Windows 11, 10, etc - Вадим Стеркин
13.9K subscribers
279 photos
5 videos
8 files
1.05K links
Авторский канал. Windows, безопасность, мобильный мир:
• тайное знание
• профессиональный ликбез
• гадание по логам
• срыв покровов
• доставка пруфов

Чат: @winsiders
Блог: outsidethebox.ms
Oбратная связь: @vsterkin
Поддержать ₽: boosty.to/sterkin
Download Telegram
В какой операционной системе вы проводите больше всего времени на личном домашнем компьютере?
anonymous poll

Windows 10 (стабильная сборка) – 457
👍👍👍👍👍👍👍 65%

Windows 7 – 88
👍 13%

Windows 10 (инсайдерская) – 46
👍 7%

Linux – 44
👍 6%

macOS – 29
▫️ 4%

Другая Windows – 25
▫️ 4%

Другая / моего варианта тут нет – 5
▫️ 1%

Windows XP – 4
▫️ 1%

👥 698 people voted so far.
💡 В #Windows10 1709 можно указать проводное подключение в качестве лимитного. Это можно использовать для приостановки обновлений Windows кроме приоритетных (другие способы управления обновлениями завтра).

В Параметрах поищите Ethernet и нажмите сеть. Здесь же выбор профиля сети.
☁️ Я тут случайно удалил ценные файлы с #OneDrive. Как положено, сначала завершил его, потом удалил папки, обновил OneDrive и... не нашел удаленных папок.

В корзине OneDrive файлы хранятся 30 дней, так что я все сразу вернул. Но все равно порадовало автоматическое письмо с уведомлением и инструкциями по восстановлению. Пример хорошего сервиса 👍
defer-wu.zip
1.1 KB
REG-файл к посту про отложенные обновления ↓
⚙️ Как отложить доставку новых сборок и обновлений в #Windows10

Если новая сборка или обновления безопасности создают проблемы, можно гибко настроить отложенную доставку. В изданиях Pro и выше это делается в Параметры - Обновления - Дополнительные параметры. Благодаря эквивалентным групповым политикам можно задать настройки в реестре - REG-файл прикреплен ↑

В домашних изданиях эти политики не работают.

У Microsoft есть документация со всем необходимым http://bit.ly/2j5klnH Но терминология даже в оригинале непростая, поэтому я разберу картинку ↓ по пунктам.

1️⃣ Приоритет доставки новых сборок (1709, 1803, etc). Разница между каналами примерно 4 месяца. В Targeted начинают раздавать сразу, и первыми новую сборку получают обладатели самых беспроблемных конфигураций - протестированных вендорами и инсайдерами (на основе телеметрии, конечно). В не Targeted канал новые сборки идут позже.

2️⃣ Возможность отложить доставку новых сборок максимум на год после выпуска. Если после установки сборки выявилась непобедимая проблема, можно подождать пока ее исправит Microsoft (что-то допилит) или вендор (выпустит новый драйвер).

3️⃣ Возможность отложить доставку исправлениий системы безопасности максимум на месяц после выпуска. Они распространяются накопительными пакетами. Недоработки случаются (держите защиту системы включенной), но массовые косяки исправляются в течении месяца.

4️⃣ Возможность поставить установку исправлений системы безопасности на паузу максимум на 35 дней. Для следующей паузы необходимо установить обновления.

Пункты 3 и 4 настраиваются по отдельности, но это одна групповая политике, причем указано, что она не работает при отключенной телеметрии (при этом сама по себе политика AllowTelemetry = 0 работает только в корпоративном издании).

5️⃣ Установка обновлений по лимитному подключению. Как я писал в прошлый раз https://t.me/sterkin_ru/541, лимитные подключения допускают только приоритетные обновления. Это поведение можно переопределить данной настройкой.

✌️
⚙️ Контрольные вопросы для восстановления пароля локальной учетной записи в #Windows10 1803

Если включены, то обязательны все три. Свой вопрос задать нельзя, но всегда можно указать ответ, не имеющий отношения к вопросу.

Сброс пароля учетной записи Microsoft уже есть в 1709.
⚙️ Пользовательские службы в #Windows10

Службы Windows исторически работают на уровне системы, но в Windows 10 есть несколько исключений, которые можно увидеть одной командой #PowerShell
Get-Service -Name "*_*" | ft name,status

Или так с описаниями служб (см. в самом конце списка или на картинке)
Get-WmiObject Win32_Service | select name,state,description | ft -wrap

Заметьте, что у всех пользовательских служб в конце имени _LUID (локальный уникальный ИД). Эти службы создаются при входе пользователя в ОС, работают в его контексте безопасности и останавливаются или удаляются при завершении сеанса.

В основном, они отвечают за работу с пользовательскими данными (почта, контакты, календарь) и платформу уведомлений.

Документация по теме тут https://goo.gl/wxyFgv (пока только на английском). Там же рецепт по предотвращению создания пользовательских служб для тех, кому они "доставляют неудобства" (цитата по форуму), хотя я не представляю, чем они могут мешать.
💡 В #Windows10 1709 улучшена производительность службы индексирования

Этот факт широко не анонсировался, но недавно на сайте инсайдеров появилась короткая заметка об этом https://insider.windows.com/en-us/articles/windows-search-indexer/, которую я изложу своими словами.

⚙️ По мере продвижения индексатора (назову его так) от папки к папке скорость запросов падает. Когда индексатор определяет, что скорость может упасть, он начинает объединять индексы для увеличения производительности. Полностью объединенный индекс может возвращать результаты поиска в 10 раз быстрее.

🔥 За это приходится платить повышением нагрузки на CPU. Даже если индексирование выполняется при простое в рамках автоматического обслуживания (#классика блога в тему http://www.outsidethebox.ms/14062/), расход батареи в мобильных ПК это не отменяет.

Разработчики стали копать и выяснили, что происходит слишком много объединений индексов. Они решили понизить порог объединения, балансируя между производительностью и нагрузкой на CPU. Трогать индексирование боялись, потому что в нем очень много старого кода, и можно сломать разные точки входа в поиск (адресная строка браузера, проводник, Кортана).

ℹ️ Тестировали, как водится, на инсайдерах, собирая данные с более чем 10 тысяч ПК. В итоге удалось сэкономить до 10 минут времени работы от батареи в самых запущенных случаях, а также снизить на 40% затраты CPU на обработку файлов с большим объемом текста. Заодно исправили десятки ошибок с повреждением индекса.

👍 Отличный пример того, как инсайдеры помогают улучшать Windows, давая разработчиком огромные массивы телеметрии из различных конфигураций и сценариев использования ОС.

P.S. Я знаю, что многие не пользуются встроенным поиском, однако исторически придерживаюсь мнения, что, в основном, от незнания его возможностей. В блоге у меня множество примеров эффективного использования поиска http://www.outsidethebox.ms/tag/search/, в том числе подробное руководство в четырех частях http://www.outsidethebox.ms/x-files/windows-search/#man
💡[Почти] полный список изданий Windows

Я как-то проводил тут опрос "Сколько изданий Windows 10 вы знаете?". Правильного варианта ответа в нем не было https://t.me/sterkin_ru/470 (тогда я сказал, что этого никто не знает).

Microsoft вроде бы должна знать, и сегодня мне в твиттере попалась любопытная ссылка на MSDN со списком изданий Windows https://msdn.microsoft.com/library/mt238849.aspx

Там есть прекрасные вещи:
PRODUCT_HOLOGRAPHIC_BUSINESS
PRODUCT_ARM64_SERVER
PRODUCT_CONNECTED_CAR


Но изданий Windows 10 для Китая или Pro for Workstations я там все равно не увидел✌️
💡 Советы по укреплению конфиденциальности для тех, кто пользуется менеджером пароля в браузере

Я никогда не сохраняю более-менее важные пароли в браузере, предпочитая KeePass. Но есть несколько сайтов, где я использую встроенный в Chrome менеджер паролей. Думаю, я не один такой.

Когда вы авторизуетесь на сайте, браузер автоматически подставляет имя пользователя (зачастую это e-mail) и пароль, картинка слева ↓ Очень удобно!

🔓 Проблема в том, что браузер автоматически заполняет подходящие поля, даже если они невидимые. Это - не новость, и данную особенность менеджеров паролей в браузерах давно используют вредоносные межсайтовые скрипты (XSS) с целью получения паролей.

ℹ️ Но вчера в интернете появилось интересное исследование https://goo.gl/fxbXKK Оказывается, такая практика очень широко применяется на сайтах с целью сбора адресов электронной почты посетителей. Ваш e-mail хэшируется и отправляется на сервер. Если вы используете один и тот же e-mail на разных сайтах, где установлен одинаковый скрипт, ваши перемещения между этими сайтами полностью отслеживаются. И никакая очистка куков и даже смена устройства от этого не спасает.

Заметьте, что все это строится на автоматическом заполнении скрытых форм. Понятно, что защита сводится к вводу учетных данных только в предназначенные для этого поля. И можно обезопасить себя от такой слежки (а заодно от XSS), не отказываясь от встроенного в браузер менеджера паролей!

🔐 Если вы когда-нибудь заходили в режиме инкогнито на сайт, для которого сохранен пароль, то видели, что поведение отличается от обычного режима. Учетные данные не подставляются в форму, а предлагается выбрать аккаунт, как на картинке справа ↓

🔥 В Chrome можно включить такое поведение в обычном режиме, активировав флаг
chrome://flags/#fill-on-account-select

В чате инсайдеров ❤️ https://t.me/winsiders участник Kato подсказал альтернативный способ - псевдонимы Gmail. На каждом сайте указывается разный псевдоним одного и того же адреса, например, nickname+abc@gmail.com (#классика блога в помощь http://www.outsidethebox.ms/12648/#_Toc305526942). Даже если адреса соберут, связать их между собой не получится.

Использование стороннего менеджера паролей, вроде KeePass тоже защищает от такой слежки, поскольку ввод учетных данных осуществляется только явно. Насчет LastPass и 1Password - не знаю, не пользуюсь ими. Если вы в курсе подробностей, поделитесь ими в чате ✌️
🔓 Google сорвала покровы с уязвимости в процессорах

Исследователи компании из подразделения Google Project Zero, которые обнаружили уязвимость, утверждают, что подвержены Intel, AMD, ARM. Компания опубликовала общие сведения и статус по своим продуктам https://goo.gl/k9TYHC (там же ссылка на технической пост исследователей).

В частности:
• устройства на Android, в т.ч. Nexus и Pixel, не подвержены при наличии последнего обновления безопасности
• в Chrome 63 рекомендуется включить флаг изоляции сайтов
chrome://flags/#enable-site-per-process

Однако на Android при включении флага возможны проблемы с работой и производительностью. 23 января выйдет Chrome 64 уже с защитой от эксплойтов.

С учетом раскрытия уязвимости, Microsoft приходится выпускать внеочередные обновления для Windows, не дожидаясь второго вторника месяца. Причем патчи выходят для всех изготовителей процессоров, исходя из официального заявления компании. Как обычно, привет тем, кто отключает Windows Update!

Ссылка на информацию о патче https://support.microsoft.com/help/4056892/, и там прекрасное (в конце таблицы) - ваш антивирус должен быть совместимым и внести изменения в реестр. Иначе обновление не придет. Самостоятельно править реестр не нужно во избежание BSOD.

С Новым Годом :) 🎄
ℹ️ Microsoft опубликовала в базе знаний руководства по защите от уязвимостей процессоров:
Клиент: https://support.microsoft.com/help/4073119/
Сервер: https://support.microsoft.com/help/4072698/

Помимо ссылок на другие статьи KB с описаниями обновлений, в серверной статье приводятся рекомендации по снижению риска для серверов с функциями Hyper-V и RDSH путем изменения параметров реестра, отвечающих за управление памятью.

В обеих статьях приводится скрипт #PowerShell, проверяющий статус защищенности системы на основе сведений о процессоре и установленном обновлении ОС. Поскольку модуль размещен в репозитории NuGet, после выполнения первой команды может потребоваться разрешение на установку поставщика.
Install-Module SpeculationControl
Get-SpeculationControlSettings


В статьях KB приводится идеальный вариант вывода команды - для всех пунктов там True. Но на практике все зависит от [новизны] процессора и набора его фич. На моем скриншоте видно отсутствие аппаратной поддержки, что препятствует снижению риска уязвимости branch target injection. Соответственно, в этом контексте патч ОС ничем не поможет и отключен.

Для снижения риска второй уязвимости rogue data cache load у меня есть аппаратная поддержка, поэтому патч ОС работает. Но лишь отчасти, поскольку у процессора нет какой-то фичи PCID.

В общем, мы можем только установить обновления ОС, и думаю, их будут еще допиливать в следующих выпусках ✌️
ℹ️ Почему может не приходить последнее обновление с патчем для уязвимости процессоров

Для начала, в Windows Update сейчас доставлены только обновления для #Windows10 (для предыдущих ОС они будут распространяться во второй вторник месяца, как обычно). Поэтому я разберу проблему на примере обновления KB4056892 для Windows 10.

Проверить наличие обновления можно в #PowerShell:
Get-Hotfix -id KB4056892
Если команда отображает сведения об установленном обновлении, дальше можно не читать.

Ранее я упоминал, что ваш антивирус (АВ) должен поддерживать патч во избежание конфликтов. АВ сигнализирует готовность записью в реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat 
cadca5fe-87d3-4b96-b7fb-a231484277cc=0


Решение 1
Если раздела и параметра нет, перезагрузите систему и проверьте снова. На одной из моих систем записи в реестре появились только после перезагрузки.

В чате инсайдеров ❤️ https://t.me/winsiders , где вы, кстати, можете задавать вопросы по теме, участник Alexander O опубликовал интересный скриншот ↓ На нем видно, что АВ Касперского неправильно сформировал записи в реестре - создал раздел вместо параметра 😂 Видимо, ЛК готова к патчу, но при таком раскладе Windows Update об этом не узнает.

Решение 2
Сообщите вендору АВ об ошибке. Да, в этом случае можно создать правильные записи в реестре вручную, но все равно только на свой страх и риск.

На одной из моих машин были применены политики для отложенных обновлений, поскольку именно на ней я экспериментировал, когда тестировал настройки https://t.me/sterkin_ru/544 Записи АВ в реестре были, однако WU не показывало последнего обновления даже после отключение политик, gpupdate /force и перезагрузок. Но мне удалось вытащить его на свет.

Решение 3
Параметры - Обновления и безопасность - Диагностика - запустить диагностику Windows Update.

У меня обнаружились отложенные обновления (pending updates), и среди них было KB4056892.

Если ничего не помогает, можно установить обновление вручную (при условии, что ваш АВ в курсе).

Решение 4
Поиск обновления в каталоге Microsoft Update https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Там же обновления для Windows 7 - KB4056897 и Windows 8.1 - KB4056898.

Впрочем, сам я в таких случаях предпочитаю доверять Windows Update ✌️
🔋 Проброс батареи в Hyper-V #Windows10 1709

Если не работает в текущей ВМ, обновите ее версию конфигурации (заветный пункт в контекстном меню ВМ в диспетчере Hyper-V) или создайте новую ВМ.
⚙️ Измерение влияния патча CPU на производительность с помощью PowerShell

У меня немного задач, в которых производительность CPU играет роль, да и не так просто измерить ее в реальных задачах. Но одна такая есть - работа с образами WIM.

В #PowerShell есть замечательный командлет Measure-Command. В фигурных скобках он принимает команду или скрипт и выдает длительность выполнения. Я измерил подключение/отключение образа WIM из декабрьского ISO #Windows10 до и после установки обновления KB4056892.

Measure-Command {Mount-WindowsImage -ImagePath "E:\sources\install.wim" -Index 8 -Path "c:\mount" -ReadOnly}
Measure-Command {Dismount-WindowsImage -Path "C:\mount" -Discard}


Измерял грубо - одним прогоном каждой команды после перезагрузки ОС при отсутствии прочей фоновой активности CPU, поэтому далеко идущих выводов из результатов делать не стоит. Но получилось так (в секундах):
Подключение: 90.79 vs. 104.81 (на 15% дольше)
Отключение: 74.04 vs. 75.45 (на 2% дольше)

Если у вас есть задачи, нагружающие CPU, попробуйте обернуть их в Measure-Command и сравнить эффект патча CPU в своей системе.
На каком устройстве вы читаете этот канал?
anonymous poll

Чаще на смартфоне/планшете, иногда на десктопе/ноутбуке – 230
👍👍👍👍👍👍👍 35%

Только на смартфоне/планшете – 192
👍👍👍👍👍👍 29%

50/50 между (смартфоном/планшетом) и (десктопом/ноутбуком) – 111
👍👍👍 17%

Чаще на десктопе/ноутбуке, иногда на смартфоне/планшете – 89
👍👍👍 13%

Только на десктопе/ноутбуке – 35
👍 5%

Моего варианта тут нет – 4
▫️ 1%

👥 661 people voted so far.
🔒 Об оконечном (E2E) шифровании в мессенджерах

Вчера проскочила новость о том, что Microsoft начала тестировать E2E-шифрование в инсайдерской программе Skype. В основе лежит проткол Signal, используемый в одноименном мессенджере, а также в WhatsApp. А реализация фичи очень похожа на Telegram - опциональные секретные чаты.

💡 Суть оконечного шифрования в том, что коммуникации полностью зашифрованы на всем пути от одного устройства к другому. И даже если данные передаются через сервер мессенджера, доступа к переписке у него нет.

Для ряда людей новостью стало как раз то, что в Skype до сих пор в принципе не было E2E-шифрования. Между тем, проверяется это очень легко, и без всякого перехвата трафика.

👍 Есть замечательный сервис Canary Tokens https://canarytokens.org/ Создайте в нем веб-ссылку, укажите свой почтовый адрес и отправьте ссылку любому контакту в мессенджере, попросив не нажимать ее.

Мессенджеры парсят ссылки, чтобы сделать им превью с описанием или картинкой. Если E2E-шифрования нет, вам в почту очень быстро упадет сообщение о том, что кто-то перешел по ссылке 🔓 Попробуйте сравнить в Telegram обычный чат с секретным (кстати, в секретном чате приложение спросит, парсить ссылки или нет).
До окончания поддержки Windows 7 осталось два года https://support.microsoft.com/help/13853/
⚙️ Очистка диска по расписанию в параметрах Windows 10 1803

В третий раз возвращаюсь к напечатанному https://t.me/sterkin_ru/516, и на сей раз повод очень годный. Ранее мы выяснили, что в Параметры - Система - Память устройства можно настроить автоматический запуск контроля памяти при недостатке дискового пространства, тем самым очищая временные файлы. Это уже есть в #Windows10 1709.

💡 В 1803 в разделе Очистить сейчас будет (и уже присутствует в инсайдерской сборке 17074) вся утилита очистки диска. Но самое интересное, что наконец-то появилась возможность очистки диска по расписанию! Раньше для этого надо было плясать с cleanmgr, реестром и планировщиком http://www.oszone.net/13312/cleanmgr

Радует, что Microsoft не просто переносит классику в Параметры, но и дополняет ее новыми полезными возможностями ✌️
📖 Что на самом деле произошло с Windows Vista: взгляд инсайдера https://goo.gl/gKKvvG

Инсайдер в данном случае Ben Fathi, работавший непосредственно в команде Windows (отвечал за безопасность) во времена разработки Vista. Его рассказ - это своего рода ответ на другую ранее нашумевшую публикацию https://goo.gl/SSw7Gy о произошедшем с Vista за авторством Terry Crowley из команды Office.

Цитаты для затравки:
Addressing these security problems meant the creation of a parallel project, Windows XP Service Pack 2, which (despite its name) was a huge undertaking sucking thousands of resources away from Longhorn.

Bill Gates was personally involved at a very detailed level and was even jokingly referred to as “the WinFS PM”: the program manager responsible for the project. Hundreds, if not thousands, of man years of engineering went into an idea whose time had simply passed.

I personally spent several years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, [...] that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same approach that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power!

💡 Я читаю о технологиях, в основном, на английском, и нередко мне попадаются познавательные материалы. Думаю, что для ряда читателей проблема языкового барьера не стоит, поэтому время от времени буду делиться ссылками на такие статьи с хэштегом #longread