⚙️ В статье разобрано как настроить мониторинг состава привилегированных групп в домене AD (Domain admins, Schema admins, Enterprise admins и т.д.) с помощью политики аудита и PowerShell скрипта.
🔔 При добавлении нового пользователя в одну из административных групп вы будете получать уведомление (письмом или в мессенджер) с информацией: какая группа была изменена, кто из администраторов внес изменения, и какой пользователь была добавлена в группу.
Оповещение при добавлении пользователя в группу администраторов Active Directory
🔔 При добавлении нового пользователя в одну из административных групп вы будете получать уведомление (письмом или в мессенджер) с информацией: какая группа была изменена, кто из администраторов внес изменения, и какой пользователь была добавлена в группу.
Оповещение при добавлении пользователя в группу администраторов Active Directory
🛡Credential Manager (диспетчер учетных данных) Windows используется для безопасного хранения и извлечения сохраненных учетных данных (имя пользователя+пароль) и сертификатов для подключения к различным сервисам (сетевым папкам, RDP хостам, веб-сайтам, и т.д.).
✅ В статье рассмотрены основные аспекты работы и управления диспетчером учетных данных Windows:
🔹 Как получить доступ к Credential Manager?
🔹 Где хранятся пароли и можно ли их извлечь в открытом виде?
🔹 Как добавить или удалить сохраненные учетные данные?
🔹 Можно ли запретить пользователям сохранять пароли в Windows?
🔹 Как использовать сохраненные учетные данные в скриптах PowerShell?
Диспетчер учетных данных Windows: управление сохраненными паролями
✅ В статье рассмотрены основные аспекты работы и управления диспетчером учетных данных Windows:
🔹 Как получить доступ к Credential Manager?
🔹 Где хранятся пароли и можно ли их извлечь в открытом виде?
🔹 Как добавить или удалить сохраненные учетные данные?
🔹 Можно ли запретить пользователям сохранять пароли в Windows?
🔹 Как использовать сохраненные учетные данные в скриптах PowerShell?
Диспетчер учетных данных Windows: управление сохраненными паролями
⚙️ В статье мы рассмотрели, как настроить загрузку Windows с жесткого диска, размеченного в таблице разделов GPT на старых компьютерах с классическим BIOS (в которых не поддерживается современная среда UEFI).
🤯Идея заключается в том, чтобы вынести MBR загрузчик на отдельную внешнюю USB флешку или SD карту. Этот загрузчик будет запускать EFI загрузчик Windows на GPT диске.
В качестве диспетчера загрузки можно использовать
🔹 Родной Windows Boot Manager (если нужно сконвертировать уже установленную систему)
🔹Open-source загрузчик Clover (поддерживает любые ОС)
Это позволит решить две частые проблемы:
✅ Позволит использовать NVMe SSD в качестве загрузочного диска на старых материнских платах с Legacy BIOS (старые BIOS не видят новые NVMe SSD).
✅ Позволит использовать в Windows весь доступный объем загрузочных дисков большой емкости (более 2 Тб).
Загрузка Windows с GPT диска на BIOS компьютере (без UEFI)
🤯Идея заключается в том, чтобы вынести MBR загрузчик на отдельную внешнюю USB флешку или SD карту. Этот загрузчик будет запускать EFI загрузчик Windows на GPT диске.
В качестве диспетчера загрузки можно использовать
🔹 Родной Windows Boot Manager (если нужно сконвертировать уже установленную систему)
🔹Open-source загрузчик Clover (поддерживает любые ОС)
Это позволит решить две частые проблемы:
✅ Позволит использовать NVMe SSD в качестве загрузочного диска на старых материнских платах с Legacy BIOS (старые BIOS не видят новые NVMe SSD).
Это актуально, если вы хотите дать вторую жизнь старым серверам, таким как HP DL380 G8 и пр. ✅ Позволит использовать в Windows весь доступный объем загрузочных дисков большой емкости (более 2 Тб).
Загрузка Windows с GPT диска на BIOS компьютере (без UEFI)
⚙️ В статье по ссылке постарались детально описать, как с помощью CUPS и smbclient в Linux проверить доступность, найти драйвер и подключить сетевой принтер Windows на рабочей станции Linux.
Настройка печати из Linux на общий сетевой принтер в Windows 10
Настройка печати из Linux на общий сетевой принтер в Windows 10
📂 При использовании общих сетевых папок Windows, которыми одновременно пользуются множество пользователей, администраторы периодически встречаются с ситуациями блокировки файлов.
🔒Если пользователь открыт файл в общей сетевой SMB папке на сервере на чтение+запись и забыл его закрыть (ушел домой, в отпуск), другие пользователи не смогут внести изменения в файл.
🔹 Как узнать, кто открыл и заблокировал конкретный файл в сетевой папке Windows?
🔹 Как принудительно завершить SMB сессию и разблокировать такой файл с помощью команды
Как найти и закрыть открытые файлы в сетевой папке на сервере Windows?
🔒Если пользователь открыт файл в общей сетевой SMB папке на сервере на чтение+запись и забыл его закрыть (ушел домой, в отпуск), другие пользователи не смогут внести изменения в файл.
🔹 Как узнать, кто открыл и заблокировал конкретный файл в сетевой папке Windows?
🔹 Как принудительно завершить SMB сессию и разблокировать такой файл с помощью команды
openfiles или PowerShell?Как найти и закрыть открытые файлы в сетевой папке на сервере Windows?
👨🏻💻По умолчанию встроенный клиент Remote Desktop Client (mstsc.exe) использует режим кэширования редко изменяемых частей экрана удаленного рабочего стола для улучшения производительности и уменьшения трафика.
📤В кэше RDP хранятся необработанные растровые изображения экрана в виде плиток размера 64 x 64 пикселя. Изображения экрана можно извлечь из кэша с помощью готовых скриптов типа
🛡Поэтому, если вы используете RDP клиент на недоверенном компьютере, нужно отключить режим кэширования в клиенте и очищать логи RDP.
📤В кэше RDP хранятся необработанные растровые изображения экрана в виде плиток размера 64 x 64 пикселя. Изображения экрана можно извлечь из кэша с помощью готовых скриптов типа
RDP Cached Bitmap Extractor. Кэш RDP сессии по умолчанию не очищается и потенциально из него можно извлечь много чувствительной информации.🛡Поэтому, если вы используете RDP клиент на недоверенном компьютере, нужно отключить режим кэширования в клиенте и очищать логи RDP.
🔄 Для управления установкой обновлений безопасности и патчами на продукты Microsoft (Windows, Office) на компьютерах в локальной сети традиционно используется собственный сервер обновлений WSUS. Однако на компьютерах пользователей установлены и сторонние приложения (архиваторы, браузеры, PDF ридеры, и т.д.), которые также нужно регулярно отслеживать и обновлять. Для WSUS есть open-source расширение
✅ В примере рассматривается, как создать на WSUS пакет обновления для 7-Zip и централизованного распространить его на компьютеры пользователей через стандартный механизм Windows Update
Установка и обновление сторонних программ с помощью WSUS
WSUS Package Publisher, которое позволит вам создать собственные пакеты для распространения/обновления любых приложений через сервер обновлений WSUS.✅ В примере рассматривается, как создать на WSUS пакет обновления для 7-Zip и централизованного распространить его на компьютеры пользователей через стандартный механизм Windows Update
Установка и обновление сторонних программ с помощью WSUS
Массовые проблемы с DNS в зоне RU
https://habr.com/ru/news/790188/
Причина проблемы заключается в неправильной подписи зоны DNSSEC:
В связи с этим, обращение к сайтам, размещенным в зоне .ru, может быть затруднено.
Временным решением является подключение к сервисам по IP адресу.https://habr.com/ru/news/790188/
🌐 На веб сервере IIS для привязки сайтов к портам и IP адресам используется механизм
✅ В статье рассматриваем как на веб-сервере IIS запустить несколько сайтов с разными именами и привязать их к одному HTTP/HTTPS порту, и одному или разным IP адресам.
IIS: запуск нескольких веб-сайтов на одном порту и IP адресе
Site Bindings. Для каждого вебсайта в метабазе IIS настройки привязки хранятся в формате: IP:Port:Hostname. IIS может запустить следующий сайт, когда комбинация из этих трех параметров является уникальными и не используются другими сайтами на сервере.✅ В статье рассматриваем как на веб-сервере IIS запустить несколько сайтов с разными именами и привязать их к одному HTTP/HTTPS порту, и одному или разным IP адресам.
IIS: запуск нескольких веб-сайтов на одном порту и IP адресе
📜Исторически для анализа активности агента и службы обновления в Windows использовался текстовый лог файл
⚙️Начиная с Windows 10, служба обновлений теперь не сбрасывает события в %windir%\WindowsUpdate.log. Подробные логи Windows Update теперь пишутся в формате
✅ Для генерации привычного текстового файла WindowsUpdate.log из ETL логов можно использовать комнадлет Get-WindowsUpdateLog.
✅ Также довольно подробная информация о работе агента Windows Update обновлений и установке патчей есть в журналах Event Viewer.
Просмотр логов службы обновлений в Windows
WindowsUpdate.log. С помощью этого файла можно было выполнить отладку работы агента обновлений Windows, найти проблемы и выявить причины ошибок с получением и установкой обновлений.⚙️Начиная с Windows 10, служба обновлений теперь не сбрасывает события в %windir%\WindowsUpdate.log. Подробные логи Windows Update теперь пишутся в формате
Event Tracing for Windows и не пригодны для просмотра в реальном времени.✅ Для генерации привычного текстового файла WindowsUpdate.log из ETL логов можно использовать комнадлет Get-WindowsUpdateLog.
✅ Также довольно подробная информация о работе агента Windows Update обновлений и установке патчей есть в журналах Event Viewer.
Просмотр логов службы обновлений в Windows
👨🏻💻 Открытый в интернет RDP порт 3389 на Windows хосте как магнит притягивает автоматических ботов, которые будут пытаться подобрать пароль для входа, или эксплуатировать одну из известных уязвимостей. На тестовом хосте за 10 минут видим 400+ попыток RD- входа с разных IP.
⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.
✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.
Защита RDP сервера от перебора паролей с блокировкой IP в файерволе
⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.
✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.
Защита RDP сервера от перебора паролей с блокировкой IP в файерволе
⏰ Функция WakeOnLan (WoL) позволяет удаленно включить компьютер, отправив на него специальный пакет данных (Magic Packet). После включения WoL для LAN адаптера, когда вы отправляете компьютер в спящий режим (stand by), сетевая карта переводится в режим пониженного энергопотребления и просматривает все поступающие по сети пакеты. При обнаружении Magic Packet, сетевая карта передает сигнал на включение компьютера.
✅ В статье рассмотрен пример настройки WoL в Linux, который удобно использовать для удаленного включения устройств, которые в целях экономии электроэнергии и ресурса не нужно держать постоянно включенными (домашние устройства и стенды).
Как удаленно разбудить Linux по сети с помощью Wake On Lan?
✅ В статье рассмотрен пример настройки WoL в Linux, который удобно использовать для удаленного включения устройств, которые в целях экономии электроэнергии и ресурса не нужно держать постоянно включенными (домашние устройства и стенды).
Как удаленно разбудить Linux по сети с помощью Wake On Lan?
📚RAM диск – это виртуальный диск, который создается в свободной области оперативной памяти и с точки зрения операционной системы выглядит как обычный локальный диск.
🚀 Преимущество RAM Drive – очень высокая скорость чтения и записи на него (до 10 раз быстрее чем SSD, и до 2-3 раз чем NVME M.2).
✅ RAM диск можно использовать на компьютерах с большим объёмом RAM для хранения кеша и временных файлов приложений.
✅ Чаще всего RAM Drive используется для хранения кэша браузера, временных баз SQL, кэша приложений обработки графики, видео, рендеринга.
⚙️ Создаем RAM диск с помощью встроенных средств Windows Server
🚀 Преимущество RAM Drive – очень высокая скорость чтения и записи на него (до 10 раз быстрее чем SSD, и до 2-3 раз чем NVME M.2).
✅ RAM диск можно использовать на компьютерах с большим объёмом RAM для хранения кеша и временных файлов приложений.
✅ Чаще всего RAM Drive используется для хранения кэша браузера, временных баз SQL, кэша приложений обработки графики, видео, рендеринга.
⚙️ Создаем RAM диск с помощью встроенных средств Windows Server
👨🏻💻 В предыдущей заметке я рассказывал о PowerShell скрипте для автоматической блокировки на RDP сервере, доступном в интернете, IP адресов, с которых идут попытки перебора паролей.
🔐 В комментариях несколько раз упоминали о том, что безопаснее в принципе не публиковать RDP порт Windows в Интернет, а использовать более безопасный доступ к RDS через шлюз Remote Desktop Gateway по порту TCP443. Недостатком такого способа указывалось, что RDGW не работает без домена AD. Однако это не так.
✅ Вопреки распространённому убеждению, RD Gateway можно развернуть без домена Active Directory (в рабочей группе). По ссылке подробный гайд.
🔐 В комментариях несколько раз упоминали о том, что безопаснее в принципе не публиковать RDP порт Windows в Интернет, а использовать более безопасный доступ к RDS через шлюз Remote Desktop Gateway по порту TCP443. Недостатком такого способа указывалось, что RDGW не работает без домена AD. Однако это не так.
✅ Вопреки распространённому убеждению, RD Gateway можно развернуть без домена Active Directory (в рабочей группе). По ссылке подробный гайд.
🧪Microsoft предоставляет возможность бесплатно скачать и установить ознакомительные версии Windows Server, которые можно абсолютно легально использовать для тестирования, обучения и других некоммерческих целях до 180 дней. Более того, ознакомительный период можно легально продлить 5 раз по 180 дней с помощью команды
✅Ознакомительную версию Windows Server Evaluation можно конвертировать в полноценную редакцию Standard/Datacenter с помощью команды DISM:
где в качестве ключа, нужно указать публичный GVLK ключ для вашей версии и редакции Windows Server (ключ для активации KMS клиентов).
Конвертирование ознакомительной (Evaluation) редакции Windows Server в полную
slmgr /rearm. Windows Server Evaluation предоставляет все возможности серверной платформы, но с ограниченным сроком использования. И в отличии от использования обычных редакций Windows Server без активации, это не нарушает лицензионное соглашение.✅Ознакомительную версию Windows Server Evaluation можно конвертировать в полноценную редакцию Standard/Datacenter с помощью команды DISM:
DISM /online /Set-Edition:ServerStandard /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxx /accepteula
где в качестве ключа, нужно указать публичный GVLK ключ для вашей версии и редакции Windows Server (ключ для активации KMS клиентов).
Конвертирование ознакомительной (Evaluation) редакции Windows Server в полную
☁️︎ С 12 февраля 2024 года компания Broadcom (купившая в 2022 бизнес VMware) прекратила распространение бесплатных версий VMware vSphere Hypervisor (ESXi 7.x и 8.x). Напомним, что с января 2024 VMware прекратила за продажи бессрочных лицензий с целью перехода на подписочную модель. Это еще один, контрольный гвоздь в перспективы использования VMware в РФ. 🤷♂️
🔹С учетом того, что у Microsoft последняя версия бесплатного Microsoft Hyper-V была выпущена в 2019 году, и дальнейших планов по его перевыпуску не анонсировано, для новых инсталляция в качестве бесплатного гипервизора для малых внедрений, домашних лабораторий и тестовых стендов, практически без альтернативно, придется использовать гипервизор Proxmox VE 👌
🔹С учетом того, что у Microsoft последняя версия бесплатного Microsoft Hyper-V была выпущена в 2019 году, и дальнейших планов по его перевыпуску не анонсировано, для новых инсталляция в качестве бесплатного гипервизора для малых внедрений, домашних лабораторий и тестовых стендов, практически без альтернативно, придется использовать гипервизор Proxmox VE 👌
♾ В эпоху установки софта из онлайн репозиториев и Continuous Integration создание установочного образа Windows с предустановленными программами почти потеряло смысл. Когда вы начнете раскатывать свой образ по компьютерам, почти все версии программ в образе окажутся устаревшими. 🤷♂️ Поэтому обычно проще автоматизировать установку пакета программ уже после развертывания образа на компьютер, благо инструментов довольно много.
⚙️ Однако в некоторых случаях особенности бизнеса требуют, чтобы на компьютер сразу разворачивался готовый образ Windows со всеми необходимыми программами, настройкам и параметрами.
✅ Создаем установочный образ Windows с предустановленными программами
⚙️ Однако в некоторых случаях особенности бизнеса требуют, чтобы на компьютер сразу разворачивался готовый образ Windows со всеми необходимыми программами, настройкам и параметрами.
✅ Создаем установочный образ Windows с предустановленными программами
📚 Особенности развертывания отдельностоящего терминального сервера RDS на Windows Server 2019/2022 в рабочей группе (без домена):
🔹 Возможно использовать клиентские лицензии (RDS CAL) только типа Per-Device
🔹 Для каждого RDS пользователя придется создать отдельную локальную учетную запись
🔹Нельзя управлять развертыванием через стандартный интерфейс RDS в консоли Server Manager (настройки хоста RDSH задаются исключительно через локальную GPO)
🔹Нельзя создать коллекцию и опубликовать RemoteApp (однако есть способ публикации любого приложения в виде RDS RemoteApp путем прямой правки реестра)
✅ Установка терминального сервера Remote Desktop Services Host на Windows Server в рабочей группе
🔹 Возможно использовать клиентские лицензии (RDS CAL) только типа Per-Device
🔹 Для каждого RDS пользователя придется создать отдельную локальную учетную запись
🔹Нельзя управлять развертыванием через стандартный интерфейс RDS в консоли Server Manager (настройки хоста RDSH задаются исключительно через локальную GPO)
🔹Нельзя создать коллекцию и опубликовать RemoteApp (однако есть способ публикации любого приложения в виде RDS RemoteApp путем прямой правки реестра)
✅ Установка терминального сервера Remote Desktop Services Host на Windows Server в рабочей группе
🛡При управлении папками и файлами на файловом сервере Windows из проводника File Explorer все администраторы сталкиваются с появлением запроса повышения привилегий UAC при доступе к пользовательским каталогам, профилям, системным файлами, для которых в качестве владельца выставлены другие принципалы. В результате при каждом нажатии кнопки Continue, Windows редактирует текущий ACL папки и принудительно добавляет ваш аккаунт в NTFS список доступа объекта. Это приводит к постоянному увеличению размера NTFS ACL объекта, особенно если файловым сервером управляют несколько администраторов.
⬆️ Это связано с тем, что по умолчанию процесс проводника Windows Explorer запускается в непривилегированном режиме, несмотря на то что вы вошли в Windows как администратор. Для запуска проводника Windows в elevated режиме, нужно завершить текущий процесс explorer.exe и запустить новый командой 👇:
✅ Запуск Проводника Windows (File Explorer) с правами администратора
⬆️ Это связано с тем, что по умолчанию процесс проводника Windows Explorer запускается в непривилегированном режиме, несмотря на то что вы вошли в Windows как администратор. Для запуска проводника Windows в elevated режиме, нужно завершить текущий процесс explorer.exe и запустить новый командой 👇:
explorer.exe /nouaccheck
✅ Запуск Проводника Windows (File Explorer) с правами администратора