🪟 Windows: CVE-2026-32202 — APT28 крадёт NTLMv2-хэши через LNK-файл без клика
Коллеги, срочная новость которую Microsoft тихо пропустила в апрельском Patch Tuesday без пометки «эксплуатируется» — и только 27 апреля признала ошибку. Разбираем.
CVE-2026-32202 — уязвимость в Windows Shell, позволяющая атакующему коерцировать NTLM-аутентификацию от любого пользователя, который открывает папку с вредоносным LNK-файлом. Взаимодействие пользователя не требуется — достаточно открыть папку в Проводнике.
Уязвимость возникла из-за неполного патча для CVE-2026-21510, которую APT28 (Fancy Bear) активно эксплуатировал с декабря 2025 года в кампаниях против Украины и стран ЕС. Февральский патч остановил RCE, но оставил открытым вектор кражи NTLM-хэша.
Механика: LNK-файл содержит UNC-путь вида
Зачем это важно: Microsoft опубликовала фикс 14 апреля без пометки об эксплуатации. CISA добавила CVE в KEV и подтвердила активную эксплуатацию только 27 апреля — спустя две недели. Организации не получили формального сигнала о срочности вовремя.
Итог: три действия сегодня — проверить KB5082063, заблокировать исходящий SMB на периметре, включить мониторинг Event ID 4648. APT28 не ждёт.
#windows #security #apt28 #ntlm #cve #sysadmin #admin_future
Коллеги, срочная новость которую Microsoft тихо пропустила в апрельском Patch Tuesday без пометки «эксплуатируется» — и только 27 апреля признала ошибку. Разбираем.
CVE-2026-32202 — уязвимость в Windows Shell, позволяющая атакующему коерцировать NTLM-аутентификацию от любого пользователя, который открывает папку с вредоносным LNK-файлом. Взаимодействие пользователя не требуется — достаточно открыть папку в Проводнике.
Уязвимость возникла из-за неполного патча для CVE-2026-21510, которую APT28 (Fancy Bear) активно эксплуатировал с декабря 2025 года в кампаниях против Украины и стран ЕС. Февральский патч остановил RCE, но оставил открытым вектор кражи NTLM-хэша.
Механика: LNK-файл содержит UNC-путь вида
\\attacker.com\share\payload.cpl. Когда Explorer рендерит папку — инициируется SMB-соединение, Windows автоматически отправляет Net-NTLMv2 хэш атакующему. Хэш используется для NTLM relay атаки или офлайн-брутфорса.
# ШАГ 1: Проверяем установлен ли апрельский патч KB5082063
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5082063"} |
Select-Object HotFixID, InstalledOn
# Если не установлен — ставим KB5082063 (содержит фикс CVE-2026-32202)
# ВНИМАНИЕ: у KB5082063 есть проблемы с DC в PAM-средах
# Сначала проверить IsGlobalCatalog и установить KB5091157 (OOB-фикс)
# ШАГ 2: НЕМЕДЛЕННЫЙ МИТИГЕЙШН — блокируем исходящий SMB
# На периметровом файрволе — блокируем TCP/445 и TCP/139 наружу
netsh advfirewall firewall add rule `
name="Block Outbound SMB CVE-2026-32202" `
dir=out action=block `
protocol=TCP localport=445,139
# ШАГ 3: Принудительно переходим на Kerberos, отключаем NTLM
# (долгосрочное решение, требует тестирования)
# GPO: Computer Config -> Security Settings -> Security Options
# -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
# -> Значение: Deny all
# ШАГ 4: Мониторим попытки NTLM аутентификации наружу
Get-WinEvent -LogName Security |
Where-Object {$_.Id -eq 4648} | # Explicit credential use
Select-Object TimeCreated, Message |
Format-List | Select-Object -First 10
# ШАГ 5: CISA deadline для FCEB — 12 мая 2026
# Для всех остальных — treat as emergency patch
Зачем это важно: Microsoft опубликовала фикс 14 апреля без пометки об эксплуатации. CISA добавила CVE в KEV и подтвердила активную эксплуатацию только 27 апреля — спустя две недели. Организации не получили формального сигнала о срочности вовремя.
Итог: три действия сегодня — проверить KB5082063, заблокировать исходящий SMB на периметре, включить мониторинг Event ID 4648. APT28 не ждёт.
#windows #security #apt28 #ntlm #cve #sysadmin #admin_future
🪟 Windows: Sysmon стал встроенным — и это меняет мониторинг всего флота
Коллеги, новость которая тихо пришла в марте и уже начала раскатываться — и которую стоит понять до того, как оно появится у вас само.
Microsoft интегрирует Sysmon нативно в Windows 11 и Windows Server 2025. Теперь это Optional Feature — включается стандартным механизмом ОС, обновляется через Windows Update, без ручной загрузки бинарей с Sysinternals.
Что это означает практически: существующие конфигурационные файлы из community-репозиториев (SwiftOnSecurity, sysmon-modular) поддерживаются. Event IDs, XML-конфиги, канал Microsoft-Windows-Sysmon/Operational — всё остаётся как есть.
Важное предупреждение: если у вас уже развёрнут standalone Sysmon — возможны двойное логирование и конфликты политик. Нужно спланировать миграцию: убедиться в совместимости конфигов, скоординировать с вендором SIEM, обновить правила парсинга.
Зачем это важно:
Раньше Sysmon требовал координации установки на тысячах endpoint, управления конфигами через GPO и отдельного контроля обновлений. Нативная интеграция убирает эту операционную нагрузку — каждая машина под управлением WS2025/Win11 может иметь богатую телеметрию без дополнительных агентов.
Итог: если у тебя нет Sysmon сейчас — самое время начать. Если есть — начни планировать переход на native версию до того как она появится сама.
#windows #sysmon #security #monitoring #siem #sysadmin #admin_future
Коллеги, новость которая тихо пришла в марте и уже начала раскатываться — и которую стоит понять до того, как оно появится у вас само.
Microsoft интегрирует Sysmon нативно в Windows 11 и Windows Server 2025. Теперь это Optional Feature — включается стандартным механизмом ОС, обновляется через Windows Update, без ручной загрузки бинарей с Sysinternals.
Что это означает практически: существующие конфигурационные файлы из community-репозиториев (SwiftOnSecurity, sysmon-modular) поддерживаются. Event IDs, XML-конфиги, канал Microsoft-Windows-Sysmon/Operational — всё остаётся как есть.
# Включаем native Sysmon через Optional Features (WS2025 / Win11):
# Вариант 1 — через GUI:
# Settings -> System -> Optional Features -> Add feature -> Sysmon
# Вариант 2 — через PowerShell:
Add-WindowsCapability -Online -Name "Sysmon~~~~0.0.1.0"
# Проверяем статус:
Get-WindowsCapability -Online | Where-Object {$_.Name -like "*Sysmon*"}
# Применяем конфиг (синтаксис тот же что и у standalone):
sysmon -i sysmon-config.xml
# Используем готовый community-конфиг SwiftOnSecurity:
# github.com/SwiftOnSecurity/sysmon-config
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml" `
-OutFile "sysmon-config.xml"
sysmon -c sysmon-config.xml
# Проверяем что события пишутся:
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -MaxEvents 10 |
Select-Object TimeCreated, Id, Message |
Format-List
# Массовое включение через GPO + DISM:
# Computer Config -> Software Settings -> Software Installation
# или через Intune: Add feature -> Sysmon
# Ключевые Event IDs для первичного мониторинга:
# 1 — Process Create (с хэшами и командной строкой)
# 3 — Network Connection
# 7 — Image Load (подозрительные DLL)
# 10 — Process Access (lsass dump!)
# 22 — DNS Query
Важное предупреждение: если у вас уже развёрнут standalone Sysmon — возможны двойное логирование и конфликты политик. Нужно спланировать миграцию: убедиться в совместимости конфигов, скоординировать с вендором SIEM, обновить правила парсинга.
Зачем это важно:
Раньше Sysmon требовал координации установки на тысячах endpoint, управления конфигами через GPO и отдельного контроля обновлений. Нативная интеграция убирает эту операционную нагрузку — каждая машина под управлением WS2025/Win11 может иметь богатую телеметрию без дополнительных агентов.
Итог: если у тебя нет Sysmon сейчас — самое время начать. Если есть — начни планировать переход на native версию до того как она появится сама.
#windows #sysmon #security #monitoring #siem #sysadmin #admin_future
🧠 Skills: Windows Server Summit 11-13 мая — зачем туда идти и что смотреть
Коллеги, через неделю стартует Windows Server Summit 2026 — бесплатное виртуальное мероприятие от Microsoft. Три дня, инженеры продукта, никакого маркетинга (обещают).
Повестка строится вокруг трёх направлений: новое в Windows Server 2025 включая hotpatch, улучшения управления и безопасности, гибридные и мультиоблачные сценарии через Azure Arc, практические подходы к патчингу, мониторингу и baseline-конфигурации.
Но важнее другое: Summit 2026 станет первым публичным взглядом на Windows Server v.Next — следующее поколение после 2025. Это возможность узнать направление до того как оно станет официальным.
Что конкретно стоит посмотреть — план на три дня:
Зачем это нужно:
Апрель 2026 был жёстким — KB5082063, LSASS crash, BitLocker, CVE-2026-32202, PhantomRPC без патча. Summit — это место где можно спросить "почему так вышло и что дальше" напрямую у инженеров.
Итог: три дня, бесплатно, онлайн. Смотреть не всё подряд — смотреть сессии где есть live Q&A. Там происходит настоящий разговор.
#windows #windowsserver #summit #карьера #обучение #sysadmin #admin_future
Коллеги, через неделю стартует Windows Server Summit 2026 — бесплатное виртуальное мероприятие от Microsoft. Три дня, инженеры продукта, никакого маркетинга (обещают).
Повестка строится вокруг трёх направлений: новое в Windows Server 2025 включая hotpatch, улучшения управления и безопасности, гибридные и мультиоблачные сценарии через Azure Arc, практические подходы к патчингу, мониторингу и baseline-конфигурации.
Но важнее другое: Summit 2026 станет первым публичным взглядом на Windows Server v.Next — следующее поколение после 2025. Это возможность узнать направление до того как оно станет официальным.
Что конкретно стоит посмотреть — план на три дня:
День 1 (11 мая): Безопасность и патчинг
Приоритет: сессия про hotpatch — цикл, ограничения,
что сломалось в апреле и почему
Ключевые темы апреля которые хочется закрыть:
- Kerberos RC4 enforcement roadmap (июль — finalize)
- Secure Boot certificate rollout статус
- PhantomRPC — будет ли architectural fix
День 2 (12 мая): Операционная эффективность
Приоритет: OSConfig и drift detection в enterprise
Интересно: Azure Arc для on-premises серверов
— что реально даёт без Azure Arc subscription
День 3 (13 мая): Windows Server v.Next preview
Это главное. Слушать внимательно.
Смотреть: какие компоненты пересматриваются,
что уходит (как SysV из Linux), что появляется.
Задавать вопросы в live Q&A — продукт-команда
реально читает и отвечает.
ПРАКТИЧЕСКИЙ СОВЕТ:
Зарегистрируйся сейчас:
techcommunity.microsoft.com/event/windowsserver-events/
windows-server-summit-2026/4501032
Сессии будут доступны в записи — но live Q&A только онлайн.
Для технических вопросов про hotpatch и RC4 —
это редкий шанс получить ответ от людей которые это писали.
Зачем это нужно:
Апрель 2026 был жёстким — KB5082063, LSASS crash, BitLocker, CVE-2026-32202, PhantomRPC без патча. Summit — это место где можно спросить "почему так вышло и что дальше" напрямую у инженеров.
Итог: три дня, бесплатно, онлайн. Смотреть не всё подряд — смотреть сессии где есть live Q&A. Там происходит настоящий разговор.
#windows #windowsserver #summit #карьера #обучение #sysadmin #admin_future
❤1
🪟 Windows: Windows Server 2016 — до EOL 8 месяцев, и ты, скорее всего, не готов
Коллеги, 12 января 2027 года Microsoft прекращает расширенную поддержку Windows Server 2016. После этой даты прекратятся бесплатные обновления безопасности, техническая помощь и исправления ошибок. Любая уязвимость найденная после этой даты в WS2016 — останется без патча навсегда.
Почему "8 месяцев это много" — опасная иллюзия: каждый месяц промедления сужает окно для тестирования. Организации которые дождутся конца 2026 года для начала валидации приложений — будут вынуждены делать ускоренную миграцию с меньшими возможностями для отката.
Отдельная ловушка — ESU. ESU обеспечивает только критические патчи безопасности — без новых функций, без общей техподдержки. Цена удваивается каждый год, и покупка ESU в год 2 автоматически обязывает доплатить за год 1 ретроактивно. ESU — это не план, это дорогая отсрочка.
Зачем это срочно: организации которые ждут последнего квартала 2026 года столкнутся с нехваткой ресурсов для миграции, более высокими ценами на консалтинг и техническим давлением.
Итог: 8 месяцев — это не запас, это минимум для нормальной миграции. Сделай инвентаризацию сегодня. Это первые 30 минут — и они самые важные.
#windows #windowsserver2016 #eol #migration #sysadmin #admin_future
Коллеги, 12 января 2027 года Microsoft прекращает расширенную поддержку Windows Server 2016. После этой даты прекратятся бесплатные обновления безопасности, техническая помощь и исправления ошибок. Любая уязвимость найденная после этой даты в WS2016 — останется без патча навсегда.
Почему "8 месяцев это много" — опасная иллюзия: каждый месяц промедления сужает окно для тестирования. Организации которые дождутся конца 2026 года для начала валидации приложений — будут вынуждены делать ускоренную миграцию с меньшими возможностями для отката.
Отдельная ловушка — ESU. ESU обеспечивает только критические патчи безопасности — без новых функций, без общей техподдержки. Цена удваивается каждый год, и покупка ESU в год 2 автоматически обязывает доплатить за год 1 ретроактивно. ESU — это не план, это дорогая отсрочка.
# ШАГ 1: Инвентаризация — находим все WS2016 в домене
Get-ADComputer -Filter {OperatingSystem -like "*2016*"} `
-Properties OperatingSystem, LastLogonDate, IPv4Address |
Select-Object Name, IPv4Address, LastLogonDate |
Export-Csv "ws2016_inventory_$(Get-Date -Format yyyyMMdd).csv" -NoTypeInformation
# ШАГ 2: Классифицируем роли каждого сервера
# Для каждого найденного сервера:
Invoke-Command -ComputerName "SERVER01" -ScriptBlock {
Get-WindowsFeature | Where-Object {$_.Installed -eq $true} |
Select-Object Name, DisplayName
}
# ШАГ 3: Проверяем domain functional level
# Поднять DFL до WS2022 — все DC должны быть WS2022+
Get-ADDomain | Select-Object DomainMode
Get-ADForest | Select-Object ForestMode
# ШАГ 4: Матрица приоритизации миграции
# Подставь свои данные:
<#
Сервер | Роль | Критичность | Дедлайн миграции
----------------|-----------|-------------|------------------
DC01-2016 | DC/DNS | Критическая | Август 2026
FILE01-2016 | File Srv | Высокая | Сентябрь 2026
APP01-2016 | Legacy App| Средняя | Октябрь 2026
PRINT01-2016 | Print Srv | Низкая | Ноябрь 2026
#>
# ШАГ 5: Изолируем то что не успеваем (временная мера до миграции)
# Жёсткая сегментация через firewall, минимальный доступ, усиленный мониторинг
# В Intune/WAC — включаем EDR на все WS2016 хосты
Зачем это срочно: организации которые ждут последнего квартала 2026 года столкнутся с нехваткой ресурсов для миграции, более высокими ценами на консалтинг и техническим давлением.
Итог: 8 месяцев — это не запас, это минимум для нормальной миграции. Сделай инвентаризацию сегодня. Это первые 30 минут — и они самые важные.
#windows #windowsserver2016 #eol #migration #sysadmin #admin_future
🪟 Windows: BlueHammer, RedSun, UnDefend — три новых CVE которые ещё без патча
Коллеги, пока все фиксили KB5082063 и CVE-2026-32202, тихо подтвердились ещё три эксплуатируемые уязвимости Windows — и для двух из них патча пока нет.
Злоумышленники активно эксплуатируют три недавно раскрытые уязвимости Windows — BlueHammer, RedSun и UnDefend — для получения привилегий SYSTEM или повышенных прав администратора. Для RedSun и UnDefend патчи ещё не вышли.
Что известно о каждой:
BlueHammer — уязвимость в Windows Task Host, позволяет повышение привилегий до SYSTEM. CISA выдала отдельный приказ для федеральных агентств патчить BlueHammer. Патч есть в апрельском Patch Tuesday.
CVE-2026-32202 — та самая zero-click NTLM hash leak через LNK-файл. Microsoft первоначально выставила низкий риск в апреле, затем подтвердила активную эксплуатацию и обновила advisory. CISA дедлайн для федеральных агентств — 12 мая.
RedSun и UnDefend — подробности ограничены, оба позволяют SYSTEM/admin privesc, оба пока без патча.
Зачем это важно: фиксить уже патченные уязвимости недостаточно — нужно готовиться к тем, которые ещё без патча. Принцип наименьших привилегий и ограничение NTLM — единственная защита пока Microsoft не выпустит исправления.
Итог: три вектора атаки, два без патча. Protected Users + мониторинг Event 4648 + заблокированный исходящий SMB — это всё что есть прямо сейчас.
#windows #security #ntlm #cve #sysadmin #admin_future
Коллеги, пока все фиксили KB5082063 и CVE-2026-32202, тихо подтвердились ещё три эксплуатируемые уязвимости Windows — и для двух из них патча пока нет.
Злоумышленники активно эксплуатируют три недавно раскрытые уязвимости Windows — BlueHammer, RedSun и UnDefend — для получения привилегий SYSTEM или повышенных прав администратора. Для RedSun и UnDefend патчи ещё не вышли.
Что известно о каждой:
BlueHammer — уязвимость в Windows Task Host, позволяет повышение привилегий до SYSTEM. CISA выдала отдельный приказ для федеральных агентств патчить BlueHammer. Патч есть в апрельском Patch Tuesday.
CVE-2026-32202 — та самая zero-click NTLM hash leak через LNK-файл. Microsoft первоначально выставила низкий риск в апреле, затем подтвердила активную эксплуатацию и обновила advisory. CISA дедлайн для федеральных агентств — 12 мая.
RedSun и UnDefend — подробности ограничены, оба позволяют SYSTEM/admin privesc, оба пока без патча.
# ШАГ 1: Убеждаемся что апрельские патчи стоят (BlueHammer + CVE-2026-32202)
Get-HotFix | Where-Object {
$_.HotFixID -in @("KB5082063","KB5091157","KB5091470")
} | Select-Object HotFixID, InstalledOn
# ШАГ 2: Митигейшн CVE-2026-32202 (пока RedSun/UnDefend без патча)
# Блокируем исходящий NTLM на периметре:
netsh advfirewall firewall add rule `
name="Block Outbound NTLM SMB" `
dir=out action=block protocol=TCP localport=445,139
# ШАГ 3: Мониторинг аномальной NTLM-аутентификации
# Event ID 4648 = explicit credential use (признак relay-атаки)
Get-WinEvent -LogName Security -MaxEvents 200 |
Where-Object {$_.Id -eq 4648} |
Select-Object TimeCreated, Message |
Format-List | Select-Object -First 5
# ШАГ 4: Для RedSun/UnDefend (нет патча) — принцип наименьших привилегий
# Проверяем кто в локальных Administrators:
Get-LocalGroupMember -Group "Administrators" |
Where-Object {$_.PrincipalSource -ne "Local"} |
Select-Object Name, PrincipalSource
# Убираем лишних, оставляем только нужных:
# Remove-LocalGroupMember -Group "Administrators" -Member "DOMAIN\SomeUser"
# ШАГ 5: Включаем Protected Users для privileged accounts
# Это ограничивает NTLM, Kerberos delegation и credential caching:
Add-ADGroupMember -Identity "Protected Users" `
-Members "SensitiveAdmin1","SensitiveAdmin2"
Зачем это важно: фиксить уже патченные уязвимости недостаточно — нужно готовиться к тем, которые ещё без патча. Принцип наименьших привилегий и ограничение NTLM — единственная защита пока Microsoft не выпустит исправления.
Итог: три вектора атаки, два без патча. Protected Users + мониторинг Event 4648 + заблокированный исходящий SMB — это всё что есть прямо сейчас.
#windows #security #ntlm #cve #sysadmin #admin_future
🪟 Windows: Summit в понедельник — что смотреть и зачем идти именно на live Q&A
Коллеги, в понедельник 11 мая стартует Windows Server Summit 2026 — три дня, бесплатно, онлайн. Разбираем что там реально интересно для практикующего администратора.
Summit 2026 настроен под то что клиенты просили последние два года: меньше маркетинга, больше практического engineering-led контента. Три дня, три направления: новое в Windows Server 2025 включая hotpatch, гибридные сценарии через Azure Arc, лучшие практики патчинга и baseline-конфигурации.
Summit также станет ранним engagement-моментом для Windows Server v.Next — вы получите видимость направления Microsoft до того как планы будут официально объявлены. Каждая сессия включает live Q&A для прямого контакта с product team.
Что конкретно смотреть:
Содержание Summit организовано вокруг реального операционного давления: более короткие окна от уязвимости до патча, стандартизация образов и baseline через смешанные парки серверов, доказательство для compliance-команд что политики применяются.
Зачем идти именно на live — не на запись:
Записи будут доступны потом. Но live Q&A — это единственный момент когда можно задать вопрос инженеру который написал hotpatch и получить ответ не из документации. Это редкая возможность.
Итог: зарегистрируйся сегодня. Три сессии в план на неделю. Одного вопроса в live Q&A иногда достаточно чтобы сэкономить месяц работы.
#windows #windowsserver #summit #sysadmin #admin_future
Коллеги, в понедельник 11 мая стартует Windows Server Summit 2026 — три дня, бесплатно, онлайн. Разбираем что там реально интересно для практикующего администратора.
Summit 2026 настроен под то что клиенты просили последние два года: меньше маркетинга, больше практического engineering-led контента. Три дня, три направления: новое в Windows Server 2025 включая hotpatch, гибридные сценарии через Azure Arc, лучшие практики патчинга и baseline-конфигурации.
Summit также станет ранним engagement-моментом для Windows Server v.Next — вы получите видимость направления Microsoft до того как планы будут официально объявлены. Каждая сессия включает live Q&A для прямого контакта с product team.
Что конкретно смотреть:
ДЕНЬ 1 (11 мая, 10:00-15:00 МСК):
Приоритет: hotpatch — цикл, что сломалось в апреле,
почему OOB-фикс прервал hotpatch и что будет в июле
Обязательно спросить в Q&A:
"Когда будет патч для PhantomRPC (нет CVE, нет фикса)?"
"RC4 enforcement в июле — есть ли rollback после финализации?"
ДЕНЬ 2 (12 мая):
Приоритет: Security baselines и OSConfig
Интересно: Azure Arc для on-prem без подписки —
что реально бесплатно, что платно
ДЕНЬ 3 (13 мая):
Главное: Windows Server v.Next preview
Слушать на что делают акцент — это roadmap на 2-3 года
Смотреть что убирают (как SysV из Linux) — это важнее
чем новые фичи
КАК ЗАРЕГИСТРИРОВАТЬСЯ:
techcommunity.microsoft.com → Events → Windows Server Summit 2026
VIP Experience: доступ к слайдам + шанс на roundtable с product team
Регистрация VIP — до 10 мая 23:59 PDT
Содержание Summit организовано вокруг реального операционного давления: более короткие окна от уязвимости до патча, стандартизация образов и baseline через смешанные парки серверов, доказательство для compliance-команд что политики применяются.
Зачем идти именно на live — не на запись:
Записи будут доступны потом. Но live Q&A — это единственный момент когда можно задать вопрос инженеру который написал hotpatch и получить ответ не из документации. Это редкая возможность.
Итог: зарегистрируйся сегодня. Три сессии в план на неделю. Одного вопроса в live Q&A иногда достаточно чтобы сэкономить месяц работы.
#windows #windowsserver #summit #sysadmin #admin_future
🪟 Windows: Secure Boot AMA 18 мая — и почему на него надо попасть
Коллеги, суббота — день для подготовки к следующей неделе. В понедельник стартует Windows Server Summit, а 18 мая Microsoft проводит Secure Boot AMA — и это важнее чем звучит.
Напоминание: сертификаты Secure Boot 2011 года начинают истекать в июне 2026. Microsoft проводит AMA 18 мая для ответов на оставшиеся вопросы после апрельского AMA.
Почему 18 мая критично именно для серверных администраторов: на Windows Server сертификаты не обновляются автоматически. Нужны ручные действия. До истечения — меньше шести недель.
Три вещи для подготовки к Summit и AMA:
Что спросить на AMA 18 мая:
Есть ли планы на автоматическое обновление для on-prem серверов в будущем? Что произойдёт с машинами у которых Secure Boot отключён — нужно ли что-то делать? Microsoft продолжает публиковать AMA по Secure Boot для ответов на вопросы по обновлению истекающих сертификатов.
Итог: шесть недель. Экспортируй CSV с серверами у которых NOT_STARTED — это твой план на следующие две недели.
#windows #secureboot #security #windowsserver #sysadmin #admin_future
Коллеги, суббота — день для подготовки к следующей неделе. В понедельник стартует Windows Server Summit, а 18 мая Microsoft проводит Secure Boot AMA — и это важнее чем звучит.
Напоминание: сертификаты Secure Boot 2011 года начинают истекать в июне 2026. Microsoft проводит AMA 18 мая для ответов на оставшиеся вопросы после апрельского AMA.
Почему 18 мая критично именно для серверных администраторов: на Windows Server сертификаты не обновляются автоматически. Нужны ручные действия. До истечения — меньше шести недель.
Три вещи для подготовки к Summit и AMA:
# 1. Проверяем статус Secure Boot сертификатов СЕЙЧАС
# На каждом сервере:
Get-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
# Если ключа нет или значение не "Updated" — сервер уязвим к июню
# 2. Быстрый аудит всего парка серверов:
$servers = Get-ADComputer `
-Filter {OperatingSystem -like "*Server*"} |
Select-Object -ExpandProperty Name
$results = foreach ($s in $servers) {
try {
Invoke-Command -ComputerName $s -ScriptBlock {
$status = Get-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
[PSCustomObject]@{
Server = $env:COMPUTERNAME
Status = if ($status) {$status.UEFICA2023Status} else {"NOT_STARTED"}
SecureBoot = Confirm-SecureBootUEFI -ErrorAction SilentlyContinue
}
} -ErrorAction Stop
} catch {
[PSCustomObject]@{Server=$s; Status="UNREACHABLE"; SecureBoot=$null}
}
}
$results | Group-Object Status | Format-Table Name, Count
$results | Where-Object {$_.Status -ne "Updated"} |
Export-Csv "secureboot_action_required.csv" -NoTypeInformation
# 3. Запускаем обновление на серверах со статусом NOT_STARTED:
# (запускать на каждом сервере)
Start-ScheduledTask `
-TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
# После перезагрузки запустить ещё раз — статус станет "Updated"
Что спросить на AMA 18 мая:
Есть ли планы на автоматическое обновление для on-prem серверов в будущем? Что произойдёт с машинами у которых Secure Boot отключён — нужно ли что-то делать? Microsoft продолжает публиковать AMA по Secure Boot для ответов на вопросы по обновлению истекающих сертификатов.
Итог: шесть недель. Экспортируй CSV с серверами у которых NOT_STARTED — это твой план на следующие две недели.
#windows #secureboot #security #windowsserver #sysadmin #admin_future
👏1
🪟 Windows: Quick Machine Recovery в Windows Server vNext — ответ Microsoft на CrowdStrike
Коллеги, сегодня второй день Windows Server Summit 2026, и одна из главных обсуждаемых тем — Quick Machine Recovery в Server vNext. Разбираем что это такое и стоит ли ждать.
Предыстория: QMR — прямой ответ на инцидент CrowdStrike в 2024 году, когда ошибочное обновление вызвало массовые BSOD и загрузочные сбои на более чем 8 миллионах Windows-машин по всему миру.
Механика: QMR теперь доступен для тестирования в Windows Server vNext Insider Preview (build 29574). Функция обеспечивает восстановление серверов при критических ошибках загрузки. QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда затронуты несколько устройств одновременно.
Как это работает: устройство не загружается 2+ раза → входит в WinRE → QMR подключается к облаку Microsoft → проверяет известные проблемы → скачивает и применяет исправление → перезагружается. Без физического доступа к серверу, без ручного вмешательства.
Важные оговорки для серверной среды: Microsoft установил жёсткую базовую линию на build 29531 — те кто запускает более старые preview-сборки должны сделать чистую установку, так как инкрементальное обновление сломает VM и кластеры. ReFS Boot включён, но удаление или изменение размера раздела WinRE может навсегда заблокировать систему.
Зачем следить уже сейчас:
QMR на клиентах Windows 11 уже работает и доказывает концепцию. Перенос на Server vNext означает что корпоративные серверы смогут самовосстанавливаться при массовых инцидентах уровня CrowdStrike — без ночных вылетов в датацентр.
Итог: preview, expires в сентябре, в production не трогать. Но тестовый стенд поднять стоит — это одна из важных фич следующей версии Windows Server.
#windows #windowsserver #QMR #recovery #sysadmin #admin_future
Коллеги, сегодня второй день Windows Server Summit 2026, и одна из главных обсуждаемых тем — Quick Machine Recovery в Server vNext. Разбираем что это такое и стоит ли ждать.
Предыстория: QMR — прямой ответ на инцидент CrowdStrike в 2024 году, когда ошибочное обновление вызвало массовые BSOD и загрузочные сбои на более чем 8 миллионах Windows-машин по всему миру.
Механика: QMR теперь доступен для тестирования в Windows Server vNext Insider Preview (build 29574). Функция обеспечивает восстановление серверов при критических ошибках загрузки. QMR может автоматически искать облачные исправления для устранения массовых загрузочных сбоев, значительно снижая нагрузку на IT-администраторов когда затронуты несколько устройств одновременно.
Как это работает: устройство не загружается 2+ раза → входит в WinRE → QMR подключается к облаку Microsoft → проверяет известные проблемы → скачивает и применяет исправление → перезагружается. Без физического доступа к серверу, без ручного вмешательства.
# Конфигурация QMR через Intune (CSP)
# Путь: ./Device/Vendor/MSFT/RemoteRemediation/CloudRemediationSettings
# Или через Settings Catalog: Remote Remediation → Enable Cloud Remediation
# На клиентском Windows 11 (уже GA с KB5062660):
# Проверяем статус QMR:
Get-ItemProperty `
-Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinRE" |
Select-Object *Recovery*
# Тестируем QMR без реального сбоя (test mode):
# reagentc.exe /setrecoverytestmode
# Создаёт RecoverySimulation.ini — устройство войдёт в WinRE при перезагрузке
# ТОЛЬКО В ЛАБОРАТОРИИ, не на продакшне
# Для Server vNext Insider Preview (build 29574):
# Скачать: microsoft.com/en-us/software-download/windowsinsiderpreviewserver
# Expires: 15 сентября 2026
# Проверяем что QMR включён после установки:
Get-WindowsOptionalFeature -Online -FeatureName *Recovery* |
Where-Object {$_.State -eq "Enabled"}
Важные оговорки для серверной среды: Microsoft установил жёсткую базовую линию на build 29531 — те кто запускает более старые preview-сборки должны сделать чистую установку, так как инкрементальное обновление сломает VM и кластеры. ReFS Boot включён, но удаление или изменение размера раздела WinRE может навсегда заблокировать систему.
Зачем следить уже сейчас:
QMR на клиентах Windows 11 уже работает и доказывает концепцию. Перенос на Server vNext означает что корпоративные серверы смогут самовосстанавливаться при массовых инцидентах уровня CrowdStrike — без ночных вылетов в датацентр.
Итог: preview, expires в сентябре, в production не трогать. Но тестовый стенд поднять стоит — это одна из важных фич следующей версии Windows Server.
#windows #windowsserver #QMR #recovery #sysadmin #admin_future
🪟 Windows: RC4 в Kerberos — июль финализирует, а у тебя ещё не готово
Коллеги, сегодня последний день Windows Server Summit 2026. И главная тема которая звучала все три дня — RC4 в Kerberos. Не потому что новая. Потому что июль близко, а большинство до сих пор не закончили аудит.
Хронология жёсткая: январь 2026 — аудит-режим, предупреждающие события в логах DC. Апрель 2026 — enforcement: AES-SHA1 по умолчанию для учёток без явного msDS-SupportedEncryptionTypes. Июль 2026 — финал: RC4 убирается из протокольного пути полностью, ключ реестра RC4DefaultDisablementPhase игнорируется.
Что реально сломается если не подготовиться: сервисные учётки, NAS-устройства, принтеры, старые приложения, любая учётка без явного атрибута шифрования. Симптом: ошибка «KDC has no support for encryption type», сервисы не стартуют, авторизация в приложениях падает.
Зачем это срочно именно сейчас: после июля 2026 аудит-режим убирается и реестровый ключ игнорируется. Единственный откат — вручную включить RC4 для конкретной учётки. Это не план, это последний шанс перед аварией.
Итог: Event ID 201/202 на DC — смотри прямо сейчас. Каждое событие это учётка или сервис, который упадёт в июле. У тебя меньше двух месяцев.
#windows #kerberos #activedirectory #rc4 #security #sysadmin #admin_future
Коллеги, сегодня последний день Windows Server Summit 2026. И главная тема которая звучала все три дня — RC4 в Kerberos. Не потому что новая. Потому что июль близко, а большинство до сих пор не закончили аудит.
Хронология жёсткая: январь 2026 — аудит-режим, предупреждающие события в логах DC. Апрель 2026 — enforcement: AES-SHA1 по умолчанию для учёток без явного msDS-SupportedEncryptionTypes. Июль 2026 — финал: RC4 убирается из протокольного пути полностью, ключ реестра RC4DefaultDisablementPhase игнорируется.
Что реально сломается если не подготовиться: сервисные учётки, NAS-устройства, принтеры, старые приложения, любая учётка без явного атрибута шифрования. Симптом: ошибка «KDC has no support for encryption type», сервисы не стартуют, авторизация в приложениях падает.
# ШАГ 1: Смотрим Event ID 201-209 на DC — кто ещё использует RC4
Get-WinEvent -LogName System -ComputerName (hostname) |
Where-Object {$_.Id -in @(201,202,203,206,207)} |
Select-Object TimeCreated, Id, Message |
Format-List | Select-Object -First 20
# Что означают ID:
# 201 — RC4 использован (клиент только RC4, у сервиса нет msDS-SET)
# 202 — RC4 использован (у учётки нет AES-ключей)
# 203 — RC4 ЗАБЛОКИРОВАН (это уже ошибка в апрельском enforcement)
# ШАГ 2: Ищем учётки без AES-ключей
Get-ADUser -Filter {Enabled -eq $true} `
-Properties msDS-SupportedEncryptionTypes, PasswordLastSet,
ServicePrincipalNames |
Where-Object {$_.ServicePrincipalNames -ne $null} |
Select-Object Name, PasswordLastSet, msDS-SupportedEncryptionTypes |
Where-Object {$_.msDS-SupportedEncryptionTypes -eq $null -or
$_."msDS-SupportedEncryptionTypes" -eq 0}
# ШАГ 3: Генерируем AES-ключи для сервисных учёток
# Сброс пароля генерирует новые ключи автоматически:
Set-ADAccountPassword -Identity "svc_app01" -Reset `
-NewPassword (ConvertTo-SecureString "NewP@ss2026!" -AsPlainText -Force)
# Явно задаём поддерживаемое шифрование:
Set-ADUser -Identity "svc_app01" `
-KerberosEncryptionType AES128,AES256
# ШАГ 4: Проверяем krbtgt — если старый, AES-ключей нет:
Get-ADUser krbtgt -Properties PasswordLastSet,
msDS-SupportedEncryptionTypes |
Select-Object Name, PasswordLastSet, msDS-SupportedEncryptionTypes
# Если PasswordLastSet до 2012 — сбрасываем ДВАЖДЫ с репликацией
# ШАГ 5: Проверяем Event 4768/4769 на RC4-тикеты:
Get-WinEvent -LogName Security |
Where-Object {$_.Id -in @(4768,4769)} |
ForEach-Object {
if ($_.Message -match "0x17") {
Write-Host "RC4 ticket: $($_.TimeCreated) - $($_.Message)" `
-ForegroundColor Red
}
} | Select-Object -First 10
Зачем это срочно именно сейчас: после июля 2026 аудит-режим убирается и реестровый ключ игнорируется. Единственный откат — вручную включить RC4 для конкретной учётки. Это не план, это последний шанс перед аварией.
Итог: Event ID 201/202 на DC — смотри прямо сейчас. Каждое событие это учётка или сервис, который упадёт в июле. У тебя меньше двух месяцев.
#windows #kerberos #activedirectory #rc4 #security #sysadmin #admin_future
🪟 Windows: Май 2026 Patch Tuesday — 120 CVE, ноль zero-days, два приоритета
Коллеги, вчера вышел майский Patch Tuesday. Хорошая новость: впервые с июня 2024 года — ни одного активно эксплуатируемого или публично раскрытого zero-day. Плохая: несмотря на это, три компонента требуют срочного внимания.
CVE-2026-41096 — Windows DNS Client RCE, Critical.
Злоумышленник-контролируемый DNS-сервер может отправить специально сформированный DNS-ответ на уязвимую Windows-систему, что вызовет некорректную обработку памяти клиентом DNS и позволит выполнить код удалённо. DNS-клиент есть на каждой Windows-машине. Вектор — любой ответ от вредоносного DNS-сервера.
CVE-2026-41089 — Windows Netlogon RCE, Critical.
Stack-based buffer overflow в Netlogon. Контроллеры домена — это не обычные серверы, это структура авторизации всего Windows enterprise. Ошибка которая может быть применена против DC, даже при ограниченных условиях, должна быть в топе любого совещания по приоритизации патчей.
CVE-2026-41103 — Microsoft SSO Plugin для Jira/Confluence, CVSS 9.1, Critical.
Сетевая эксплуатация, не требует привилегий, не требует взаимодействия пользователя. Microsoft пометил как «Exploitation More Likely». Успешный эксплойт даёт неаутентифицированному атакующему доступ к Jira/Confluence с повышенными привилегиями.
Зачем это важно: фраза «не эксплуатируется в дикой природе» описывает знания Microsoft на момент релиза, а не гарантию завтрашнего поведения атакующих.
Итог: отсутствие zero-day не означает «можно подождать». DNS Client + Netlogon — это патчить в первую очередь на DC и серверах. Плюс майский патч закрывает апрельскую BitLocker-проблему — два повода для обновления.
#windows #patchtuesday #security #dns #netlogon #sysadmin #admin_future
Коллеги, вчера вышел майский Patch Tuesday. Хорошая новость: впервые с июня 2024 года — ни одного активно эксплуатируемого или публично раскрытого zero-day. Плохая: несмотря на это, три компонента требуют срочного внимания.
CVE-2026-41096 — Windows DNS Client RCE, Critical.
Злоумышленник-контролируемый DNS-сервер может отправить специально сформированный DNS-ответ на уязвимую Windows-систему, что вызовет некорректную обработку памяти клиентом DNS и позволит выполнить код удалённо. DNS-клиент есть на каждой Windows-машине. Вектор — любой ответ от вредоносного DNS-сервера.
CVE-2026-41089 — Windows Netlogon RCE, Critical.
Stack-based buffer overflow в Netlogon. Контроллеры домена — это не обычные серверы, это структура авторизации всего Windows enterprise. Ошибка которая может быть применена против DC, даже при ограниченных условиях, должна быть в топе любого совещания по приоритизации патчей.
CVE-2026-41103 — Microsoft SSO Plugin для Jira/Confluence, CVSS 9.1, Critical.
Сетевая эксплуатация, не требует привилегий, не требует взаимодействия пользователя. Microsoft пометил как «Exploitation More Likely». Успешный эксплойт даёт неаутентифицированному атакующему доступ к Jira/Confluence с повышенными привилегиями.
# Проверяем установлены ли майские обновления:
Get-HotFix | Where-Object {$_.InstalledOn -ge "2026-05-12"} |
Select-Object HotFixID, InstalledOn |
Sort-Object InstalledOn -Descending
# Для Windows 11 — KB5089549:
# Для Windows 10 — KB5087544:
Get-HotFix | Where-Object {$_.HotFixID -in @("KB5089549","KB5087544")}
# Prioritization список:
# 1. DC: KB c Netlogon fix (CVE-2026-41089) — ставим первыми
# 2. Все хосты: DNS Client (CVE-2026-41096) — широкая поверхность
# 3. Atlassian-интеграции: SSO Plugin (CVE-2026-41103) — проверить версию
# Для Hyper-V хостов: CVE-2026-40402 (guest-to-host escape) — Critical
Get-VM | Select-Object Name, State, Version # смотрим что запущено
# Хорошая новость этого Patch Tuesday:
# KB5089549 (Windows 11) закрывает проблему с неожиданными
# запросами BitLocker recovery key, которая была с апреля:
Get-HotFix "KB5089549"
Зачем это важно: фраза «не эксплуатируется в дикой природе» описывает знания Microsoft на момент релиза, а не гарантию завтрашнего поведения атакующих.
Итог: отсутствие zero-day не означает «можно подождать». DNS Client + Netlogon — это патчить в первую очередь на DC и серверах. Плюс майский патч закрывает апрельскую BitLocker-проблему — два повода для обновления.
#windows #patchtuesday #security #dns #netlogon #sysadmin #admin_future