные мобильные каналы, NAT и прочие радости жизни, а также отсутствие предварительных требований к инфраструктуре и сложному развертыванию ПО.
В идеале – клиент получил единственный файл, установил, продиктовал ID, вы подключились.
Сегодня в качестве таких решений, которые можно развернуть полностью у себя можно рассматривать только Aspia и RustDesk, каждый из которых обладает своими плюсами и минусами.
🔹 Aspia – продукт модульный, что можно записать как в плюсы, так и минусы. Например, для управления ПК вам понадобиться установить на него Host, а для подключения к хосту использовать Client или Console.
Это может быть неудобно, если вам нужно находясь за одним управляемым устройством подключиться к другому управляемому устройству. Придется устанавливать дополнительное ПО.
Адресная книга – это большой плюс данного продукта. Книг может быть несколько, они могут иметь произвольные степени вложенности. Также книгу или ее часть можно экспортировать, например, выгрузив сотруднику только узлы его подразделения.
Минус – книга локальная, хранится в файле, онлайн обновления не предусмотрено, поэтому вопросы ее синхронизации придется решать самостоятельно. Книгу можно также зашифровать, это плюс.
Еще один минус – поддерживаемые платформы. Серверная часть собирается автором сугубо под Ubuntu 20.04 и будет работать на указанной ОС, либо Debian 11. Работоспособность на иных ОС не гарантируется.
Клиенты и инструменты управления доступны только под Windows, мобильного клиента нет.
🔹 RustDesk – более привычный продукт, состоящий из клиента, который может как принимать подключения, т.е. быть хостом, так и использоваться для исходящих подключений.
Плюс – кроссплатформенность, клиент есть под все популярные ОС, включая мобильные.
Дополнительный плюс – TCP туннелирование, позволяющее создать туннель между клиентом и хостом и использовать его по собственному усмотрению.
Сервер поднимается на Ubuntu Ubuntu 18.04 – 22.04 или Debian 10/11, поддерживаются отличные от x86 архитектуры, что позволяет развернуть такой сервер на мини-ПК. Поддерживается также работа в Docker.
В этом плане RustDesk выглядит гораздо более гибко и привлекательно, нежели Aspia.
Но есть один очень большой недостаток. Отсутствие в бесплатной версии адресной книги. Альтернативой может служить избранное, но это совсем не то.
В целом RustDesk с избранным может быть удобен, когда у вас немного управляемых хостов или к большинству из них не нужен постоянный доступ (когда клиент сам присылает вам в нужный момент ID и пароль).
В случае, когда у вас крупная инфраструктура с подразделениями и несколько операторов со своим уровнем доступа данный недостаток становится очень чувствительным, можно даже сказать критическим.
✅ В остальном между программами паритет. Обе быстро работают даже на медленных каналах и имеют достаточно скромные требования к серверной части. Так для начального развертывания будет вполне достаточно VPS с одним ядром, 1 ГБ ОЗУ и 10 ГБ диском.
Что выбрать? Тут уже надо исходить из того, какие из плюсов и минусов для вас более критичны. Либо использовать оба продукта, для разных сценариев.
👍40❤3🤮3👀2🤝1
Пассивный мониторинг роутеров Mikrotik при помощи Uptime Kuma
Недавно перед нами была поставлена задача организовать внешний мониторинг целого парка роутеров Mikrotik одной торговой сети. Заказчик хотел иметь возможность по внешней ссылке контролировать какие из точек находятся в онлайн, а какие остались без связи.
Ситуацию осложняло то, что более половины роутеров не имели выделенного IP-адреса, а часть вообще находилась за NAT, также они могли переключиться на резервный канал, представленный мобильной связью.
При этом мониторинг должен был быть предельно прост, без настройки дополнительных сущностей, туннелей и т.п. С серверной стороны также хотелось что-то простое и наглядное.
В такой ситуации отлично подходит известная многим Uptime Kuma, поднимется просто – в Docker-контейнере, настраивается еще проще. Удобна и наглядна. Для нашей задачи у нее есть особый тип мониторинга пассивного типа – Push.
Для каждого отслеживаемого устройства формируется уникальная ссылка, точнее ссылка с уникальным ключом, по которой нужно обращаться к серверу с нужной периодичностью. В нашем случае это именно то, что требуется.
Настроить тоже очень просто, буквально двумя командами:
Эта команда создаст скрипт с именем monitoring-push, уникальный URL замените своими данными.
Затем следует добавить его в планировщик с периодичностью выполнения 60 секунд:
Для проверки можете запустить скрипт вручную, если все сделано правильно в мониторинге тут же появится отметка о доступности.
Внимательный читатель заметит, что в ссылке есть параметр ping, но в RouterOS нет возможности получить скриптом время пинга, поэтому контролировать время задержки не получится.
Однако визуально пустое значение на графике мониторинга воспринимается как недоступность устройства, особенно на фоне зеленых графиков соседних узлов, поэтому вы можете передавать в этом параметре некоторое произвольное значение.
Например 64, для этого измените ссылку следующим образом:
Теперь визуально все будет выглядеть привычным образом.
Таким образом мы быстро настроили простой, но эффективный пассивный мониторинг, когда сами устройства сообщают серверу о своей активности.
Недавно перед нами была поставлена задача организовать внешний мониторинг целого парка роутеров Mikrotik одной торговой сети. Заказчик хотел иметь возможность по внешней ссылке контролировать какие из точек находятся в онлайн, а какие остались без связи.
Ситуацию осложняло то, что более половины роутеров не имели выделенного IP-адреса, а часть вообще находилась за NAT, также они могли переключиться на резервный канал, представленный мобильной связью.
При этом мониторинг должен был быть предельно прост, без настройки дополнительных сущностей, туннелей и т.п. С серверной стороны также хотелось что-то простое и наглядное.
В такой ситуации отлично подходит известная многим Uptime Kuma, поднимется просто – в Docker-контейнере, настраивается еще проще. Удобна и наглядна. Для нашей задачи у нее есть особый тип мониторинга пассивного типа – Push.
Для каждого отслеживаемого устройства формируется уникальная ссылка, точнее ссылка с уникальным ключом, по которой нужно обращаться к серверу с нужной периодичностью. В нашем случае это именно то, что требуется.
Настроить тоже очень просто, буквально двумя командами:
/system script add name="monitoring-push" source="/tool fetch url=\"http://192.168.3.112:3001/api/push/bgIDVXjXRo?status=up&msg=OK&ping=\" keep-result=no"
Эта команда создаст скрипт с именем monitoring-push, уникальный URL замените своими данными.
Затем следует добавить его в планировщик с периодичностью выполнения 60 секунд:
/system scheduler add name="monitoring-scheduler" interval=1m on-event="/system script run monitoring-push" start-time=startup
Для проверки можете запустить скрипт вручную, если все сделано правильно в мониторинге тут же появится отметка о доступности.
Внимательный читатель заметит, что в ссылке есть параметр ping, но в RouterOS нет возможности получить скриптом время пинга, поэтому контролировать время задержки не получится.
Однако визуально пустое значение на графике мониторинга воспринимается как недоступность устройства, особенно на фоне зеленых графиков соседних узлов, поэтому вы можете передавать в этом параметре некоторое произвольное значение.
Например 64, для этого измените ссылку следующим образом:
url=\http://192.168.3.112:3001/api/push/bgIDVXjXRo?status=up&msg=OK&ping=64\
Теперь визуально все будет выглядеть привычным образом.
Таким образом мы быстро настроили простой, но эффективный пассивный мониторинг, когда сами устройства сообщают серверу о своей активности.
101👍49❤3🔥3
Просто добавь воды сделай TRIM
На днях у одного коллеги приключилась поучительная история. Всю неделю он оптимизировал инфраструктуру по причине покупки нового оборудования и в числе прочего решил переместить Zabbix на более мощный гипервизор, на котором как раз освободилось место.
Сказано – сделано. Только вот практически сразу Zabbix начал сыпать алерты о высоком проценте использования собственных процессов. А тут коллега, ровно перед переездом, добавил на мониторинг около 35 новых узлов с чем и связал выросшую нагрузку.
Беда эта известная и в интернете полным-полно инструкций какие опции нужно крутить для того или иного процесса. Только вот инструкции почему-то не помогали и через пару часов «оптимизации» Zabbix вообще упал.
После чего была использована опция «звонок другу» и мы решили восстановить контейнер из бекапа, благо с этим было все в порядке.
Сразу обратили внимание на необычно высокий LA, который для двух выделенных контейнеру ядер показывал просто неприличные значения. При этом никакой вычислительной нагрузки нами не фиксировалось.
А если нет нагрузки, но LA держится на высоких отметках – смотри подсистему ввода-вывода. И точно, тут даже ходить никуда не пришлось, собранные самим Zabbix метрики показывали высокое значение IO wait.
После чего мы поинтересовались предысторией. Как выяснилось в этом хранилище раньше жили несколько виртуалок занимая, примерно, 70-75% его объема. После чего виртуалки уехали, а на их место приехал Zabbix.
Теперь все стало понятно. В нормальном режиме эксплуатации серверные системы нормально живут без TRIM, потому что основной характер нагрузки не предусматривает удаления значительного объема данных, они в основном дописываются или перезаписываются.
Но при переезде мы как раз выполнили удаление большого объема данных, но лежащие в основе хранилища твердотельные накопители уведомлены об этом не были. Со всеми вытекающими.
Что надо сделать? Принудительно послать TRIM, после чего буквально в течении ближайших 15 минут все пришло в норму.
Мораль сей истории проста – лечить надо причину, а не симптомы. И всегда искать причинно-следственные связи. Потому что просто так никогда ничего не случается.
На днях у одного коллеги приключилась поучительная история. Всю неделю он оптимизировал инфраструктуру по причине покупки нового оборудования и в числе прочего решил переместить Zabbix на более мощный гипервизор, на котором как раз освободилось место.
Сказано – сделано. Только вот практически сразу Zabbix начал сыпать алерты о высоком проценте использования собственных процессов. А тут коллега, ровно перед переездом, добавил на мониторинг около 35 новых узлов с чем и связал выросшую нагрузку.
Беда эта известная и в интернете полным-полно инструкций какие опции нужно крутить для того или иного процесса. Только вот инструкции почему-то не помогали и через пару часов «оптимизации» Zabbix вообще упал.
После чего была использована опция «звонок другу» и мы решили восстановить контейнер из бекапа, благо с этим было все в порядке.
Сразу обратили внимание на необычно высокий LA, который для двух выделенных контейнеру ядер показывал просто неприличные значения. При этом никакой вычислительной нагрузки нами не фиксировалось.
А если нет нагрузки, но LA держится на высоких отметках – смотри подсистему ввода-вывода. И точно, тут даже ходить никуда не пришлось, собранные самим Zabbix метрики показывали высокое значение IO wait.
После чего мы поинтересовались предысторией. Как выяснилось в этом хранилище раньше жили несколько виртуалок занимая, примерно, 70-75% его объема. После чего виртуалки уехали, а на их место приехал Zabbix.
Теперь все стало понятно. В нормальном режиме эксплуатации серверные системы нормально живут без TRIM, потому что основной характер нагрузки не предусматривает удаления значительного объема данных, они в основном дописываются или перезаписываются.
Но при переезде мы как раз выполнили удаление большого объема данных, но лежащие в основе хранилища твердотельные накопители уведомлены об этом не были. Со всеми вытекающими.
Что надо сделать? Принудительно послать TRIM, после чего буквально в течении ближайших 15 минут все пришло в норму.
Мораль сей истории проста – лечить надо причину, а не симптомы. И всегда искать причинно-следственные связи. Потому что просто так никогда ничего не случается.
👍51❤2🤮2🤝2
Возвращаясь к напечатанному
Практически ровно 11 лет назад мы рассматривали одну из первых ознакомительных версий Windows 10, а сегодня она уже покидает рынок и становится признанной классикой.
✅ Первый взгляд на Windows 10 Technical Preview
Предоставлять доступ к новым версиям операционных систем похоже вошло у Microsoft в хорошую традицию. Тем не менее, выход предварительной версии Windows 10 интересен сам по себе.
После смелых экспериментов с интерфейсом в Windows 8 разработчики похоже решили остепениться и наконец-то услышать тех пользователей, которые на компьютере работают, а не только потребляют контент при помощи гаджетов.
Несмотря на это новую версию Windows продолжают позиционировать как систему для всех устройств, поэтому посмотрим, что получилось в этот раз.
Практически все авторы обзоров в один голос утверждают, что Windows 8 "с треском провалилась" и сравнивают ее с другой неудачной системой - Windows Vista.
Vista действительно провалилась и вовсе не потому, что была так плоха. Компания Microsoft допустила один серьезный просчет - выпустила систему с более высокими требованиями, чем реальная вычислительная мощность большинства компьютеров тех лет.
Но это полбеды, на момент своего выхода Windows XP тоже требовала компьютер уровня выше среднего, но к провалу продаж это не привело. К такому печальному результату привел целый комплекс причин и сегодня можно смело сказать, что провал Vista был закономерным.
Уже в процессе разработки новой системы стало понятно, что возможности ядра NT 5.x исчерпаны и содержат ряд архитектурных недостатков и ограничений. Поэтому Vista получила новое ядро, положив начало линейке NT 6.x, которая используется до сих пор.
Также в архитектуре системы были впервые реализованы многие современные механизмы и технологии. Вычислительная техника стремительно менялась: гонка гигагерц закончилась, на сцену начали выходить многоядерные системы с 64-битной архитектурой, широкое распространение сети интернет породило новые угрозы, а повысившаяся доступность и рост качества мультимедийного контента ставило новые требования.
Если в 2001 году Windows XP была современной системой, то в 2006 ее возможности явно не соответствовали требованиям рынка. Пользователи ждали новую систему и чем дольше было ожидание, тем выше были требования.
Но вышло совсем наоборот. Новое ядро породило целый пласт проблем совместимости с оборудованием и ПО, особенно у 64-битной редакции. Новая система безопасности кардинально меняла способ взаимодействия пользователя и программ с системой, также вызывая множество конфликтов, а UAC, вместо простого и эффективного механизма повышения прав, превратился в основной раздражитель.
К выходу Windows 7, которая по сути является продолжением и развитием Vista, многие из этих проблем были исправлены, как со стороны Microsoft, так и со стороны производителей железа и ПО. Да и аппаратная часть за это время существенно подтянулась. В итоге систему ждал закономерный успех.
С Windows 8 ситуация принципиально иная. Никаких революционных изменений она не содержит и основным камнем преткновения стал новый интерфейс ModernUI, но и эта "проблема" легко решается установкой утилит, возвращающих привычное меню "Пуск" и убирающих новые приложения с глаз подальше.
При этом каких-либо сильных мотиваторов для перехода на "восьмерку" с привычной и удобной "семерки" не оказалось. Поэтому такой популярности, как у сменившей откровенно устаревшую ХР "семерки", для Windows 8 и не ожидалось, особенно в корпоративной среде, которая вообще отличается сильным консерватизмом.
Практически ровно 11 лет назад мы рассматривали одну из первых ознакомительных версий Windows 10, а сегодня она уже покидает рынок и становится признанной классикой.
✅ Первый взгляд на Windows 10 Technical Preview
Предоставлять доступ к новым версиям операционных систем похоже вошло у Microsoft в хорошую традицию. Тем не менее, выход предварительной версии Windows 10 интересен сам по себе.
После смелых экспериментов с интерфейсом в Windows 8 разработчики похоже решили остепениться и наконец-то услышать тех пользователей, которые на компьютере работают, а не только потребляют контент при помощи гаджетов.
Несмотря на это новую версию Windows продолжают позиционировать как систему для всех устройств, поэтому посмотрим, что получилось в этот раз.
Практически все авторы обзоров в один голос утверждают, что Windows 8 "с треском провалилась" и сравнивают ее с другой неудачной системой - Windows Vista.
Vista действительно провалилась и вовсе не потому, что была так плоха. Компания Microsoft допустила один серьезный просчет - выпустила систему с более высокими требованиями, чем реальная вычислительная мощность большинства компьютеров тех лет.
Но это полбеды, на момент своего выхода Windows XP тоже требовала компьютер уровня выше среднего, но к провалу продаж это не привело. К такому печальному результату привел целый комплекс причин и сегодня можно смело сказать, что провал Vista был закономерным.
Уже в процессе разработки новой системы стало понятно, что возможности ядра NT 5.x исчерпаны и содержат ряд архитектурных недостатков и ограничений. Поэтому Vista получила новое ядро, положив начало линейке NT 6.x, которая используется до сих пор.
Также в архитектуре системы были впервые реализованы многие современные механизмы и технологии. Вычислительная техника стремительно менялась: гонка гигагерц закончилась, на сцену начали выходить многоядерные системы с 64-битной архитектурой, широкое распространение сети интернет породило новые угрозы, а повысившаяся доступность и рост качества мультимедийного контента ставило новые требования.
Если в 2001 году Windows XP была современной системой, то в 2006 ее возможности явно не соответствовали требованиям рынка. Пользователи ждали новую систему и чем дольше было ожидание, тем выше были требования.
Но вышло совсем наоборот. Новое ядро породило целый пласт проблем совместимости с оборудованием и ПО, особенно у 64-битной редакции. Новая система безопасности кардинально меняла способ взаимодействия пользователя и программ с системой, также вызывая множество конфликтов, а UAC, вместо простого и эффективного механизма повышения прав, превратился в основной раздражитель.
К выходу Windows 7, которая по сути является продолжением и развитием Vista, многие из этих проблем были исправлены, как со стороны Microsoft, так и со стороны производителей железа и ПО. Да и аппаратная часть за это время существенно подтянулась. В итоге систему ждал закономерный успех.
С Windows 8 ситуация принципиально иная. Никаких революционных изменений она не содержит и основным камнем преткновения стал новый интерфейс ModernUI, но и эта "проблема" легко решается установкой утилит, возвращающих привычное меню "Пуск" и убирающих новые приложения с глаз подальше.
При этом каких-либо сильных мотиваторов для перехода на "восьмерку" с привычной и удобной "семерки" не оказалось. Поэтому такой популярности, как у сменившей откровенно устаревшую ХР "семерки", для Windows 8 и не ожидалось, особенно в корпоративной среде, которая вообще отличается сильным консерватизмом.
👍22❤7🫡3🤮2👎1
Forwarded from 🛠 Импортозамещение в ИТ
В отечественном IT-секторе разворачивается ситуация, граничащая с абсурдом. Уже больше недели разработчики ключевых российских ОС — Astra Linux, РЕД ОС и Alt Linux — сталкиваются с невозможностью получить обновления ядра Linux и исходные коды с официальных мировых ресурсов, таких как git.kernel.org.
В чем техническая проблема?
Судя по трассировкам и жалобам в профессиональных сообществах, пакеты «гибнут» на узлах ТСПУ (технических средств противодействия угрозам). Пытаясь задушить протоколы обхода замедления Telegram (который с 10 февраля работает в РФ с большими перебоями), регулятор применил тактику «ковровых блокировок» IP-диапазонов крупных CDN-провайдеров. Под раздачу попали зеркала Linux Kernel Archives.
Злая ирония 2026 года:
Чтобы собрать «импортонезависимое» ПО для министерств и оборонки, российские инженеры теперь вынуждены использовать VPN. То есть те самые инструменты, с которыми РКН ведет войну, стали единственным способом обновить ядро «суверенной» системы.
Команда для проверки (если у тебя тоже не тянутся апдейты):
Если твой сервер не может достучаться до репозиториев, проверь, на каком этапе обрывается связь:
# Трассировка до порта 443 (HTTPS)
mtr -T -P 443 git.kernel.org
Если пакеты доходят до узлов твоего провайдера и «растворяются» в пустоте — поздравляю, ты под фильтром ТСПУ.
Что делать админу прямо сейчас?
1. Зеркала: Настраивай синхронизацию через доверенные зеркала в Азии или поднимай свой локальный репозиторий внутри сети.
2. Проксирование: Если сборка встала, используй http_proxy для пакетных менеджеров (но помни про безопасность!).
3. Белые списки: Подавай заявку через ГРЧЦ на внесение ваших IP в исключения (хотя, как показывает практика этой недели, тишина в ответ — обычное дело).
Итог:
#Linux #РКН #AstraLinux #редос #kernel #sysadmin
Please open Telegram to view this post
VIEW IN TELEGRAM
👏49💯17😁10👍6🤬4
Проблема дубликатов SID
Дубликаты SID – тема неоднозначная, с одной стороны, разработчики Windows всегда говорили о том, что подобного допускать не следует, но в большинстве случаев дублированные SID не приносили больших бед и многие просто не придавали этому значения, мол и так работает.
Масла в огонь подлил небезызвестный Марк Руссинович, который в 2009 году «развенчал миф о дубликатах SID», доказав, что они не выходят за пределы локальных машин и не приводят к конфликтам или уязвимостям. И даже снял с поддержки и убрал с сайта утилиту NewSID от Sysinternals.
Это был как раз тот случай, когда авторитет специалиста сыграл с индустрией злую шутку. Попытки осторожных и здравомыслящих коллег указать на нежелательность дублирования SID упирались в железобетонное возражение: «а вот Руссинович…».
Хотя мы лично сталкивались с разными непонятными ситуациями в части применения некоторых групповых политик на машинах с дублированным SID и, несмотря не «развенчание мифа», старались дублирования не допускать и не советовали этого делать в своих материалах, что нам регулярно ставили на вид.
В результате очень и очень многие просто клонировали системы, не придавая этому вопросу особого внимания, тем более что в основном все работало нормально.
Но, если на стене висит ружье, то оно должно обязательно выстрелить. Так и произошло. С осени 2025 года Microsoft выпустила ряд исправлений, которые блокируют сетевое взаимодействие и аутентификацию Kerberos/NTLM при обнаружении дублирующихся SID.
Проблеме подвержены Windows 10/11 и Windows Server 2025, в смешанных средах может наблюдаться частичная неработоспособность. Возникают проблемы доступа к общим папкам и принтерам, входа в домен и сетевого взаимодействия, местами труднодиагностируемые.
Что по этому поводу говорит Microsoft? А то, что она говорит абсолютно не понравится большинству владельцев клонированных систем. Единственным официально поддерживаемым решением является выполнение Sysprep с опцией generalize для захваченного образа с последующим развертыванием системы из этого образа.
На рабочей машине такое выполнение официально не поддерживается, но возможно, хотя по последствиям это примерно равносильно переустановке, так как приведет к сбросу профилей и всех пользовательских настроек системы, драйверов и т.д.
Сторонние приложения для смены SID также официально не поддерживаются, мало того, их применение чревато самыми тяжелыми последствиями с потерей работоспособности ОС и пользовательских данных. Хотя вариант есть, мы его рассмотрим отдельной публикацией.
А пока вам следует пересобрать все используемые образы с использованием Sysprep /generalize, а также провести аудит и выявить системы с дублированными SID даже если вы пока не испытываете проблем.
Альтернативный способ – это получение от корпоративной поддержки Microsoft специальных шаблонов учетных политик, смягчающих требования к дублированию SID, но этот способ носит временный характер и официально недоступен для клиентов в РФ.
Дубликаты SID – тема неоднозначная, с одной стороны, разработчики Windows всегда говорили о том, что подобного допускать не следует, но в большинстве случаев дублированные SID не приносили больших бед и многие просто не придавали этому значения, мол и так работает.
Масла в огонь подлил небезызвестный Марк Руссинович, который в 2009 году «развенчал миф о дубликатах SID», доказав, что они не выходят за пределы локальных машин и не приводят к конфликтам или уязвимостям. И даже снял с поддержки и убрал с сайта утилиту NewSID от Sysinternals.
Это был как раз тот случай, когда авторитет специалиста сыграл с индустрией злую шутку. Попытки осторожных и здравомыслящих коллег указать на нежелательность дублирования SID упирались в железобетонное возражение: «а вот Руссинович…».
Хотя мы лично сталкивались с разными непонятными ситуациями в части применения некоторых групповых политик на машинах с дублированным SID и, несмотря не «развенчание мифа», старались дублирования не допускать и не советовали этого делать в своих материалах, что нам регулярно ставили на вид.
В результате очень и очень многие просто клонировали системы, не придавая этому вопросу особого внимания, тем более что в основном все работало нормально.
Но, если на стене висит ружье, то оно должно обязательно выстрелить. Так и произошло. С осени 2025 года Microsoft выпустила ряд исправлений, которые блокируют сетевое взаимодействие и аутентификацию Kerberos/NTLM при обнаружении дублирующихся SID.
Проблеме подвержены Windows 10/11 и Windows Server 2025, в смешанных средах может наблюдаться частичная неработоспособность. Возникают проблемы доступа к общим папкам и принтерам, входа в домен и сетевого взаимодействия, местами труднодиагностируемые.
Что по этому поводу говорит Microsoft? А то, что она говорит абсолютно не понравится большинству владельцев клонированных систем. Единственным официально поддерживаемым решением является выполнение Sysprep с опцией generalize для захваченного образа с последующим развертыванием системы из этого образа.
На рабочей машине такое выполнение официально не поддерживается, но возможно, хотя по последствиям это примерно равносильно переустановке, так как приведет к сбросу профилей и всех пользовательских настроек системы, драйверов и т.д.
Сторонние приложения для смены SID также официально не поддерживаются, мало того, их применение чревато самыми тяжелыми последствиями с потерей работоспособности ОС и пользовательских данных. Хотя вариант есть, мы его рассмотрим отдельной публикацией.
А пока вам следует пересобрать все используемые образы с использованием Sysprep /generalize, а также провести аудит и выявить системы с дублированными SID даже если вы пока не испытываете проблем.
Альтернативный способ – это получение от корпоративной поддержки Microsoft специальных шаблонов учетных политик, смягчающих требования к дублированию SID, но этот способ носит временный характер и официально недоступен для клиентов в РФ.
👍25👀7❤4🔥1
MikroTik ошибка "Not Allowed by Device Mode"
С подобным сообщением стали сталкиваться пользователи Mikrotik при попытке задействовать те или иные возможности роутера. Особенно ярко это проявляется на недавно приобретенных устройствах.
Все дело в том, что начиная с версии RouterOS 7.17 разработчики ввели новый функционал (хотя данная опция была в ROS давно) - Device-mode, который определяет набор возможностей устройства и призван в первую очередь обеспечить безопасность и снизить угрозы в случае возможного взлома.
Теперь появились следующие режимы устройства:
▫️Home
▫️Basic
▫️Advanced
▫️ROSE
Доступные для каждого из них опции показаны на скриншоте. Можно заметить, что ряд возможностей заблокирован для любого режима.
Все старые устройства при обновлении до версии ROS 7.17 или старше автоматически переходят в режим Advanced.
Что же делать и как жить теперь? Прежде всего узнайте текущий режим устройства и включенные возможности. При обновлении с более старых версий там могут оказаться довольно причудливые конфигурации.
Для этого используйте команду:
Вывод показан на втором скриншоте, после чего вы можете переключить режим или просто активировать недостающие опции.
Для смены режима выполните:
После чего вам потребуется подтвердить изменение физически: выключив и включив питание роутера, перезагрузив его нажатием Reset или нажав физическую кнопку устройства (при ее наличии).
Это защита от возможной попытки изменить эту опцию удаленно, но при этом следует понимать, что вы тоже не сможете это сделать без физического доступа к устройству и будет очень досадно если оно уже уехало за пару сотен километров.
Для смены отдельной опции команда будет выглядеть так:
В данном случае мы включили контейнеризацию, при необходимости мы можем сделать все наоборот и опцию отключить. Подтверждение также потребует физического доступа к устройству.
Отдельного внимания заслуживает возможность install-any-version, которая по умолчанию выключена, что не позволяет откатить устройство ниже версий, указанных в опции allowed-versions. В выпуске ROS 7.21.3 там указано:
Это версии, которые не содержат критических уязвимостей и на которые можно выполнить даунгрейд устройства, не подвергая его уязвимостям.
С подобным сообщением стали сталкиваться пользователи Mikrotik при попытке задействовать те или иные возможности роутера. Особенно ярко это проявляется на недавно приобретенных устройствах.
Все дело в том, что начиная с версии RouterOS 7.17 разработчики ввели новый функционал (хотя данная опция была в ROS давно) - Device-mode, который определяет набор возможностей устройства и призван в первую очередь обеспечить безопасность и снизить угрозы в случае возможного взлома.
Теперь появились следующие режимы устройства:
▫️Home
▫️Basic
▫️Advanced
▫️ROSE
Доступные для каждого из них опции показаны на скриншоте. Можно заметить, что ряд возможностей заблокирован для любого режима.
Все старые устройства при обновлении до версии ROS 7.17 или старше автоматически переходят в режим Advanced.
Что же делать и как жить теперь? Прежде всего узнайте текущий режим устройства и включенные возможности. При обновлении с более старых версий там могут оказаться довольно причудливые конфигурации.
Для этого используйте команду:
/system/device-mode/print
Вывод показан на втором скриншоте, после чего вы можете переключить режим или просто активировать недостающие опции.
Для смены режима выполните:
/system/device-mode/update mode=advanced
После чего вам потребуется подтвердить изменение физически: выключив и включив питание роутера, перезагрузив его нажатием Reset или нажав физическую кнопку устройства (при ее наличии).
Это защита от возможной попытки изменить эту опцию удаленно, но при этом следует понимать, что вы тоже не сможете это сделать без физического доступа к устройству и будет очень досадно если оно уже уехало за пару сотен километров.
Для смены отдельной опции команда будет выглядеть так:
/system/device-mode/update container=yes
В данном случае мы включили контейнеризацию, при необходимости мы можем сделать все наоборот и опцию отключить. Подтверждение также потребует физического доступа к устройству.
Отдельного внимания заслуживает возможность install-any-version, которая по умолчанию выключена, что не позволяет откатить устройство ниже версий, указанных в опции allowed-versions. В выпуске ROS 7.21.3 там указано:
allowed-versions: 7.13+,6.49.8+
Это версии, которые не содержат критических уязвимостей и на которые можно выполнить даунгрейд устройства, не подвергая его уязвимостям.
1👍31👀7❤1
Как изменить SID в Windows 10/11 и Server 2025
О проблеме дублирующихся SID мы писали в нашей прошлой заметке, сегодня расскажем о том, как изменить его без переустановки системы.
Важно! Данный способ является неофициальным и потенциально может привести к нарушению работы системы и/или потере информации. Поэтому все действия вы производите исключительно на свой страх и риск!
Для работы мы будем использовать утилиту SIDCHG, которую следует скачать с официального сайта, там же расположен лицензионный ключ пробной версии, который представлен в качестве изображения и меняется каждый месяц, на февраль 2026 года ключ такой:
После чего узнайте текущий SID машины, например, при помощи PsGetsid64 от Sysinternals.
‼️ Если система использует BitLocker (а Windows 11 использует его по умолчанию), то шифрование нужно отключить, а диски расшифровать.
Статус можно узнать командой:
Отключить:
Если дисков несколько – повторить для каждого, после чего следует дождаться процесса расшифровки и перезагрузить ПК.
‼️ Если вы используете EFS, то скопируйте зашифрованные файлы в другое место, а также не забудьте экспортировать сертификат с ключами.
Будьте готовы к тому, что некоторое программное обеспечение может потребовать повторной активации.
🔹 Затем отключите службу UCPD — это User Choice Protection Driver
Перезагрузитесь, иначе защита полноценно отключена не будет.
Выключите онлайн-защиту антивируса, включая Defender и запустите скачанную утилиту с ключом R:
Введите лицензионный ключ и подтвердите свои действия, утилита завершит сеанс, и вы окажетесь на экране блокировки. Не входите в систему до завершения ее работы, особенно это важно для сервера, где могут быть удаленные сеансы.
По завершении работы компьютер автоматически перезагрузится. После чего первым делом включаем обратно службу UCPD и снова перезагружаемся.
После чего убедитесь, что SID действительно изменился.
👉 В некоторых случаях могут начать нестабильно работать современные приложения и меню Пуск, в этом случае нужно выполнить сброс их настроек, для этого снова запустите утилиту:
Данная команда сбросит все современные приложения, либо, если хотите действовать точечно:
Где App_1 – имя современного приложения, можно перечислить несколько значений через запятую.
При соблюдении всех указанных подготовительных мер данный способ работает, но не нужно забывать, что он не является официальным и Microsoft такой сценарий не поддерживает. Поэтому обязательно делайте бекапы, а по возможности лучше переустановите систему.
О проблеме дублирующихся SID мы писали в нашей прошлой заметке, сегодня расскажем о том, как изменить его без переустановки системы.
Важно! Данный способ является неофициальным и потенциально может привести к нарушению работы системы и/или потере информации. Поэтому все действия вы производите исключительно на свой страх и риск!
Для работы мы будем использовать утилиту SIDCHG, которую следует скачать с официального сайта, там же расположен лицензионный ключ пробной версии, который представлен в качестве изображения и меняется каждый месяц, на февраль 2026 года ключ такой:
78@5i-QwUfM-woQEE-Nf
После чего узнайте текущий SID машины, например, при помощи PsGetsid64 от Sysinternals.
‼️ Если система использует BitLocker (а Windows 11 использует его по умолчанию), то шифрование нужно отключить, а диски расшифровать.
Статус можно узнать командой:
manage-bde -status C:
Отключить:
manage-bde -off C:
Если дисков несколько – повторить для каждого, после чего следует дождаться процесса расшифровки и перезагрузить ПК.
‼️ Если вы используете EFS, то скопируйте зашифрованные файлы в другое место, а также не забудьте экспортировать сертификат с ключами.
Будьте готовы к тому, что некоторое программное обеспечение может потребовать повторной активации.
🔹 Затем отключите службу UCPD — это User Choice Protection Driver
sc config UCPD start=disabled
schtasks.exe /change /Disable /TN "\Microsoft\Windows\AppxDeploymentClient\UCPD velocity"
Перезагрузитесь, иначе защита полноценно отключена не будет.
Выключите онлайн-защиту антивируса, включая Defender и запустите скачанную утилиту с ключом R:
SIDCHG64.exe /R
Введите лицензионный ключ и подтвердите свои действия, утилита завершит сеанс, и вы окажетесь на экране блокировки. Не входите в систему до завершения ее работы, особенно это важно для сервера, где могут быть удаленные сеансы.
По завершении работы компьютер автоматически перезагрузится. После чего первым делом включаем обратно службу UCPD и снова перезагружаемся.
schtasks.exe /change /Enable /TN "\Microsoft\Windows\AppxDeploymentClient\UCPD velocity"
sc config UCPD start=auto
После чего убедитесь, что SID действительно изменился.
👉 В некоторых случаях могут начать нестабильно работать современные приложения и меню Пуск, в этом случае нужно выполнить сброс их настроек, для этого снова запустите утилиту:
SIDCHG64.exe / RESETALLAPPS
Данная команда сбросит все современные приложения, либо, если хотите действовать точечно:
SIDCHG64.exe /RESETAPPS=App_1
Где App_1 – имя современного приложения, можно перечислить несколько значений через запятую.
При соблюдении всех указанных подготовительных мер данный способ работает, но не нужно забывать, что он не является официальным и Microsoft такой сценарий не поддерживает. Поэтому обязательно делайте бекапы, а по возможности лучше переустановите систему.
👍17🔥5🤔5❤2🍌1
Mikrotik поднимает красный флаг или что такое режим flagging-enabled
В обновлении ROS 7.17 вместе с новыми device-mode появился режим flagging-enabled, который по умолчанию включен. Что это такое и чем грозит пользователям?
При активации данного режима устройство при старте анализирует конфигурацию на наличие подозрительных паттернов и далее продолжает анализировать вносимые изменения на предмет их вредоносности.
При обнаружении подозрительного кода или несанкционированного доступа устройство переходит в режим flagged: yes, после чего его возможности резко ограничиваются. Так полностью отключаются функции:
▫️ bandwidth-test
▫️ traffic-generator
▫️ flood-ping
▫️ sniffer
И отключаются любые изменения следующих компонентов (при этом остается возможность отключать или удалять записи):
▫️ system scheduler
▫️ SOCKS proxy
▫️ pptp
▫️ l2tp
▫️ ipsec
▫️ proxy
▫️ smb
При попытке несанкционированного действия вы получите ошибку:
Для выключения этого режима вам потребуется физический доступ к устройству, вы должны выполнить команду:
И выполнить жесткую перезагрузку роутера выдернув питание, нажав reset или специальную кнопку на корпусе устройства.
Если после перезагрузки устройство снова переходит в режим flagged: yes рекомендуется провести полный аудит конфигурации, изменить пароли и секреты, либо полностью сбросить конфигурацию устройства.
Отключить этот режим можно через:
Что также потребует подтверждения через физический доступ к устройству, однако делать это категорически не рекомендуется, так как вы сильно понизите уровень безопасности вашего устройства.
В обновлении ROS 7.17 вместе с новыми device-mode появился режим flagging-enabled, который по умолчанию включен. Что это такое и чем грозит пользователям?
При активации данного режима устройство при старте анализирует конфигурацию на наличие подозрительных паттернов и далее продолжает анализировать вносимые изменения на предмет их вредоносности.
При обнаружении подозрительного кода или несанкционированного доступа устройство переходит в режим flagged: yes, после чего его возможности резко ограничиваются. Так полностью отключаются функции:
▫️ bandwidth-test
▫️ traffic-generator
▫️ flood-ping
▫️ sniffer
И отключаются любые изменения следующих компонентов (при этом остается возможность отключать или удалять записи):
▫️ system scheduler
▫️ SOCKS proxy
▫️ pptp
▫️ l2tp
▫️ ipsec
▫️ proxy
▫️ smb
При попытке несанкционированного действия вы получите ошибку:
failure: configuration flagged, check all router configuration for unauthorized changes and update device-mode
Для выключения этого режима вам потребуется физический доступ к устройству, вы должны выполнить команду:
/system/device-mode/update flagged=no
И выполнить жесткую перезагрузку роутера выдернув питание, нажав reset или специальную кнопку на корпусе устройства.
Если после перезагрузки устройство снова переходит в режим flagged: yes рекомендуется провести полный аудит конфигурации, изменить пароли и секреты, либо полностью сбросить конфигурацию устройства.
Отключить этот режим можно через:
/system/device-mode/update flagging-enabled=no
Что также потребует подтверждения через физический доступ к устройству, однако делать это категорически не рекомендуется, так как вы сильно понизите уровень безопасности вашего устройства.
🔥19👍9👀6🍌2😱1
Автоматическое шифрование BitLocker в Windows 11
Начиная с Windows 11 24H2 все предустановленные системы или чистые установки на компьютеры с TPM и SecureBoot автоматически включается шифрование BitLocker для всех локальных дисков.
Редакция ОС и тип учетной записи роли не играют, шифрование начинается сразу после завершения этапа OOBE во время установки или при первом запуске предустановленной ОС.
После чего диски оказываются зашифрованы, но не защищены. Что это значит? А это значит, что к их содержимому получит доступ любой, кто имеет физический доступ к компьютеру.
Достаточно загрузиться в любую систему с поддержкой BitLocker и он автоматически расшифрует диски при помощи TPM.
Если вы попробуете получить доступ к диску отдельно от ПК, то система попросит у вас 48-символьный пароль, которого у вас пока нет и быть не может. Чтобы получить доступ к данным достаточно вернуть диск в физическую систему.
Т.е. слить данные сняв диск у вас больше не получится. Используйте для этого среду восстановления или WinPE.
Также следует иметь ввиду, что автоматически зашифрованы будут все подключенные к компьютеру диски, кроме съемных. Поэтому перенос информации на временно подключенный к ПК локальный диск тоже может преподнести сюрпризы.
Все меняется после того, как пользователь войдет с учетной записью Microsoft или Azure Active Directory, а также Active Directory с активированной соответствующей политикой.
Диски будут сразу-же защищены, т.е. для них будет сформирован 48-символьный пароль восстановления и доступ к дискам будет доступен только после входа в систему.
Данный пароль в случае входа с облачными аккаунтами передается и хранится в облаке, а при доменной учетной записи – в Active Directory.
Теперь если вы не можете загрузить систему, либо загрузились в среду восстановления то для доступа к данным вам понадобится этот пароль.
Тоже самое будет если вы переустановили систему и отформатировали только диск C, для доступа к другим дискам потребуется знать пароль.
В целом это не страшно, ведь облачный аккаунт у вас есть, если вы смогли войти с его помощью, а значит есть и ключ. Но многие, особенно неопытные пользователи и администраторы пугаются и часто совершают фатальные для данных поступки.
Для облачной учетной записи Microsoft ключи восстановления BitLocker вы можете посмотреть на странице https://account.microsoft.com/devices/recoverykey
В каких случаях вы можете безвозвратно потерять данные? Если у вас диск был зашифрован, но не защищен и вы более не владеете исходным ПК, например, вынули диск из ноутбука и продали его.
В этом случае остается только помахать данным ручкой. Тоже самое произойдет, если вы активируете защиту дисков BitLocker вручную и нигде не сохраните пароль восстановления (в этом случае он не передается ни в какое облако).
Узнать текущий статус дисков можно командой:
В статусе вы можете увидеть FullyDecrypted – полностью расшифровано или FullyEncrypted – полностью зашифровано.
В последнем случае смотрим колонку ProtectionStatus, если там стоит Off, то защита выключена и для доступа к содержимому достаточно физического доступа к компьютеру. Если On – то включена и вам потребуется пароль восстановления.
В этом случае также будет заполнено поле KeyProtector, где будет указано RecoveryPassword.
Узнать его здесь и сейчас можно командой:
Где C: имя интересующего тома.
Ну и наконец вы можете отключить BitLocker для тома командой:
Следует ли это делать? Скорее нет, чем да, особенно если устройство переносное. Как ни крути, а шифрование серьезно повышает безопасность в случае кражи или потери девайса.
В общем, каждый решает сам. Но знать основы и особенности технологии автоматического шифрования нужно, дабы не попасть в неудобные ситуации.
Начиная с Windows 11 24H2 все предустановленные системы или чистые установки на компьютеры с TPM и SecureBoot автоматически включается шифрование BitLocker для всех локальных дисков.
Редакция ОС и тип учетной записи роли не играют, шифрование начинается сразу после завершения этапа OOBE во время установки или при первом запуске предустановленной ОС.
После чего диски оказываются зашифрованы, но не защищены. Что это значит? А это значит, что к их содержимому получит доступ любой, кто имеет физический доступ к компьютеру.
Достаточно загрузиться в любую систему с поддержкой BitLocker и он автоматически расшифрует диски при помощи TPM.
Если вы попробуете получить доступ к диску отдельно от ПК, то система попросит у вас 48-символьный пароль, которого у вас пока нет и быть не может. Чтобы получить доступ к данным достаточно вернуть диск в физическую систему.
Т.е. слить данные сняв диск у вас больше не получится. Используйте для этого среду восстановления или WinPE.
Также следует иметь ввиду, что автоматически зашифрованы будут все подключенные к компьютеру диски, кроме съемных. Поэтому перенос информации на временно подключенный к ПК локальный диск тоже может преподнести сюрпризы.
Все меняется после того, как пользователь войдет с учетной записью Microsoft или Azure Active Directory, а также Active Directory с активированной соответствующей политикой.
Диски будут сразу-же защищены, т.е. для них будет сформирован 48-символьный пароль восстановления и доступ к дискам будет доступен только после входа в систему.
Данный пароль в случае входа с облачными аккаунтами передается и хранится в облаке, а при доменной учетной записи – в Active Directory.
Теперь если вы не можете загрузить систему, либо загрузились в среду восстановления то для доступа к данным вам понадобится этот пароль.
Тоже самое будет если вы переустановили систему и отформатировали только диск C, для доступа к другим дискам потребуется знать пароль.
В целом это не страшно, ведь облачный аккаунт у вас есть, если вы смогли войти с его помощью, а значит есть и ключ. Но многие, особенно неопытные пользователи и администраторы пугаются и часто совершают фатальные для данных поступки.
Для облачной учетной записи Microsoft ключи восстановления BitLocker вы можете посмотреть на странице https://account.microsoft.com/devices/recoverykey
В каких случаях вы можете безвозвратно потерять данные? Если у вас диск был зашифрован, но не защищен и вы более не владеете исходным ПК, например, вынули диск из ноутбука и продали его.
В этом случае остается только помахать данным ручкой. Тоже самое произойдет, если вы активируете защиту дисков BitLocker вручную и нигде не сохраните пароль восстановления (в этом случае он не передается ни в какое облако).
Узнать текущий статус дисков можно командой:
Get-BitLockerVolume
В статусе вы можете увидеть FullyDecrypted – полностью расшифровано или FullyEncrypted – полностью зашифровано.
В последнем случае смотрим колонку ProtectionStatus, если там стоит Off, то защита выключена и для доступа к содержимому достаточно физического доступа к компьютеру. Если On – то включена и вам потребуется пароль восстановления.
В этом случае также будет заполнено поле KeyProtector, где будет указано RecoveryPassword.
Узнать его здесь и сейчас можно командой:
(Get-BitLockerVolume C:).KeyProtector.RecoveryPassword
Где C: имя интересующего тома.
Ну и наконец вы можете отключить BitLocker для тома командой:
Disable-BitLocker -MountPoint "C:"
Следует ли это делать? Скорее нет, чем да, особенно если устройство переносное. Как ни крути, а шифрование серьезно повышает безопасность в случае кражи или потери девайса.
В общем, каждый решает сам. Но знать основы и особенности технологии автоматического шифрования нужно, дабы не попасть в неудобные ситуации.
🔥25👍22❤4🤮1
Шифрование в Windows
Давным-давно, когда деревья были большими, а компьютеры по-настоящему персональными, и единственной сетью, к которой они подключались была электрическая – проблемы шифрования как таковой не стояло.
Максимум – закрыть файл или архив паролем, пусть угадывают. Возможно, кому-то хотелось большего, но вычислительные мощности тех лет быстро охлаждали пыл.
Но уже к концу 90-х стало ясно, что хранить секреты в открытом виде – идея плохая и с этим надо что-то делать. Тем более что сети стали прочно входить в нашу жизнь и периметр атак на систему значительно увеличился.
✅ Первой системой шифрования стала DPAPI (Data Protection API), которая появилась в Windows 2000 и шифровала только секреты - ключи, пароли, сертификаты, ключ шифрования создается на основе данных пользователя/ПК (те самые SID), который дополнительно шифруется через DPAPI.
Эта система применяется до сих пор и представляет базовый уровень защиты секретов и учетных данных, предотвращая их передачу в открытом виде за пределы ПК и в его пределах тоже. Но секреты – это секреты, а нам хотелось бы спрятать от посторонних глаз данные.
✅ Для этого в той же Windows 2000 появилась файловая система EFS - файловое шифрование на уровне NTFS (пользователи Linux назвали бы это виртуальной файловой системой). Для работы EFS генерировался сертификат пользователя и его закрытым ключом выборочно шифровались файлы.
С точки зрения пользователя все происходило прозрачно, после входа в систему файлы становились доступны, но были подсвечены в Проводнике зеленым цветом, при копировании по сети или в другие файловые системы автоматически расшифровывались.
Во всех иных случаях, без обладания сертификатом пользователя зашифрованные файлы становились недоступны. Но это сыграло со многими злую шутку, если вы переустановили систему не сохранив сертификаты или клонировали диск сторонней системой – с зашифрованными файлами можно было попрощаться.
Все это не добавило EFS популярности и сделало ее применение нишевым, в частности в корпоративных средах, где доменный админ всегда мог расшифровать любой файл доменного пользователя. Но это был еще один вектор атаки.
✅ И вот в Windows Vista появился BitLocker для шифрования системного тома, начиная с Vista SP1 и Server 2008 появилась возможность шифровать любые тома. В последующем возможности BitLocker только росли, включая поддержку жестких дисков.
В отличие от предыдущих механизмов BitLocker не привязывается только к учетной записи пользователя, а может быть завязан на второй фактор: TPM, токен, пароль, пин-код и т.д. и т.п.
Т.е. вам недостаточно знать пароль учетной записи, чтобы расшифровать том, вы должны обладать нужным устройством, иметь токен, возможность получить пин-код и т.д. и т.п.
Для защиты данных BitLocker имеет ключ восстановления, который в случае использования учетной записи Microsoft копируется в облако, а в среде AD – на контроллеры домена. Если вы не используете ни то, ни другое, но включили BitLocker – то вам потребуется самостоятельно экспортировать и сохранить ключ восстановления.
Начиная с Windows 11 24H2 шифрование BitLocker используется из коробки, том становится зашифрован, но не защищен. Это значит, что пока том подключен к данному физическому устройству расшифровать его может любой, даже не зная пароля пользователя.
Но если мы снимем и подключим к другому ПК жесткий диск, то доступа к зашифрованному тому у нас уже не будет.
Также наличие BitLocker не отменяет возможное наличие EFS на зашифрованном томе и обладание ключами от BitLocker не дает возможности расшифровать EFS, там нужен собственный сертификат.
Все это делает работу с зашифрованными системами Windows достаточно сложной и при любых потенциально деструктивных действиях или копировании/клонировании нужно иметь это ввиду.
Не поленитесь, проверьте шифрование BitLocker, а также изучите и экспортируйте все личные сертификаты пользователя. А также сделайте копию нужных файлов прямо из-под его учетной записи.
Давным-давно, когда деревья были большими, а компьютеры по-настоящему персональными, и единственной сетью, к которой они подключались была электрическая – проблемы шифрования как таковой не стояло.
Максимум – закрыть файл или архив паролем, пусть угадывают. Возможно, кому-то хотелось большего, но вычислительные мощности тех лет быстро охлаждали пыл.
Но уже к концу 90-х стало ясно, что хранить секреты в открытом виде – идея плохая и с этим надо что-то делать. Тем более что сети стали прочно входить в нашу жизнь и периметр атак на систему значительно увеличился.
✅ Первой системой шифрования стала DPAPI (Data Protection API), которая появилась в Windows 2000 и шифровала только секреты - ключи, пароли, сертификаты, ключ шифрования создается на основе данных пользователя/ПК (те самые SID), который дополнительно шифруется через DPAPI.
Эта система применяется до сих пор и представляет базовый уровень защиты секретов и учетных данных, предотвращая их передачу в открытом виде за пределы ПК и в его пределах тоже. Но секреты – это секреты, а нам хотелось бы спрятать от посторонних глаз данные.
✅ Для этого в той же Windows 2000 появилась файловая система EFS - файловое шифрование на уровне NTFS (пользователи Linux назвали бы это виртуальной файловой системой). Для работы EFS генерировался сертификат пользователя и его закрытым ключом выборочно шифровались файлы.
С точки зрения пользователя все происходило прозрачно, после входа в систему файлы становились доступны, но были подсвечены в Проводнике зеленым цветом, при копировании по сети или в другие файловые системы автоматически расшифровывались.
Во всех иных случаях, без обладания сертификатом пользователя зашифрованные файлы становились недоступны. Но это сыграло со многими злую шутку, если вы переустановили систему не сохранив сертификаты или клонировали диск сторонней системой – с зашифрованными файлами можно было попрощаться.
Все это не добавило EFS популярности и сделало ее применение нишевым, в частности в корпоративных средах, где доменный админ всегда мог расшифровать любой файл доменного пользователя. Но это был еще один вектор атаки.
✅ И вот в Windows Vista появился BitLocker для шифрования системного тома, начиная с Vista SP1 и Server 2008 появилась возможность шифровать любые тома. В последующем возможности BitLocker только росли, включая поддержку жестких дисков.
В отличие от предыдущих механизмов BitLocker не привязывается только к учетной записи пользователя, а может быть завязан на второй фактор: TPM, токен, пароль, пин-код и т.д. и т.п.
Т.е. вам недостаточно знать пароль учетной записи, чтобы расшифровать том, вы должны обладать нужным устройством, иметь токен, возможность получить пин-код и т.д. и т.п.
Для защиты данных BitLocker имеет ключ восстановления, который в случае использования учетной записи Microsoft копируется в облако, а в среде AD – на контроллеры домена. Если вы не используете ни то, ни другое, но включили BitLocker – то вам потребуется самостоятельно экспортировать и сохранить ключ восстановления.
Начиная с Windows 11 24H2 шифрование BitLocker используется из коробки, том становится зашифрован, но не защищен. Это значит, что пока том подключен к данному физическому устройству расшифровать его может любой, даже не зная пароля пользователя.
Но если мы снимем и подключим к другому ПК жесткий диск, то доступа к зашифрованному тому у нас уже не будет.
Также наличие BitLocker не отменяет возможное наличие EFS на зашифрованном томе и обладание ключами от BitLocker не дает возможности расшифровать EFS, там нужен собственный сертификат.
Все это делает работу с зашифрованными системами Windows достаточно сложной и при любых потенциально деструктивных действиях или копировании/клонировании нужно иметь это ввиду.
Не поленитесь, проверьте шифрование BitLocker, а также изучите и экспортируйте все личные сертификаты пользователя. А также сделайте копию нужных файлов прямо из-под его учетной записи.
👍27❤3🤮1
MinIO полностью отказался от версии с открытым исходным кодом
Проект MinIO - высокопроизводительного объектного хранилища S3 перевел репозиторий на GitHub в архивный режим и разместил сообщение о прекращении поддержки и предложение переходить на их коммерческий продукт MinIO AIStor.
Сообщество уже успело обвинить их в имитации открытости, т.е. использования идей открытого ПО в целях продвижения коммерческого продукта. Но в данной ситуации все не очень просто.
Любая разработка ПО, тем более сложного ПО – процесс затратный и на одном энтузиазме там далеко не уедешь, поэтому вполне нормальны ситуации, когда разработчики выпускают одновременно открытую и коммерческую версии, при этом делая открытую в чем-то уже по возможностям.
Первоначально MiniIO шла именно этим путем, весной 2025 года исключив из веб-интерфейса открытой версии инструменты администрирования, что также вызвало многочисленные негодования пользователей.
В целом шаг ожидаемый и понятный, но что же послужило причиной полного закрытия версии с открытым исходным кодом? Ответ прост – использование другими разработчиками решений MinIO в коммерческих продуктах с нарушением свободной лицензии.
Наиболее крупные претензии возникли к Nutanix в 2022 году, которая использовала в своих проприетарных продуктах разработки MinIO нигде не упоминая об этом. В общем – классика, подобные претензии уже не раз и не два высказывали более мелкие разработчики ПО, сетуя, что крупные гиганты делают деньги на их коде, а они буквально сводят концы с концами.
И если для небольших проектов это приводит к их закрытию, то MinIO, как состоявшийся проект решил полностью уйти на коммерческие рельсы, а количество достойных открытых проектов уменьшилось еще на один.
Нет, энтузиасты уже создали форк и даже вернули в него вырезанные возможности админ-панели, но ни о каком дальнейшем развитии речь не идет, о чем говорит и сам основатель форка.
А это значит, что дни открытого MinIO сочтены. Еще некоторое время он будет оставаться актуален, но в перспективе ближайших пять лет покинет рынок, если, конечно, не найдутся новые разработчики.
Что делать тем, кто уже использует данный продукт? Ну уж точно спешить не надо, время еще есть, но в тоже время нужно начинать искать и тестировать альтернативы, чтобы запланировать миграцию в течении нескольких следующих лет.
А что касается новых проектов, то просто сразу вычеркиваем MinIO из списка доступных технологий.
Проект MinIO - высокопроизводительного объектного хранилища S3 перевел репозиторий на GitHub в архивный режим и разместил сообщение о прекращении поддержки и предложение переходить на их коммерческий продукт MinIO AIStor.
Сообщество уже успело обвинить их в имитации открытости, т.е. использования идей открытого ПО в целях продвижения коммерческого продукта. Но в данной ситуации все не очень просто.
Любая разработка ПО, тем более сложного ПО – процесс затратный и на одном энтузиазме там далеко не уедешь, поэтому вполне нормальны ситуации, когда разработчики выпускают одновременно открытую и коммерческую версии, при этом делая открытую в чем-то уже по возможностям.
Первоначально MiniIO шла именно этим путем, весной 2025 года исключив из веб-интерфейса открытой версии инструменты администрирования, что также вызвало многочисленные негодования пользователей.
В целом шаг ожидаемый и понятный, но что же послужило причиной полного закрытия версии с открытым исходным кодом? Ответ прост – использование другими разработчиками решений MinIO в коммерческих продуктах с нарушением свободной лицензии.
Наиболее крупные претензии возникли к Nutanix в 2022 году, которая использовала в своих проприетарных продуктах разработки MinIO нигде не упоминая об этом. В общем – классика, подобные претензии уже не раз и не два высказывали более мелкие разработчики ПО, сетуя, что крупные гиганты делают деньги на их коде, а они буквально сводят концы с концами.
И если для небольших проектов это приводит к их закрытию, то MinIO, как состоявшийся проект решил полностью уйти на коммерческие рельсы, а количество достойных открытых проектов уменьшилось еще на один.
Нет, энтузиасты уже создали форк и даже вернули в него вырезанные возможности админ-панели, но ни о каком дальнейшем развитии речь не идет, о чем говорит и сам основатель форка.
А это значит, что дни открытого MinIO сочтены. Еще некоторое время он будет оставаться актуален, но в перспективе ближайших пять лет покинет рынок, если, конечно, не найдутся новые разработчики.
Что делать тем, кто уже использует данный продукт? Ну уж точно спешить не надо, время еще есть, но в тоже время нужно начинать искать и тестировать альтернативы, чтобы запланировать миграцию в течении нескольких следующих лет.
А что касается новых проектов, то просто сразу вычеркиваем MinIO из списка доступных технологий.
👍14😢5🤔2❤1
Какие S3-хранилища можно использовать взамен MiniIO
В связи с уходом с рынка открытой версии MiniIO возникает закономерный вопрос – чем заменить и куда мигрировать. Варианты есть и на первый взгляд их достаточно много, но мы сразу отсечем крайности и будем рассматривать простые решения для малого и среднего бизнеса или домашней лаборатории.
Поэтому мы не будем рассматривать таких монстров как Ceph и аналогичные ему решения, а также небольшие проекты, уровня энтузиастов и домашних лабораторий, хотя они интересны и мы посвятим им отдельную заметку.
А пока состав игроков у нас плавно сокращается всего до двух проектов.
🔹 Garage – проект французских разработчиков под лицензией AGPL v3 написанный на Rust цель которого предоставить вам простое и понятное S3-хранилище с небольшими системными требованиями.
Вам потребуется от одного ядра и 512 МБ ОЗУ, развернуть вы его можете даже на Raspberry Pi.
Развертывание предельно простое через докер, не требует каких-то особых знаний и позволяет быстро и просто развернуть S3-хранилище буквально за несколько минут.
При необходимости система легко расширяется до кластера, причем все реализовано в самом Garage и не требует сторонних зависимостей, репликация отлично работает даже с удаленными системами на плохих каналах связи. По словам разработчиков именно на это направлены основные усилия проекта.
Производительность – средняя, не рекомендуется превышать хранимый объем данных более 50 TБ.
В общем, Garage – отличный выбор для домашней лаборатории или небольших организаций, где в первую очередь требуется простота и геораспределенность. А также нет сотрудников с особыми компетенциями по S3.
Здесь вы получаете все нужно буквально из коробки и у вас нет никаких дополнительных сущностей, просто экземпляр Garage и ничего более.
🔹 SeaweedFS – распределенная файловая система и объектное хранилище, для которого S3 – только один из доступных интерфейсов, имеет более сложную архитектуру и более высокий порог входа.
Несмотря на это также может быть быстро и относительно просто развернут в докер, но эксплуатация и поддержка системы потребует уже несколько более глубоких знаний.
SeaweedFS написан на Go и использует СУБД для хранения метаданных, в результате чего он показывает просто отличную производительность, особенно при работе с большим количеством мелких файлов (не миллионы, миллиарды).
Также может горизонтально расширяться в геораспределенные системы. Поэтому будет неплохим выбором для CDN, размещения медиафайлов и прочих задач, для которых важна производительность.
За это приходится платить более сложной архитектурой системы и требованием наличия определенных компетенций у обслуживающего персонала.
👆 Выводы: если вам нужно простое S3-хранилище и ваш объем данных не превышает 50 ТБ, а также вы не желаете вникать в тонкости – берите Garage, если же вам нужно больше возможностей, высокая производительность на мелких файлах, и вы готовы посвятить некоторое время на освоение системы – обратите внимание на SeaweedFS.
В связи с уходом с рынка открытой версии MiniIO возникает закономерный вопрос – чем заменить и куда мигрировать. Варианты есть и на первый взгляд их достаточно много, но мы сразу отсечем крайности и будем рассматривать простые решения для малого и среднего бизнеса или домашней лаборатории.
Поэтому мы не будем рассматривать таких монстров как Ceph и аналогичные ему решения, а также небольшие проекты, уровня энтузиастов и домашних лабораторий, хотя они интересны и мы посвятим им отдельную заметку.
А пока состав игроков у нас плавно сокращается всего до двух проектов.
🔹 Garage – проект французских разработчиков под лицензией AGPL v3 написанный на Rust цель которого предоставить вам простое и понятное S3-хранилище с небольшими системными требованиями.
Вам потребуется от одного ядра и 512 МБ ОЗУ, развернуть вы его можете даже на Raspberry Pi.
Развертывание предельно простое через докер, не требует каких-то особых знаний и позволяет быстро и просто развернуть S3-хранилище буквально за несколько минут.
При необходимости система легко расширяется до кластера, причем все реализовано в самом Garage и не требует сторонних зависимостей, репликация отлично работает даже с удаленными системами на плохих каналах связи. По словам разработчиков именно на это направлены основные усилия проекта.
Производительность – средняя, не рекомендуется превышать хранимый объем данных более 50 TБ.
В общем, Garage – отличный выбор для домашней лаборатории или небольших организаций, где в первую очередь требуется простота и геораспределенность. А также нет сотрудников с особыми компетенциями по S3.
Здесь вы получаете все нужно буквально из коробки и у вас нет никаких дополнительных сущностей, просто экземпляр Garage и ничего более.
🔹 SeaweedFS – распределенная файловая система и объектное хранилище, для которого S3 – только один из доступных интерфейсов, имеет более сложную архитектуру и более высокий порог входа.
Несмотря на это также может быть быстро и относительно просто развернут в докер, но эксплуатация и поддержка системы потребует уже несколько более глубоких знаний.
SeaweedFS написан на Go и использует СУБД для хранения метаданных, в результате чего он показывает просто отличную производительность, особенно при работе с большим количеством мелких файлов (не миллионы, миллиарды).
Также может горизонтально расширяться в геораспределенные системы. Поэтому будет неплохим выбором для CDN, размещения медиафайлов и прочих задач, для которых важна производительность.
За это приходится платить более сложной архитектурой системы и требованием наличия определенных компетенций у обслуживающего персонала.
👆 Выводы: если вам нужно простое S3-хранилище и ваш объем данных не превышает 50 ТБ, а также вы не желаете вникать в тонкости – берите Garage, если же вам нужно больше возможностей, высокая производительность на мелких файлах, и вы готовы посвятить некоторое время на освоение системы – обратите внимание на SeaweedFS.
👍35⚡5🤮3
Перспективные проекты S3-хранилищ
Вчера мы рассмотрели рабочие аналоги MiniIO представляющие из себя уже состоявшиеся проекты, пригодные для развертывания в продуктивной среде, сегодня же рассмотрим ряд развивающихся альтернатив.
🔹 RustFS – высокопроизводительное распределенное S3-хранилище призванное стать альтернативой MiniIO, по тестам разработчика имеет производительность в среднем в 2,3 раза выше.
Как уже понятно из названия, написан на Rust, поддерживает Windows, Linux, macOS, а также может быть развернут в Docker.
Из всех альтернативных проектов наиболее зрелый и обладает всеми необходимыми функциями для одиночного хоста, кластеризация находится в разработке и тестировании.
🔹 HS5 – высокопроизводительное хранилище для одиночного узла. Авторы проекта сразу говорят, что их задача создать быстрое, производительное и масштабируемое S3-хранилище для тех случаев, когда скорость обработки данных важнее надежности их хранение.
Тесты показывают, что HS5 действительно быстрее RustFS и MiniIO, а если вам не хватает скорости, то со слов разработчиков можно просто добавитьводы памяти и процессорных ядер.
Кластеризация в планах разработчиков не стоит, также следует понимать, что проект молодой и находится в стадии активной разработки.
Развернуть его можно как скачав единственный бинарный файл, так и через Docker, поддерживается только Linux на платформах x86-64 и ARM.
Ставить HS5 в продуктивный контур пока рано, но для домашней лаборатории это может быть неплохим решением, особенно там, где вам некритично потерять некоторые данные.
🔹 Alarik – еще один проект S3-хранилища от немецких разработчиков, написанный на Swift. В планах создать альтернативу MiniIO с безопасной для коммерческих пользователей разрешительной лицензией (Apache 2.0).
Разработка Alarik – мера вынужденная, его авторы занимаются разработкой бухгалтерского ПО и в своей работе активно использовали MiniIO, после известных событий они оказались перед выбором альтернативы.
После чего они обнаружили, что ни один из имеющихся вариантов их не устраивает, а также как опасно, когда отрасль ориентируется на единственную программу, ставшую де-факто «эталоном».
Поэтому они решили создать собственную реализацию, которая будет уметь все, что умел MiniIO и будет с ним максимально совместимой. Проект пока находится в стадии ранней альфы и активно изменяется, но разработчики обещают твердо идти к своей цели, так как это нужно им для собственного бизнеса.
Проект можно развернуть через Docker, но в настоящий момент он интересен сугубо для тестирования, хотя является перспективным вариантом и заслуживает внимания.
Вчера мы рассмотрели рабочие аналоги MiniIO представляющие из себя уже состоявшиеся проекты, пригодные для развертывания в продуктивной среде, сегодня же рассмотрим ряд развивающихся альтернатив.
🔹 RustFS – высокопроизводительное распределенное S3-хранилище призванное стать альтернативой MiniIO, по тестам разработчика имеет производительность в среднем в 2,3 раза выше.
Как уже понятно из названия, написан на Rust, поддерживает Windows, Linux, macOS, а также может быть развернут в Docker.
Из всех альтернативных проектов наиболее зрелый и обладает всеми необходимыми функциями для одиночного хоста, кластеризация находится в разработке и тестировании.
🔹 HS5 – высокопроизводительное хранилище для одиночного узла. Авторы проекта сразу говорят, что их задача создать быстрое, производительное и масштабируемое S3-хранилище для тех случаев, когда скорость обработки данных важнее надежности их хранение.
Тесты показывают, что HS5 действительно быстрее RustFS и MiniIO, а если вам не хватает скорости, то со слов разработчиков можно просто добавить
Кластеризация в планах разработчиков не стоит, также следует понимать, что проект молодой и находится в стадии активной разработки.
Развернуть его можно как скачав единственный бинарный файл, так и через Docker, поддерживается только Linux на платформах x86-64 и ARM.
Ставить HS5 в продуктивный контур пока рано, но для домашней лаборатории это может быть неплохим решением, особенно там, где вам некритично потерять некоторые данные.
🔹 Alarik – еще один проект S3-хранилища от немецких разработчиков, написанный на Swift. В планах создать альтернативу MiniIO с безопасной для коммерческих пользователей разрешительной лицензией (Apache 2.0).
Разработка Alarik – мера вынужденная, его авторы занимаются разработкой бухгалтерского ПО и в своей работе активно использовали MiniIO, после известных событий они оказались перед выбором альтернативы.
После чего они обнаружили, что ни один из имеющихся вариантов их не устраивает, а также как опасно, когда отрасль ориентируется на единственную программу, ставшую де-факто «эталоном».
Поэтому они решили создать собственную реализацию, которая будет уметь все, что умел MiniIO и будет с ним максимально совместимой. Проект пока находится в стадии ранней альфы и активно изменяется, но разработчики обещают твердо идти к своей цели, так как это нужно им для собственного бизнеса.
Проект можно развернуть через Docker, но в настоящий момент он интересен сугубо для тестирования, хотя является перспективным вариантом и заслуживает внимания.
👍17❤3🤮2🤝2