🥷🏿 Протоколы аутентификации NTLM v1 и NTLM v2 уязвимы к ряду атак, поэтому рекомендуется полностью перевести аутентификацию в домене AD на Kerberos.
1️⃣ На первом этапе нужно включить аудит событий NTLM аутентификации на DC и выявить все устройства и службы, которые используют NTLM.
2️⃣ Если такие устройства не поддерживают Kerberos и перенастроить их нельзя, можно добавить их в белый список, разрешая протокол NTLM только для части серверов и клиентов.
3️⃣ После этого нужно отключить протокол NTLMv1 (программа минимум) и через некоторое время после еще одного витка аудита отключить NTLM v2 и полностью перейти на Kerberos.
📚 Подробнее о процессе отключения NTLM
1️⃣ На первом этапе нужно включить аудит событий NTLM аутентификации на DC и выявить все устройства и службы, которые используют NTLM.
2️⃣ Если такие устройства не поддерживают Kerberos и перенастроить их нельзя, можно добавить их в белый список, разрешая протокол NTLM только для части серверов и клиентов.
3️⃣ После этого нужно отключить протокол NTLMv1 (программа минимум) и через некоторое время после еще одного витка аудита отключить NTLM v2 и полностью перейти на Kerberos.
📚 Подробнее о процессе отключения NTLM
📚 В двух статьях постарался собрать всю необходимую информацию по установке SSL сертификата в IIS и настройке перенаправления HTTP -> HTTPS.
➡️ В последнее время чаще всего сталкивался с такой задачей в контексте веб-пубикации баз 1C на Windows Server IIS. Хотя в кровавом ентерпрайзе все еще встречаются и другие внутренние приложения на IIS.
✅ Установка SSL сертификата на IIS в Windows Server
✅ Настройка редиректа HTTP на HTTPS в IIS с помощью URL Rewrite
➡️ В последнее время чаще всего сталкивался с такой задачей в контексте веб-пубикации баз 1C на Windows Server IIS. Хотя в кровавом ентерпрайзе все еще встречаются и другие внутренние приложения на IIS.
✅ Установка SSL сертификата на IIS в Windows Server
✅ Настройка редиректа HTTP на HTTPS в IIS с помощью URL Rewrite
📚 Для отправки писем через SMTP сервер из скриптов PowerShell можно использовать командлет Send-MailMessage. Вы можете отправить письмо через ваш внутренний SMTP сервер/Exchange, или внешние публичные почтовые сервисы Gmail, Яндекс, MailRu. Главный недостаток командлета Send-MailMessage- он поддерживает только Basic Auth.
☁️ В новых тенантах Exchange Online этот тип аутентификации отключен, поэтому для отправки писем из PowerShell нужно использовать методы Microsoft Graph API:
1️⃣ через универсальный
☁️ В новых тенантах Exchange Online этот тип аутентификации отключен, поэтому для отправки писем из PowerShell нужно использовать методы Microsoft Graph API:
1️⃣ через универсальный
Invoke-RestMethod
2️⃣ или через командлет Send-MgUserMail из модуля Microsoft.Graph📚 Сброс пароля root на хосте VMware ESXi с помощью любого LiveCD с Linux и способ сброса пароля без перезагрузки хоста через vSphere Host Profiles (нужна лицензия Enterprise Plus).
https://winitpro.ru/index.php/2023/03/20/sbrosit-parol-root-vmware-esxi/
https://winitpro.ru/index.php/2023/03/20/sbrosit-parol-root-vmware-esxi/
📚В Windows вы можете управлять настройками сетевых адаптеров не только из графического интерфейса, но из командной строки PowerShell.
✅ В статье рассмотрены основные командлеты для управления конфигурацией сети в Windows.
Настройка параметров сетевых адаптеров Windows из консоли PowerShell
✅ В статье рассмотрены основные командлеты для управления конфигурацией сети в Windows.
Настройка параметров сетевых адаптеров Windows из консоли PowerShell
📚 Если разработчики приложения Windows собрали его с включенным флагом requireAdministrator, то при запуске такой программы всегда будет появляться окно запроса повышения привилегий UAC, а на иконке приложения будет отображаться значок щита UAC.
✅ Если вам нужно разрешить обычным пользователям запускать такие привилегированные программы, игнорируя окно UAC и запрос пароля администратора, вы можете:
1️⃣ Запустить программу с использование флага совместимости RunAsInvoker
2️⃣ Исправить опцию requireAdministrator на asInvoker в EXE файле с помощью Resource Hacker или создать внешний файл манифеста
https://winitpro.ru/index.php/2018/06/28/zapusk-programmy-bez-prav-admina-i-zaprosa-uac/
✅ Если вам нужно разрешить обычным пользователям запускать такие привилегированные программы, игнорируя окно UAC и запрос пароля администратора, вы можете:
1️⃣ Запустить программу с использование флага совместимости RunAsInvoker
2️⃣ Исправить опцию requireAdministrator на asInvoker в EXE файле с помощью Resource Hacker или создать внешний файл манифеста
https://winitpro.ru/index.php/2018/06/28/zapusk-programmy-bez-prav-admina-i-zaprosa-uac/
📚 Если сотрудники одной из ваших служб (бухгалтерия, helpdesk и т.д.) периодически выполняют рассылки пользователям с какими-то индивидуальными данными, вы можете автоматизировать такую операцию с помощью скриптов.
➡️В статье показаны примеры скриптов для рассылки писем по списку e-mail пользователей из Excel файла:
1️⃣ Один скрипт реализован в виде макроса Visual Basic for Application
2️⃣ Второй скрипт на PowerShell
✅ Для рассылки вам нужен XLSX файл с email пользователей, их именами и необходимой персональной информацией и настроенный ящик в Outlook (это не обязательно должен быть ящик на Exchange)
Отправка писем из Outlook с помощью VBA макроса или PowerShell
➡️В статье показаны примеры скриптов для рассылки писем по списку e-mail пользователей из Excel файла:
1️⃣ Один скрипт реализован в виде макроса Visual Basic for Application
2️⃣ Второй скрипт на PowerShell
✅ Для рассылки вам нужен XLSX файл с email пользователей, их именами и необходимой персональной информацией и настроенный ящик в Outlook (это не обязательно должен быть ящик на Exchange)
Отправка писем из Outlook с помощью VBA макроса или PowerShell
📚 Рассказываем про обновление версии PowerShell в Windows.
Сейчас для Windows доступны две ветки PowerShell:
➡️ старая версия Windows PowerShell (максимальная версия 5.1, которая более не развивается и установлена по умолчанию в Windows 10/Windows Server 2016 и выше);
➡️ новый кроссплатформенный PowerShell Core (сейчас доступна версия 7.3) - активно развивается и требует периодического обновления.
✅ Начиная с версии PowerShell Core 7.2 поддерживает автоматическое обновление через Windows Update (можно получать обновления через Microsoft Update, WSUS, SCCM, Windows Update for Business). Но для этого при установке нужно включить специальные опции.
Обновление PowerShell в Windows
Сейчас для Windows доступны две ветки PowerShell:
➡️ старая версия Windows PowerShell (максимальная версия 5.1, которая более не развивается и установлена по умолчанию в Windows 10/Windows Server 2016 и выше);
➡️ новый кроссплатформенный PowerShell Core (сейчас доступна версия 7.3) - активно развивается и требует периодического обновления.
✅ Начиная с версии PowerShell Core 7.2 поддерживает автоматическое обновление через Windows Update (можно получать обновления через Microsoft Update, WSUS, SCCM, Windows Update for Business). Но для этого при установке нужно включить специальные опции.
Обновление PowerShell в Windows
📚 Вы можете получить любые данные в вашу систему мониторинга с Windows хоста через Zabbix-агент.
✅ В этой статье мы покажем два способа получения различных данных из Windows с помощью PowerShell скриптов. Вы можете использовать PowerShel команды и скриптыl:
➡️ В UserParameter конфигурационного файла агента Zabbix можно определить список разрешенных параметров и PS1 скриптов, которые нужно запускать для их получения
➡️ Через system.run можно выполнить в Windows произвольную команду PowerShell и получить любые данные
https://winitpro.ru/index.php/2023/04/17/zabbix-poluchit-dannye-iz-powershell/
✅ В этой статье мы покажем два способа получения различных данных из Windows с помощью PowerShell скриптов. Вы можете использовать PowerShel команды и скриптыl:
➡️ В UserParameter конфигурационного файла агента Zabbix можно определить список разрешенных параметров и PS1 скриптов, которые нужно запускать для их получения
➡️ Через system.run можно выполнить в Windows произвольную команду PowerShell и получить любые данные
https://winitpro.ru/index.php/2023/04/17/zabbix-poluchit-dannye-iz-powershell/
📚 В современных версиях Windows при подключении к удаленному рабочему столу (RDP) по-умолчанию кроме стандартного порта TCP/3389 дополнительно задействуется UDP порт 3389.
✅ В управляющей TCP (HTTP) сессии передаются клавиатура и мышь, а несколько UDP сессий используются для передачи картинки. Все это призвано улучшить отзывчивость сеанса удаленного рабочего стола для пользователя.
☁️ Но при использовании RDP поверх VPN, использование UDP протокола может вызвать обратный эффект - могут начаться проблемы с повисанием картинки, периодическим отключением и нестабильной работой сеанса. Скорее источник проблемы в фрагментировании UDP пакетов при пересылке через VPN туннель.
🛠 В этом случае помогает отключение использования UDP для RDP подключений.
https://winitpro.ru/index.php/2023/04/18/zavisaet-rdp-sessiya-udp-transport/
✅ В управляющей TCP (HTTP) сессии передаются клавиатура и мышь, а несколько UDP сессий используются для передачи картинки. Все это призвано улучшить отзывчивость сеанса удаленного рабочего стола для пользователя.
☁️ Но при использовании RDP поверх VPN, использование UDP протокола может вызвать обратный эффект - могут начаться проблемы с повисанием картинки, периодическим отключением и нестабильной работой сеанса. Скорее источник проблемы в фрагментировании UDP пакетов при пересылке через VPN туннель.
🛠 В этом случае помогает отключение использования UDP для RDP подключений.
https://winitpro.ru/index.php/2023/04/18/zavisaet-rdp-sessiya-udp-transport/
✅ Если вы используете эталонный образ Windows для установки его на компьютеры в вашей сети, нужно постоянно поддерживать его актуальность.
🛠 Разбираемся как с помощью DISM интегрировать новые обновления безопасности, языковые пакеты или FoD в установочный офлайн образ Windows в WIM (или ISO) файле.
Интеграция обновлений в дистрибутив Windows
🛠 Разбираемся как с помощью DISM интегрировать новые обновления безопасности, языковые пакеты или FoD в установочный офлайн образ Windows в WIM (или ISO) файле.
Интеграция обновлений в дистрибутив Windows
📚 LAPS (Local Administrator Password Solution) используется для управления паролями локальных администраторов на компьютерах Windows. LAPS генерирует пароль для локального администратора и затем хранить этот пароль в текстовом формате в атрибуте Active Directory.
⏱ Долгое время утилита для работы с LAPS (Local Admin Password Solution) поставлялась в виде пакета MSI, который нужно было самостоятельно загрузить и развернуть в домене.
✅ В апреле 2023 года вышли кумулятивные обновления Windows, которые добавляют встроенную поддержку новой версии LAPS в Windows Server 2022/2019 и Windows 11/10. Теперь для использования LAPS не нужно скачивать и устанавливать MSI пакет. Все идет в коробке. Нужно только обновить схему, назначить права в AD и настроить GPO.
Управляем паролем локальных администраторов на компьютерах домена с помощью Microsoft LAPS
⏱ Долгое время утилита для работы с LAPS (Local Admin Password Solution) поставлялась в виде пакета MSI, который нужно было самостоятельно загрузить и развернуть в домене.
✅ В апреле 2023 года вышли кумулятивные обновления Windows, которые добавляют встроенную поддержку новой версии LAPS в Windows Server 2022/2019 и Windows 11/10. Теперь для использования LAPS не нужно скачивать и устанавливать MSI пакет. Все идет в коробке. Нужно только обновить схему, назначить права в AD и настроить GPO.
Управляем паролем локальных администраторов на компьютерах домена с помощью Microsoft LAPS
✅ Если у вас используются централизованные сервера печати на Windows, вы можете собирать статистику об использовании принтеров вашими пользователями прямо из Event Viewer.
🛠 В статье показано, как включить аудит печати в Windows и несколько PowerShell скриптов, позволяющих получить информацию о пользователях, документах и количестве страниц, отправленных на печать.
Использование журналов Event Viewer для аудита событий печати в Windows
🛠 В статье показано, как включить аудит печати в Windows и несколько PowerShell скриптов, позволяющих получить информацию о пользователях, документах и количестве страниц, отправленных на печать.
Использование журналов Event Viewer для аудита событий печати в Windows
📚 Своевременное обновление и перевыпуск TLS/SSL сертификатов является важным аспектом бесперебойного функционирования множества сервисов и администратору нужно настроить мониторинг этого компонента инфраструктуры.
✅ В этой статье мы покажем, как в Zabbix настроить мониторинг срока действия SSL сертификатов сайтов/ сервисов и получать уведомления о предстоящем истечении срока действия заранее.
➡️ Для нового Zabbix Agent 2 с плагином web.certificate.get использовать встроенный шаблон "
➡️ Для предыдущих версий Zabbix можно настроить проверку сертификатов методом получения значений из консольных скриптов в Zabbix через
https://winitpro.ru/index.php/2023/05/04/monitoring-ssl-sertifikat-expiry-zabbix/
✅ В этой статье мы покажем, как в Zabbix настроить мониторинг срока действия SSL сертификатов сайтов/ сервисов и получать уведомления о предстоящем истечении срока действия заранее.
➡️ Для нового Zabbix Agent 2 с плагином web.certificate.get использовать встроенный шаблон "
Website certificate by Zabbix agent 2"➡️ Для предыдущих версий Zabbix можно настроить проверку сертификатов методом получения значений из консольных скриптов в Zabbix через
UserParameter https://winitpro.ru/index.php/2023/05/04/monitoring-ssl-sertifikat-expiry-zabbix/
📚 BitLocker - встроенное средство Windows, которые используется для защиты данных путем шифрования локальных томов и съёмных накопителей.
Для доступа к данным на зашифрованном разделе нужно указать пароль BitLocker, а если вы его забыли - ключ восстановления.
🛠 Если файловая система тома с файлами, зашифрованными BitLocker, повреждена, вы можете извлечь с него файлы с помощью утилиты
Восстановление файлов, зашифрованных BitLocker, с тома с поврежденной файловой системой
Для доступа к данным на зашифрованном разделе нужно указать пароль BitLocker, а если вы его забыли - ключ восстановления.
🛠 Если файловая система тома с файлами, зашифрованными BitLocker, повреждена, вы можете извлечь с него файлы с помощью утилиты
repair-bde. Восстановление файлов, зашифрованных BitLocker, с тома с поврежденной файловой системой
📚 Служба управления ключами (Key Management Server, KMS) — это служба активации, которая позволяет организациям активировать продукты Windows и MS Office в своей сети без необходимости подключения к серверам активации Microsoft в интернете.
В статье рассмотрены:
✅ основные термины, архитектура и особенности функционирования службы KMS
✅ пример развертывания роли Volume Activation Services и активации KMS на Windows Server
✅ информация о порядке ручной и автоматической активации операционных систем Windows и копий Microsoft Office на вашем KMS сервере.
➡️
FAQ по KMS активации продуктов Microsoft
В статье рассмотрены:
✅ основные термины, архитектура и особенности функционирования службы KMS
✅ пример развертывания роли Volume Activation Services и активации KMS на Windows Server
✅ информация о порядке ручной и автоматической активации операционных систем Windows и копий Microsoft Office на вашем KMS сервере.
➡️
FAQ по KMS активации продуктов Microsoft
В Windows вы можете разрешить обычному пользователю останавливать/запускать/перезапускать определенные службы, не предоставляя пользователю прав локального администратора.
Раздаем права на запуск/остановку сервисов под Windows
Раздаем права на запуск/остановку сервисов под Windows
🛠 Настраиваем автоматическую синхронизацию файлов библиотеки SharePoint с помощью клиента синхронизации OneDrive.
https://winitpro.ru/index.php/2023/06/20/sinxronizaciya-biblioteki-sharepoint-onedrive/
✅ В статье рассмотрено, как с помощью групповых политик включить синхронизацию файлов и каталогов из определенной библиотеки файлов SharePoint/Teams через OneDrive. Благодаря интеграции OneDrive в проводник Windows вы получите удобное средство доступа к файлам в библиотекам вместо использования сетевых дисков SharePoint, подключенных через WebDAV.
✅ Пользователи смогут работать с синхронизированными файлами даже при отсутствии подключения к Интернет (изменения будут синхронизированы автоматически после восстановления подключения).
https://winitpro.ru/index.php/2023/06/20/sinxronizaciya-biblioteki-sharepoint-onedrive/
✅ В статье рассмотрено, как с помощью групповых политик включить синхронизацию файлов и каталогов из определенной библиотеки файлов SharePoint/Teams через OneDrive. Благодаря интеграции OneDrive в проводник Windows вы получите удобное средство доступа к файлам в библиотекам вместо использования сетевых дисков SharePoint, подключенных через WebDAV.
✅ Пользователи смогут работать с синхронизированными файлами даже при отсутствии подключения к Интернет (изменения будут синхронизированы автоматически после восстановления подключения).
📚 Групповые политики - это удобный и простой инструмент управления настройками Windows и пользователями.
➡️ В некоторых случаях некорректные настройки групповых политики могут вызвать проблемы с загрузкой компьютера, со входом в систему, запуском приложений (в том числе консоли управления GPO) и т.д.
➡️ Также некоторые зловреды при заражении компьютера могут блокировать запуск любых инструментов диагностики и администрирования через GPO.
✅ В этих случаях вы можете сбросить все настройки локальных и доменных групповых политики, которые применены к компьютеру.
Сброс настроек групповых политик в Windows
➡️ В некоторых случаях некорректные настройки групповых политики могут вызвать проблемы с загрузкой компьютера, со входом в систему, запуском приложений (в том числе консоли управления GPO) и т.д.
➡️ Также некоторые зловреды при заражении компьютера могут блокировать запуск любых инструментов диагностики и администрирования через GPO.
✅ В этих случаях вы можете сбросить все настройки локальных и доменных групповых политики, которые применены к компьютеру.
Сброс настроек групповых политик в Windows
📚 Пакет Remote Server Administration Tools (RSAT) включает в себя набор MMC оснасток, утилит и PowerShell модулей для удаленного управления ролями и компонентами на серверах Windows Server с обычной рабочей станции Windows.
🛠 Начиная с билда Windows 10 1809, компоненты RSAT скачиваются и устанавливаются онлайн с серверов обновлений Microsoft (в рамках концепции Features on Demand). В изолированной среде (без доступа в Интернет или со WSUS сервером), установка компонентов RSAT на рабочей станции администратора может вызвать проблемы.
✅ В статье рассматриваются все способы установки RSAT в Windows 10/11 и Windows Server, в том числе оффлайн установка из локального ISO образа FoD.
Установка Remote Server Administration Tools (RSAT) в Windows
🛠 Начиная с билда Windows 10 1809, компоненты RSAT скачиваются и устанавливаются онлайн с серверов обновлений Microsoft (в рамках концепции Features on Demand). В изолированной среде (без доступа в Интернет или со WSUS сервером), установка компонентов RSAT на рабочей станции администратора может вызвать проблемы.
✅ В статье рассматриваются все способы установки RSAT в Windows 10/11 и Windows Server, в том числе оффлайн установка из локального ISO образа FoD.
Установка Remote Server Administration Tools (RSAT) в Windows