👨🏻💻 Открытый в интернет RDP порт 3389 на Windows хосте как магнит притягивает автоматических ботов, которые будут пытаться подобрать пароль для входа, или эксплуатировать одну из известных уязвимостей. На тестовом хосте за 10 минут видим 400+ попыток RD- входа с разных IP.
⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.
✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.
Защита RDP сервера от перебора паролей с блокировкой IP в файерволе
⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.
✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.
Защита RDP сервера от перебора паролей с блокировкой IP в файерволе
👍54
⏰ Функция WakeOnLan (WoL) позволяет удаленно включить компьютер, отправив на него специальный пакет данных (Magic Packet). После включения WoL для LAN адаптера, когда вы отправляете компьютер в спящий режим (stand by), сетевая карта переводится в режим пониженного энергопотребления и просматривает все поступающие по сети пакеты. При обнаружении Magic Packet, сетевая карта передает сигнал на включение компьютера.
✅ В статье рассмотрен пример настройки WoL в Linux, который удобно использовать для удаленного включения устройств, которые в целях экономии электроэнергии и ресурса не нужно держать постоянно включенными (домашние устройства и стенды).
Как удаленно разбудить Linux по сети с помощью Wake On Lan?
✅ В статье рассмотрен пример настройки WoL в Linux, который удобно использовать для удаленного включения устройств, которые в целях экономии электроэнергии и ресурса не нужно держать постоянно включенными (домашние устройства и стенды).
Как удаленно разбудить Linux по сети с помощью Wake On Lan?
👍28
📚RAM диск – это виртуальный диск, который создается в свободной области оперативной памяти и с точки зрения операционной системы выглядит как обычный локальный диск.
🚀 Преимущество RAM Drive – очень высокая скорость чтения и записи на него (до 10 раз быстрее чем SSD, и до 2-3 раз чем NVME M.2).
✅ RAM диск можно использовать на компьютерах с большим объёмом RAM для хранения кеша и временных файлов приложений.
✅ Чаще всего RAM Drive используется для хранения кэша браузера, временных баз SQL, кэша приложений обработки графики, видео, рендеринга.
⚙️ Создаем RAM диск с помощью встроенных средств Windows Server
🚀 Преимущество RAM Drive – очень высокая скорость чтения и записи на него (до 10 раз быстрее чем SSD, и до 2-3 раз чем NVME M.2).
✅ RAM диск можно использовать на компьютерах с большим объёмом RAM для хранения кеша и временных файлов приложений.
✅ Чаще всего RAM Drive используется для хранения кэша браузера, временных баз SQL, кэша приложений обработки графики, видео, рендеринга.
⚙️ Создаем RAM диск с помощью встроенных средств Windows Server
👍49
👨🏻💻 В предыдущей заметке я рассказывал о PowerShell скрипте для автоматической блокировки на RDP сервере, доступном в интернете, IP адресов, с которых идут попытки перебора паролей.
🔐 В комментариях несколько раз упоминали о том, что безопаснее в принципе не публиковать RDP порт Windows в Интернет, а использовать более безопасный доступ к RDS через шлюз Remote Desktop Gateway по порту TCP443. Недостатком такого способа указывалось, что RDGW не работает без домена AD. Однако это не так.
✅ Вопреки распространённому убеждению, RD Gateway можно развернуть без домена Active Directory (в рабочей группе). По ссылке подробный гайд.
🔐 В комментариях несколько раз упоминали о том, что безопаснее в принципе не публиковать RDP порт Windows в Интернет, а использовать более безопасный доступ к RDS через шлюз Remote Desktop Gateway по порту TCP443. Недостатком такого способа указывалось, что RDGW не работает без домена AD. Однако это не так.
✅ Вопреки распространённому убеждению, RD Gateway можно развернуть без домена Active Directory (в рабочей группе). По ссылке подробный гайд.
👍80
🧪Microsoft предоставляет возможность бесплатно скачать и установить ознакомительные версии Windows Server, которые можно абсолютно легально использовать для тестирования, обучения и других некоммерческих целях до 180 дней. Более того, ознакомительный период можно легально продлить 5 раз по 180 дней с помощью команды
✅Ознакомительную версию Windows Server Evaluation можно конвертировать в полноценную редакцию Standard/Datacenter с помощью команды DISM:
где в качестве ключа, нужно указать публичный GVLK ключ для вашей версии и редакции Windows Server (ключ для активации KMS клиентов).
Конвертирование ознакомительной (Evaluation) редакции Windows Server в полную
slmgr /rearm. Windows Server Evaluation предоставляет все возможности серверной платформы, но с ограниченным сроком использования. И в отличии от использования обычных редакций Windows Server без активации, это не нарушает лицензионное соглашение.✅Ознакомительную версию Windows Server Evaluation можно конвертировать в полноценную редакцию Standard/Datacenter с помощью команды DISM:
DISM /online /Set-Edition:ServerStandard /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxx /accepteula
где в качестве ключа, нужно указать публичный GVLK ключ для вашей версии и редакции Windows Server (ключ для активации KMS клиентов).
Конвертирование ознакомительной (Evaluation) редакции Windows Server в полную
👍61
☁️︎ С 12 февраля 2024 года компания Broadcom (купившая в 2022 бизнес VMware) прекратила распространение бесплатных версий VMware vSphere Hypervisor (ESXi 7.x и 8.x). Напомним, что с января 2024 VMware прекратила за продажи бессрочных лицензий с целью перехода на подписочную модель. Это еще один, контрольный гвоздь в перспективы использования VMware в РФ. 🤷♂️
🔹С учетом того, что у Microsoft последняя версия бесплатного Microsoft Hyper-V была выпущена в 2019 году, и дальнейших планов по его перевыпуску не анонсировано, для новых инсталляция в качестве бесплатного гипервизора для малых внедрений, домашних лабораторий и тестовых стендов, практически без альтернативно, придется использовать гипервизор Proxmox VE 👌
🔹С учетом того, что у Microsoft последняя версия бесплатного Microsoft Hyper-V была выпущена в 2019 году, и дальнейших планов по его перевыпуску не анонсировано, для новых инсталляция в качестве бесплатного гипервизора для малых внедрений, домашних лабораторий и тестовых стендов, практически без альтернативно, придется использовать гипервизор Proxmox VE 👌
👍87👎5
♾ В эпоху установки софта из онлайн репозиториев и Continuous Integration создание установочного образа Windows с предустановленными программами почти потеряло смысл. Когда вы начнете раскатывать свой образ по компьютерам, почти все версии программ в образе окажутся устаревшими. 🤷♂️ Поэтому обычно проще автоматизировать установку пакета программ уже после развертывания образа на компьютер, благо инструментов довольно много.
⚙️ Однако в некоторых случаях особенности бизнеса требуют, чтобы на компьютер сразу разворачивался готовый образ Windows со всеми необходимыми программами, настройкам и параметрами.
✅ Создаем установочный образ Windows с предустановленными программами
⚙️ Однако в некоторых случаях особенности бизнеса требуют, чтобы на компьютер сразу разворачивался готовый образ Windows со всеми необходимыми программами, настройкам и параметрами.
✅ Создаем установочный образ Windows с предустановленными программами
👍45
📚 Особенности развертывания отдельностоящего терминального сервера RDS на Windows Server 2019/2022 в рабочей группе (без домена):
🔹 Возможно использовать клиентские лицензии (RDS CAL) только типа Per-Device
🔹 Для каждого RDS пользователя придется создать отдельную локальную учетную запись
🔹Нельзя управлять развертыванием через стандартный интерфейс RDS в консоли Server Manager (настройки хоста RDSH задаются исключительно через локальную GPO)
🔹Нельзя создать коллекцию и опубликовать RemoteApp (однако есть способ публикации любого приложения в виде RDS RemoteApp путем прямой правки реестра)
✅ Установка терминального сервера Remote Desktop Services Host на Windows Server в рабочей группе
🔹 Возможно использовать клиентские лицензии (RDS CAL) только типа Per-Device
🔹 Для каждого RDS пользователя придется создать отдельную локальную учетную запись
🔹Нельзя управлять развертыванием через стандартный интерфейс RDS в консоли Server Manager (настройки хоста RDSH задаются исключительно через локальную GPO)
🔹Нельзя создать коллекцию и опубликовать RemoteApp (однако есть способ публикации любого приложения в виде RDS RemoteApp путем прямой правки реестра)
✅ Установка терминального сервера Remote Desktop Services Host на Windows Server в рабочей группе
👍48👎2
🛡При управлении папками и файлами на файловом сервере Windows из проводника File Explorer все администраторы сталкиваются с появлением запроса повышения привилегий UAC при доступе к пользовательским каталогам, профилям, системным файлами, для которых в качестве владельца выставлены другие принципалы. В результате при каждом нажатии кнопки Continue, Windows редактирует текущий ACL папки и принудительно добавляет ваш аккаунт в NTFS список доступа объекта. Это приводит к постоянному увеличению размера NTFS ACL объекта, особенно если файловым сервером управляют несколько администраторов.
⬆️ Это связано с тем, что по умолчанию процесс проводника Windows Explorer запускается в непривилегированном режиме, несмотря на то что вы вошли в Windows как администратор. Для запуска проводника Windows в elevated режиме, нужно завершить текущий процесс explorer.exe и запустить новый командой 👇:
✅ Запуск Проводника Windows (File Explorer) с правами администратора
⬆️ Это связано с тем, что по умолчанию процесс проводника Windows Explorer запускается в непривилегированном режиме, несмотря на то что вы вошли в Windows как администратор. Для запуска проводника Windows в elevated режиме, нужно завершить текущий процесс explorer.exe и запустить новый командой 👇:
explorer.exe /nouaccheck
✅ Запуск Проводника Windows (File Explorer) с правами администратора
👍136
🕵️ С помощью аудита файловой системы вы можете контролировать события доступа к файлам и папкам на файловом сервере. Аудит можно настроить для конкретного файла или папки включая/не включая вложенные подпапки. Грамотно настроенная политика аудита позволит понять кто удалил/изменил/переименовал конкретный файл или папку. Политику аудита нужно применять гранулярно: если включить ее для всех объектов, в журнал событий Event Viewer будет попадать много избыточной информации.
✅ Аудит файловой системы в Windows: как контролировать доступ к файлам и папкам
✅ Аудит файловой системы в Windows: как контролировать доступ к файлам и папкам
👍74
📦 Магазин приложений Microsoft Store является аналогом Google Play и Apple Store и предполагается в качестве безопасного способа получения, обновления и управления приложениями в Windows 10 и 11. В Microsoft Store доступны два типа приложений:
🔹 APPX – формат универсальных приложений Windows (UWP, Universal Windows Platform), который используют API отличный от классических приложений Win32
🔹 MSIX – новый формат доставки приложений, который позволяет распространить не только APPX приложения, но и упакованные в MSI формат классические десктопные приложения Windows.
⬇️ Некоторые программы для Windows сейчас можно получить только через MS Store. Если у вас отсутствует (отключен/заблокирован/удален) магазин приложений Microsoft, вы можете скачать установочные файлы приложений в APPX и MSIX форматах вручную.
📥 Как получить прямую ссылку на загрузку APPX/MSIX файла из Microsoft Store со всеми зависимостями для офлайн установки?
🔹 APPX – формат универсальных приложений Windows (UWP, Universal Windows Platform), который используют API отличный от классических приложений Win32
🔹 MSIX – новый формат доставки приложений, который позволяет распространить не только APPX приложения, но и упакованные в MSI формат классические десктопные приложения Windows.
⬇️ Некоторые программы для Windows сейчас можно получить только через MS Store. Если у вас отсутствует (отключен/заблокирован/удален) магазин приложений Microsoft, вы можете скачать установочные файлы приложений в APPX и MSIX форматах вручную.
📥 Как получить прямую ссылку на загрузку APPX/MSIX файла из Microsoft Store со всеми зависимостями для офлайн установки?
👍66
🛡 С помощью утилиты Sigcheck от Microsoft Sysinternals вы можете проверить наличие сторонних сертификатов на вашем компьютере.
🤝Утилита сравнивает список установленных сертификатов со списком доверенных корневых сертификатов, которые публикует Microsoft и возвращает только сторонние сертификаты, которые отсутствуют в этом списке. В целях безопасности рекомендуется периодически сканировать хранилище доверенных сертификатов на наличие сторонних подозрительных сертификатов.
✅ Проверить хранилище сертификатов компьютера:
✅ Проверить хранилища сертификатов пользователя:
✅Удалить сертификат по его отпечатку:
Поиск недоверенных корневых сертификатов в хранилище сертификатов Windows
🤝Утилита сравнивает список установленных сертификатов со списком доверенных корневых сертификатов, которые публикует Microsoft и возвращает только сторонние сертификаты, которые отсутствуют в этом списке. В целях безопасности рекомендуется периодически сканировать хранилище доверенных сертификатов на наличие сторонних подозрительных сертификатов.
✅ Проверить хранилище сертификатов компьютера:
sigcheck64.exe -tv *
✅ Проверить хранилища сертификатов пользователя:
sigcheck64.exe -tuv *
✅Удалить сертификат по его отпечатку:
certutil –delstore Root C17163D597E8A9F01F5E55679866C6C941540195
Поиск недоверенных корневых сертификатов в хранилище сертификатов Windows
👍71
WindowsITPro - winitpro.ru
🛡 С помощью утилиты Sigcheck от Microsoft Sysinternals вы можете проверить наличие сторонних сертификатов на вашем компьютере. 🤝Утилита сравнивает список установленных сертификатов со списком доверенных корневых сертификатов, которые публикует Microsoft и…
…в продолжение темы с хранилищами доверенных корневых сертификатов Windows.
📜 Для централизованной установки и удаления сертификатов на компьютеры пользователей в среде AD удобно использовать групповые политики.
✅ С помощью GPO вы можете буквально с помощью несколько кликов распространить корневой сертификат вашего CA, или установить самоподписанный сертификат на все машины.
Установка сертификатов на компьютеры пользователей с помощью GPO
👍55
🩹Во многих организациях используется отложенная установка обновлений на хостах Windows Server. Если вам выделили окно обслуживания и нужно быстро скачать и установить обновления на всех серверах, удобно использовать PowerShell модуль PSWindowsUpdate:
1️⃣ Сформируйте список серверов из из AD:
🔹или txt файла:
2️⃣ Запустить установку обновлений на серверах из списка и перезагрузить:
Команда создаст на всех компьютерах задание планировщика с правами SYSTEM, которое запустите установку обновлений и выполнит перезагрузку по завершении.
3️⃣ Узнать статус установки:
Установка обновлений помощью модуля PSWindowsUpdate
1️⃣ Сформируйте список серверов из из AD:
$Srvs = Get-ADComputer -SearchBase "OU=Servers,DC=test,DC=loc" -Filter {OperatingSystem -like "*Windows Server*" } | Select -ExpandProperty name🔹или txt файла:
$Srvs = GC c:\servers.txt
2️⃣ Запустить установку обновлений на серверах из списка и перезагрузить:
Invoke-WuJob -ComputerName $Srvs -Script {ipmo PSWindowsUpdate; Install-WindowsUpdate -AcceptAll -AutoReboot | Out-File "C:\update.log"} -RunNow -Confirm:$false -Verbose -ErrorAction IgnoreКоманда создаст на всех компьютерах задание планировщика с правами SYSTEM, которое запустите установку обновлений и выполнит перезагрузку по завершении.
3️⃣ Узнать статус установки:
Get-WUJob -ComputerName $Srvs
Установка обновлений помощью модуля PSWindowsUpdate
👍63👎1
🏁 Microsoft в прошлом году анонсировала, что билд 22H2 будет финальной версией Windows 10. Срок окончания поддержки Windows 10 22H2 будет завершен
🔼 Если у вас не используются редакции Win 10 LTSC, то для получения актуальных обновлений безопасности, придется обновлять компьютеры до Windows 11. С учетом того, что в W11 есть ограничения на старые версии CPU (не поддерживаются процессоры ранее 2017) и обязательное наличие TPM чипа, с апгрейдом старых компьютеров до Windows 11 могут быть проблемы.
🔨 Сейчас есть несколько способов обойти проверку минимальных требования железа при обновлении до Windows 11, но все они считаются официально не поддерживаемыми и каков будет их статус - не понятно.
🔹 В любом случае, администраторам нужно заранее проанализировать свой парк компьютеров на соответствие мин. требованиям Windows 11.
Обновление до Windows 11 на неподдерживаемом компьютере
14 октября 2025 г, после чего для Windows 10 в канале General Availability Channel перестанут выпускаться обновления безопасности.🔼 Если у вас не используются редакции Win 10 LTSC, то для получения актуальных обновлений безопасности, придется обновлять компьютеры до Windows 11. С учетом того, что в W11 есть ограничения на старые версии CPU (не поддерживаются процессоры ранее 2017) и обязательное наличие TPM чипа, с апгрейдом старых компьютеров до Windows 11 могут быть проблемы.
🔨 Сейчас есть несколько способов обойти проверку минимальных требования железа при обновлении до Windows 11, но все они считаются официально не поддерживаемыми и каков будет их статус - не понятно.
🔹 В любом случае, администраторам нужно заранее проанализировать свой парк компьютеров на соответствие мин. требованиям Windows 11.
Обновление до Windows 11 на неподдерживаемом компьютере
👍47👎7
WindowsITPro - winitpro.ru
🛡При управлении папками и файлами на файловом сервере Windows из проводника File Explorer все администраторы сталкиваются с появлением запроса повышения привилегий UAC при доступе к пользовательским каталогам, профилям, системным файлами, для которых в качестве…
Вадим Стеркин в своем блоге описал новые особенности механизма запуска привилегированного процесса expolrer.exe в Windows 11 23H2.
В этом билде Windows 11 контролирует запуск проводника с токеном администратора и прибивает запущенный процесс, а вместо него запускает новый с обычными правами.
✅ Чтобы отключить такое поведение, нужно изменить параметр реестра
🤜🏼 Теперь, при запуске следующей команды в первый раз, Windows все еще стреляет elevated процесс:
👌 Но при повторном запуске, привилегированный explorer.exe останется запущенным.
UPD. И не забудьте включить режим перезапуска оболочки после окончания действа 😁:
В этом билде Windows 11 контролирует запуск проводника с токеном администратора и прибивает запущенный процесс, а вместо него запускает новый с обычными правами.
✅ Чтобы отключить такое поведение, нужно изменить параметр реестра
AutoRestartShell:$path = 'HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
New-ItemProperty -Path $path -Name AutoRestartShell -Type Dword -Value 0 -Force | Out-Null
🤜🏼 Теперь, при запуске следующей команды в первый раз, Windows все еще стреляет elevated процесс:
taskkill /f /FI "USERNAME eq $env:UserName" /im explorer.exe ; c:\windows\explorer.exe /nouaccheck
👌 Но при повторном запуске, привилегированный explorer.exe останется запущенным.
UPD. И не забудьте включить режим перезапуска оболочки после окончания действа 😁:
New-ItemProperty -Path $path -Name AutoRestartShell -Type Dword -Value 1 -Force | Out-Null
taskkill /f /FI "USERNAME eq $env:UserName" /im explorer.exe
👍47
🛠Управляемые учетные записи (Managed Service Account, MSA), это специальный тип учетных записей Active Directory, которые используются для запуска служб и заданий планировщика на компьютерах и серверах домена. Обычно для запуска сервисов на серверах, в AD создаются отдельные пользовательские записи с урезанными правами. Основная проблема таких учеток - администраторы должны управлять паролями таких сервисных пользователей (хранить текущий пароль, менять его, перенастраивать службы после смены). Паролями сервисных MSA учетных записей управляет Active Directory.
✅ Преимущества MSA аккаунтов:
🔹Пароль меняется автоматически
🔹Сложность пароля 240 символов
🔹Интерактивный вход на компьютеры домена под MSA невозможен
🔹Отсутствие избыточных прав (MSA аккаунты не включены в группу Domain Users)
🔹 MSA аккаунт можно привязать к одному серверу. Group Managed Service Account (gMSA) можно использовать на нескольких компьютерах
🔹Автоматическое управление SPN
🔨 Управляемые сервисные учетные записи AD (MSA и gMSA)
✅ Преимущества MSA аккаунтов:
🔹Пароль меняется автоматически
🔹Сложность пароля 240 символов
🔹Интерактивный вход на компьютеры домена под MSA невозможен
🔹Отсутствие избыточных прав (MSA аккаунты не включены в группу Domain Users)
🔹 MSA аккаунт можно привязать к одному серверу. Group Managed Service Account (gMSA) можно использовать на нескольких компьютерах
🔹Автоматическое управление SPN
🔨 Управляемые сервисные учетные записи AD (MSA и gMSA)
👍75