Infrastructure as Code в мире Windows
宣言 PowerShell DSC: Управление Windows-серверами на уровне кода
Мы часто пишем PowerShell-скрипты, чтобы что-то сделать: установить роль, запустить службу, создать файл. Это императивный подход — мы описываем, как достичь цели.
PowerShell Desired State Configuration (DSC) предлагает декларативный подход. Мы описываем, каким должен быть сервер, а DSC сам решает, как привести его в это состояние. Это и есть Infrastructure as Code (IaC) для Windows.
▪️ Ключевая идея:
Вы создаете конфигурационный файл, в котором описываете конечное состояние системы. Например: "Веб-сервер IIS должен быть установлен, а служба 'w3svc' должна быть запущена". Если IIS не установлен, DSC его установит. Если служба остановлена, DSC ее запустит. Если всё уже в нужном состоянии, DSC ничего не сделает (идемпотентность).
▪️ Пример: Конфигурация простого веб-сервера
Этот скрипт описывает, что на сервере должен быть установлен IIS и запущен его сервис.
Создайте конфигурационный скрипт (WebServerConfig.ps1):
PowerShell
Запустите скрипт в PowerShell ISE или консоли. Он не применит конфигурацию сразу, а создаст в новой папке WebServerConfig файл localhost.mof. Этот MOF-файл и есть скомпилированное «желаемое состояние».
Примените конфигурацию:
PowerShell
DSC проанализирует текущее состояние системы, сравнит его с localhost.mof и выполнит необходимые действия. Повторный запуск этой команды не приведет ни к каким изменениям, если состояние сервера не менялось.
🧠 Взгляд архитектора:
DSC — это переход от одноразовых скриптов к созданию живой, самоподдерживающейся документации вашей инфраструктуры в виде кода. Это позволяет гарантировать консистентность конфигураций десятков и сотен серверов, автоматически исправлять "дрейф" настроек и встраивать управление инфраструктурой в CI/CD пайплайны.
#PowerShellDSC #IaC #WindowsServer #Automation #DevOps #PowerShell
宣言 PowerShell DSC: Управление Windows-серверами на уровне кода
Мы часто пишем PowerShell-скрипты, чтобы что-то сделать: установить роль, запустить службу, создать файл. Это императивный подход — мы описываем, как достичь цели.
PowerShell Desired State Configuration (DSC) предлагает декларативный подход. Мы описываем, каким должен быть сервер, а DSC сам решает, как привести его в это состояние. Это и есть Infrastructure as Code (IaC) для Windows.
▪️ Ключевая идея:
Вы создаете конфигурационный файл, в котором описываете конечное состояние системы. Например: "Веб-сервер IIS должен быть установлен, а служба 'w3svc' должна быть запущена". Если IIS не установлен, DSC его установит. Если служба остановлена, DSC ее запустит. Если всё уже в нужном состоянии, DSC ничего не сделает (идемпотентность).
▪️ Пример: Конфигурация простого веб-сервера
Этот скрипт описывает, что на сервере должен быть установлен IIS и запущен его сервис.
Создайте конфигурационный скрипт (WebServerConfig.ps1):
PowerShell
Configuration WebServerConfig
{
# Узел, к которому применяется конфигурация (localhost)
Node localhost
{
# Убеждаемся, что компонент Windows 'Web-Server' установлен
WindowsFeature IIS
{
Ensure = "Present"
Name = "Web-Server"
}
# Убеждаемся, что служба IIS запущена
Service WebService
{
Ensure = "Present"
Name = "w3svc"
State = "Running"
DependsOn = "[WindowsFeature]IIS" # Запускать только после установки IIS
}
}
}
# Вызываем конфигурацию для создания MOF-файла
WebServerConfig
Запустите скрипт в PowerShell ISE или консоли. Он не применит конфигурацию сразу, а создаст в новой папке WebServerConfig файл localhost.mof. Этот MOF-файл и есть скомпилированное «желаемое состояние».
Примените конфигурацию:
PowerShell
Start-DscConfiguration -Path .\WebServerConfig -Wait -Verbose
DSC проанализирует текущее состояние системы, сравнит его с localhost.mof и выполнит необходимые действия. Повторный запуск этой команды не приведет ни к каким изменениям, если состояние сервера не менялось.
🧠 Взгляд архитектора:
DSC — это переход от одноразовых скриптов к созданию живой, самоподдерживающейся документации вашей инфраструктуры в виде кода. Это позволяет гарантировать консистентность конфигураций десятков и сотен серверов, автоматически исправлять "дрейф" настроек и встраивать управление инфраструктурой в CI/CD пайплайны.
#PowerShellDSC #IaC #WindowsServer #Automation #DevOps #PowerShell
Windows: Поиск и архивация старых файлов с помощью PowerShell
«На диске C заканчивается место» — вечная головная боль админа, особенно на файловых серверах. Искать большие и старые файлы вручную через Проводник — неэффективно. PowerShell позволяет автоматизировать этот процесс, сделав его быстрым и безопасным.
Этот скрипт находит файлы больше определенного размера и старше заданного количества дней, а затем предлагает архивировать их с сохранением структуры папок.
▪️ Скрипт (Archive-OldFiles.ps1):
PowerShell
▪️ Как использовать:
Тестовый запуск (безопасный режим):
Сначала запустите скрипт с параметром -WhatIf. Он покажет, что он собирается сделать, но ничего не переместит.
PowerShell
Рабочий запуск:
Если вас устраивает результат тестового запуска, уберите -WhatIf для реального перемещения файлов.
PowerShell
Это не просто скрипт, а безопасный инструмент, который сначала позволяет проверить свои действия.
#PowerShell #WindowsServer #Automation #Скрипты #SysAdmin
«На диске C заканчивается место» — вечная головная боль админа, особенно на файловых серверах. Искать большие и старые файлы вручную через Проводник — неэффективно. PowerShell позволяет автоматизировать этот процесс, сделав его быстрым и безопасным.
Этот скрипт находит файлы больше определенного размера и старше заданного количества дней, а затем предлагает архивировать их с сохранением структуры папок.
▪️ Скрипт (Archive-OldFiles.ps1):
PowerShell
[CmdletBinding(SupportsShouldProcess=$true, ConfirmImpact='High')]
param(
[Parameter(Mandatory=$true)]
[string]$SourcePath,
[Parameter(Mandatory=$true)]
[string]$ArchivePath,
[int]$DaysOld = 365,
[long]$MinSizeGB = 1
)
# Проверяем, существуют ли пути
if (-not (Test-Path $SourcePath)) {
Write-Error "Исходный путь не найден: $SourcePath"
return
}
if (-not (Test-Path $ArchivePath)) {
Write-Warning "Путь для архива не найден. Создаем: $ArchivePath"
New-Item -Path $ArchivePath -ItemType Directory | Out-Null
}
$thresholdDate = (Get-Date).AddDays(-$DaysOld)
$minSizeBytes = $MinSizeGB * 1GB
Write-Host "Ищем файлы в '$SourcePath' старше $($thresholdDate.ToString('yyyy-MM-dd')) и больше $MinSizeGB GB..."
$filesToArchive = Get-ChildItem -Path $SourcePath -Recurse -File | Where-Object {
$_.LastWriteTime -lt $thresholdDate -and $_.Length -gt $minSizeBytes
}
if ($null -eq $filesToArchive) {
Write-Host "Файлы для архивации не найдены."
return
}
Write-Host "Найдено $($filesToArchive.Count) файлов для архивации."
foreach ($file in $filesToArchive) {
# Сохраняем относительную структуру папок
$relativePath = $file.FullName.Substring($SourcePath.Length)
$destinationPath = Join-Path -Path $ArchivePath -ChildPath $relativePath
$destinationDir = Split-Path -Path $destinationPath -Parent
# Создаем директорию в архиве, если ее нет
if (-not (Test-Path $destinationDir)) {
New-Item -Path $destinationDir -ItemType Directory | Out-Null
}
Write-Host "Перемещение: $($file.FullName) -> $destinationPath"
# Ключевая команда с поддержкой -WhatIf
if ($pscmdlet.ShouldProcess($file.FullName, "Move to $destinationPath")) {
Move-Item -Path $file.FullName -Destination $destinationPath
}
}
Write-Host "Архивация завершена."
▪️ Как использовать:
Тестовый запуск (безопасный режим):
Сначала запустите скрипт с параметром -WhatIf. Он покажет, что он собирается сделать, но ничего не переместит.
PowerShell
.\Archive-OldFiles.ps1 -SourcePath "D:\Shares" -ArchivePath "E:\Archive" -DaysOld 365 -MinSizeGB 1 -WhatIf
Рабочий запуск:
Если вас устраивает результат тестового запуска, уберите -WhatIf для реального перемещения файлов.
PowerShell
.\Archive-OldFiles.ps1 -SourcePath "D:\Shares" -ArchivePath "E:\Archive"
Это не просто скрипт, а безопасный инструмент, который сначала позволяет проверить свои действия.
#PowerShell #WindowsServer #Automation #Скрипты #SysAdmin
Windows Server 2025: "Hotpatching" — это революция. Обновления без перезагрузки
Мы 20 лет жили по правилу: "Вторник — патчи, среда (3 часа ночи) — перезагрузка". Это правило (почти) мертво.
В Windows Server 2025 (и уже сейчас в Azure Edition) Microsoft выкатила "Hotpatching" (Горячее исправление) для всех.
Как это работает:
Базовый план: Раз в несколько месяцев вы ставите "большой" кумулятивный апдейт (с перезагрузкой).
"Горячие" патчи: В промежутках Microsoft выпускает только патчи безопасности, которые применяются на лету, в оперативной памяти работающих процессов.
Результат: rundll32.exe или lsass.exe "бесшовно" перезапускаются в памяти с новым, исправленным кодом. Сервер не перезагружается. Сервисы не останавливаются.
Взгляд архитектора: Это не "удобство". Это фундаментальное изменение в SLA (Service Level Agreement). Мы больше не выбираем между "быть безопасным" и "быть в аптайме". Мы можем гарантировать 99.99% доступности и быть защищенными. Это меняет подход к проектированию кластеров и окон обслуживания.
#windows #windowsserver #hotpatching #sysadmin #architect #musthave #гайд
Мы 20 лет жили по правилу: "Вторник — патчи, среда (3 часа ночи) — перезагрузка". Это правило (почти) мертво.
В Windows Server 2025 (и уже сейчас в Azure Edition) Microsoft выкатила "Hotpatching" (Горячее исправление) для всех.
Как это работает:
Базовый план: Раз в несколько месяцев вы ставите "большой" кумулятивный апдейт (с перезагрузкой).
"Горячие" патчи: В промежутках Microsoft выпускает только патчи безопасности, которые применяются на лету, в оперативной памяти работающих процессов.
Результат: rundll32.exe или lsass.exe "бесшовно" перезапускаются в памяти с новым, исправленным кодом. Сервер не перезагружается. Сервисы не останавливаются.
Взгляд архитектора: Это не "удобство". Это фундаментальное изменение в SLA (Service Level Agreement). Мы больше не выбираем между "быть безопасным" и "быть в аптайме". Мы можем гарантировать 99.99% доступности и быть защищенными. Это меняет подход к проектированию кластеров и окон обслуживания.
#windows #windowsserver #hotpatching #sysadmin #architect #musthave #гайд
Windows: Будущее VPN уже здесь. Разбираем "SMB over QUIC"
Все мы знаем "боль" классических VPN: они медленные, отваливаются, их блокируют файрволы. Доступ к файловым шарам для удаленных пользователей — это вечный компромисс между удобством и безопасностью.
Microsoft решила эту проблему, и это будущее, которое уже здесь: SMB over QUIC.
Что это такое (простым языком): Это "родной" VPN от Microsoft, созданный только для доступа к файловым серверам. Он "заворачивает" стандартный файловый трафик SMB (порт 445) внутрь QUIC (HTTP/3).
Почему это революция для админа:
Безопасность: Весь трафик всегда зашифрован (DTLS 1.3).
Проходит везде: Работает поверх UDP-порта 443. Этот порт открыт в 99.9% сетей (для HTTPS), а значит, доступ будет из любого отеля, кафе или аэропорта.
Стабильность: QUIC "терпим" к смене сетей (Wi-Fi -> LTE -> Wi-Fi), не разрывая сессию.
Взгляд архитектора: Это не просто "фича". Это фундаментальный сдвиг к модели Zero Trust. Вы больше не "пускаете" пользователя во всю внутреннюю сеть (как с VPN). Вы даете ему шифрованный, изолированный доступ только к одному ресурсу — файловому серверу.
#windows #windowsserver #security #networking #smb #quic #architect #гайд
Все мы знаем "боль" классических VPN: они медленные, отваливаются, их блокируют файрволы. Доступ к файловым шарам для удаленных пользователей — это вечный компромисс между удобством и безопасностью.
Microsoft решила эту проблему, и это будущее, которое уже здесь: SMB over QUIC.
Что это такое (простым языком): Это "родной" VPN от Microsoft, созданный только для доступа к файловым серверам. Он "заворачивает" стандартный файловый трафик SMB (порт 445) внутрь QUIC (HTTP/3).
Почему это революция для админа:
Безопасность: Весь трафик всегда зашифрован (DTLS 1.3).
Проходит везде: Работает поверх UDP-порта 443. Этот порт открыт в 99.9% сетей (для HTTPS), а значит, доступ будет из любого отеля, кафе или аэропорта.
Стабильность: QUIC "терпим" к смене сетей (Wi-Fi -> LTE -> Wi-Fi), не разрывая сессию.
Взгляд архитектора: Это не просто "фича". Это фундаментальный сдвиг к модели Zero Trust. Вы больше не "пускаете" пользователя во всю внутреннюю сеть (как с VPN). Вы даете ему шифрованный, изолированный доступ только к одному ресурсу — файловому серверу.
#windows #windowsserver #security #networking #smb #quic #architect #гайд
🤨2
🛡️ Windows (Security): Новое в Server 2025 — Защита LDAP по умолчанию
Боль: В 2025 году 90% AD-доменов до сих пор разрешают LDAP Simple Bind (простая привязка) — то есть, отправку паролей по LDAP (порт 389) в открытом тексте.
Реакция админа: "У меня внутренняя сеть, она доверенная". (Нет).
Реакция архитектора: "Весь трафик аутентификации должен быть зашифрован. Без исключений".
Microsoft меняет правила игры в Windows Server 2025.
Что нового:
1. LDAPS по умолчанию: LDAP-сервер больше не будет принимать Simple Bind (открытый текст), если соединение не зашифровано (через TLS/SSL, порт 636, или через StartTLS).
2. Шифрование Kerberos: Внедряется AES-SHA256/384, что делает Kerberos еще надежнее.
3. TLS 1.3: LDAP теперь поддерживает TLS 1.3 "из коробки".
Взгляд архитектора: Это "Security by Default" (Безопасность по умолчанию). Microsoft принудительно закрывает "дыры", которые админы игнорировали десятилетиями. Ваша задача — не ждать 2025 года. Запускайте LDP.exe, проверяйте свои DC на Simple Bind и внедряйте LDAPS (порт 636) уже вчера.
#windows #security #activedirectory #ldap #windowsserver #architect #гайд
Боль: В 2025 году 90% AD-доменов до сих пор разрешают LDAP Simple Bind (простая привязка) — то есть, отправку паролей по LDAP (порт 389) в открытом тексте.
Реакция админа: "У меня внутренняя сеть, она доверенная". (Нет).
Реакция архитектора: "Весь трафик аутентификации должен быть зашифрован. Без исключений".
Microsoft меняет правила игры в Windows Server 2025.
Что нового:
1. LDAPS по умолчанию: LDAP-сервер больше не будет принимать Simple Bind (открытый текст), если соединение не зашифровано (через TLS/SSL, порт 636, или через StartTLS).
2. Шифрование Kerberos: Внедряется AES-SHA256/384, что делает Kerberos еще надежнее.
3. TLS 1.3: LDAP теперь поддерживает TLS 1.3 "из коробки".
Взгляд архитектора: Это "Security by Default" (Безопасность по умолчанию). Microsoft принудительно закрывает "дыры", которые админы игнорировали десятилетиями. Ваша задача — не ждать 2025 года. Запускайте LDP.exe, проверяйте свои DC на Simple Bind и внедряйте LDAPS (порт 636) уже вчера.
#windows #security #activedirectory #ldap #windowsserver #architect #гайд
👍3
🪟 Windows: Секретный "God Mode" и быстрый доступ к администрированию 🛠️
Иногда нужно быстро найти глубокую настройку в Windows Server или Win11, но новый интерфейс "Параметры" только путает. Есть способ вывести абсолютно все настройки системы (более 200 штук) в одну папку с человеческим поиском.
Как создать "Все задачи":
1. Создай на рабочем столе новую папку.
2. Переименуй её в это: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Открыв эту папку, ты получишь список всех инструментов управления — от настройки iSCSI и ODBC до управления сертификатами и планами электропитания. Всё в одном месте, без бесконечных кликов по меню. 💎
#windows #sysadmin #lifehack #tips #windows11 #windowsserver #management
Иногда нужно быстро найти глубокую настройку в Windows Server или Win11, но новый интерфейс "Параметры" только путает. Есть способ вывести абсолютно все настройки системы (более 200 штук) в одну папку с человеческим поиском.
Как создать "Все задачи":
1. Создай на рабочем столе новую папку.
2. Переименуй её в это: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Открыв эту папку, ты получишь список всех инструментов управления — от настройки iSCSI и ODBC до управления сертификатами и планами электропитания. Всё в одном месте, без бесконечных кликов по меню. 💎
#windows #sysadmin #lifehack #tips #windows11 #windowsserver #management
🔥2👍1👏1
🔄 Windows: Hotpatching — обновления без перезагрузки сервера
Аптайм Windows серверов исторически измерялся интервалами между вторниками патчей. В 2026 году с выходом Windows Server 2025 концепция полностью изменилась. Теперь мы можем обновлять систему, не прерывая работу служб. Технология называется Hotpatching.
Как это работает:
Нюансы, о которых нужно знать:
Выходные сисадмина больше не принадлежат полосам загрузки сервера. Даже несмотря на требования к подписке, энтерпрайз с радостью принимает эти правила игры ради отсутствия даунтаймов в середине рабочего дня.
#windows #windowsserver #hotpatching #update #sysadmin #admin_future
Аптайм Windows серверов исторически измерялся интервалами между вторниками патчей. В 2026 году с выходом Windows Server 2025 концепция полностью изменилась. Теперь мы можем обновлять систему, не прерывая работу служб. Технология называется Hotpatching.
Как это работает:
Hotpatching модифицирует код исполняемых процессов прямо в оперативной памяти. Вам больше не нужно перезапускать процесс, приложение или саму операционную систему после установки критического патча безопасности. Пакеты обновлений стали в разы меньше и устанавливаются практически мгновенно.
Нюансы, о которых нужно знать:
— Только безопасность: Горячие патчи доставляют только критические исправления безопасности. Функциональные апдейты по-прежнему работают по старой схеме.
— Четыре перезагрузки в год: Полностью избавиться от ребутов не выйдет. Базовые обновления, требующие перезагрузки, будут приходить ежеквартально (в январе, апреле, июле и октябре). Остальные 8 месяцев инфраструктура работает без прерываний.
— Архитектурные требования: Для работы функции сервер должен поддерживать Virtualization-Based Security (VBS) и быть подключен к Azure Arc, так как функция распространяется по подписочной модели с тарификацией за ядро.
Выходные сисадмина больше не принадлежат полосам загрузки сервера. Даже несмотря на требования к подписке, энтерпрайз с радостью принимает эти правила игры ради отсутствия даунтаймов в середине рабочего дня.
#windows #windowsserver #hotpatching #update #sysadmin #admin_future
Зачем это нужно:
Обновление защищает от BlackLotus и аналогичных UEFI-буткитов, которые атакуют ранний процесс загрузки. После истечения 2011-сертификатов система не сможет получать mitigation-обновления против новых буткитов, даже если Patch Tuesday приходит вовремя.
Итог: июнь — это через восемь недель. Серверный парк не обновляется сам. Сделай аудит сегодня, запланируй обновления на следующую неделю — и это закроется раньше, чем успеет стать инцидентом.
#windows #secureboot #security #windowsserver #patching #sysadmin #admin_future
Обновление защищает от BlackLotus и аналогичных UEFI-буткитов, которые атакуют ранний процесс загрузки. После истечения 2011-сертификатов система не сможет получать mitigation-обновления против новых буткитов, даже если Patch Tuesday приходит вовремя.
Итог: июнь — это через восемь недель. Серверный парк не обновляется сам. Сделай аудит сегодня, запланируй обновления на следующую неделю — и это закроется раньше, чем успеет стать инцидентом.
#windows #secureboot #security #windowsserver #patching #sysadmin #admin_future
🧠 Skills: Windows Server Summit 11-13 мая — зачем туда идти и что смотреть
Коллеги, через неделю стартует Windows Server Summit 2026 — бесплатное виртуальное мероприятие от Microsoft. Три дня, инженеры продукта, никакого маркетинга (обещают).
Повестка строится вокруг трёх направлений: новое в Windows Server 2025 включая hotpatch, улучшения управления и безопасности, гибридные и мультиоблачные сценарии через Azure Arc, практические подходы к патчингу, мониторингу и baseline-конфигурации.
Но важнее другое: Summit 2026 станет первым публичным взглядом на Windows Server v.Next — следующее поколение после 2025. Это возможность узнать направление до того как оно станет официальным.
Что конкретно стоит посмотреть — план на три дня:
Зачем это нужно:
Апрель 2026 был жёстким — KB5082063, LSASS crash, BitLocker, CVE-2026-32202, PhantomRPC без патча. Summit — это место где можно спросить "почему так вышло и что дальше" напрямую у инженеров.
Итог: три дня, бесплатно, онлайн. Смотреть не всё подряд — смотреть сессии где есть live Q&A. Там происходит настоящий разговор.
#windows #windowsserver #summit #карьера #обучение #sysadmin #admin_future
Коллеги, через неделю стартует Windows Server Summit 2026 — бесплатное виртуальное мероприятие от Microsoft. Три дня, инженеры продукта, никакого маркетинга (обещают).
Повестка строится вокруг трёх направлений: новое в Windows Server 2025 включая hotpatch, улучшения управления и безопасности, гибридные и мультиоблачные сценарии через Azure Arc, практические подходы к патчингу, мониторингу и baseline-конфигурации.
Но важнее другое: Summit 2026 станет первым публичным взглядом на Windows Server v.Next — следующее поколение после 2025. Это возможность узнать направление до того как оно станет официальным.
Что конкретно стоит посмотреть — план на три дня:
День 1 (11 мая): Безопасность и патчинг
Приоритет: сессия про hotpatch — цикл, ограничения,
что сломалось в апреле и почему
Ключевые темы апреля которые хочется закрыть:
- Kerberos RC4 enforcement roadmap (июль — finalize)
- Secure Boot certificate rollout статус
- PhantomRPC — будет ли architectural fix
День 2 (12 мая): Операционная эффективность
Приоритет: OSConfig и drift detection в enterprise
Интересно: Azure Arc для on-premises серверов
— что реально даёт без Azure Arc subscription
День 3 (13 мая): Windows Server v.Next preview
Это главное. Слушать внимательно.
Смотреть: какие компоненты пересматриваются,
что уходит (как SysV из Linux), что появляется.
Задавать вопросы в live Q&A — продукт-команда
реально читает и отвечает.
ПРАКТИЧЕСКИЙ СОВЕТ:
Зарегистрируйся сейчас:
techcommunity.microsoft.com/event/windowsserver-events/
windows-server-summit-2026/4501032
Сессии будут доступны в записи — но live Q&A только онлайн.
Для технических вопросов про hotpatch и RC4 —
это редкий шанс получить ответ от людей которые это писали.
Зачем это нужно:
Апрель 2026 был жёстким — KB5082063, LSASS crash, BitLocker, CVE-2026-32202, PhantomRPC без патча. Summit — это место где можно спросить "почему так вышло и что дальше" напрямую у инженеров.
Итог: три дня, бесплатно, онлайн. Смотреть не всё подряд — смотреть сессии где есть live Q&A. Там происходит настоящий разговор.
#windows #windowsserver #summit #карьера #обучение #sysadmin #admin_future
❤1
🪟 Windows: Summit в понедельник — что смотреть и зачем идти именно на live Q&A
Коллеги, в понедельник 11 мая стартует Windows Server Summit 2026 — три дня, бесплатно, онлайн. Разбираем что там реально интересно для практикующего администратора.
Summit 2026 настроен под то что клиенты просили последние два года: меньше маркетинга, больше практического engineering-led контента. Три дня, три направления: новое в Windows Server 2025 включая hotpatch, гибридные сценарии через Azure Arc, лучшие практики патчинга и baseline-конфигурации.
Summit также станет ранним engagement-моментом для Windows Server v.Next — вы получите видимость направления Microsoft до того как планы будут официально объявлены. Каждая сессия включает live Q&A для прямого контакта с product team.
Что конкретно смотреть:
Содержание Summit организовано вокруг реального операционного давления: более короткие окна от уязвимости до патча, стандартизация образов и baseline через смешанные парки серверов, доказательство для compliance-команд что политики применяются.
Зачем идти именно на live — не на запись:
Записи будут доступны потом. Но live Q&A — это единственный момент когда можно задать вопрос инженеру который написал hotpatch и получить ответ не из документации. Это редкая возможность.
Итог: зарегистрируйся сегодня. Три сессии в план на неделю. Одного вопроса в live Q&A иногда достаточно чтобы сэкономить месяц работы.
#windows #windowsserver #summit #sysadmin #admin_future
Коллеги, в понедельник 11 мая стартует Windows Server Summit 2026 — три дня, бесплатно, онлайн. Разбираем что там реально интересно для практикующего администратора.
Summit 2026 настроен под то что клиенты просили последние два года: меньше маркетинга, больше практического engineering-led контента. Три дня, три направления: новое в Windows Server 2025 включая hotpatch, гибридные сценарии через Azure Arc, лучшие практики патчинга и baseline-конфигурации.
Summit также станет ранним engagement-моментом для Windows Server v.Next — вы получите видимость направления Microsoft до того как планы будут официально объявлены. Каждая сессия включает live Q&A для прямого контакта с product team.
Что конкретно смотреть:
ДЕНЬ 1 (11 мая, 10:00-15:00 МСК):
Приоритет: hotpatch — цикл, что сломалось в апреле,
почему OOB-фикс прервал hotpatch и что будет в июле
Обязательно спросить в Q&A:
"Когда будет патч для PhantomRPC (нет CVE, нет фикса)?"
"RC4 enforcement в июле — есть ли rollback после финализации?"
ДЕНЬ 2 (12 мая):
Приоритет: Security baselines и OSConfig
Интересно: Azure Arc для on-prem без подписки —
что реально бесплатно, что платно
ДЕНЬ 3 (13 мая):
Главное: Windows Server v.Next preview
Слушать на что делают акцент — это roadmap на 2-3 года
Смотреть что убирают (как SysV из Linux) — это важнее
чем новые фичи
КАК ЗАРЕГИСТРИРОВАТЬСЯ:
techcommunity.microsoft.com → Events → Windows Server Summit 2026
VIP Experience: доступ к слайдам + шанс на roundtable с product team
Регистрация VIP — до 10 мая 23:59 PDT
Содержание Summit организовано вокруг реального операционного давления: более короткие окна от уязвимости до патча, стандартизация образов и baseline через смешанные парки серверов, доказательство для compliance-команд что политики применяются.
Зачем идти именно на live — не на запись:
Записи будут доступны потом. Но live Q&A — это единственный момент когда можно задать вопрос инженеру который написал hotpatch и получить ответ не из документации. Это редкая возможность.
Итог: зарегистрируйся сегодня. Три сессии в план на неделю. Одного вопроса в live Q&A иногда достаточно чтобы сэкономить месяц работы.
#windows #windowsserver #summit #sysadmin #admin_future
🪟 Windows: Secure Boot AMA 18 мая — и почему на него надо попасть
Коллеги, суббота — день для подготовки к следующей неделе. В понедельник стартует Windows Server Summit, а 18 мая Microsoft проводит Secure Boot AMA — и это важнее чем звучит.
Напоминание: сертификаты Secure Boot 2011 года начинают истекать в июне 2026. Microsoft проводит AMA 18 мая для ответов на оставшиеся вопросы после апрельского AMA.
Почему 18 мая критично именно для серверных администраторов: на Windows Server сертификаты не обновляются автоматически. Нужны ручные действия. До истечения — меньше шести недель.
Три вещи для подготовки к Summit и AMA:
Что спросить на AMA 18 мая:
Есть ли планы на автоматическое обновление для on-prem серверов в будущем? Что произойдёт с машинами у которых Secure Boot отключён — нужно ли что-то делать? Microsoft продолжает публиковать AMA по Secure Boot для ответов на вопросы по обновлению истекающих сертификатов.
Итог: шесть недель. Экспортируй CSV с серверами у которых NOT_STARTED — это твой план на следующие две недели.
#windows #secureboot #security #windowsserver #sysadmin #admin_future
Коллеги, суббота — день для подготовки к следующей неделе. В понедельник стартует Windows Server Summit, а 18 мая Microsoft проводит Secure Boot AMA — и это важнее чем звучит.
Напоминание: сертификаты Secure Boot 2011 года начинают истекать в июне 2026. Microsoft проводит AMA 18 мая для ответов на оставшиеся вопросы после апрельского AMA.
Почему 18 мая критично именно для серверных администраторов: на Windows Server сертификаты не обновляются автоматически. Нужны ручные действия. До истечения — меньше шести недель.
Три вещи для подготовки к Summit и AMA:
# 1. Проверяем статус Secure Boot сертификатов СЕЙЧАС
# На каждом сервере:
Get-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
# Если ключа нет или значение не "Updated" — сервер уязвим к июню
# 2. Быстрый аудит всего парка серверов:
$servers = Get-ADComputer `
-Filter {OperatingSystem -like "*Server*"} |
Select-Object -ExpandProperty Name
$results = foreach ($s in $servers) {
try {
Invoke-Command -ComputerName $s -ScriptBlock {
$status = Get-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
[PSCustomObject]@{
Server = $env:COMPUTERNAME
Status = if ($status) {$status.UEFICA2023Status} else {"NOT_STARTED"}
SecureBoot = Confirm-SecureBootUEFI -ErrorAction SilentlyContinue
}
} -ErrorAction Stop
} catch {
[PSCustomObject]@{Server=$s; Status="UNREACHABLE"; SecureBoot=$null}
}
}
$results | Group-Object Status | Format-Table Name, Count
$results | Where-Object {$_.Status -ne "Updated"} |
Export-Csv "secureboot_action_required.csv" -NoTypeInformation
# 3. Запускаем обновление на серверах со статусом NOT_STARTED:
# (запускать на каждом сервере)
Start-ScheduledTask `
-TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
# После перезагрузки запустить ещё раз — статус станет "Updated"
Что спросить на AMA 18 мая:
Есть ли планы на автоматическое обновление для on-prem серверов в будущем? Что произойдёт с машинами у которых Secure Boot отключён — нужно ли что-то делать? Microsoft продолжает публиковать AMA по Secure Boot для ответов на вопросы по обновлению истекающих сертификатов.
Итог: шесть недель. Экспортируй CSV с серверами у которых NOT_STARTED — это твой план на следующие две недели.
#windows #secureboot #security #windowsserver #sysadmin #admin_future
👏1
🪟 Windows: Quick Machine Recovery в Windows Server vNext — ответ Microsoft на CrowdStrike
Коллеги, сегодня второй день Windows Server Summit 2026, и одна из главных обсуждаемых тем — Quick Machine Recovery в Server vNext. Разбираем что это такое и стоит ли ждать.
Предыстория: QMR — прямой ответ на инцидент CrowdStrike в 2024 году, когда ошибочное обновление вызвало массовые BSOD и загрузочные сбои на более чем 8 миллионах Windows-машин по всему миру.
Механика: QMR теперь доступен для тестирования в Windows Server vNext Insider Preview (build 29574). Функция обеспечивает восстановление серверов при критических ошибках загрузки. QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда затронуты несколько устройств одновременно.
Как это работает: устройство не загружается 2+ раза → входит в WinRE → QMR подключается к облаку Microsoft → проверяет известные проблемы → скачивает и применяет исправление → перезагружается. Без физического доступа к серверу, без ручного вмешательства.
Важные оговорки для серверной среды: Microsoft установил жёсткую базовую линию на build 29531 — те кто запускает более старые preview-сборки должны сделать чистую установку, так как инкрементальное обновление сломает VM и кластеры. ReFS Boot включён, но удаление или изменение размера раздела WinRE может навсегда заблокировать систему.
Зачем следить уже сейчас:
QMR на клиентах Windows 11 уже работает и доказывает концепцию. Перенос на Server vNext означает что корпоративные серверы смогут самовосстанавливаться при массовых инцидентах уровня CrowdStrike — без ночных вылетов в датацентр.
Итог: preview, expires в сентябре, в production не трогать. Но тестовый стенд поднять стоит — это одна из важных фич следующей версии Windows Server.
#windows #windowsserver #QMR #recovery #sysadmin #admin_future
Коллеги, сегодня второй день Windows Server Summit 2026, и одна из главных обсуждаемых тем — Quick Machine Recovery в Server vNext. Разбираем что это такое и стоит ли ждать.
Предыстория: QMR — прямой ответ на инцидент CrowdStrike в 2024 году, когда ошибочное обновление вызвало массовые BSOD и загрузочные сбои на более чем 8 миллионах Windows-машин по всему миру.
Механика: QMR теперь доступен для тестирования в Windows Server vNext Insider Preview (build 29574). Функция обеспечивает восстановление серверов при критических ошибках загрузки. QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда затронуты несколько устройств одновременно.
Как это работает: устройство не загружается 2+ раза → входит в WinRE → QMR подключается к облаку Microsoft → проверяет известные проблемы → скачивает и применяет исправление → перезагружается. Без физического доступа к серверу, без ручного вмешательства.
# Конфигурация QMR через Intune (CSP)
# Путь: ./Device/Vendor/MSFT/RemoteRemediation/CloudRemediationSettings
# Или через Settings Catalog: Remote Remediation → Enable Cloud Remediation
# На клиентском Windows 11 (уже GA с KB5062660):
# Проверяем статус QMR:
Get-ItemProperty `
-Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinRE" |
Select-Object *Recovery*
# Тестируем QMR без реального сбоя (test mode):
# reagentc.exe /setrecoverytestmode
# Создаёт RecoverySimulation.ini — устройство войдёт в WinRE при перезагрузке
# ТОЛЬКО В ЛАБОРАТОРИИ, не на продакшне
# Для Server vNext Insider Preview (build 29574):
# Скачать: microsoft.com/en-us/software-download/windowsinsiderpreviewserver
# Expires: 15 сентября 2026
# Проверяем что QMR включён после установки:
Get-WindowsOptionalFeature -Online -FeatureName *Recovery* |
Where-Object {$_.State -eq "Enabled"}
Важные оговорки для серверной среды: Microsoft установил жёсткую базовую линию на build 29531 — те кто запускает более старые preview-сборки должны сделать чистую установку, так как инкрементальное обновление сломает VM и кластеры. ReFS Boot включён, но удаление или изменение размера раздела WinRE может навсегда заблокировать систему.
Зачем следить уже сейчас:
QMR на клиентах Windows 11 уже работает и доказывает концепцию. Перенос на Server vNext означает что корпоративные серверы смогут самовосстанавливаться при массовых инцидентах уровня CrowdStrike — без ночных вылетов в датацентр.
Итог: preview, expires в сентябре, в production не трогать. Но тестовый стенд поднять стоит — это одна из важных фич следующей версии Windows Server.
#windows #windowsserver #QMR #recovery #sysadmin #admin_future
🪟 Windows: Secure Boot — 10 дней до истечения, финальный чеклист для серверов
Коллеги, конец июня — не абстрактный дедлайн. Две из трёх затронутых сертификатов — Microsoft Corporation KEK CA 2011 и Microsoft UEFI CA 2011 — истекают в июне 2026. Microsoft Windows Production PCA 2011, подписывающий сам Windows Boot Manager, истекает в октябре 2026.
Что произойдёт если не успеть: системы без обновления потеряют возможность устанавливать security updates для Secure Boot после июня 2026, не будут доверять стороннему ПО подписанному новыми сертификатами, и не получат исправлений для Windows Boot Manager после октября 2026.
Критически важное для серверов: в отличие от Windows PC, которые получают сертификаты 2023 года автоматически через Controlled Feature Rollout, Windows Server требует ручного действия — автоматически они не прилетают.
Устройства оффлайн, в спящем режиме, на полке — не получат обновления и рискуют оказаться изолированными после июня 2026. Старое железо без OEM firmware-обновлений также в опасности.
Итог: если у тебя есть серверы со статусом NOT_STARTED — это твоя задача на сегодня. Не на следующей неделе. Сегодня. До июня осталось меньше шести недель.
#windows #secureboot #windowsserver #security #sysadmin #admin_future
Коллеги, конец июня — не абстрактный дедлайн. Две из трёх затронутых сертификатов — Microsoft Corporation KEK CA 2011 и Microsoft UEFI CA 2011 — истекают в июне 2026. Microsoft Windows Production PCA 2011, подписывающий сам Windows Boot Manager, истекает в октябре 2026.
Что произойдёт если не успеть: системы без обновления потеряют возможность устанавливать security updates для Secure Boot после июня 2026, не будут доверять стороннему ПО подписанному новыми сертификатами, и не получат исправлений для Windows Boot Manager после октября 2026.
Критически важное для серверов: в отличие от Windows PC, которые получают сертификаты 2023 года автоматически через Controlled Feature Rollout, Windows Server требует ручного действия — автоматически они не прилетают.
# ФИНАЛЬНЫЙ АУДИТ — выполнить сегодня
# 1. Сколько серверов НЕ готово:
$servers = Get-ADComputer -Filter {OperatingSystem -like "*Server*"} |
Select-Object -ExpandProperty Name
$report = foreach ($s in $servers) {
try {
Invoke-Command -ComputerName $s -ScriptBlock {
$sb = Get-ItemProperty `
"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
[PSCustomObject]@{
Server = $env:COMPUTERNAME
Status = if ($sb) {$sb.UEFICA2023Status} else {"NOT_STARTED"}
SecureBoot = (Confirm-SecureBootUEFI -ErrorAction SilentlyContinue)
}
} -ErrorAction Stop
} catch {
[PSCustomObject]@{Server=$s; Status="UNREACHABLE"; SecureBoot=$null}
}
}
$report | Group-Object Status | Format-Table Name, Count -AutoSize
# Экспортируем список на обработку:
$report | Where-Object {$_.Status -ne "Updated"} |
Export-Csv "secureboot_critical_$(Get-Date -Format yyyyMMdd).csv" `
-NoTypeInformation
# 2. Запускаем обновление на серверах NOT_STARTED:
# Выполнить на каждом затронутом сервере:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
# Перезагрузить, затем запустить ещё раз
# Проверить статус: должен стать "Updated"
# 3. Offline / air-gapped серверы — ручной путь:
# Скачать пакет с aka.ms/GetSecureBoot
# Применить через DISM или wusa.exe
# 4. Проверяем dbx (список отозванных bootloader-ов):
# Актуальный dbx критичен вместе с новыми сертификатами
Get-SecureBootUEFI -Name dbx | Select-Object -ExpandProperty Bytes | Measure-Object
# Пустой или нулевой dbx = риск
Устройства оффлайн, в спящем режиме, на полке — не получат обновления и рискуют оказаться изолированными после июня 2026. Старое железо без OEM firmware-обновлений также в опасности.
Итог: если у тебя есть серверы со статусом NOT_STARTED — это твоя задача на сегодня. Не на следующей неделе. Сегодня. До июня осталось меньше шести недель.
#windows #secureboot #windowsserver #security #sysadmin #admin_future
🪟 Windows: Server vNext build 29585 — что нового и почему ReFS Boot важнее чем звучит
Коллеги, Microsoft выпустила Windows Server vNext Preview Build 29585 — последний перед летним затишьем. Разбираем что важно для тех кто следит за следующим поколением.
ReFS Boot включён по умолчанию для всех vNext preview builds. При этом ReFS Boot системы создают минимальный WinRE раздел в 2GB. Когда WinRE не может быть обновлён из-за нехватки места — система может отключить WinRE. Отключение WinRE не удаляет раздел. Но если WinRE раздел удалить и расширить boot volume поверх него — это действие необратимо без чистой установки.
Это важно понимать заранее: ReFS Boot — это фундамент для Quick Machine Recovery (QMR). Без WinRE раздела QMR не работает. Удалить раздел в попытке освободить место = потерять возможность самовосстановления сервера.
Что ещё в 29585:
Quick Machine Recovery теперь доступен для тестирования в vNext Insider Previews. Функция обеспечивает восстановление серверов при критических ошибках загрузки — QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда одновременно затронуты несколько устройств.
Зачем следить за vNext прямо сейчас: preview builds доступны до 15 сентября 2026. Если планируешь переход на следующую версию Windows Server — сейчас идеальный момент поднять тестовый стенд, изучить ReFS Boot поведение и QMR до того как это появится в GA.
Итог: ReFS Boot + QMR = будущее Windows Server recovery. Но WinRE раздел священен — не трогать, не уменьшать, не удалять. Запомни это до GA.
#windows #windowsserver #vnext #refs #qmr #sysadmin #admin_future
Коллеги, Microsoft выпустила Windows Server vNext Preview Build 29585 — последний перед летним затишьем. Разбираем что важно для тех кто следит за следующим поколением.
ReFS Boot включён по умолчанию для всех vNext preview builds. При этом ReFS Boot системы создают минимальный WinRE раздел в 2GB. Когда WinRE не может быть обновлён из-за нехватки места — система может отключить WinRE. Отключение WinRE не удаляет раздел. Но если WinRE раздел удалить и расширить boot volume поверх него — это действие необратимо без чистой установки.
Это важно понимать заранее: ReFS Boot — это фундамент для Quick Machine Recovery (QMR). Без WinRE раздела QMR не работает. Удалить раздел в попытке освободить место = потерять возможность самовосстановления сервера.
Что ещё в 29585:
Quick Machine Recovery теперь доступен для тестирования в vNext Insider Previews. Функция обеспечивает восстановление серверов при критических ошибках загрузки — QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда одновременно затронуты несколько устройств.
# Для тех кто тестирует vNext в лабе:
# Проверяем текущий build:
winver
# или
Get-ComputerInfo | Select-Object WindowsBuildLabEx
# Проверяем статус ReFS Boot:
Get-Partition | Where-Object {$_.Type -eq "Recovery"} |
Select-Object DiskNumber, PartitionNumber, Size, Type
# Проверяем размер WinRE раздела (должен быть >= 2GB для ReFS Boot):
reagentc.exe /info
# Ищем: Windows RE location и размер
# КРИТИЧНО: НЕ УДАЛЯТЬ WinRE раздел на vNext builds
# Проверяем что он не будет затронут при расширении диска:
Get-Partition -DiskNumber 0 | Format-Table -AutoSize
# Тестируем QMR в lab (не на продакшне):
# reagentc.exe /setrecoverytestmode
# Перезагружаемся — система войдёт в WinRE и попытается найти remediation
# Для перехода с preview < 29531:
# Апгрейд НЕ поддерживается — только чистая установка
# Дедлайн использования preview: 15 сентября 2026
Зачем следить за vNext прямо сейчас: preview builds доступны до 15 сентября 2026. Если планируешь переход на следующую версию Windows Server — сейчас идеальный момент поднять тестовый стенд, изучить ReFS Boot поведение и QMR до того как это появится в GA.
Итог: ReFS Boot + QMR = будущее Windows Server recovery. Но WinRE раздел священен — не трогать, не уменьшать, не удалять. Запомни это до GA.
#windows #windowsserver #vnext #refs #qmr #sysadmin #admin_future
🪟 Windows: SMB over QUIC — убиваем VPN для файловых шар
Коллеги, вчера мы ждали новых сюрпризов от Nightmare Eclipse (обещанный дроп 14 июня), но пока эфир относительно чист. Зато есть повод поговорить о хорошем. Больше никаких пробросов порта 445 и обязательных корпоративных VPN для доступа к рабочим файлам из дома.
В Windows Server 2025 технология SMB over QUIC окончательно стала мейнстримом. QUIC работает поверх протокола UDP (порт 443). Трафик всегда зашифрован TLS 1.3, провайдеры его не режут, а скорость при плохом мобильном интернете в разы выше классического TCP.
Как настроить в PowerShell:
Зачем это нужно:
Пользователи получают доступ к корпоративным шарам так же просто, как к облачному диску. А безопасники спят спокойно, потому что наружу торчит только стандартный 443 UDP порт, а не дырявый 445 TCP, который обожают шифровальщики.
#windows #windowsserver #quic #networking #sysadmin #admin_future
Коллеги, вчера мы ждали новых сюрпризов от Nightmare Eclipse (обещанный дроп 14 июня), но пока эфир относительно чист. Зато есть повод поговорить о хорошем. Больше никаких пробросов порта 445 и обязательных корпоративных VPN для доступа к рабочим файлам из дома.
В Windows Server 2025 технология SMB over QUIC окончательно стала мейнстримом. QUIC работает поверх протокола UDP (порт 443). Трафик всегда зашифрован TLS 1.3, провайдеры его не режут, а скорость при плохом мобильном интернете в разы выше классического TCP.
Как настроить в PowerShell:
# Проверяем поддержку на сервере:
Get-SmbServerConfiguration | Select-Object EnableSMBQUIC
# Включаем SMB over QUIC (потребуется привязать сертификат):
Set-SmbServerConfiguration -EnableSMBQUIC $true
# На клиенте (Windows 11) принудительно мапим сетевой диск через QUIC:
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fs.makshel.local\Share' -TransportType QUIC
Зачем это нужно:
Пользователи получают доступ к корпоративным шарам так же просто, как к облачному диску. А безопасники спят спокойно, потому что наружу торчит только стандартный 443 UDP порт, а не дырявый 445 TCP, который обожают шифровальщики.
#windows #windowsserver #quic #networking #sysadmin #admin_future
🪟 Windows: Secure Boot — финальная неделя. 24 июня дедлайн, но Microsoft смягчила формулировки.
Коллеги, это последний понедельник перед дедлайном Secure Boot. Через 9 дней — 24 июня — истекает первый из сертификатов 2011 года. Но с хорошей новостью: Microsoft на втором AMA уточнила что это не «hard stop».
Microsoft уточнила: устройства продолжат функционировать даже если не завершили обновления до истечения сертификата Key Exchange Key (KEK) 24 июня 2026. Также Microsoft указала что сертификат Secure Boot DB остаётся валидным до октября 2026 — это даёт дополнительное время на подписание и распространение обновлённых boot manager-ов.
Что реально изменилось после июньского Patch Tuesday: июньский Patch Tuesday должен перевести большинство mainstream-устройств в категорию «high-confidence». Устройства классифицированные как high confidence могут получать Secure Boot обновления автоматически через Intune. Для устройств вне high-confidence категории администраторам может потребоваться вручную включить развёртывание через registry settings или политики Intune.
Ключевой совет от Microsoft: не откладывайте развёртывание в ожидании пока каждое устройство достигнет статуса high-confidence.
Зачем не расслабляться несмотря на смягчение: десктопная версия этой истории раздражающая. Серверная — операционно серьёзная. Окружения Windows Server 2016, 2019, 2022 и 2025 могут быть затронуты, и путь к исправлению сложнее чем «нажми обновить и перезагрузись».
Итог: 24 июня — не катастрофа, а начало деградации защиты. DB-сертификат живёт до октября, это буфер. Но запусти обновление на NOT_STARTED серверах на этой неделе — процесс занимает двое суток.
#windows #secureboot #windowsserver #security #sysadmin #admin_future
Коллеги, это последний понедельник перед дедлайном Secure Boot. Через 9 дней — 24 июня — истекает первый из сертификатов 2011 года. Но с хорошей новостью: Microsoft на втором AMA уточнила что это не «hard stop».
Microsoft уточнила: устройства продолжат функционировать даже если не завершили обновления до истечения сертификата Key Exchange Key (KEK) 24 июня 2026. Также Microsoft указала что сертификат Secure Boot DB остаётся валидным до октября 2026 — это даёт дополнительное время на подписание и распространение обновлённых boot manager-ов.
Что реально изменилось после июньского Patch Tuesday: июньский Patch Tuesday должен перевести большинство mainstream-устройств в категорию «high-confidence». Устройства классифицированные как high confidence могут получать Secure Boot обновления автоматически через Intune. Для устройств вне high-confidence категории администраторам может потребоваться вручную включить развёртывание через registry settings или политики Intune.
Ключевой совет от Microsoft: не откладывайте развёртывание в ожидании пока каждое устройство достигнет статуса high-confidence.
# ФИНАЛЬНЫЙ ЧЕКЛИСТ — последняя неделя
# 1. Проверяем confidence-статус через Intune:
# Intune -> Devices -> Monitor -> Secure Boot certificate report
# high confidence = автоматом, остальное = вручную
# 2. Проверяем статус на серверах:
$servers = Get-ADComputer -Filter {OperatingSystem -like "*Server*"} |
Select-Object -ExpandProperty Name
$results = foreach ($s in $servers) {
try {
Invoke-Command -ComputerName $s -ScriptBlock {
$sb = Get-ItemProperty `
"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -EA SilentlyContinue
[PSCustomObject]@{
Server=$env:COMPUTERNAME
Status=if($sb){$sb.UEFICA2023Status}else{"NOT_STARTED"}
}
} -EA Stop
} catch { [PSCustomObject]@{Server=$s; Status="UNREACHABLE"} }
}
$results | Group-Object Status | Format-Table Name, Count
# 3. Для NOT_STARTED — принудительно включаем (registry):
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" `
/v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
# Процесс занимает ~48 часов и одну-две перезагрузки
# 4. Проверяем что boot manager обновился (DB-сертификат до октября):
Confirm-SecureBootUEFI
Get-SecureBootUEFI -Name db | Select-Object -ExpandProperty Bytes |
Measure-Object
Зачем не расслабляться несмотря на смягчение: десктопная версия этой истории раздражающая. Серверная — операционно серьёзная. Окружения Windows Server 2016, 2019, 2022 и 2025 могут быть затронуты, и путь к исправлению сложнее чем «нажми обновить и перезагрузись».
Итог: 24 июня — не катастрофа, а начало деградации защиты. DB-сертификат живёт до октября, это буфер. Но запусти обновление на NOT_STARTED серверах на этой неделе — процесс занимает двое суток.
#windows #secureboot #windowsserver #security #sysadmin #admin_future