🛡 По умолчанию, начиная с Windows 11 22H2, на всех совместимых устройствах, соответствующих аппаратным требованиям (TPM 1.2 + UEFI + Secure Boot + CPU с расширенной виртуализацией) включается система защиты Credential Guard и Virtualization-Based security.

Credential Guard в Windows используется для защиты учетных записей от кражи и несанкционированного использования (в том числе атак Pass-the-Hash и Pass-the-Ticket). Защита Credential Guard реализуется за счет изоляции NTLM хэшей, билетов Kerberos и других секретов в защищенной виртуальной среде (контейнерах) на базе виртуализации (Virtualization-Based Security, VBS). отделённой от основной операционной системы. Доступ к этим секретам имеет только привилегированное системное программное обеспечение, прошедшее проверку и работающие внутри защищённой виртуальной среды.

⚠️ В редких случаях Credential Guard может вызывать проблемы с выполнением аутентификации в legacy приложениях.

Проверить, включен ли Credential Guard на компьютере:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Если команда вернула 1, значит Credential Guard включен.

⚙️ Если на компьютере включен режим блокировки UEFI lock, отключение Credential Guard потребует физический доступ к устройству для подтверждения изменений в UEFI и загрузчик.

Как отключить/включить Credential Guard в Windows 11

📁SMB (Server Message Block) это клиент-серверный протокол, широко используемый в локальных сетях Windows для общего доступа к файлам, принтерами и другими ресурсами. На данный момент в Windows поддерживается несколько версий SMB, причем SMBv1 является устаревшим, и по-умолчанию отключен в современных ОС из-за известных критических уязвимостей

⚠️Microsoft настоятельно рекомендует отключать SMBv1 и переходить на SMBv2 или SMBv3 для повышения безопасности и производительности сети.

📝Для сканирования сети с целью получения информации об устройствах с включенным SMB-сервером и поддерживаемым версиями протокола можно использовать nmap.

$ nmap -p445 --script smb-protocols 192.168.31.0/24 -Pn --open

Скрипт smb-protocols выполняет проверку следующих версия SMB:
🔹NT LM 0.12 (SMBv1)
🔹2.0.2 и 2.1 (SMBv2)
🔹 3.0, 3.0.2 и 3.1.1 (SMBv3)

⚙️ В статье рассмотрены основные версии (диалекты) протокола SMB, их поддержка в версиях Samba, почему нужно отключать SMBv1 и как правильно включить/отключить SMBv1, SMBv2 и SMBv3 в Windows.

Версии протокола SMB в Windows

🛡В Windows 11 24H2 появилась встроенная команда sudo для удобного повышения привилегий из командной строки. Ранее для запуска команд с повышенными привилегиями приходилось открывать отдельный экземпляр cmd/powershell, запущенный с правами администратора.

✅ Sudo позволяет повысить привилегии при запуске определенных программ команд из обычной (непривилегированной) командой строки. Например:

sudo net stop iphlpsvc

При попытке повысить привилегии через sudo появляется стандартное окно безопасности UAC, где пользователь должен подтвердить действие.

⚙️ По умолчанию поддержка sudo отключена. Включается в параметрах Windows ( Settings -> System -> For developers -> Enable sudo )

Режим запуска привилегированных процессов можно задать в настройках sudo. По умолчанию привилегированные команды запускаются в отдельном окне. Пользователь может переопределить стандартные настройки, или использовать параметр --inline, чтобы принудительно выполнить привилегированную команду в текущей консоли:

sudo --inline net stop iphlpsvc

Команда sudo в Windows

🛠 Почти все действия по управлению службами Windows можно выполнить из графической оснастки services.msc. Кроме создания и удаления служб. Эти действия выполняются исключительно из командной строки.

Создать службу с помощью SC:

sc create MyAppSVC binPath= "C:\apps\myapp.exe" DisplayName= "My Custom Service" start= auto

или с помощью PowerShell:

New-Service -Name MyAppSVC -BinaryPathName "C:\apps\myapp.exe" -DisplayName "My Custom Service" -StartupType Automatic

Удалить службу можно с помощью консольной утилиты SC.exe:

sc delete [ИМЯ СЛУЖБЫ]

Или можно удалить сервис с помощью командлета Remove-Service, доступного в PowerShell Core 6.x и выше:

Remove-Service [ИМЯ СЛУЖБЫ]

Также для удаления службы можно просто удалить ее ветку в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services:

reg delete HKLM\SYSTEM\CurrentControlSet\Services\[ServiceName] /f

Как корректно удалить службу в Windows?

🌐 Windows отображает наличие/отсутствие подключения к Интернету в индикаторе сетевого подключения в трее и панели сетевых подключения . Довольно удобный визуальный индикатор, чтобы быстро понять есть ли доступ в Интернет на устройстве или нет.

Индикатор состояния подключения к сети (Network Connectivity Status Indicator, NCSI) это отдельная служба, которая выполняет две простые проверки:

✅ Проверяет что DNS запрос для адреса dns.msftncsi.com вернут IP адрес 131.107.255.255 (или IPv6 адрес fd3e:4f5a:5b81::1 )
✅ Если первая проверка неуспешна, дополнительно проверяется доступность HTTP узла http://www.msftconnecttest.com/ncsi.txt . Проверяет что текстовый файл доступен и содержит строку Microsoft Connect Test

📚Настройки целевых адресов и ожидаемых ответов можно изменить в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet. Доступны такие опции:

🔹 EnableActiveProbing - включить/отключить проверку наличия доступа в Интернет службой NCSI (0 — отключить проверку)
🔹 ActiveDnsProbeHost и ActiveDnsProbeHostV6 — DNS-имя хоста для проверки доступности интернет
🔹 ActiveDnsProbeContent и ActiveDnsProbeContentV6 — эталонные (ожидаемые) IPv4 и IPv6 адреса, которые должна вернуть первая проверка
🔹 ActiveWebProbeHost и ActiveWebProbeHostV6 — веб сервера MSFT, доступность которых проверяется ( www.msftconnecttest.com и ipv6.msftconnecttest.com )
🔹 ActiveWebProbePath и ActiveWebProbePathV6 — имя текстового файла на веб сервере для проверки (по умолчанию connecttest.txt )
🔹 ActiveWebProbeContent и ActiveWebProbeContentV6 – ожидаемое содержимое текстового файла ( Microsoft Connect Test ), с которым нужно сверить ответ

⚙️Администраторы могут переопределить значения этих параметров в реестре так, чтобы проверялась доступность внутренних корпоративных ресурсов вместо внешних адресов, либо полностью отключить автоматическую проверку внешнего доступа (в целях конфиденциальности). Также где-то встречал реализацию с отправкой таких запросов на внутренний HTTP узел для логирования включения/выключения/активности компьютеров в сети через логи веб-сервера.

Как Windows определяет подключение к Интернету

🍺 Сегодня последняя пятница июля, и это значит, с днем Системного Администратора, дорогие друзья и коллеги😎!

✅ Пусть баги обходят Вас стороной, дашборды мониторинга всегда остаются зелёными, пользователи - благодарными, а кофе - бесконечен ☕️

И всего того, за что мы каким-то чудом всё ещё любим эту работу 😜

Сисадмин это состояние души!
С праздником, админы!🎉
#sysadminDAY

📚 По умолчанию Windows при входе доменного пользователя сохраняет (кэширует) его учетные данные локально. Это позволит пользователю войти на компьютер под своим аккаунтом и получить доступ к данным, если домен не доступен (удобно для мобильных пользователей).

ℹ️Имя пользователя и пароль, конечно, не хранятся в отрытым виде, или виде NTLM хэша. Хэш пароля дополнительно преобразуется к защищённому виду с использованием соли, основанной на имени пользователя, и располагается в ветке реестра HKLM\Security\Cache (по умолчанию сохраняются данные для 10 последних успешно вошедших пользователей). Прямое извлечение пароля из cached credentials невозможно без прямого перебора или подбора по словарю известных хешей.

✅ В статье рассмотрены основные нюансы использования cashed credentials в Windows.

Cached Credentials: вход в Windows под сохраненными учетными данными при недоступности домена

❓ Потеря данных — это кошмар для любой компании. Хотите защитить свои MySQL-базы?

👉 На открытом уроке 7 августа в 19:00 МСК мы разберём все подходы к резервному копированию: от дампов до репликации. Вы научитесь работать с инструментами вроде mysqldump, xtrabackup, а также научитесь автоматизировать создание резервных копий и их хранение.

💪 После вебинара вы сможете восстановить данные из дампов или инкрементальных копий и избежать ошибок при бэкапе. Этот опыт необходим каждому системному администратору и DevOps-инженеру!

🎁 Посетите урок и получите скидку на большое обучение «Administrator Linux. Professional»: https://otus.pw/VJPW/

👉 Для участия в вебинаре зарегистрируйтесь

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🛠 Сброс настроек службы и агента Windows Update – один из простых и эффективных способов исправить типовые проблемы с загрузкой или установкой обновлений Windows на компьютерах. Это позволит вернуть настройки службы и компонентов Windows Update к исходному состоянию чистой системы, чтобы любые внесенные ранее настройки не мешали получению обновлений.

В статье рассмотрены несколько способов сброса настроек Windows Update:
🔹Командлетом Reset-WUComponents из модуля PSWindowsUpdate
🔹Утилитой Reset Windows Update Tool (wureset)
🔹 Вручную из командной строки

✅ Все эти способы сбрасывают настройки Windows Update в реестре, очищают кеш, перерегистрируют библиотеки, восстанавливают разрешения служб и сбрасывают привязки WSUS.

Сброс настроек службы обновлений Windows Update

Зачем платить, если можно учиться бесплатно? 💸

Давно хотите стать гуру администрирования, но не хватает времени или бюджета? Слёрм дарит 10 грантов на курс «Администрирование Linux» — от 30% до 100% скидки!

Вы получите не только приятную скидку на курс, но и:

👉 58 часов практики на реальных задачах
👉 Навыки работы с командной строкой, безопасностью, мониторингом и ядром Linux
👉 Подготовку к LPIC-1 exam 101 (кроме GUI)
👉 Обратную связь от Кирилла Казарина (14+ лет в DevOps/SRE, RingCentral Inc.)
👉 Сильное комьюнити коллег
👉 Гибкий формат: видео + текстовые расшифровки

🏆 4 варианта грантов:
100% скидка — 1 победитель
70% скидки — 2 участника
50% скидки — 3 человека
30% скидки — 4 счастливчика

Как участвовать?

1️⃣ Подписаться на канал Слёрм
2️⃣ Выполнить задание по ссылке
3️⃣ Ждать результаты в канале 15 августа

И помните — попытка выиграть грант только одна. Переходите по ссылке и проверьте себя, удачи! 🍀

💻 Для работы с дисками и разделами в Windows обычно используется либо консольная утилита diskpart, либо графическая оснастка "Управление дисками" diskmgmt.msc. Встроенный PowerShell модуль Storage позволяет выполнять все те же действия управления дисками, что и эти инструменты, но с преимуществом автоматизации и скриптинга.

Примеры типовых команд:
✔️ Вывести список дисков

Get-Disk | Format-Table -AutoSize

✔️ Информация о здоровье диска (HealthStatus) и значениях SMART атрибутов:

Get-PhysicalDisk | Get-StorageReliabilityCounter | Select-Object DeviceId, Temperature, PowerOnHours, LoadUnloadCycleCount, ReadErrorsTotal, WriteErrorsTotal | Format-Table -AutoSize

✔️ Инициализация диска (GPT по умолчанию)

Initialize-Disk -Number <номер_диска>

✔️ Создать раздел и назначить букву диска автоматически

New-Partition -DiskNumber <номер_диска> -UseMaximumSize -AssignDriveLetter

✔️Отформатировать раздел:

Format-Volume -DriveLetter <буква> -FileSystem NTFS -NewFileSystemLabel "<метка>" 

✔️Удалить раздел:

Remove-Partition -DiskNumber <номер_диска> -PartitionNumber <номер_раздела> 

✔️Очистка диска с удалением всех разделов (в том числе системных разделов recovery,efi):

Clear-Disk -Number <номер_диска>  -RemoveData  -RemoveOEM

✔️ Пример однострочника PowerShell для инициализации диска в MBR и нарезания на нем раздела максимального размера с файловой системой NTFS:

Get-Disk |Where-Object PartitionStyle -eq 'RAW' |Initialize-Disk -PartitionStyle MBR -PassThru |New-Partition -AssignDriveLetter -UseMaximumSize |Format-Volume -FileSystem NTFS -Confirm:$false

✅ PowerShell: Работа с дисками и разделами

erid: 2W5zFG7bS2t

В поисках надежного корпоративного файрвола следующего поколения в условиях импортозамещения?
 
Регистрируйтесь на обновленный практический вебинар «UserGate вживую: NGFW, SIEM, WAF и сценарии применения». Начинаем 4 сентября в 12:00.
 
Мы расскажем и покажем:
- какие новые фишки ожидают нас с выходом версии UserGate 7.4
- функциональные возможности NGFW UserGate
- работу решений UG Client и UG SIEM
- новое решение WAF от UserGate
- RoadMap UserGate
- подсветим то, о чем еще не сказано в официальных источниках.
 
Регистрируйтесь на вебинар: «UserGate вживую: NGFW, SIEM, WAF и сценарии применения»

Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.

💣Одной из особенностей ознакомительных редакций Windows Server, является наличие встроенной таймбомбы, которая после истечения ознакомительного периода (180 дней), начинает автоматически выключать Windows после часа работы.
👉 Такое поведение встречается в ознакомительных (evaluate) версиях Windows Server, так и в Windows 10 с LTSC редакцией (из-за не активированной ОС).

Как решить:
🔹Продлить trial-период с помощью slmgr /rearm (можно продлить до 5 раз).
🔹Конвертировать ознакомительную редакцию Windows в полноценную и активировать ключом или на KMS
🔹Отключить службу лицензирования WLMS (требует прав SYSTEM).

Windows Server выключается после часа работы

⚠️ Сбой в RAID5-массиве? Не нужно паниковать!

👉 Присоединяйтесь к открытому уроку 18 августа в 20:00 МСК и разберитесь, как правильно диагностировать и восстановить RAID5 после выхода из строя одного из дисков. Мы покажем, какие команды и утилиты помогут вам в этом процессе.

💪 Освойте методики работы с RAID5 и улучшите свои навыки восстановления данных. На вебинаре вы получите не только теоретическое, но и практическое понимание процессов восстановления.

Запишитесь на вебинар и получите индивидуальное предложение на курс «Administrator Linux. Professional».

👉 Для участия зарегистрируйтесь: https://otus.pw/tvhEG/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

📁 На хостах в ферме терминальных серверов с Windows Server 2019 обнаружил, что на системном диске очень много места занимает папка C:\ProgramData\Microsoft\Diagnosis\ETLLogs (от 30 до 50 Гб). В этой директории в моем случае хранились сотни ETL файлов с логами, созданных процессом CompatTelRunner.exe службы телеметрии.

🔒 Владельцем данной папки оказалась SYSTEM, поэтому при запуске WinDirStat для оценки используемого места на диске, аномально разросшийся каталог ETLLogs не отображался. Пришлось запускать утилиту от имени SYSTEM с помощью psexec:

psexec.exe -i -s WinDirStat.exe

🛠 Файлы ETL логов можно безопасно удалить вручную, и для предотвращения их дальнейшего накопления, нужно отключить сбор диагностических данных службой телеметрии через GPO Allow Telemetry (или Allow diagnostic data в Windows 11 / Windows Server 2022) или через реестр:

reg add "HKLM\Software\Policies\Microsoft\Windows\DataCollection" /v "AllowTelemetry" /t REG_DWORD /d "0" /f

Очистка логов в папке C:\ProgramData\Microsoft\Diagnosis\ETLLogs

🚀 Твой сервер пыхтит, как паровоз в гору? А пользователи бегут быстрее, чем TTFB?

Хватит гадать, где тормозит система! На курсе «Оптимизация веб-приложений» научим:
→ Ловить баги до выкатки,
→ Ускорять код так, чтобы Chrome не плакал,
→ Доказывать бизнесу, что 5-секундная загрузка — это не фича, а позор! 😉

Пройди тест и узнай, справишься ли с нашим челленджем: https://otus.pw/5Fl8/

(Спойлер: если считаешь htop магическим кристаллом — тебе точно к нам!)

🔥 Топ-3 из программы, ради которых стоит записаться:
- WebPageTest — как находить тормоза, которые прячутся за «У меня локально всё летает!».
- Мониторинг в Linux — читаешь top как стихи? Научим видеть проблемы до kernel panic.
- Оптимизация Nginx/PostgreSQL — чтобы БД не падала под нагрузкой, как джуниор на митинге.

🎁 Успей в группу августа со скидкой по промокоду OptWebApp_5!

P.S. «Как понять, что ты готов к курсу?»

— Если после фразы «Надо просто добавить кэш» у тебя дергается глаз...

Приходи — научим чинить проблемы, а не затыкать их костылями! 💻⚡️

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🛠 При добавлении/удалении дополнительных шрифтов на компьютере, можно случайно затереть настройки стандартных системных шрифтов Windows. Такие казусы периодически случаются на устройствах графических дизайнеров, верстальщиков и прочих товарищей, которые плотно работают со шрифтами. В этом случае в системных диалоговых окнах Windows вместо стандартного шрифта Segoe UI может начать отображаться другой шрифт или что-то совсем нечитаемое (иероглифы/квадратики).

✅ В статье рассмотрены способы восстановления стандартных шрифтов в Windows 10 и 11, включая сброс шрифтов, а также полная замена файлов шрифтов и их настроек в реестре оригинальными файлами/параметрами с чистого дистрибутива.

✔️ Восстановление стандартных системных шрифтов в Windows

🚀💪 Как администратору Linux выйти на уровень Middle+?

👉 Приобрести необходимые навыки под руководством топовых экспертов из ведущих российских и международных компаний на онлайн-курсе «Administrator Linux. Professional» от OTUS.

⚠️ Программа идеально подойдет для системных администраторов Linux и Windows, DevOps-инженеров и SRE, Fullstack и Backend-разработчиков, сетевых и инженеров по нагрузочному тестированию, а также для специалистов по ИБ.

💪 Вы на профессиональном уровне изучите подбор конфигураций, управление процессами, обеспечение безопасности, развертывание, настройку и обслуживание сетей, что позволит вам претендовать на вакантные должности в крупных компаниях.

🎁 За успешное прохождение вступительного тестирования на странице курса вам откроется доступ к записям вебинаров от экспертов курса.

👉 Пройти вступительный тест https://otus.pw/XfJ1/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

📚 В Windows для создания службы из исполняемого файла можно использовать утилиту командной строки sc.exe или PowerShell командлет New-Service.
Например, так:

sc create CorpCollectorService binPath= "C:\tools\collector.exe" start= auto DisplayName= "CORP Log Collector Service"

или так:

New-Service -Name CorpCollectorService -BinaryPathName "C:\tools\collector.exe -i C:\tools\config.xml" -DisplayName "my test service" -Description "CORP Log Collector Service" -StartupType "Automatic"

⚠️ Однако запустить произвольный исполняемый файл или приложение с графическим интерфейсом в виде службы не получится. Такое приложение должно быть разработано специальным образом и поддерживать работу в режиме службы, то есть уметь корректно взаимодействовать с системным процессом Service Control Manager (SCM), обрабатывать команды запуска, остановки и другие запросы.

✅ В качестве обходного решения, позволяющего запустить любое приложение (или даже bat/powershell скрипт) в виде службы можно использовать утилиту NSSM (Non-Sucking Service Manager, тут без перевода 🤷‍♂️), которая "оборачивает" приложение, предоставляя ему нужный интерфейс для взаимодействия с SCM и управления состоянием службы.

🔹 Установить NSSM можно через WinGet:

winget install --id NSSM.NSSM -e

🔹 Создать службу из указанного приложения:

nssm install testservice "C:\Tools\collector.exe"

Как создать службу Windows из исполняемого файла?

erid: 2W5zFG6DVa8

🚀 Практический курс по UserGate 📅 18–19 сентября

Два дня реальной работы с NGFW — без теории "в стол" и маркетинговых ограничений.

Что вы сделаете:
✅ настроите firewall для защиты периметра сети с нуля
✅ получите навыки настройки web-фильтрации и антивируса
✅ разберётесь в NAT, VPN, DPI и правилах
✅ Выполните задания на своём персональном стенде UserGate

🎁 Каждый участник получает:
- Чек-лист «20 ошибок при настройке NGFW»
- Методички и пошаговые инструкции
- Доступ в инженерное сообщество для обмена опытом

📲 Регистрируйтесь на сайте и бронируйте стенд прямо сейчас.

Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.