🛡 Безопасный запуск подозрительных файлов: Windows Sandbox и Hyper-V

Приходит странный .exe в письме, скачали скрипт с форума, нужно проверить .bat - но лезть в боевую систему страшно? Windows уже давно предлагает удобные инструменты для таких задач: Windows Sandbox и Hyper-V.

Windows Sandbox - это изолированная среда, встроенная в Windows 10/11 Pro и Enterprise, запускаемая как обычное приложение. Каждая сессия создаёт чистую виртуальную Windows, которая полностью удаляется при закрытии. Идеально для тестирования вредоносных или сомнительных файлов.

▪️ Активация:

Панель управления → Программы → Включение компонентов Windows → Windows Sandbox

▪️ Особенности:

– Не требует настройки
– Работает поверх Hyper-V
– Доступ к сети (опционально)
– Поддержка копипаста между хостом и Sandbox
– Можно запускать EXE, MSI, BAT, PowerShell-файлы
– Всё, что вы сделали, исчезает после выхода из песочницы

Пример: получили подозрительный .exe? Копируете его в Sandbox, запускаете и смотрите поведение - система хоста в полной безопасности.

▪️ Кастомизация

Можно создавать .wsb-файлы для кастомных сессий. Пример конфигурации:

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\test</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <Networking>Disable</Networking>
  <LogonCommand>
    <Command>explorer.exe</Command>
  </LogonCommand>
</Configuration>

🌟 А если нужно больше контроля? Используйте Hyper-V

Hyper-V - полноценная система виртуализации. Позволяет запускать полноценные виртуалки с Windows или Linux, делать снапшоты, настраивать сеть, симулировать заражения. Подходит для постоянных стендов, C2-серверов, песочниц под малварь.

#windows #security

🧑‍💻 NetworkAdmin

🔍 Проверка контрольной суммы ISO-образа Windows: защита от подделок

Скачивание ISO-образов Windows с неофициальных источников может привести к установке модифицированных версий с вредоносным ПО. Для обеспечения безопасности рекомендуется проверять контрольные суммы файлов.

🏃 Проверка с помощью PowerShell. В PowerShell можно использовать командлет Get-FileHash для вычисления хеш-суммы файла:

Get-FileHash "C:\Path\to\your\file.iso" -Algorithm SHA256

По умолчанию используется алгоритм SHA256, но можно указать другие: SHA1, SHA384, SHA512, MD5.

⭐️ Проверка с помощью certutil. Также можно использовать встроенную утилиту certutil:

certutil -hashfile "C:\Path\to\your\file.iso" SHA256

📁 Сравнение с оригинальными хешами. Полученные хеш-суммы следует сравнить с официальными:

1. На сайте Visual Studio Downloads (требуется учетная запись Microsoft).
2. На ресурсе RG-Adguard, где можно искать по хешу.

🔎 Автоматическая проверка соответствия. Для автоматизации проверки можно использовать следующий скрипт в PowerShell:

$expectedHash = "c90a6df8997bf49e56b9673982f3e80745058723a707aef8f22998ae6479597d"
(Get-FileHash "C:\Path\to\your\file.iso" -Algorithm SHA256).Hash -eq $expectedHash

Если результат True, файл подлинный; если False - файл может быть поврежден или подделан.

#windows #security

🧑‍💻 NetworkAdmin

❌ Откуда Windows «знает», что файл из интернета?

Когда вы скачиваете файл из браузера, а потом открываете его свойства, Windows может предупредить: «Файл получен с другого компьютера и может быть небезопасным». Это происходит не случайно.

❓ Как Windows узнаёт источник?

Файл, скачанный на NTFS-диск, получает специальную метку в альтернативном потоке данных (Alternate Data Stream, ADS) с именем Zone.Identifier. Эта метка добавляется браузером автоматически и никак не зависит от расширения — она будет даже у mp3, .txt или .jpg.

▪️ Посмотреть содержимое метки:

Get-Content -Path ".\hard_rock.mp3" -Stream Zone.Identifier

Или в Блокноте:

notepad.exe hard_rock.mp3:Zone.Identifier

▪️ Пример содержимого:

[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://ya.ru
HostUrl=https://ya.ru/file.mp3

🌟 Что значит ZoneId:

0 - Мой компьютер
1 - Локальная интрасеть
2 - Доверенные сайты
3 - Интернет (по умолчанию для всего, что скачано)
4 - Ограниченные сайты

Даже если вы переименуете файл или перенесёте его, метка сохраняется. Некоторые антивирусы и скрипты используют эту информацию для усиленной проверки.

▪️ Как убрать предупреждение:

1. Через свойства файла → Разблокировать

2. Через PowerShell:

Unblock-File .\hard_rock.mp3

#windows #security

🧑‍💻 NetworkAdmin

Удалённое управление принтерами через PowerShell

Во многих случаях для установки или настройки принтера у пользователя нет необходимости заходить через RDP. Все операции можно выполнить удалённо через PowerShell, что удобно и быстро.

Разберем пример пошаговой настройки сетевого принтера:

1️⃣ Подключение к удалённому ПК:

Enter-PSSession -ComputerName Comp1

2️⃣ Установка драйвера в хранилище Windows:

pnputil.exe -i -a "\\server1\drivers\KYOCERA\OEMsetup.inf"

pnputil добавляет драйвер в систему, используя .inf файл. Путь может быть сетевым.

3️⃣ Установка драйвера печати:

Add-PrinterDriver -Name "Kyocera Classic Universaldriver PCL6"

4️⃣ Создание TCP/IP порта для принтера:

Add-PrinterPort -Name "IP_192.168.10.26" -PrinterHostAddress "192.168.10.26"

5️⃣ Добавление самого принтера:

Add-Printer -Name "Ricoh IM 2702" `
-DriverName "Kyocera Classic Universaldriver PCL6" `
-PortName "IP_192.168.10.26" -Verbose

Все это можно выполнить вручную или автоматизировать через сценарии - особенно удобно при массовом развёртывании принтеров или переездах.

#windows #printer

🧑‍💻 NetworkAdmin

🏃 Баг с заглавными буквами в PowerShell при кириллической раскладке

Несколько раз сталкивался с неприятной проблемой: при наборе или вставке текста в PowerShell внезапно "пропадают" заглавные буквы. Особенно заметно, если набираете команды в кириллической раскладке - PowerShell просто не реагирует на Shift.

Проблема возникает из-за сбоя в модуле PSReadLine, который отвечает за подсветку, автодополнение, историю команд и другие удобства в CLI.

✅ Решение - обновить или переустановить PSReadLine:

# Проверим установленную версию
Get-Module | Where-Object Name -eq "PSReadLine" | Select-Object Name, Path

# Удалим старую версию
Remove-Module PSReadLine
Remove-Item "C:\Program Files\WindowsPowerShell\Modules\PSReadLine\*" -Recurse -Force

# Установим последнюю версию из PSGallery
Install-Module PSReadLine -Force

Модуль будет установлен в актуальной версии, и проблема с заглавными буквами исчезнет. После установки перезапустите PowerShell.

⭐️ Совет: добавьте в profile.ps1 строку Import-Module PSReadLine, если он не загружается автоматически.

#powershell #windows

🧑‍💻 NetworkAdmin

🖥 Как вернуть автоматическое резервное копирование реестра в Windows 10/11

Начиная с версии Windows 10 1809, Microsoft отключила автоматическое создание бэкапов реестра - якобы ради экономии места (всего 100–200 МБ). Но вместе с этой "оптимизацией" пользователи лишились простого способа восстановить систему, заменив повреждённые файлы реестра на рабочие копии из RegBack.

Хотя используется эта функция нечасто, иметь резервную копию всегда лучше, чем её отсутствие.

⚙️ Как включить автоматическое резервное копирование:

Создайте параметр EnablePeriodicBackup в реестре:

reg add "HKLM\System\CurrentControlSet\Control\Session Manager\Configuration Manager" /v EnablePeriodicBackup /t REG_DWORD /d 1 /f

Теперь задание планировщика RegIdleBackup будет выполняться в рамках автоматического обслуживания системы (раз в сутки), и сохранять резервные копии реестра в папку:

%windir%\System32\config\RegBack

⚠️ Важно: если вы хотите вручную проверить, срабатывает ли задание - запустите RegIdleBackup через планировщик заданий или с помощью PowerShell:

Start-ScheduledTask -TaskName "RegIdleBackup"

#windows #registry

🧑‍💻 NetworkAdmin

🏠 OEM-ключ Windows в BIOS: как переустановить нужную редакцию

Большинство современных ноутбуков и ПК с предустановленной Windows содержат вшитый в BIOS/UEFI OEM-ключ, который автоматически активирует систему при установке. Удобно, но не всегда.

Раньше (в эпоху win 7) использовалась SLIC-таблица в BIOS, где хранился сертификат и ключ активации. Сейчас производители используют OEM embedded key, записанный прямо в прошивку UEFI. При установке Windows установщик считывает этот ключ и автоматически выбирает редакцию, например - home.

🙅‍♂️ Проблема: если вы хотите выполнить чистую установку другой редакции windows (например, pro вместо home), то установщик пропустит выбор и установит версию, соответствующую OEM-ключу.

✅ Решение: Чтобы заставить установщик проигнорировать вшитый ключ, добавьте на установочную флешку файл ei.cfg.

Путь:

X:\sources\ei.cfg

Содержимое файла:

[EditionID]
[Channel]
Retail

После этого при запуске установки появится меню выбора редакции, и вы сможете установить нужную версию Windows, независимо от OEM-ключа в BIOS.

#Windows #UEFI

🧑‍💻 NetworkAdmin

🏠 Повышение производительности Windows с помощью Sysinternals Tools

Когда windows начинает тормозить, а «диспетчер задач» мало что говорит - на помощь приходят sysinternals tools. Это набор от microsoft, разработанный ещё Марком Руссиновичем, и он до сих пор незаменим для администраторов.

🔗 Скачать все разом

Ключевые инструменты, которые реально помогают увидеть и устранить узкие места в системе:

▪️ Process Explorer. Улучшенный «Диспетчер задач». Показывает дерево процессов, какие DLL они используют, как именно загружают систему. Можно отследить, кто блокирует файл, кто грузит ЦП, кто жрет RAM.

📍 Альтернатива taskmgr
📍 Ищем паразитные процессы и утечки памяти
📍 Убиваем вирусы, которые не видит антивирус

▪️ Process Monitor (Procmon). Показывает все, что происходит: файловые операции, работа с реестром, сеть. Идеально, когда приложение «виснет», но не пишет ошибок.

📍 Отладка медленных запусков программ
📍 Отслеживание, куда приложение пытается записать
📍 Найти, кто трогает подозрительный файл

▪️ RAMMap. Показывает, куда на самом деле уходит ОЗУ. Иногда в диспетчере — пусто, а система тормозит. RAMMap покажет все по сегментам: кэш, драйверы, standby, modified и т.д.

▪️ Autoruns. Разбираемся с автозагрузкой: служба, планировщик, драйверы, контекстное меню, расширения проводника. Можно безопасно отключить мусор без сторонних твикеров.

📍 Удалить нежелательные утилиты из автозагрузки
📍 Быстро выявить вирус или майнер

▪️ TCPView. Если тормозит сеть - можно посмотреть, какие процессы установили соединения, какие порты открыты, куда идет трафик.

▪️ Disk Usage (du.exe). Утилита в стиле unix du - покажет, какие каталоги занимают больше всего места. Особенно полезно при очистке диска.

du -q -l 1 C:\Users\admin

Все утилиты можно использовать без установки, просто скачать и запускать по мере надобности. А некоторые - использовать прямо из PowerShell, если положить их в %PATH%.

#windows #sysinternals

🧑‍💻 NetworkAdmin

⚙️ Настройка WinRE под свои задачи

WinRE - это встроенная среда восстановления для windows, которая запускается при проблемах с загрузкой системы или вручную через установочный носитель/средства восстановления. Обычно ее используют для диагностики и восстановления, но среду можно адаптировать под собственные задачи.

▪️ Проверка состояния WinRE. Проверим, активна ли WinRE и где она расположена:

reagentc /info

Если среда отключена, включаем ее:

reagentc /enable

▪️ Кастомизация WinRE. WinRE хранится в Winre.wim (обычно на скрытом разделе Recovery или в C:\Recovery\WindowsRE).

Создаем рабочую директорию и монтируем образ:

mkdir C:\WinRE_Mount
dism /mount-image /imagefile:C:\Recovery\WindowsRE\Winre.wim /index:1 /mountdir:C:\WinRE_Mount

Внутри смонтированного образа можно:

📍добавить свои утилиты (например, антивирусы, сетевые инструменты, скрипты диагностики);
📍заменить стандартные программы (например, cmd.exe на powershell или стороннюю оболочку);
📍внедрить драйверы и дополнительные пакеты:

dism /image:C:\WinRE_Mount /add-driver /driver:C:\Drivers\ /recurse
dism /image:C:\WinRE_Mount /add-package /packagepath:C:\Updates\update.cab

После внесенных изменений сохраняем:

dism /unmount-image /mountdir:C:\WinRE_Mount /commit

#windows #winRE

🧑‍💻 NetworkAdmin

📄 Быстрая раздача файлов: Python HTTP Server и HFS

Иногда нужно быстро передать файлы по сети, без заморочек с настройкой SMB или FTP. Для этого есть два простых инструмента - один для linux, другой для windows.

🐧 Linux: встроенный веб-сервер Python

В современных дистрибутивах Python уже установлен, так что все сводится к одной команде:

cd /var/log
python3 -m http.server 8181

Открываем браузер, заходим на IP-адрес сервера с портом 8181 и сразу видим содержимое директории.
Файлы скачали - сервер остановили. Удобно и быстро.

🏠 Windows: HFS (HTTP File Server)

Для Windows есть проверенное решение - HFS.
Это небольшой исполняемый файл, который работает на любой версии windows, включая 11. Скачали → запустили → открыли в браузере IP машины.

HFS позволяет публиковать как целые директории, так и отдельные файлы, просто перетащив их в окно программы. В отличие от SMB, который постоянно требует возни с версиями протокола и учетками, HFS работает «из коробки».

▪️ Дополнительные возможности HFS:

📍аутентификация пользователей;
📍логирование;
📍кастомизация внешнего вида через HTML-шаблоны;
📍контроль пропускной способности;
📍работа в фоне.

Программа бесплатна и с открытым исходным кодом.
🔗 Официальный сайт HFS

#linux #windows #tools

🧑‍💻 NetworkAdmin

🏃 PowerShell шпаргалки для linux админа

Админы, привыкшие к bash и linux, часто недооценивают powershell. А зря - это также неплохая оболочка, которая умеет не только выполнять команды, но и работать с объектами, сервисами и API windows. Ниже несколько полезных сценариев, которые пригодятся, если админите и linux, и windows.

▪️ Мониторинг процессов и портов. Аналог ps aux | grep и ss -tulpn:

# Процессы по имени
Get-Process | Where-Object { $_.ProcessName -like "*chrome*" }

# Открытые TCP-порты
Get-NetTCPConnection | Where-Object { $_.State -eq "Listen" }

▪️ Массовая работа с файлами. Аналог find + xargs:

# Найти все *.log файлы и удалить старше 7 дней
Get-ChildItem -Path "C:\Logs" -Filter *.log -Recurse |
  Where-Object { $_.LastWriteTime -lt (Get-Date).AddDays(-7) } |
  Remove-Item -Force

▪️ Проверка доступности хостов. Аналог ping + for:

$hosts = "8.8.8.8","1.1.1.1","networkadmin.ru"
foreach ($h in $hosts) {
  Test-Connection -ComputerName $h -Count 2 -Quiet |
    ForEach-Object { "$h -> $($_ -replace 'True','OK' -replace 'False','Fail')" }
}

▪️ Работа с сервисами. Аналог systemctl:

# Проверить статус службы
Get-Service -Name "Spooler"

# Перезапустить службу
Restart-Service -Name "Spooler"

▪️ Сетевые запросы и API. Аналог curl:

Invoke-RestMethod -Uri "https://api.ipify.org?format=json"

▪️ Сбор информации о системе. Аналог lshw и df -h:

# Системная информация
Get-ComputerInfo | Select-Object CsName, WindowsVersion, OsArchitecture

# Диски
Get-PSDrive -PSProvider FileSystem

#powershell #windows

🧑‍💻 NetworkAdmin

🏠 Создание минималистичного образа Windows 11

Если вы хотите получить максимально легкий и чистый образ windows 11 - без мусора, предустановленных приложений и ненужных сервисов, то обратите внимание на nano11.

Это PowerShell-скрипт, который автоматизирует процесс сборки сильно урезанной версии Windows 11. Он использует встроенные средства DISM и oscdimg.exe, не требуя никаких внешних утилит. В результате получается компактный ISO-образ, идеально подходящий для тестирования, отладки или развертывания на виртуальных машинах.

▪️ Возможности nano11:

Создает минимальный ISO-образ Windows 11
Удаляет все предустановленные приложения и лишние компоненты
Не поддерживает обновления и добавление языков (только базовая сборка)
Подходит для VM и изолированных окружений
Полностью открытый исходный код, можно модифицировать под свои задачи

Репозиторий проекта 😺

#windows #powershell

🧑‍💻 NetworkAdmin

🏠 Управление windows серверами как по SSH

PowerShell - это не просто консоль, а полноценная среда для удаленного администрирования. Один из ее инструментов - PowerShell Remoting, позволяющий выполнять команды и скрипты на других windows серверах (и даже на linux) почти так же, как по SSH.

PowerShell Remoting - это механизм, основанный на WinRM (Windows Remote Management), который реализует стандарт WS-Management.
Он позволяет запускать команды, выполнять скрипты и даже открывать интерактивную сессию на удаленной машине.

По сути, это SSH для windows, встроенный в систему начиная с windows 7 / server 2008 R2.

⚙️ Настройка PowerShell Remoting. На целевом сервере достаточно выполнить одну команду:

Enable-PSRemoting -Force

Эта команда:

Включает службу WinRM,
Настраивает слушатель HTTP (порт 5985) и HTTPS (порт 5986),
Добавляет правила в брандмауэр.

Проверяем статус:

Get-Service WinRM

🌐 Подключение к удаленной системе

Подключиться можно тремя способами:

1. Выполнить одиночную команду:

Invoke-Command -ComputerName server01 -ScriptBlock { Get-Service }

2. Открыть интерактивную сессию:

Enter-PSSession -ComputerName server01

(аналог ssh user@server)

3. Создать постоянную сессию и использовать её повторно:

$session = New-PSSession -ComputerName server01
Invoke-Command -Session $session -ScriptBlock { Get-Process }
Remove-PSSession $session

🔓 PowerShell Remoting через HTTPS и SSH

Если хотите шифровать трафик, то настройте HTTPS-сессию (WinRM через TLS).
А начиная с PowerShell 7, можно использовать нативный SSH-транспорт:

Enter-PSSession -HostName server01 -UserName admin

Теперь PowerShell работает поверх SSH - удобно, безопасно и кроссплатформенно.

⚠️ Практические сценарии

Массовый перезапуск служб:

Invoke-Command -ComputerName (Get-Content servers.txt) -ScriptBlock { Restart-Service spooler }

Сбор информации о дисках или обновлениях на всех серверах:

Invoke-Command -ComputerName * -ScriptBlock { Get-HotFix }

Запуск скриптов администрирования без входа по RDP.

🆘 Советы

Для доменной инфраструктуры remoting работает из коробки.
Для рабочих групп используйте Enable-PSRemoting + Set-Item WSMan:\localhost\Client\TrustedHosts *.
На проде лучше ограничить доступ с помощью HTTPS, Kerberos или SSH.

#powershell #windows

🧑‍💻 NetworkAdmin

📱 Windows в контейнере

На GitHub есть готовый способ запустить windows прямо в контейнере docker, без ручной настройки виртуалок. Все автоматизировано и работает поверх KVM. Ссылка: https://github.com/dockur/windows

▪️ Первые шаги

Разворачивать все на виртуальной машине с включенной вложенной виртуализацией. Выставляется тип процессора в host и на этом все. Дальше - стандартный старт:

git clone https://github.com/dockur/windows
cd windows
docker compose up

Контейнер создался и попытался загрузить образ windows 11. Но тут ошибка: microsoft заблокировала скачивание ISO с моего IP. Выход есть - можно скачать ISO вручную и передать контейнеру, но можно и проще: переключить версию на windows 10.

▪️ Настройка версии Windows. В файле docker-compose.yml достаточно задать переменную окружения:

version: "3"
services:
  windows:
    environment:
      VERSION: "win10"

После этого запускаем снова:

docker compose up

Контейнер скачивает ISO Windows 10, разворачивает его и устанавливает систему в автоматическом режиме. Через 30 минут будет готовая, неактивированная, но полностью легальная Windows.

▪️ Доступ и управление. За установкой можно наблюдать через веб-интерфейс (порт 8006):

http://<ip_сервера>:8006

После установки доступ к системе:

через браузер (встроенный VNC),
или по RDP (пользователь docker, пароль — пустой).

▪️ Ресурсы по умолчанию. Контейнеру выделяется:

2 CPU
4 GB RAM
64 GB диска

Все параметры можно менять в environment. Важно следить за свободным местом!

▪️ Итог

Не нужно вручную поднимать виртуалки, скачивать ISO или прописывать драйверы. Просто запускаете контейнер и получаете готовую Windows, работающую поверх KVM. Docker тут используется не ради контейнеризации, а ради автоматизации всего процесса.

#docker #windows

🧑‍💻 NetworkAdmin

⌨️ Инструмент для управления RDP-серверами Windows

Для администраторов windows есть небольшой, очень быстрый и почти олдовейший по духу инструмент - Terminal Services Manager от LizardSystems. Размер всего ~4 МБ, работает мгновенно, интерфейс простой и предельно функциональный. Изначально утилиту делали для терминальных серверов, но по факту она отлично подходит для любой Windows-машины: от серверов до обычных рабочих станций.

Программа платная, но условно. Для персонального использования доступна полностью бесплатная версия без ограничений.

▪️ Что умеет Terminal Services Manager

▪️ Управление терминальными сессиями

- Просмотр всех подключённых пользователей
- Видно, кто активен, кто в состоянии Disconnected
- Подключение к пользовательской сессии
- Принудительный logout или завершение всех сессий

▪️ Взаимодействие с пользователями

- Отправка сообщений прямо в их RDP-сессии

▪️ Мониторинг состояния системы

- Быстрый просмотр нагрузки CPU, RAM, диска

▪️ Управление процессами

- Просмотр процессов на удалённой машине
- Завершение зависших приложений
- Видно процессы по пользователям

▪️ Администрирование хоста

- Перезагрузка и выключение удалённых серверов
- Очистка профилей пользователей
- Быстрое включение/отключение RDP-доступа

Если вы часто управляете RDP-серверами, разгребаете зависшие сессии, мониторите пользователей, то эта утилита сильно экономит время.

#windows #RDP

🧑‍💻 NetworkAdmin

🏠 Windows Firewall: как включить логирование и понять, что именно он блокирует

Встроенный брандмауэр windows по умолчанию не пишет логи о входящих и исходящих соединениях, которые он блокирует. Из-за этого сложно понять, кто виноват: само приложение, сеть или firewall. Многие в такой ситуации просто отключают защиту целиком, но это плохая практика.

Куда правильнее включить логирование DROP-пакетов, посмотреть, что именно блокируется (порт, IP, протокол), и уже после этого создать точечное правило.

▪️ Логирование в текстовый файл. Самый простой способ - это включить запись в стандартный лог:

Set-NetFireWallProfile -Profile Public `
  -LogBlocked True `
  -LogMaxSize 20480 `
  -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" `
  -Verbose

После включения логи будут появляться в файле pfirewall.log. В них видно источник, порт, направление и действие (DROP/ALLOW).

▪️Логирование в Event Viewer. Иногда удобнее смотреть блокировки прямо в журнале событий Windows: фильтрация, сортировка и быстрый поиск куда приятнее, чем анализ текста. Активируем аудит:

Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /failure:enable

После этого записи о блокировках появятся в: Event Viewer → Windows Logs → Security

#windows #firewall

🧑‍💻 NetworkAdmin

🖥 RemoteApp на Windows 10/11

Если вам нужно, чтобы пользователи запускали через RDP не целый рабочий стол, а только определенное приложение, то для этого подойдет режим RemoteApp. Он чаще ассоциируется с серверами windows, но его реально настроить и на обычной win 10/11.

▪️ Что нужно сделать на сервере (удаленном Windows).

1. Включить RDP-доступ.
2. Установить нужное приложение и добавить пользователя в группу Remote Desktop Users или дать право через политику безопасности.
3. Разрешить запуск неопубликованных программ как RemoteApp: либо через групповые политики, либо через реестр:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fAllowUnlistedRemotePrograms /t REG_DWORD /d 1

Перезагрузить компьютер.

Если хотите ограничить список доступных приложений, то создайте запись в реестре:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\<AppName> с указанием пути, иконки и имени.

▪️ Как пользователь подключается

Открываете стандартный RDP-клиент (mstsc.exe) и настраиваете подключение, затем сохраняете его как файл .RDP.

Открываете .RDP в текстовом редакторе и добавляете в конец:

remoteapplicationmode:i:1  
RemoteApplicationName:s:Имя_окна  
RemoteApplicationProgram:s:"C:\path\to\app.exe"  
DisableRemoteAppCheck:i:1  
PromptForCredentials:i:0  
alternate shell:s:rdpinit.exe

При запуске этого файла на клиенте откроется только окно указанного приложения так, словно оно запускается локально.

Если нужно передать аргументы запуска, можно добавить строку RemoteApplicationCmdLine:s:....

▪️ Что важно

Хотя RemoteApp официально поддерживается на серверах с ролью RDS, этот способ работает и на win 10/11.

При работе через RemoteApp запускается только окно приложения, рабочий стол пользователя остается недоступен. Это удобно, если нужно предоставить доступ к одной программе, не раскрывая систему целиком.

Для работы может потребоваться RDP Wrapper или другие обходы, если Windows пытается ограничить одновременные сеансы.

#windows #remoteapp

🧑‍💻 NetworkAdmin