🪟 Windows: Пятничный дайджест — что закрыть до выходных по майским дедлайнам

Коллеги, конец рабочей недели — самое время для быстрой проверки: что из майских задач закрыто, а что уйдёт в понедельник с риском стать проблемой.

Три критических дедлайна ближайших недель — статус на сегодня:

Secure Boot — истечение в июне (осталось ~5 недель):
Системы без обновлённых сертификатов Secure Boot потеряют возможность получать security updates для Secure Boot после июня 2026, не будут доверять стороннему ПО подписанному новыми сертификатами, и не получат исправлений для Windows Boot Manager после октября 2026.

Entra hard match — дедлайн 1 июня (осталось 10 дней):
С 1 июня блокируется возможность синхронизировать cloud-privileged учётки через Entra Connect. Если не проверено — проверь прямо сейчас.

Kerberos RC4 — финал в июле (осталось ~6 недель):
После июля реестровый ключ RC4DefaultDisablementPhase игнорируется. Если не провёл аудит Event 201/202 — время поджимает.

# ПЯТНИЧНЫЙ ЧЕКЛИСТ — 3 команды, 5 минут:

# 1. Secure Boot статус (топ-10 серверов по риску):
Get-ADComputer -Filter {OperatingSystem -like "*Server*"} |
    Select-Object -First 10 Name |
    ForEach-Object {
        Invoke-Command -ComputerName $_.Name -ScriptBlock {
            $sb = Get-ItemProperty `
                "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
                -Name "UEFICA2023Status" -EA SilentlyContinue
            "$env:COMPUTERNAME : $(if($sb){$sb.UEFICA2023Status}else{'NOT_STARTED'})"
        } -EA SilentlyContinue
    }

# 2. RC4 — сколько событий за эту неделю (если много — срочно):
Get-WinEvent -LogName System -ComputerName (hostname) |
    Where-Object {$_.Id -in @(201,202,203) -and
        $_.TimeCreated -gt (Get-Date).AddDays(-7)} |
    Group-Object Id | Select-Object Name, Count

# 3. Entra hard match — есть ли привилегированные sync'd учётки:
# (быстрая проверка без Graph модуля)
Get-ADUser -Filter {Enabled -eq $true} `
    -Properties MemberOf, adminCount |
    Where-Object {$_.adminCount -eq 1} |
    Select-Object SamAccountName, DistinguishedName |
    Export-Csv "friday_privcheck.csv" -NoTypeInformation
Write-Host "Привилегированных учёток: $((Import-Csv friday_privcheck.csv).Count)"
# Если > 20 — стоит пересмотреть список до понедельника

Что реально можно сделать за пятницу:

ЧТО МОЖНО ЗАКРЫТЬ ЗА 30 МИНУТ:
  - Запустить Secure Boot update task на 5-10 серверах
  - Посмотреть RC4 events за неделю
  - Сохранить список NOT_STARTED серверов для понедельника

ЧТО НЕ ТРОГАТЬ В ПЯТНИЦУ ВЕЧЕРОМ:
  - Не менять пароли krbtgt без подготовки
  - Не обновлять DC в конце недели без снапшота
  - Не применять Kerberos-политики без тестовой группы

Итог: пятница — для аудита и планирования, не для опасных изменений. Три команды выше покажут где ты стоишь. Остальное — в понедельник с холодной головой.

#windows #secureboot #kerberos #security #patchmanagement #sysadmin #admin_future

🧠 Skills: Nightmare Eclipse и кризис bug bounty — что это означает для всей индустрии

Коллеги, сегодня не только про патчи. Сегодня про ситуацию которая меняет правила игры для всего security-сообщества — и косвенно касается каждого администратора.

История: независимый исследователь под псевдонимом Nightmare Eclipse обнаружил серию критических уязвимостей в Windows и честно сообщил в Microsoft через официальные каналы. Microsoft удалила его аккаунт в MSRC и он не получил никакого вознаграждения. В ответ исследователь начал публично раскрывать уязвимости с рабочими PoC-эксплойтами. Microsoft ответила угрозами уголовного преследования, что вызвало огромную волну возмущения в security-сообществе. Microsoft отступила и заявила что не намерена преследовать исследователей.

Nightmare Eclipse представляет третью категорию: ответное раскрытие спровоцированное воспринятым нарушением со стороны вендора. Этот сценарий — когда исследователь исчерпывает официальные каналы и не получает ответа или получает активный вред — это известный сбой программ coordinated disclosure.

Почему это важно для тебя как администратора — три практических вывода:

ВЫВОД 1: ТЕМП ZERO-DAY УСКОРЯЕТСЯ

AI-assisted code analysis + недовольные исследователи +
сломанные bug bounty программы = больше публичных zero-day
без периода согласованного раскрытия.

Практическое следствие:
Patch Tuesday больше не единственный момент когда нужно
смотреть на безопасность Windows. Нужен:
  - RSS на MSRC: msrc.microsoft.com/update-guide
  - Подписка на BleepingComputer security alerts
  - CISA KEV daily check

ВЫВОД 2: DEFENDER ОБНОВЛЯЕТСЯ ОТДЕЛЬНО ОТ ОС

CVE-2026-41091 (Defender LPE) был пропатчен через автообновление
engine ДО Patch Tuesday. Если у тебя отключены автообновления Defender —
ты жил с активно эксплуатируемой уязвимостью несколько недель.

Проверяем и исправляем:
  Get-MpComputerStatus | Select-Object AMEngineVersion
  # Нужна >= 1.1.26040.8

  # Принудительное обновление Defender:
  Update-MpSignature -UpdateSource MicrosoftUpdateServer

ВЫВОД 3: BUG BOUNTY — ЭТО РИСК УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ

Когда вендор плохо управляет отношениями с исследователями —
уязвимости становятся публичными без патча.
Это системный риск для всех кто использует этот вендор.

Что делать: следить не только за CVE но и за конфликтами
в security-сообществе. Злой исследователь с PoC + дедлайн
"14 июня новое раскрытие" — это operational intelligence
которая влияет на приоритизацию патчинга прямо сейчас.

Microsoft's response, threatening prosecution rather than investigating the underlying bounty dispute, will make other researchers in similar situations less likely to attempt coordination at all. Это означает больше zero-day без предупреждения в будущем.

Итог: история с Nightmare Eclipse — это не просто скандал. Это сигнал что модель coordinated disclosure трещит под давлением AI-assisted vulnerability research и неработающих incentive-систем. Как администратор — готовься к более частым zero-day и выстраивай процессы реагирования соответственно.

#skills #security #zerodaybugs #bugbounty #patchmanagement #sysadmin #admin_future