🔐Суть политики паролей домена заключается в том, что устанавливаются правила на минимальную длину пароля, на обязательное наличие в нём определённого количества букв разного регистра, цифр, специальных символов.
✅ Параметры политики паролей AD обычно задается в Default Domain Policy. Правила этой GPO действуют как на администраторов, так и пользователей домена.
✅ Если вы хотите использовать особые настройки политики паролей для определенных групп пользователей, нужно использовать Fine-Grained Password Policies (FGPP). С помощью объектов PSO можно, например, увеличить минимальную длину пароля для привилегированных пользователей.

Настройка политики паролей в домене Active Directory

⚙️ Одной из killer фич утилиты Process Monitor (by Sysinternals) является возможность внедрить драйвер, который позволяет собрать информацию об активности всех процессов на максимально раннем этапе загрузки Windows. В логе будут содержаться все обращения к файлам, реестру, сетевым хостам, использование CPU и памяти каждым процессом.
✅ Опция Enable Boot Logging в ProcMon позволяет включить режим сбора данных при загрузке. Затем по этому логу вы можете определить программы, процессы, драйвера и службы, из за которых Windows может загружаться не достаточно быстро.
Ищем причину медленной загрузки Windows с помощью Process Monitor

🔰 Установка на экраны мониторов компьютеров скринсейверов по вопросам корпоративной безопасности – эффективный способ напоминания персоналу о существующих в компании правилах и регламентах корпоративной безопасности.
✅ С помощью групповых политик Windows вы можете скопировать картинки с советами по ИБ на компьютеры пользователей и показывать их в виде слайдшоу через настройки скринсейвера.

Настройка скринсейвера на компьютерах домена с помощью GPO

⚙️ Автоматизируем установку языковых пакетов в Microsoft Office и назначение языка интерфейса по-умолчанию.
https://winitpro.ru/index.php/2023/12/12/ustanovka-naznachenie-yazykovyh-paketov-microsoft-office/

📝Одна из задач системного администратора – проведение инвентаризации различных объектов и построение отчетов. Чаще всего такую информацию нужно предоставить в формате Excel. С помощью PowerShell вы можете существенно упростить экспорт и импорт любых данных в Excel файлы.
✅ В этой статье мы рассмотрели способы взаимодействия с файлом XLSX через COM объект (требует наличия установленного Microsoft Office) и с помощью крос-платформенного модуля ImportExcel (не требует наличия Excel на компьютере)

Чтение и запись данных в Excel файл из PowerShell

⚙️Точки восстановления (restore points) позволяют откатить состояние Windows, драйверов, приложений на момент создания такой точки. Точки восстановления Windows основаны на технологии снапшотов томов через Volume Shadow Copy (VSS). Но в отличии от обычного снапшота диска:
✅ перед созданием контрольной точки, служба VSS дает команду всем приложениям, поддерживающим технологию VSS (VSS-aware appications), произвести запись на диск всех не сохраненных операций ввода/вывода, находящихся в памяти (буферов,кэшей и пр), а затем сообщает о готовности к снапшоту
✅ при восстановлении из контрольной точки данные из снапшота не перезатирают персональные файлы профиле пользователя;
✅ вы можете вручную восстановить предыдущую версию любой файла из любой точки восстановления
Создание, удаление, управление точками восстановления в Windows 10 и 11

⚙️ В статье разобрано как настроить мониторинг состава привилегированных групп в домене AD (Domain admins, Schema admins, Enterprise admins и т.д.) с помощью политики аудита и PowerShell скрипта.
🔔 При добавлении нового пользователя в одну из административных групп вы будете получать уведомление (письмом или в мессенджер) с информацией: какая группа была изменена, кто из администраторов внес изменения, и какой пользователь была добавлена в группу.

Оповещение при добавлении пользователя в группу администраторов Active Directory

🛡Credential Manager (диспетчер учетных данных) Windows используется для безопасного хранения и извлечения сохраненных учетных данных (имя пользователя+пароль) и сертификатов для подключения к различным сервисам (сетевым папкам, RDP хостам, веб-сайтам, и т.д.).
✅ В статье рассмотрены основные аспекты работы и управления диспетчером учетных данных Windows:
🔹 Как получить доступ к Credential Manager?
🔹 Где хранятся пароли и можно ли их извлечь в открытом виде?
🔹 Как добавить или удалить сохраненные учетные данные?
🔹 Можно ли запретить пользователям сохранять пароли в Windows?
🔹 Как использовать сохраненные учетные данные в скриптах PowerShell?

Диспетчер учетных данных Windows: управление сохраненными паролями

⚙️ В статье мы рассмотрели, как настроить загрузку Windows с жесткого диска, размеченного в таблице разделов GPT на старых компьютерах с классическим BIOS (в которых не поддерживается современная среда UEFI).
🤯Идея заключается в том, чтобы вынести MBR загрузчик на отдельную внешнюю USB флешку или SD карту. Этот загрузчик будет запускать EFI загрузчик Windows на GPT диске.
В качестве диспетчера загрузки можно использовать
🔹 Родной Windows Boot Manager (если нужно сконвертировать уже установленную систему)
🔹Open-source загрузчик Clover (поддерживает любые ОС)

Это позволит решить две частые проблемы:
✅ Позволит использовать NVMe SSD в качестве загрузочного диска на старых материнских платах с Legacy BIOS (старые BIOS не видят новые NVMe SSD). Это актуально, если вы хотите дать вторую жизнь старым серверам, таким как HP DL380 G8 и пр.
✅ Позволит использовать в Windows весь доступный объем загрузочных дисков большой емкости (более 2 Тб).

Загрузка Windows с GPT диска на BIOS компьютере (без UEFI)

⚙️ В статье по ссылке постарались детально описать, как с помощью CUPS и smbclient в Linux проверить доступность, найти драйвер и подключить сетевой принтер Windows на рабочей станции Linux.

Настройка печати из Linux на общий сетевой принтер в Windows 10

📂 При использовании общих сетевых папок Windows, которыми одновременно пользуются множество пользователей, администраторы периодически встречаются с ситуациями блокировки файлов.
🔒Если пользователь открыт файл в общей сетевой SMB папке на сервере на чтение+запись и забыл его закрыть (ушел домой, в отпуск), другие пользователи не смогут внести изменения в файл.
🔹 Как узнать, кто открыл и заблокировал конкретный файл в сетевой папке Windows?
🔹 Как принудительно завершить SMB сессию и разблокировать такой файл с помощью команды openfiles или PowerShell?

Как найти и закрыть открытые файлы в сетевой папке на сервере Windows?

👨🏻‍💻По умолчанию встроенный клиент Remote Desktop Client (mstsc.exe) использует режим кэширования редко изменяемых частей экрана удаленного рабочего стола для улучшения производительности и уменьшения трафика.
📤В кэше RDP хранятся необработанные растровые изображения экрана в виде плиток размера 64 x 64 пикселя. Изображения экрана можно извлечь из кэша с помощью готовых скриптов типа RDP Cached Bitmap Extractor. Кэш RDP сессии по умолчанию не очищается и потенциально из него можно извлечь много чувствительной информации.
🛡Поэтому, если вы используете RDP клиент на недоверенном компьютере, нужно отключить режим кэширования в клиенте и очищать логи RDP.

🔄 Для управления установкой обновлений безопасности и патчами на продукты Microsoft (Windows, Office) на компьютерах в локальной сети традиционно используется собственный сервер обновлений WSUS. Однако на компьютерах пользователей установлены и сторонние приложения (архиваторы, браузеры, PDF ридеры, и т.д.), которые также нужно регулярно отслеживать и обновлять. Для WSUS есть open-source расширение WSUS Package Publisher, которое позволит вам создать собственные пакеты для распространения/обновления любых приложений через сервер обновлений WSUS.
✅ В примере рассматривается, как создать на WSUS пакет обновления для 7-Zip и централизованного распространить его на компьютеры пользователей через стандартный механизм Windows Update
Установка и обновление сторонних программ с помощью WSUS

Массовые проблемы с DNS в зоне RU
Причина проблемы заключается в неправильной подписи зоны DNSSEC:
В связи с этим, обращение к сайтам, размещенным в зоне .ru, может быть затруднено.
Временным решением является подключение к сервисам по IP адресу.
https://habr.com/ru/news/790188/

🌐 На веб сервере IIS для привязки сайтов к портам и IP адресам используется механизм Site Bindings. Для каждого вебсайта в метабазе IIS настройки привязки хранятся в формате: IP:Port:Hostname. IIS может запустить следующий сайт, когда комбинация из этих трех параметров является уникальными и не используются другими сайтами на сервере.

✅ В статье рассматриваем как на веб-сервере IIS запустить несколько сайтов с разными именами и привязать их к одному HTTP/HTTPS порту, и одному или разным IP адресам.
IIS: запуск нескольких веб-сайтов на одном порту и IP адресе

📜Исторически для анализа активности агента и службы обновления в Windows использовался текстовый лог файл WindowsUpdate.log. С помощью этого файла можно было выполнить отладку работы агента обновлений Windows, найти проблемы и выявить причины ошибок с получением и установкой обновлений.
⚙️Начиная с Windows 10, служба обновлений теперь не сбрасывает события в %windir%\WindowsUpdate.log. Подробные логи Windows Update теперь пишутся в формате Event Tracing for Windows и не пригодны для просмотра в реальном времени.
✅ Для генерации привычного текстового файла WindowsUpdate.log из ETL логов можно использовать комнадлет Get-WindowsUpdateLog.
✅ Также довольно подробная информация о работе агента Windows Update обновлений и установке патчей есть в журналах Event Viewer.
Просмотр логов службы обновлений в Windows

👨🏻‍💻 Открытый в интернет RDP порт 3389 на Windows хосте как магнит притягивает автоматических ботов, которые будут пытаться подобрать пароль для входа, или эксплуатировать одну из известных уязвимостей. На тестовом хосте за 10 минут видим 400+ попыток RD- входа с разных IP.

⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.

✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.

Защита RDP сервера от перебора паролей с блокировкой IP в файерволе

⏰ Функция WakeOnLan (WoL) позволяет удаленно включить компьютер, отправив на него специальный пакет данных (Magic Packet). После включения WoL для LAN адаптера, когда вы отправляете компьютер в спящий режим (stand by), сетевая карта переводится в режим пониженного энергопотребления и просматривает все поступающие по сети пакеты. При обнаружении Magic Packet, сетевая карта передает сигнал на включение компьютера.

✅ В статье рассмотрен пример настройки WoL в Linux, который удобно использовать для удаленного включения устройств, которые в целях экономии электроэнергии и ресурса не нужно держать постоянно включенными (домашние устройства и стенды).

Как удаленно разбудить Linux по сети с помощью Wake On Lan?

📚RAM диск – это виртуальный диск, который создается в свободной области оперативной памяти и с точки зрения операционной системы выглядит как обычный локальный диск.
🚀 Преимущество RAM Drive – очень высокая скорость чтения и записи на него (до 10 раз быстрее чем SSD, и до 2-3 раз чем NVME M.2).
✅ RAM диск можно использовать на компьютерах с большим объёмом RAM для хранения кеша и временных файлов приложений.
✅ Чаще всего RAM Drive используется для хранения кэша браузера, временных баз SQL, кэша приложений обработки графики, видео, рендеринга.
⚙️ Создаем RAM диск с помощью встроенных средств Windows Server