Windows: Ваш "швейцарский нож". Вышло обновление PowerToys
Microsoft обновила PowerToys — бесплатный набор утилит, который прокачивает Windows до уровня PRO. Это must-have для каждого админа.
Что внутри (самое важное для нас):
FancyZones: Создайте сложные сетки окон. Идеально, чтобы разместить RDP, PowerShell и perfmon на одном экране.
PowerRename: Массовое переименование файлов (логов, скриптов) с поддержкой RegEx прямо в "Проводнике".
Always on Top: Win+Ctrl+T, чтобы окно с мониторингом или логами всегда было поверх всех.
Crop and Lock: Новинка! "Вырежьте" график из Диспетчера задач и закрепите его на рабочем столе как виджет.
Взгляд архитектора: Ваша рабочая станция — это инструмент. Эти утилиты "затачивают" его, экономя вам часы на рутинных операциях и переключении окон.
Забираем бесплатно с официального GitHub: https://github.com/microsoft/PowerToys
#windows #powertoys #productivity #гайд #musthave
Microsoft обновила PowerToys — бесплатный набор утилит, который прокачивает Windows до уровня PRO. Это must-have для каждого админа.
Что внутри (самое важное для нас):
FancyZones: Создайте сложные сетки окон. Идеально, чтобы разместить RDP, PowerShell и perfmon на одном экране.
PowerRename: Массовое переименование файлов (логов, скриптов) с поддержкой RegEx прямо в "Проводнике".
Always on Top: Win+Ctrl+T, чтобы окно с мониторингом или логами всегда было поверх всех.
Crop and Lock: Новинка! "Вырежьте" график из Диспетчера задач и закрепите его на рабочем столе как виджет.
Взгляд архитектора: Ваша рабочая станция — это инструмент. Эти утилиты "затачивают" его, экономя вам часы на рутинных операциях и переключении окон.
Забираем бесплатно с официального GitHub: https://github.com/microsoft/PowerToys
#windows #powertoys #productivity #гайд #musthave
🔥5
Проект на выходные: Запускаем свой GitHub! Ставим Gitea в Docker
Хватит хранить скрипты и Ansible-плейбуки в папке C:\Scripts_Final_v2. Путь архитектора начинается с контроля версий.
Gitea — это сверхлегкий, быстрый и простой self-hosted Git-сервер. Он написан на Go, потребляет минимум ресурсов и запускается за 30 секунд. Идеально для Home Lab или небольшой команды.
Зачем он вам?
* IaC: Хранить код Terraform, Ansible, PowerShell DSC.
* Документация: Вести свою Wiki по инфраструктуре в Markdown.
* Скрипты: Создать центральный репозиторий для всех ваших PowerShell/Bash скриптов.
Готовый docker-compose.yml для старта:
YAML
1. Сохраните как docker-compose.yml.
2. Запустите docker-compose up -d.
3. Откройте http://<ваш_ip>:3000 и пройдите простую веб-установку (можно использовать SQLite, чтобы не поднимать отдельную БД).
4. Важно: В настройках укажите, что SSH-сервер работает на порту 2222.
Взгляд архитектора: Это не просто "удобно". Это фундамент для GitOps и CI/CD. Когда ваш код инфраструктуры лежит в Git, вы можете автоматизировать его тестирование и развертывание. Вы получаете историю изменений, ревью кода и возможность отката.
#linux #docker #selfhosted #git #devops #weekendproject #гайд
Хватит хранить скрипты и Ansible-плейбуки в папке C:\Scripts_Final_v2. Путь архитектора начинается с контроля версий.
Gitea — это сверхлегкий, быстрый и простой self-hosted Git-сервер. Он написан на Go, потребляет минимум ресурсов и запускается за 30 секунд. Идеально для Home Lab или небольшой команды.
Зачем он вам?
* IaC: Хранить код Terraform, Ansible, PowerShell DSC.
* Документация: Вести свою Wiki по инфраструктуре в Markdown.
* Скрипты: Создать центральный репозиторий для всех ваших PowerShell/Bash скриптов.
Готовый docker-compose.yml для старта:
YAML
version: '3.8'
services:
gitea:
image: gitea/gitea:latest
container_name: gitea
restart: unless-stopped
volumes:
- ./gitea-data:/data
ports:
# Веб-интерфейс (HTTP)
- "3000:3000"
# SSH для Git
- "2222:22"
environment:
- USER_UID=1000
- USER_GID=1000
1. Сохраните как docker-compose.yml.
2. Запустите docker-compose up -d.
3. Откройте http://<ваш_ip>:3000 и пройдите простую веб-установку (можно использовать SQLite, чтобы не поднимать отдельную БД).
4. Важно: В настройках укажите, что SSH-сервер работает на порту 2222.
Взгляд архитектора: Это не просто "удобно". Это фундамент для GitOps и CI/CD. Когда ваш код инфраструктуры лежит в Git, вы можете автоматизировать его тестирование и развертывание. Вы получаете историю изменений, ревью кода и возможность отката.
#linux #docker #selfhosted #git #devops #weekendproject #гайд
Windows: "DNS-кладбище". Чистим Active Directory от "мёртвых" записей
Одна из самых частых и тихих проблем в AD — устаревшие (stale) DNS-записи. Старый сервер вывели из эксплуатации, а его A-запись осталась. В итоге сервисы пытаются подключиться к "призраку", и всё ломается.
Ручной поиск — ад. Этот PowerShell-скрипт — ваш аудитор.
Что делает скрипт:
1. Берёт все A-записи из вашей DNS-зоны.
2. Пытается "пингануть" каждую (быстрая проверка Test-Connection).
3. Выводит список тех IP, которые не ответили — это ваши главные кандидаты на удаление.
Код скрипта:
PowerShell
Взгляд архитектора: Гигиена DNS — это фундамент стабильной сети. Этот скрипт — ваш инструмент для аудита. Правильное архитектурное решение — настроить Scavenging (очистку) на DNS-сервере, чтобы этот процесс был полностью автоматическим.
#windows #powershell #dns #activedirectory #automation #скрипты #security
Одна из самых частых и тихих проблем в AD — устаревшие (stale) DNS-записи. Старый сервер вывели из эксплуатации, а его A-запись осталась. В итоге сервисы пытаются подключиться к "призраку", и всё ломается.
Ручной поиск — ад. Этот PowerShell-скрипт — ваш аудитор.
Что делает скрипт:
1. Берёт все A-записи из вашей DNS-зоны.
2. Пытается "пингануть" каждую (быстрая проверка Test-Connection).
3. Выводит список тех IP, которые не ответили — это ваши главные кандидаты на удаление.
Код скрипта:
PowerShell
# Укажите имя вашего DNS-сервера и зоны
$DnsServer = "DC01.corp.local"
$DnsZone = "corp.local"
Write-Host "--- Начинаю поиск 'мёртвых' A-записей в зоне $DnsZone ---" -ForegroundColor Cyan
# Получаем все A-записи
$AllARecords = Get-DnsServerResourceRecord -ComputerName $DnsServer -ZoneName $DnsZone -RRType "A"
$StaleRecords = foreach ($Record in $AllARecords) {
$IpAddress = $Record.RecordData.IPv4Address.IPAddressToString
Write-Host "Проверяю: $($Record.HostName) -> $IpAddress" -ForegroundColor Gray
# Пытаемся быстро пингануть хост. Count 1, Timeout 1 секунда.
if (-not (Test-Connection -ComputerName $IpAddress -Count 1 -Quiet -ErrorAction SilentlyContinue)) {
# Если пинг не прошел, выводим как потенциально "мёртвую" запись
[PSCustomObject]@{
HostName = $Record.HostName
IPAddress = $IpAddress
Timestamp = $Record.Timestamp
Status = "NO_RESPONSE"
}
}
}
Write-Host "`n--- ОБНАРУЖЕНЫ ПОТЕНЦИАЛЬНО УСТАРЕВШИЕ ЗАПИСИ ---" -ForegroundColor Red
$StaleRecords | Format-Table
Write-Host "`nРекомендация: Проверьте эти хосты и включите Scavenging (очистку) на DNS-сервере."
Взгляд архитектора: Гигиена DNS — это фундамент стабильной сети. Этот скрипт — ваш инструмент для аудита. Правильное архитектурное решение — настроить Scavenging (очистку) на DNS-сервере, чтобы этот процесс был полностью автоматическим.
#windows #powershell #dns #activedirectory #automation #скрипты #security
👍2
Чек-лист: 5 PM Friday. С чем админ уходит на выходные?
Спокойные выходные — это не удача, а результат подготовки.
Прежде чем закрыть ноутбук, каждый админ (а особенно Full-stack) должен потратить 10 минут на этот чек-лист.
1. □ Проверить Бэкапы.
Win: Get-WBJob -Previous 1 -> JobState должен быть Completed.
Lin: Проверить лог вашего скрипта rsync или cron.
2. □ Проверить Место на Диске.
Win: Get-PSDrive C, D -> Free (GB).
Lin: df -hT -> Use%.
Ни один критический раздел не должен быть заполнен > 90%.
3. □ Проверить Журналы на Критические Ошибки.
Win: Get-WinEvent -LogName System -Level 2 -MaxEvents 20 --Since (Get-Date).AddHours(-1)
Lin: journalctl -p err -b --since "1 hour ago"
Нет ли "красных" записей, которых не было утром?
4. □ Проверить Подозрительные Входы.
Win: Get-WinEvent -Filter @{LogName='Security'; ID=4625} -MaxEvents 50
Lin: sudo lastb
Нет ли аномального брутфорса с одного IP?
5. □ Проверить Uptime Kuma (или вашу систему мониторинга).
Все сервисы "зеленые"? Все сертификаты SSL действительны?
Взгляд архитектора: Это называется проактивный аудит. Вы не ждете звонка в субботу. Вы тратите 10 минут в пятницу, чтобы предотвратить проблему. Это основа SRE-подхода к стабильности.
#чеклисты #security #windows #linux #audit #sre #sysadmin
Спокойные выходные — это не удача, а результат подготовки.
Прежде чем закрыть ноутбук, каждый админ (а особенно Full-stack) должен потратить 10 минут на этот чек-лист.
1. □ Проверить Бэкапы.
Win: Get-WBJob -Previous 1 -> JobState должен быть Completed.
Lin: Проверить лог вашего скрипта rsync или cron.
2. □ Проверить Место на Диске.
Win: Get-PSDrive C, D -> Free (GB).
Lin: df -hT -> Use%.
Ни один критический раздел не должен быть заполнен > 90%.
3. □ Проверить Журналы на Критические Ошибки.
Win: Get-WinEvent -LogName System -Level 2 -MaxEvents 20 --Since (Get-Date).AddHours(-1)
Lin: journalctl -p err -b --since "1 hour ago"
Нет ли "красных" записей, которых не было утром?
4. □ Проверить Подозрительные Входы.
Win: Get-WinEvent -Filter @{LogName='Security'; ID=4625} -MaxEvents 50
Lin: sudo lastb
Нет ли аномального брутфорса с одного IP?
5. □ Проверить Uptime Kuma (или вашу систему мониторинга).
Все сервисы "зеленые"? Все сертификаты SSL действительны?
Взгляд архитектора: Это называется проактивный аудит. Вы не ждете звонка в субботу. Вы тратите 10 минут в пятницу, чтобы предотвратить проблему. Это основа SRE-подхода к стабильности.
#чеклисты #security #windows #linux #audit #sre #sysadmin
👍2
5 Pentest-инструментов, о которых вы могли не знать
Metasploit и Nmap — это классика.
Архитектор безопасности должен знать, чем дышит атакующий.
Вот 5 тулзов, которые стоит добавить в свой арсенал:
Snaffler (https://github.com/SnaffCon/Snaffler) "Пылесос" для конфиденциальных файлов (web.config, скрипты с паролями) в Windows-доменах.
Infoga (https://github.com/m4ll0k/Infoga) Мощный OSINT-инструмент для сбора информации о почтовых адресах.
Sn1per (https://github.com/1N3/Sn1per) Автоматизированный "комбайн" для разведки и сканирования на уязвимости.
Sliver (https://github.com/BishopFox/sliver) Open-source C2-фреймворк. Гибкая и опасная альтернатива Cobalt Strike.
linPEAS (https://github.com/peass-ng/PEASS-ng/tree/master/linPEAS) Лучший скрипт для поиска путей повышения привилегий (Privilege Escalation) в Linux.
Взгляд архитектора: Лучшая защита — думать как атакующий.
#security #pentest #cybersecurity #linux #windows #гайд
Metasploit и Nmap — это классика.
Архитектор безопасности должен знать, чем дышит атакующий.
Вот 5 тулзов, которые стоит добавить в свой арсенал:
Snaffler (https://github.com/SnaffCon/Snaffler) "Пылесос" для конфиденциальных файлов (web.config, скрипты с паролями) в Windows-доменах.
Infoga (https://github.com/m4ll0k/Infoga) Мощный OSINT-инструмент для сбора информации о почтовых адресах.
Sn1per (https://github.com/1N3/Sn1per) Автоматизированный "комбайн" для разведки и сканирования на уязвимости.
Sliver (https://github.com/BishopFox/sliver) Open-source C2-фреймворк. Гибкая и опасная альтернатива Cobalt Strike.
linPEAS (https://github.com/peass-ng/PEASS-ng/tree/master/linPEAS) Лучший скрипт для поиска путей повышения привилегий (Privilege Escalation) в Linux.
Взгляд архитектора: Лучшая защита — думать как атакующий.
#security #pentest #cybersecurity #linux #windows #гайд
👍2
Критическая RCE-уязвимость в WSUS. Эксплоит уже в сети.
Напарники, все дела на паузу.
Microsoft выпустила внеплановые (out-of-band) обновления для устранения критической уязвимости в Windows Server Update Services (WSUS).
Уязвимость: CVE-2025-59287
Статус: Критический (RCE).
Угроза: Публично доступный PoC-эксплоит.
Что происходит: Удалённый, неаутентифицированный злоумышленник может выполнить произвольный код с правами SYSTEM на вашем WSUS-сервере. Уязвимость "червеобразная" (wormable), то есть может распространяться по сети самостоятельно.
Кого касается: Только тех серверов, где активирована роль WSUS Server Role. Если роли нет — вы в безопасности.
Что делать НЕМЕДЛЕННО: Установить соответствующие кумулятивные обновления. Они уже доступны. Требуется перезагрузка.
Windows Server 2025: KB5070881
Windows Server 23H2: KB5070879
Windows Server 2022: KB5070884
Windows Server 2019: KB5070883
Windows Server 2016: KB5070882
Windows Server 2012 R2: KB5070886
Windows Server 2012: KB5070887
Временные меры (если не можете обновиться ПРЯМО СЕЙЧАС):
Заблокируйте порты 8530 и 8531 на файрволе для всех, кроме доверенных хостов.
Или отключите роль WSUS (крайняя мера). В обоих случаях клиенты перестанут получать обновления.
Взгляд архитектора: Это кошмарный сценарий. Компрометация WSUS — это атака на цепочку поставок (supply chain attack) внутри вашего периметра.
Злоумышленник, получивший SYSTEM на WSUS, может:
Не обновлять ваши ПК, оставляя их уязвимыми.
Хуже: Подсовывать свои "обновления" (вредоносные) всем клиентам в домене.
Этот инцидент — повод для архитектурного аудита: почему к портам управления (8530/8531) вашего WSUS-сервера есть доступ с рабочих станций, а не только из выделенной подсети управления? Сегментация сети — это не опция, а необходимость.
#windows #security #wsus #cybersecurity #musthave #гайд #architect
Напарники, все дела на паузу.
Microsoft выпустила внеплановые (out-of-band) обновления для устранения критической уязвимости в Windows Server Update Services (WSUS).
Уязвимость: CVE-2025-59287
Статус: Критический (RCE).
Угроза: Публично доступный PoC-эксплоит.
Что происходит: Удалённый, неаутентифицированный злоумышленник может выполнить произвольный код с правами SYSTEM на вашем WSUS-сервере. Уязвимость "червеобразная" (wormable), то есть может распространяться по сети самостоятельно.
Кого касается: Только тех серверов, где активирована роль WSUS Server Role. Если роли нет — вы в безопасности.
Что делать НЕМЕДЛЕННО: Установить соответствующие кумулятивные обновления. Они уже доступны. Требуется перезагрузка.
Windows Server 2025: KB5070881
Windows Server 23H2: KB5070879
Windows Server 2022: KB5070884
Windows Server 2019: KB5070883
Windows Server 2016: KB5070882
Windows Server 2012 R2: KB5070886
Windows Server 2012: KB5070887
Временные меры (если не можете обновиться ПРЯМО СЕЙЧАС):
Заблокируйте порты 8530 и 8531 на файрволе для всех, кроме доверенных хостов.
Или отключите роль WSUS (крайняя мера). В обоих случаях клиенты перестанут получать обновления.
Взгляд архитектора: Это кошмарный сценарий. Компрометация WSUS — это атака на цепочку поставок (supply chain attack) внутри вашего периметра.
Злоумышленник, получивший SYSTEM на WSUS, может:
Не обновлять ваши ПК, оставляя их уязвимыми.
Хуже: Подсовывать свои "обновления" (вредоносные) всем клиентам в домене.
Этот инцидент — повод для архитектурного аудита: почему к портам управления (8530/8531) вашего WSUS-сервера есть доступ с рабочих станций, а не только из выделенной подсети управления? Сегментация сети — это не опция, а необходимость.
#windows #security #wsus #cybersecurity #musthave #гайд #architect
🔥2🤯2
Путь Архитектора: 3 ступени от "Исполнителя" к "Стратегу"
Воскресенье — идеальное время, чтобы посмотреть на свою карьеру "сверху". Что отличает "Админа" от "Архитектора"? Это не знание 1000 команд, а способ мышления.
Уровень 1: Исполнитель (Реактивное мышление)
Что делает: Решает проблемы по мере их поступления. "Упал сервер — я его поднял". "Закончилось место — я почистил".
Инструменты: rm, reboot, RDP.
Цель: Закрыть тикет.
Уровень 2: Инженер (Проактивное мышление)
Что делает: Автоматизирует рутину, чтобы проблемы не повторялись. "Написал PowerShell-скрипт для чистки логов". "Настроил LAPS, чтобы пароли были уникальны".
Инструменты: PowerShell, Bash, Ansible, Zabbix.
Цель: Снизить количество тикетов и повысить стабильность.
Уровень 3: Архитектор (Стратегическое мышление)
Что делает: Проектирует системы так, чтобы класс проблем не мог возникнуть в принципе. Он не просто автоматизирует, он задает вопросы "Зачем?".
Пример: Не "как нам бэкапить эту БД?", а "Почему эта БД — единая точка отказа? Не нужна ли нам Geo-репликация, и как это решение повлияет на бизнес-SLA?".
Инструменты: Принципы (IaC, Zero Trust, 12-Factor App), диаграммы, экономическое обоснование (TCO).
Цель: Обеспечить достижение бизнес-целей (рост, отказоустойчивость, безопасность) с помощью технологий.
Взгляд архитектора: "Admin Future" создан, чтобы помочь вам пройти путь с 1-го уровня на 3-й. Мы верим, что каждый админ может стать архитектором, если начнет задавать правильные вопросы.
#architect #career #devops #sre #стратегия #гайд
Воскресенье — идеальное время, чтобы посмотреть на свою карьеру "сверху". Что отличает "Админа" от "Архитектора"? Это не знание 1000 команд, а способ мышления.
Уровень 1: Исполнитель (Реактивное мышление)
Что делает: Решает проблемы по мере их поступления. "Упал сервер — я его поднял". "Закончилось место — я почистил".
Инструменты: rm, reboot, RDP.
Цель: Закрыть тикет.
Уровень 2: Инженер (Проактивное мышление)
Что делает: Автоматизирует рутину, чтобы проблемы не повторялись. "Написал PowerShell-скрипт для чистки логов". "Настроил LAPS, чтобы пароли были уникальны".
Инструменты: PowerShell, Bash, Ansible, Zabbix.
Цель: Снизить количество тикетов и повысить стабильность.
Уровень 3: Архитектор (Стратегическое мышление)
Что делает: Проектирует системы так, чтобы класс проблем не мог возникнуть в принципе. Он не просто автоматизирует, он задает вопросы "Зачем?".
Пример: Не "как нам бэкапить эту БД?", а "Почему эта БД — единая точка отказа? Не нужна ли нам Geo-репликация, и как это решение повлияет на бизнес-SLA?".
Инструменты: Принципы (IaC, Zero Trust, 12-Factor App), диаграммы, экономическое обоснование (TCO).
Цель: Обеспечить достижение бизнес-целей (рост, отказоустойчивость, безопасность) с помощью технологий.
Взгляд архитектора: "Admin Future" создан, чтобы помочь вам пройти путь с 1-го уровня на 3-й. Мы верим, что каждый админ может стать архитектором, если начнет задавать правильные вопросы.
#architect #career #devops #sre #стратегия #гайд
❤2
nmap: Сканер, который должен быть у каждого. Аудит сети глазами админа
Для многих nmap — это "хакерская" утилита. Для инженера — это скальпель для аудита сети. Он нужен, чтобы ответить на вопрос: "Что на самом деле происходит в моей сети?". Это касается и Windows, и Linux админов.
3 команды nmap, которые должен знать каждый:
1. Инвентаризация: "Кто живёт в моей подсети?" Выдайте новый IP-адрес вручную? А вы уверены, что он свободен? nmap найдет все "живые" хосты быстрее, чем ping.
Bash
Идеально, чтобы найти "левые" устройства, подключившиеся к сети.
2. Аудит портов: "Какие службы у меня открыты?" Вы "уверены", что отключили Telnet на всех серверах? Давайте проверим.
Bash
Вывод 23/tcp open telnet — это ваш critical alert.
3. Проверка файрвола: "Мои правила работают?" Это уровень архитектора. Как понять, файрвол дропает (DROP) пакет или отклоняет (REJECT)?
Bash
filtered: Файрвол "тихо" дропает пакет.
unfiltered: Порт доступен, но закрыт.
closed: Пакет дошел, но порт закрыт (вы получили RST в ответ).
Взгляд архитектора: nmap — это инструмент валидации. Вы не "надеетесь", что ваши GPO и iptables работают. Вы проверяете это, глядя на систему "снаружи", глазами злоумышленника.
#linux #windows #networking #security #nmap #audit #команды #гайд
Для многих nmap — это "хакерская" утилита. Для инженера — это скальпель для аудита сети. Он нужен, чтобы ответить на вопрос: "Что на самом деле происходит в моей сети?". Это касается и Windows, и Linux админов.
3 команды nmap, которые должен знать каждый:
1. Инвентаризация: "Кто живёт в моей подсети?" Выдайте новый IP-адрес вручную? А вы уверены, что он свободен? nmap найдет все "живые" хосты быстрее, чем ping.
Bash
# Быстрый "пинг-скан" всей подсети, без сканирования портов
nmap -sn 192.168.1.0/24
Идеально, чтобы найти "левые" устройства, подключившиеся к сети.
2. Аудит портов: "Какие службы у меня открыты?" Вы "уверены", что отключили Telnet на всех серверах? Давайте проверим.
Bash
# Сканируем ТОП-1000 портов на сервере и пытаемся определить версию службы
nmap -sV 192.168.1.10
Вывод 23/tcp open telnet — это ваш critical alert.
3. Проверка файрвола: "Мои правила работают?" Это уровень архитектора. Как понять, файрвол дропает (DROP) пакет или отклоняет (REJECT)?
Bash
# ACK-скан. Помогает понять логику работы файрвола
sudo nmap -sA -p 22,80,443 192.168.1.10
filtered: Файрвол "тихо" дропает пакет.
unfiltered: Порт доступен, но закрыт.
closed: Пакет дошел, но порт закрыт (вы получили RST в ответ).
Взгляд архитектора: nmap — это инструмент валидации. Вы не "надеетесь", что ваши GPO и iptables работают. Вы проверяете это, глядя на систему "снаружи", глазами злоумышленника.
#linux #windows #networking #security #nmap #audit #команды #гайд
👍3
Windows: "Кладбище" GPO. Наводим порядок в Active Directory
Судя по нашему опросу, Windows и AD — ядро нашей аудитории. И вот одна из самых частых "болей": со временем AD превращается в свалку из пустых, отключенных и не прилинкованных групповых политик (GPO).
Это замедляет вход в систему, усложняет аудит и создает хаос.
Этот PowerShell-скрипт — ваша "метла". Он найдет весь этот мусор за вас.
Что делает скрипт:
Получает все GPO в домене.
Находит пустые GPO (в которых нет настроек).
Находит отключенные GPO (которые не применяются).
Находит "сирот" (GPO, которые не прилинкованы ни к одному OU).
Код скрипта:
PowerShell
Взгляд архитектора: Гигиена Active Directory — это фундамент безопасности и производительности. Архитектор не допускает "цифрового мусора". Этот скрипт — ваш первый шаг к автоматизированному аудиту GPO, который должен выполняться по расписанию, а не когда "всё упало".
#windows #powershell #gpo #activedirectory #audit #скрипты #security
Судя по нашему опросу, Windows и AD — ядро нашей аудитории. И вот одна из самых частых "болей": со временем AD превращается в свалку из пустых, отключенных и не прилинкованных групповых политик (GPO).
Это замедляет вход в систему, усложняет аудит и создает хаос.
Этот PowerShell-скрипт — ваша "метла". Он найдет весь этот мусор за вас.
Что делает скрипт:
Получает все GPO в домене.
Находит пустые GPO (в которых нет настроек).
Находит отключенные GPO (которые не применяются).
Находит "сирот" (GPO, которые не прилинкованы ни к одному OU).
Код скрипта:
PowerShell
Import-Module GroupPolicy
Import-Module ActiveDirectory
Write-Host "--- Начинаю аудит GPO в домене... ---" -ForegroundColor Cyan
# 1. Получаем все GPO
$AllGpos = Get-GPO -All
# 2. Ищем пустые GPO (версии User и Computer = 0)
$EmptyGpos = $AllGpos | Where-Object { $_.User.Version -eq 0 -and $_.Computer.Version -eq 0 }
if ($EmptyGpos) {
Write-Host "`n[!!!] НАЙДЕНЫ ПУСТЫЕ GPO (Empty):" -ForegroundColor Yellow
$EmptyGpos | Select-Object DisplayName, Owner
}
# 3. Ищем отключенные GPO
$DisabledGpos = $AllGpos | Where-Object { $_.GpoStatus -ne 'AllSettingsEnabled' }
if ($DisabledGpos) {
Write-Host "`n[!!!] НАЙДЕНЫ ОТКЛЮЧЕННЫЕ GPO (Disabled):" -ForegroundColor Yellow
$DisabledGpos | Select-Object DisplayName, GpoStatus
}
# 4. Ищем GPO без линков (сироты)
$LinkedGpoGuids = (Get-ADOrganizationalUnit -Filter * | Get-GPLink -ErrorAction SilentlyContinue).GpoId
$LinkedGpoGuids += (Get-ADDomain | Get-GPLink -ErrorAction SilentlyContinue).GpoId
$LinkedGpoGuids += (Get-ADSite | Get-GPLink -ErrorAction SilentlyContinue).GpoId
$UnlinkedGpos = $AllGpos | Where-Object { $_.Id -notin $LinkedGpoGuids }
if ($UnlinkedGpos) {
Write-Host "`n[!!!] НАЙДЕНЫ НЕ ПРИЛИНКОВАННЫЕ GPO (Unlinked):" -ForegroundColor Yellow
$UnlinkedGpos | Select-Object DisplayName
}
Write-Host "`n--- Аудит завершен ---"
Взгляд архитектора: Гигиена Active Directory — это фундамент безопасности и производительности. Архитектор не допускает "цифрового мусора". Этот скрипт — ваш первый шаг к автоматизированному аудиту GPO, который должен выполняться по расписанию, а не когда "всё упало".
#windows #powershell #gpo #activedirectory #audit #скрипты #security
👍3🔥2
AD-Безопасность: "У вас zero-day до Domain Admin". Смотрим на свою сеть глазами хакера
Вы думаете, что ваша Active Directory защищена. Вы уверены, что у "Helpdesk" нет прав на контроллере домена.
Злоумышленник так не думает. Он не гадает. Он строит граф атаки.
BloodHound — это не просто "еще один сканер". Это самый мощный и страшный инструмент для аудита AD. Он использует теорию графов, чтобы найти кратчайший путь к правам Domain Admin от любого пользователя в сети.
Как это работает (и почему это страшно):
1. Сбор данных (SharpHound): На целевой машине запускается сборщик, который собирает метаданные: "Кто в какой группе?", "Кто где залогинен?", "Кто имеет права локального админа на каком сервере?".
2. Визуализация (BloodHound GUI): Вы загружаете эти данные и видите... всё.
Типичный путь атаки, который находит BloodHound:
(например)
Ваш Helpdesk-User (низкие права)...
...имеет права RDP на SRV-PRINT...
...на SRV-PRINT сейчас активна сессия SQL-Admin...
...SQL-Admin является локальным админом на WEB-SRV01...
...на WEB-SRV01 в планировщике висит скрипт, который запускается от Domain-Admin.
БИНГО. Путь: Helpdesk -> SRV-PRINT -> SQL-Admin -> WEB-SRV01 -> Domain Admin.
Злоумышленнику остается только пройти по этому пути, собирая учетные данные (Pass-the-Hash, Kerberoasting).
Взгляд архитектора: Вы не можете защитить то, что вы не видите. Архитектор не "надеется", что его модель прав доступа "чистая". Он верифицирует её.
Скачайте BloodHound (https://github.com/BloodHoundAD/BloodHound).
Запустите сборщик SharpHound.
Загрузите данные и найдите свой "кратчайший путь" к Domain Admin.
Это лучшее, что вы можете сделать для безопасности своего AD на этой неделе.
#security #windows #activedirectory #bloodhound #cybersecurity #pentest #architect
Вы думаете, что ваша Active Directory защищена. Вы уверены, что у "Helpdesk" нет прав на контроллере домена.
Злоумышленник так не думает. Он не гадает. Он строит граф атаки.
BloodHound — это не просто "еще один сканер". Это самый мощный и страшный инструмент для аудита AD. Он использует теорию графов, чтобы найти кратчайший путь к правам Domain Admin от любого пользователя в сети.
Как это работает (и почему это страшно):
1. Сбор данных (SharpHound): На целевой машине запускается сборщик, который собирает метаданные: "Кто в какой группе?", "Кто где залогинен?", "Кто имеет права локального админа на каком сервере?".
2. Визуализация (BloodHound GUI): Вы загружаете эти данные и видите... всё.
Типичный путь атаки, который находит BloodHound:
(например)
Ваш Helpdesk-User (низкие права)...
...имеет права RDP на SRV-PRINT...
...на SRV-PRINT сейчас активна сессия SQL-Admin...
...SQL-Admin является локальным админом на WEB-SRV01...
...на WEB-SRV01 в планировщике висит скрипт, который запускается от Domain-Admin.
БИНГО. Путь: Helpdesk -> SRV-PRINT -> SQL-Admin -> WEB-SRV01 -> Domain Admin.
Злоумышленнику остается только пройти по этому пути, собирая учетные данные (Pass-the-Hash, Kerberoasting).
Взгляд архитектора: Вы не можете защитить то, что вы не видите. Архитектор не "надеется", что его модель прав доступа "чистая". Он верифицирует её.
Скачайте BloodHound (https://github.com/BloodHoundAD/BloodHound).
Запустите сборщик SharpHound.
Загрузите данные и найдите свой "кратчайший путь" к Domain Admin.
Это лучшее, что вы можете сделать для безопасности своего AD на этой неделе.
#security #windows #activedirectory #bloodhound #cybersecurity #pentest #architect
Linux: Больше чем 755. Разбираем setuid, sgid и sticky bit
Каждый админ знает chmod 755. Но настоящий контроль над системой начинается там, где заканчиваются rwx — на специальных битах. Непонимание их работы — прямая дорога к уязвимостям.
1. setuid (SUID): Запуск от имени владельца
Что это: chmod 4755 или chmod u+s
Как работает: При запуске исполняемого файла, он выполняется не от имени пользователя, который его запустил, а от имени владельца файла (обычно root).
Классический пример: passwd. Обычный пользователь запускает passwd и меняет свой пароль, хотя сам файл /etc/shadow ему недоступен. Это SUID-бит дает passwd права root на время выполнения.
Опасность: chmod u+s /bin/bash. Это = мгновенный root-shell для любого.
2. sgid (SGID): Наследование группы
Что это: chmod 2755 или chmod g+s
Как работает (на директории): Самый частый кейс! Все новые файлы и папки, созданные внутри этой директории, автоматически наследуют группу директории, а не пользователя.
Пример: У вас есть /var/www/html с группой www-data. Вы ставите chmod g+s /var/www/html, и теперь любой файл, который туда кидает разработчик, будет принадлежать www-data.
3. sticky bit (Sticky): Только владелец может удалить
Что это: chmod 1777 или chmod +t
Как работает: Применяется к папкам с правами 777. Даже если у всех есть права на запись, удалить файл может только владелец этого файла (или root).
Классический пример: /tmp и /var/tmp.
Взгляд архитектора: Архитектор использует sgid для проектирования безопасных общих папок, избегая chmod 777. И он проактивно ищет SUID-файлы с помощью find / -perm -u=s -type f, потому что знает — каждый такой файл является потенциальной точкой повышения привилегий.
#linux #security #chmod #sysadmin #гайд #команды
Каждый админ знает chmod 755. Но настоящий контроль над системой начинается там, где заканчиваются rwx — на специальных битах. Непонимание их работы — прямая дорога к уязвимостям.
1. setuid (SUID): Запуск от имени владельца
Что это: chmod 4755 или chmod u+s
Как работает: При запуске исполняемого файла, он выполняется не от имени пользователя, который его запустил, а от имени владельца файла (обычно root).
Классический пример: passwd. Обычный пользователь запускает passwd и меняет свой пароль, хотя сам файл /etc/shadow ему недоступен. Это SUID-бит дает passwd права root на время выполнения.
Опасность: chmod u+s /bin/bash. Это = мгновенный root-shell для любого.
2. sgid (SGID): Наследование группы
Что это: chmod 2755 или chmod g+s
Как работает (на директории): Самый частый кейс! Все новые файлы и папки, созданные внутри этой директории, автоматически наследуют группу директории, а не пользователя.
Пример: У вас есть /var/www/html с группой www-data. Вы ставите chmod g+s /var/www/html, и теперь любой файл, который туда кидает разработчик, будет принадлежать www-data.
3. sticky bit (Sticky): Только владелец может удалить
Что это: chmod 1777 или chmod +t
Как работает: Применяется к папкам с правами 777. Даже если у всех есть права на запись, удалить файл может только владелец этого файла (или root).
Классический пример: /tmp и /var/tmp.
Взгляд архитектора: Архитектор использует sgid для проектирования безопасных общих папок, избегая chmod 777. И он проактивно ищет SUID-файлы с помощью find / -perm -u=s -type f, потому что знает — каждый такой файл является потенциальной точкой повышения привилегий.
#linux #security #chmod #sysadmin #гайд #команды
👍4
Чек-лист: 10-минутный аудит "пульса" инфраструктуры
Понедельник. Прежде чем нырнуть в поток тикетов, потратьте 10 минут на этот быстрый чек-лист. Он поможет поймать 90% ночных и "выходных" проблем до того, как о них сообщат пользователи.
□ Проверить Бэкапы (Главное!)
Win: Get-WBJob -Previous 1 -> JobState должен быть Completed.
Lin: Проверить лог вашего rsync/cron скрипта.
□ Проверить Место на Диске
Lin: df -hT | grep -E '(/|/var)$' -> Use% не > 90%.
Win: Get-PSDrive C, D | ? { $_.Free -lt 20GB } -> должен быть пустой вывод.
□ Найти "Красные" Ошибки в Логах
Lin: journalctl -p err -b (ошибки с последней загрузки).
Win: Get-WinEvent -LogName System -Level 2 -MaxEvents 50 --Since (Get-Date).AddDays(-1)
□ Проверить Неудачные Входы
Lin: sudo lastb (попытки брутфорса).
Win: Get-WinEvent -Filter @{LogName='Security'; ID=4625} -MaxEvents 50
□ Проверить Статус Репликации AD
Win: repadmin /replsummary (искать fails и errors).
□ Проверить Uptime
uptime / (Get-CimInstance Win32_OperatingSystem).LastBootUpTime
Была ли незапланированная перезагрузка ночью?
Взгляд архитектора: Этот чек-лист — идеальное техническое задание (ТЗ) для вашего собственного "утреннего" скрипта. Архитектор не делает это вручную. Он автоматизирует этот чек-лист и настраивает отправку отчета ему в Telegram/почту к 9:00 утра.
#чеклисты #security #audit #windows #linux #sysadmin #гайд
Понедельник. Прежде чем нырнуть в поток тикетов, потратьте 10 минут на этот быстрый чек-лист. Он поможет поймать 90% ночных и "выходных" проблем до того, как о них сообщат пользователи.
□ Проверить Бэкапы (Главное!)
Win: Get-WBJob -Previous 1 -> JobState должен быть Completed.
Lin: Проверить лог вашего rsync/cron скрипта.
□ Проверить Место на Диске
Lin: df -hT | grep -E '(/|/var)$' -> Use% не > 90%.
Win: Get-PSDrive C, D | ? { $_.Free -lt 20GB } -> должен быть пустой вывод.
□ Найти "Красные" Ошибки в Логах
Lin: journalctl -p err -b (ошибки с последней загрузки).
Win: Get-WinEvent -LogName System -Level 2 -MaxEvents 50 --Since (Get-Date).AddDays(-1)
□ Проверить Неудачные Входы
Lin: sudo lastb (попытки брутфорса).
Win: Get-WinEvent -Filter @{LogName='Security'; ID=4625} -MaxEvents 50
□ Проверить Статус Репликации AD
Win: repadmin /replsummary (искать fails и errors).
□ Проверить Uptime
uptime / (Get-CimInstance Win32_OperatingSystem).LastBootUpTime
Была ли незапланированная перезагрузка ночью?
Взгляд архитектора: Этот чек-лист — идеальное техническое задание (ТЗ) для вашего собственного "утреннего" скрипта. Архитектор не делает это вручную. Он автоматизирует этот чек-лист и настраивает отправку отчета ему в Telegram/почту к 9:00 утра.
#чеклисты #security #audit #windows #linux #sysadmin #гайд
👍2
Windows: Кто "главный" в домене? Разбираем FSMO-роли
Active Directory — это не монархия, а "феодальная" система. Все контроллеры домена (DC) равны, но 5 из них — "равнее". Это владельцы FSMO-ролей (Flexible Single Master Operations) — уникальных задач, которые может выполнять только один DC во всем лесу.
Если сервер с FSMO-ролью "упал" и не вернулся — ваш домен ждут большие проблемы (нельзя создавать пользователей, менять схемы, и т.д.). Каждый Windows-админ обязан знать, где "лежат" эти роли.
Всего 5 ролей:
На уровне леса (уникальны для всего леса):
1. Schema Master: Отвечает за изменение схемы AD (добавление новых атрибутов).
2. Domain Naming Master: Отвечает за добавление/удаление доменов в лесу.
На уровне домена (уникальны для каждого домена): 3. PDC Emulator: "Эмулятор" старого PDC. Главный по синхронизации времени, блокировкам паролей, и "босс" для GPO. Самая нагруженная роль. 4. RID Master: Раздает "пачки" уникальных ID (RID) другим контроллерам, чтобы они могли создавать пользователей и группы. 5. Infrastructure Master: Отвечает за синхронизацию объектов между доменами.
Как узнать, где лежат роли (2 команды):
PowerShell
Взгляд архитектора: Архитектор не просто "знает", где роли. Он планирует их размещение.
Правило 1: Schema Master и Domain Naming Master должны быть на одном DC (желательно, Global Catalog).
Правило 2: PDC Emulator и RID Master — почти всегда на одном, самом мощном DC.
Правило 3: Infrastructure Master не должен быть на Global Catalog (если у вас не один домен).
Правило 4: Все FSMO-роли должны быть исключены из агрессивных политик бэкапа/восстановления (чтобы не сломать USN Rollback).
#windows #activedirectory #fsmo #sysadmin #гайд #architect
Active Directory — это не монархия, а "феодальная" система. Все контроллеры домена (DC) равны, но 5 из них — "равнее". Это владельцы FSMO-ролей (Flexible Single Master Operations) — уникальных задач, которые может выполнять только один DC во всем лесу.
Если сервер с FSMO-ролью "упал" и не вернулся — ваш домен ждут большие проблемы (нельзя создавать пользователей, менять схемы, и т.д.). Каждый Windows-админ обязан знать, где "лежат" эти роли.
Всего 5 ролей:
На уровне леса (уникальны для всего леса):
1. Schema Master: Отвечает за изменение схемы AD (добавление новых атрибутов).
2. Domain Naming Master: Отвечает за добавление/удаление доменов в лесу.
На уровне домена (уникальны для каждого домена): 3. PDC Emulator: "Эмулятор" старого PDC. Главный по синхронизации времени, блокировкам паролей, и "босс" для GPO. Самая нагруженная роль. 4. RID Master: Раздает "пачки" уникальных ID (RID) другим контроллерам, чтобы они могли создавать пользователей и группы. 5. Infrastructure Master: Отвечает за синхронизацию объектов между доменами.
Как узнать, где лежат роли (2 команды):
PowerShell
# Показать роли уровня ДОМЕНА (PDC, RID, Infrastructure)
netdom query fsmo
# Показать роли уровня ЛЕСА (Schema, Domain Naming)
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Взгляд архитектора: Архитектор не просто "знает", где роли. Он планирует их размещение.
Правило 1: Schema Master и Domain Naming Master должны быть на одном DC (желательно, Global Catalog).
Правило 2: PDC Emulator и RID Master — почти всегда на одном, самом мощном DC.
Правило 3: Infrastructure Master не должен быть на Global Catalog (если у вас не один домен).
Правило 4: Все FSMO-роли должны быть исключены из агрессивных политик бэкапа/восстановления (чтобы не сломать USN Rollback).
#windows #activedirectory #fsmo #sysadmin #гайд #architect
👍2
Linux: "Служба" своими руками. Пишем systemd unit-файл
Хватит запускать важные скрипты "руками" через nohup ./script.sh &. Путь инженера — превратить любой скрипт или приложение в управляемую службу. В современном Linux это делается через systemd unit-файлы.
Задача: Превратим простой Python веб-сервер в службу my-app.service.
1. Ваш скрипт (для примера /opt/my-app/app.py):
Python
2. Создаем unit-файл: sudo nano /etc/systemd/system/my-app.service
Ini, TOML
3. Запускаем и "включаем" службу:
Bash
Взгляд архитектора: Вы не просто "запустили скрипт". Вы декларативно описали его жизненный цикл. Теперь ОС сама следит за ним, перезапускает при сбоях (Restart=on-failure), запускает в нужном порядке (After=network.target) и от имени нужного пользователя. Это первый шаг к построению отказоустойчивых (self-healing) систем.
#linux #systemd #python #automation #devops #гайд #скрипты
Хватит запускать важные скрипты "руками" через nohup ./script.sh &. Путь инженера — превратить любой скрипт или приложение в управляемую службу. В современном Linux это делается через systemd unit-файлы.
Задача: Превратим простой Python веб-сервер в службу my-app.service.
1. Ваш скрипт (для примера /opt/my-app/app.py):
Python
#!/usr/bin/env python3
# Простой веб-сервер
from http.server import HTTPServer, BaseHTTPRequestHandler
class SimpleHandler(BaseHTTPRequestHandler):
def do_GET(self):
self.send_response(200)
self.end_headers()
self.wfile.write(b'Hello from Admin Future!')
httpd = HTTPServer(('0.0.0.0', 8000), SimpleHandler)
httpd.serve_forever()
2. Создаем unit-файл: sudo nano /etc/systemd/system/my-app.service
Ini, TOML
[Unit]
Description=My Simple Python Web App
After=network.target
[Service]
Type=simple
# Запускаем от имени 'www-data' для безопасности
User=www-data
Group=www-data
# Указываем путь к нашему скрипту
ExecStart=/usr/bin/python3 /opt/my-app/app.py
# Автоматический перезапуск в случае сбоя
Restart=on-failure
RestartSec=5
[Install]
WantedBy=multi-user.target
3. Запускаем и "включаем" службу:
Bash
# Перечитать конфиги, чтобы systemd увидел новый файл
sudo systemctl daemon-reload
# Запускаем службу
sudo systemctl start my-app
# Проверяем статус
sudo systemctl status my-app
# Включаем автозапуск при загрузке ОС
sudo systemctl enable my-app
Взгляд архитектора: Вы не просто "запустили скрипт". Вы декларативно описали его жизненный цикл. Теперь ОС сама следит за ним, перезапускает при сбоях (Restart=on-failure), запускает в нужном порядке (After=network.target) и от имени нужного пользователя. Это первый шаг к построению отказоустойчивых (self-healing) систем.
#linux #systemd #python #automation #devops #гайд #скрипты
👍4
Скрипт-спасатель: Быстрый поиск "пожирателей" места в Linux
Проблема: На сервере закончилось место. «Админ» запускает du -sh / и уходит пить кофе на 40 минут. «Архитектор» запускает скрипт, который за 30 секунд находит 10 самых больших файлов, исключая системные пути.
Решение: Вот быстрый bash-скрипт, который использует find вместо медленного du. Он ищет только файлы размером более 100 МБ и сортирует их.
Bash
Как использовать:
Сохраните как find-big-files.sh
chmod +x find-big-files.sh
sudo ./find-big-files.sh
#АрхитекторскийЛайфхак: Добавьте в -printf формат %A@ (время последнего доступа) и отсортируйте, чтобы найти не просто большие, а большие и старые файлы, которые никто не трогал год.
#linux #bash #automation #script #sysadmin
Проблема: На сервере закончилось место. «Админ» запускает du -sh / и уходит пить кофе на 40 минут. «Архитектор» запускает скрипт, который за 30 секунд находит 10 самых больших файлов, исключая системные пути.
Решение: Вот быстрый bash-скрипт, который использует find вместо медленного du. Он ищет только файлы размером более 100 МБ и сортирует их.
Bash
#!/bin/bash
#
# find-big-files.sh
# Быстрый поиск больших файлов, исключая /proc, /sys, /dev
#
echo "Ищу 20 самых больших файлов (>100M) в системе..."
echo "Это может занять минуту..."
# -path: исключаем системные ФС, которые могут тормозить поиск
# -type f: ищем только файлы
# -size +100M: файлы размером строго больше 100 Мегабайт
# -printf: кастомный формат вывода (размер в МБ, путь)
# -sort -nr: сортируем по первому полю (размер) в числовом (-n) и обратном (-r) порядке
# -head -n 20: берем первые 20 строк
find / \
-path "/proc" -prune -o \
-path "/sys" -prune -o \
-path "/dev" -prune -o \
-type f \
-size +100M \
-printf "%M %k M\t%p\n" | sort -nr | head -n 20
echo "Поиск завершен."
Как использовать:
Сохраните как find-big-files.sh
chmod +x find-big-files.sh
sudo ./find-big-files.sh
#АрхитекторскийЛайфхак: Добавьте в -printf формат %A@ (время последнего доступа) и отсортируйте, чтобы найти не просто большие, а большие и старые файлы, которые никто не трогал год.
#linux #bash #automation #script #sysadmin
Аудит локальных админов на 1000 машинах (PowerShell)
Проблема: Вы уверены, что знаете, кто имеет права локального администратора на рабочих станциях? Вася из бухгалтерии, добавленный "на 5 минут" 2 года назад, — это огромная дыра в безопасности.
Решение: Этот PowerShell-скрипт берет список компьютеров (из файла или AD) и опрашивает их, вытаскивая состав группы "Администраторы".
PowerShell
#АрхитекторскийЛайфхак: Запускайте этот скрипт по расписанию и используйте Compare-Object, чтобы сравнивать новый отчет со вчерашним. Так вы будете получать мгновенные алерты об изменениях в привилегированных группах.
#powershell #activedirectory #security #automation #windows
Проблема: Вы уверены, что знаете, кто имеет права локального администратора на рабочих станциях? Вася из бухгалтерии, добавленный "на 5 минут" 2 года назад, — это огромная дыра в безопасности.
Решение: Этот PowerShell-скрипт берет список компьютеров (из файла или AD) и опрашивает их, вытаскивая состав группы "Администраторы".
PowerShell
#
# Get-RemoteLocalAdmins.ps1
# Аудит группы "Администраторы" на удаленных машинах
#
# --- НАСТРОЙКА ---
# 1. Либо получаем список компов из файла:
# $computers = Get-Content -Path "C:\temp\computers.txt"
# 2. Либо (лучше!) получаем из Active Directory (например, все W10 машины)
$computers = Get-ADComputer -Filter 'OperatingSystem -like "*Windows 10*"' | Select-Object -ExpandProperty Name
# --- КОНЕЦ НАСТРОЙКИ ---
$GroupName = "Администраторы" # Или "Administrators" для англ. версий
$Results = @()
Write-Host "Начинаю аудит $(computers.Count) машин..."
foreach ($computer in $computers) {
if (Test-Connection -ComputerName $computer -Count 1 -Quiet) {
Write-Host "Проверяю: $computer" -ForegroundColor Cyan
try {
# Используем CIM (современная замена WMI)
# Сначала получаем саму группу
$group = Get-CimInstance -ClassName Win32_Group -Filter "Name='$GroupName' AND LocalAccount='True'" -ComputerName $computer -ErrorAction Stop
# Затем получаем ее членов
$members = Get-CimInstance -ClassName Win32_GroupUser -Filter "GroupComponent='$($group.Path)'" -ComputerName $computer -ErrorAction Stop
foreach ($member in $members) {
$part = $member.PartComponent.Replace('"',"") # Очищаем путь
$domain = $part.Split("=")[1].Split(",")[0]
$name = $part.Split("=")[2].Split(",")[0]
$Results += [PSCustomObject]@{
Computer = $computer
Member = "$domain\$name"
}
}
} catch {
Write-Warning "Не удалось подключиться к $computer (WMI/CIM): $($_.Exception.Message)"
}
} else {
Write-Warning "Хост $computer не в сети."
}
}
Write-Host "--- РЕЗУЛЬТАТ АУДИТА ---" -ForegroundColor Green
# Группируем для удобного отчета
$Results | Group-Object -Property Member | Sort-Object -Property Count -Descending | Format-Table Name, Count
# Выгружаем полный CSV для анализа в Excel
$Results | Export-Csv -Path "C:\temp\LocalAdmin_Audit.csv" -NoTypeInformation -Encoding UTF8
Write-Host "Полный отчет сохранен в C:\temp\LocalAdmin_Audit.csv"
#АрхитекторскийЛайфхак: Запускайте этот скрипт по расписанию и используйте Compare-Object, чтобы сравнивать новый отчет со вчерашним. Так вы будете получать мгновенные алерты об изменениях в привилегированных группах.
#powershell #activedirectory #security #automation #windows
👍2
AI-ассистент для анализа логов (Концепт + Промпт)
Проблема: В auth.log (Linux) или Security (Windows) валятся тысячи событий. "Админ" ищет глазами Failed password. "Архитектор" просит AI найти аномалии, о которых он даже не подумал.
Решение: Мы не будем писать сложный парсер. Мы используем AI как интеллектуальный grep.
Концепт скрипта (Python/PowerShell):
Берем последние 2000 строк лога (/var/log/auth.log или Get-WinEvent -LogName Security -MaxEvents 2000).
Отправляем этот текст в API (Gemini, ChatGPT, Claude и т.д.).
Используем "архитекторский" промпт.
Промпт для AI (ваш копи-паст для экспериментов):
Plaintext
#АрхитекторскийЛайфхак: Это — будущее администрирования. Мы не тратим время на парсинг, мы делегируем рутинный анализ машине, а сами принимаем решения на основе ее выводов.
#ai #security #logs #automation #ai4admin #devops
Проблема: В auth.log (Linux) или Security (Windows) валятся тысячи событий. "Админ" ищет глазами Failed password. "Архитектор" просит AI найти аномалии, о которых он даже не подумал.
Решение: Мы не будем писать сложный парсер. Мы используем AI как интеллектуальный grep.
Концепт скрипта (Python/PowerShell):
Берем последние 2000 строк лога (/var/log/auth.log или Get-WinEvent -LogName Security -MaxEvents 2000).
Отправляем этот текст в API (Gemini, ChatGPT, Claude и т.д.).
Используем "архитекторский" промпт.
Промпт для AI (ваш копи-паст для экспериментов):
Plaintext
Ты — старший аналитик по кибербезопасности (SOC L3). Твоя задача — проанализировать предоставленный фрагмент лог-файла.
Игнорируй обычный "информационный шум" (например, успешные входы, плановые задачи).
Твоя цель — выявить **аномалии и потенциальные векторы атак**.
Ищи, но не ограничивайся этим:
- Атаки Brute-force (множественные неудачные входы с одного IP или для одного пользователя).
- Горизонтальное перемещение (успешный вход сразу после неудачного с другого хоста).
- Использование нестандартных портов или протоколов.
- Попытки повышения привилегий (su, sudo).
- Любые паттерны, которые выглядят подозрительно для эксперта.
Предоставь краткую сводку (Summary) и список (List) найденных угроз с указанием IP-адресов или имен пользователей. Если угроз нет, напиши: "Аномалий не выявлено".
Вот лог:
[...сюда вставляем 2000 строк вашего лога...]
#АрхитекторскийЛайфхак: Это — будущее администрирования. Мы не тратим время на парсинг, мы делегируем рутинный анализ машине, а сами принимаем решения на основе ее выводов.
#ai #security #logs #automation #ai4admin #devops
Windows: "Почему папка WinSxS весит 20 ГБ?!" Разбираемся с Component Store
Это главный "пожиратель" места на диске C:. И первая мысль админа: "Можно я это удалю?". Короткий ответ: НЕТ!
Архитектурный ответ: Папка WinSxS (Component Store) — это не просто "папка". Это база данных всех компонентов, обновлений и версий DLL вашей Windows. Файлы, которые вы видите в System32, — это в основном жесткие ссылки (hard links) на файлы внутри WinSxS.
Почему она растет? Каждое обновление (KB) добавляет новые версии компонентов, но старые не удаляются сразу. Они нужны для совместимости и возможности отката.
Как её чистить? Забудьте про cleanmgr.exe. Архитектор использует Dism.exe.
Две команды, которые вам нужны:
Анализ (Что можно удалить?): Запустите и посмотрите на строку "Component Store Cleanup Recommended".
PowerShell
Глубокая очистка (Удалить старые версии обновлений): Эта команда удаляет все предыдущие версии компонентов, которые больше не нужны. После нее вы не сможете откатить последние обновления!
PowerShell
Взгляд архитектора: Вы не просто "чистите диск". Вы управляете жизненным циклом компонентов ОС. Настройка StartComponentCleanup как запланированной задачи (Scheduled Task) — это часть проактивной стратегии по поддержанию "здоровья" парка серверов, а не реактивное тушение пожара "на диске C: кончилось место".
#windows #dism #winsxs #sysadmin #гайд
Это главный "пожиратель" места на диске C:. И первая мысль админа: "Можно я это удалю?". Короткий ответ: НЕТ!
Архитектурный ответ: Папка WinSxS (Component Store) — это не просто "папка". Это база данных всех компонентов, обновлений и версий DLL вашей Windows. Файлы, которые вы видите в System32, — это в основном жесткие ссылки (hard links) на файлы внутри WinSxS.
Почему она растет? Каждое обновление (KB) добавляет новые версии компонентов, но старые не удаляются сразу. Они нужны для совместимости и возможности отката.
Как её чистить? Забудьте про cleanmgr.exe. Архитектор использует Dism.exe.
Две команды, которые вам нужны:
Анализ (Что можно удалить?): Запустите и посмотрите на строку "Component Store Cleanup Recommended".
PowerShell
Dism.exe /Online /Cleanup-Image /AnalyzeComponentStore
Глубокая очистка (Удалить старые версии обновлений): Эта команда удаляет все предыдущие версии компонентов, которые больше не нужны. После нее вы не сможете откатить последние обновления!
PowerShell
Dism.exe /Online /Cleanup-Image /StartComponentCleanup /ResetBase
Взгляд архитектора: Вы не просто "чистите диск". Вы управляете жизненным циклом компонентов ОС. Настройка StartComponentCleanup как запланированной задачи (Scheduled Task) — это часть проактивной стратегии по поддержанию "здоровья" парка серверов, а не реактивное тушение пожара "на диске C: кончилось место".
#windows #dism #winsxs #sysadmin #гайд
👍5
Linux: "Закрываем дверь". Автоматическая блокировка Brute-Force атак с fail2ban
Вы открыли SSH-порт (22) в мир. Поздравляем, через 5 минут вас начнут брутфорсить — боты будут подбирать пароль к root 24/7. Смотреть на это в auth.log больно.
fail2ban — это не антивирус. Это автоматизированный парсер логов, который на лету обновляет ваш файрвол (iptables/firewalld).
Как это работает:
Следит: fail2ban в реальном времени читает лог (например, /var/log/auth.log).
Находит: Он видит 3-5-10 неудачных попыток входа с одного IP (вы сами задаете число).
Блокирует: Он немедленно выполняет команду iptables -I INPUT -s <IP_АТАКУЮЩЕГО> -j DROP, блокируя IP на 10 минут, час или навсегда.
План внедрения "на пальцах":
Bash
Что добавить в jail.local:
Ini, TOML
3. Перезапускаем: sudo systemctl restart fail2ban
Взгляд архитектора: Это активная защита. Вы не просто надеетесь на сложный пароль. Вы строите эшелонированную оборону (Defense in Depth). fail2ban — это "сторожевой", который автоматически отсекает 99% низкоуровневого "шума", позволяя вам сосредоточиться на реальных угрозах.
#linux #security #fail2ban #automation #cybersecurity #гайд
Вы открыли SSH-порт (22) в мир. Поздравляем, через 5 минут вас начнут брутфорсить — боты будут подбирать пароль к root 24/7. Смотреть на это в auth.log больно.
fail2ban — это не антивирус. Это автоматизированный парсер логов, который на лету обновляет ваш файрвол (iptables/firewalld).
Как это работает:
Следит: fail2ban в реальном времени читает лог (например, /var/log/auth.log).
Находит: Он видит 3-5-10 неудачных попыток входа с одного IP (вы сами задаете число).
Блокирует: Он немедленно выполняет команду iptables -I INPUT -s <IP_АТАКУЮЩЕГО> -j DROP, блокируя IP на 10 минут, час или навсегда.
План внедрения "на пальцах":
Bash
1. Установка
sudo apt install fail2ban -y
2. Создаем свой конфиг (НИКОГДА не правьте jail.conf)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
Что добавить в jail.local:
Ini, TOML
[DEFAULT]
# Баним на 1 час
bantime = 1h
# 5 неудачных попыток
maxretry = 5
[sshd]
# Включаем защиту для SSH
enabled = true
port = ssh
logpath = %(sshd_log)s
3. Перезапускаем: sudo systemctl restart fail2ban
Взгляд архитектора: Это активная защита. Вы не просто надеетесь на сложный пароль. Вы строите эшелонированную оборону (Defense in Depth). fail2ban — это "сторожевой", который автоматически отсекает 99% низкоуровневого "шума", позволяя вам сосредоточиться на реальных угрозах.
#linux #security #fail2ban #automation #cybersecurity #гайд
👍3
Docker на Windows: Зачем админу Linux-контейнеры? Разбираем WSL2
Для многих Windows-админов Docker — это что-то чуждое из мира Linux. Но Docker Desktop на Windows — это революция для вашего рабочего процесса.
Как это работает (под капотом): Docker Desktop использует WSL2 (Windows Subsystem for Linux). Он запускает настоящее ядро Linux в легкой виртуальной машине, интегрированной с Windows. Когда вы пишете docker run ubuntu, вы запускаете нативный Linux-контейнер внутри этого WSL2.
Зачем это Windows-админу?
Тестирование "как в бою": Вам нужно проверить, как ваш PowerShell-скрипт отработает на CentOS? docker run -it centos:7 pwsh. Вы получите чистую среду за 3 секунды.
Идеальное Dev-окружение: Разработчик принес вам приложение (Python, Node.js)? Не надо ставить 100500 библиотек себе в Windows. docker-compose up — и вы подняли точную копию его окружения у себя.
Доступ к Linux-экосистеме: Нужно быстро поднять Nginx, Redis, PostgreSQL или Gitea (как мы писали)? Вам больше не нужен отдельный Linux-сервер. Все это запускается в Docker на вашей Windows-машине.
Взгляд архитектора: WSL2 + Docker стирают границы между ОС. Архитектор получает универсальную, воспроизводимую среду. Проблема "у меня на машине работает, а на сервере нет" исчезает. Это первый шаг от "админа Windows" к "Full-stack DevOps-инженеру".
#windows #docker #wsl #devops #linux #гайд
Для многих Windows-админов Docker — это что-то чуждое из мира Linux. Но Docker Desktop на Windows — это революция для вашего рабочего процесса.
Как это работает (под капотом): Docker Desktop использует WSL2 (Windows Subsystem for Linux). Он запускает настоящее ядро Linux в легкой виртуальной машине, интегрированной с Windows. Когда вы пишете docker run ubuntu, вы запускаете нативный Linux-контейнер внутри этого WSL2.
Зачем это Windows-админу?
Тестирование "как в бою": Вам нужно проверить, как ваш PowerShell-скрипт отработает на CentOS? docker run -it centos:7 pwsh. Вы получите чистую среду за 3 секунды.
Идеальное Dev-окружение: Разработчик принес вам приложение (Python, Node.js)? Не надо ставить 100500 библиотек себе в Windows. docker-compose up — и вы подняли точную копию его окружения у себя.
Доступ к Linux-экосистеме: Нужно быстро поднять Nginx, Redis, PostgreSQL или Gitea (как мы писали)? Вам больше не нужен отдельный Linux-сервер. Все это запускается в Docker на вашей Windows-машине.
Взгляд архитектора: WSL2 + Docker стирают границы между ОС. Архитектор получает универсальную, воспроизводимую среду. Проблема "у меня на машине работает, а на сервере нет" исчезает. Это первый шаг от "админа Windows" к "Full-stack DevOps-инженеру".
#windows #docker #wsl #devops #linux #гайд
Windows: "Призраки" в Active Directory. Охота на Lingering Objects
Это один из самых коварных и трудноуловимых багов репликации AD.
Что это: "Зависший объект" (Lingering Object) — это объект (например, пользователь), который был удален на одном контроллере домена (DC), но остался на другом DC, который был в оффлайне дольше, чем "время жизни" удаленного объекта (Tombstone Lifetime, обычно 60-180 дней).
Чем опасно: Ваш HelpDesk не может создать пользователя с именем ivanov (потому что "призрак" ivanov еще существует на одном из DC), Exchange падает с ошибками, GPO не применяются.
Как найти и уничтожить "призраков":
1. Включить строгую проверку репликации (Strict Replication Consistency): Это обязательно на всех DC! Это не ищет, а предотвращает появление новых "призраков".
PowerShell
2. Найти "призраков": Эта команда — ваш сканер. Ее нужно запустить на каждом DC, используя в качестве "эталона" самый авторитетный DC.
PowerShell
Проанализируйте dcdiag.log, который будет создан. Если там есть "lingering objects" — переходим к шагу 3.
3. Уничтожить (если найдены на шаге 2):
PowerShell
Взгляд архитектора: Архитектор не просто чинит. Он строит надежную топологию репликации. Проблема "призраков" — это симптом. Коренная причина — плохая связность, выключенные на месяц DC или неправильное восстановление из бэкапа. repadmin — ваш скальпель, но лечить нужно саму архитектуру.
#windows #activedirectory #ad #replication #powershell #security #гайд #architect
Это один из самых коварных и трудноуловимых багов репликации AD.
Что это: "Зависший объект" (Lingering Object) — это объект (например, пользователь), который был удален на одном контроллере домена (DC), но остался на другом DC, который был в оффлайне дольше, чем "время жизни" удаленного объекта (Tombstone Lifetime, обычно 60-180 дней).
Чем опасно: Ваш HelpDesk не может создать пользователя с именем ivanov (потому что "призрак" ivanov еще существует на одном из DC), Exchange падает с ошибками, GPO не применяются.
Как найти и уничтожить "призраков":
1. Включить строгую проверку репликации (Strict Replication Consistency): Это обязательно на всех DC! Это не ищет, а предотвращает появление новых "призраков".
PowerShell
repadmin /regkey * +strict
2. Найти "призраков": Эта команда — ваш сканер. Ее нужно запустить на каждом DC, используя в качестве "эталона" самый авторитетный DC.
PowerShell
# Запускаем в режиме "Advisory Mode" (только отчет)
# DC-Source - это ваш "чистый" DC (например, владелец FSMO)
# DC-Dest - это DC, который мы проверяем на "призраков"
repadmin /removelingeringobjects DC-Dest.corp.local DC-Source.corp.local-GUID corp.local /ADVISORY_MODE
Проанализируйте dcdiag.log, который будет создан. Если там есть "lingering objects" — переходим к шагу 3.
3. Уничтожить (если найдены на шаге 2):
PowerShell
# Убираем /ADVISORY_MODE, чтобы запустить реальное удаление
repadmin /removelingeringobjects DC-Dest.corp.local DC-Source.corp.local-GUID corp.local
Взгляд архитектора: Архитектор не просто чинит. Он строит надежную топологию репликации. Проблема "призраков" — это симптом. Коренная причина — плохая связность, выключенные на месяц DC или неправильное восстановление из бэкапа. repadmin — ваш скальпель, но лечить нужно саму архитектуру.
#windows #activedirectory #ad #replication #powershell #security #гайд #architect
👍2