⚠️ Критическая уязвимость в стеке TCP/IP во всех поддерживаемых версиях Windows CVE-2024-38063 (9.8 баллов из 10). Злоумышленник с помощью специально сформированных пакетов IPv6 может удаленно выполнить произвольный код (без взаимодействия с пользователем или аутентификации). Т.е. IPv6 пакет судя по описанию может привести к RCE 🤯.
🔐 Обновления для Windows выпущены 13 августа и доступны для загрузки. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
В качестве временного решения можно отключить IPv6 на сетевом адаптере, но это может вызвать проблемы с некоторыми системными компонентами (особенно на Windows Server).
🔐 Обновления для Windows выпущены 13 августа и доступны для загрузки. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
В качестве временного решения можно отключить IPv6 на сетевом адаптере, но это может вызвать проблемы с некоторыми системными компонентами (особенно на Windows Server).
🔒 В списке безопасного извлечения устройств в трее могут отображаться не только привычные USB флешки, но и другое оборудование, которое совсем не хочется видеть здесь: NVMe/SSD/SATA диски, дисковые контроллеры, сетевые карты, GPU, мониторы и прочее.
♆ Чтобы определенное устройство не мозолило глаза в списке Safely Remove Hardware and Eject Media, нужно определить его ID и в его ветке реестра изменить значение параметра
🔹Автоматизируем это с помощью планировщика:
✅После этого устройство не будет отображаться в списке безопасного извлечения
Убрать (скрыть) определенное устройство из меню безопасного извлечения
♆ Чтобы определенное устройство не мозолило глаза в списке Safely Remove Hardware and Eject Media, нужно определить его ID и в его ветке реестра изменить значение параметра
Capabilities на 60 (HEX). Значение сбрасывается при перезагрузке, поэтому нужно менять его при каждой загрузке Windows.🔹Автоматизируем это с помощью планировщика:
schtasks /create /tn "Hide_Device_From_Safe_Removal" /sc ONSTART /ru SYSTEM /rl HIGHEST /tr "reg.exe add 'HKLM\SYSTEM\CurrentControlSet\Enum\USB\VID_2357&PID_010C\00E04C0001' /v Capabilities /t reg_dword /d 0x00000060 /f"
✅После этого устройство не будет отображаться в списке безопасного извлечения
Убрать (скрыть) определенное устройство из меню безопасного извлечения
🔄 Настройки групповых политик в Windows обновляются при загрузке компьютера, при входе пользователя, и автоматически в фоновом режиме (по умолчанию в течении произвольного интервала от 90 до 120 минут). Фоновое обновление настроек GPO происходит, если служба Group Policy Client (
💨 Если нужно немедленно применить новые настройки GPO на удаленном компьютере, можно использовать:
🔹 консоль управления доменными GPO (gpmc.msc) – правый клик по OU и выбрать
🔹 PowerShell команду:
Как применить (обновить) настройки групповых политик в Windows?
gpsvc) увидела, что версия политики изменилась (номер версии политики в хранится в файле \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini). 💨 Если нужно немедленно применить новые настройки GPO на удаленном компьютере, можно использовать:
🔹 консоль управления доменными GPO (gpmc.msc) – правый клик по OU и выбрать
Group Policy Update🔹 PowerShell команду:
Invoke-GPUpdate –Computer PC01 -RandomDelayInMinutes 0
Как применить (обновить) настройки групповых политик в Windows?
🖨Исправление уязвимости в подсистеме печати Windows, обнаруженной в 2021 году (под названием
🔹Либо предварительно загрузить все необходимые драйвера печати в хранилище драйверов Windows на всех клиентских устройствах
🔹Или изменить значение параметра реестра
Не удается подключить сетевой принтер в Windows
PrintNightmare), изменило возможности пользователей без прав администратора по подключению сетевых принтеров. Теперь Windows при установке драйвера печати с принт сервера всегда запрашивает повышение привилегий (ввода учетных данных администратора). Чтобы пользователи могли самостоятельно подключать сетевые принтера, можно пойти по одному из следующих путей:🔹Либо предварительно загрузить все необходимые драйвера печати в хранилище драйверов Windows на всех клиентских устройствах
🔹Или изменить значение параметра реестра
RestrictDriverInstallationToAdministrators на 0 . Однако это делает машину уязвимой. Чтобы обезопасить компьютер, нужно ограничить список устройств, с которых разрешена установка драйверов, списком доверенных принт-серверов (его можно задать с помощью GPO Package Point and print — Approved servers, описано тут)Не удается подключить сетевой принтер в Windows
🔎Файл Windows.edb (Windows.db в Windows 11) содержит индексную базу данных службы поиска Windows (Windows Search). Поисковый индекс позволяет пользователям выполнять быстрый поиск файлов, писем в PST файлах и другого контента на диске. При большом количестве файлов размер файла Windows.edb может вырастать до десятков и сотен Гб, занимая все свободное место на системном диске.
✅ В статье описано, как перестроить поисковый индекс, сбросить его, перенести или выполнить дефрагментацию файла EDB базы с помощью утилиты
Как перенастроить, перенести или уменьшить размер файла Windows.edb службы поиска Windows
✅ В статье описано, как перестроить поисковый индекс, сбросить его, перенести или выполнить дефрагментацию файла EDB базы с помощью утилиты
esentutl (знакомой Exchange админам).Как перенастроить, перенести или уменьшить размер файла Windows.edb службы поиска Windows
🕒 В Windows Server 2019 и 2022 есть известный баг (или фича), которая не дает сменить часовой пояс компьютера из графического интерфейса. При попытке сменить часовой пояс через классическую панель управления (
Приходится задавать нужный часовой пояс с помощью утилиты tzutil или через PowerShell:
✅
✅
Или нужно запустить аплет timedate.cpl в режиме Run As Administrator.
Как изменить часовой пояс в Windows (все способы)
timedate.cpl), или новую панель Параметры, появляется ошибка об отсутствии разрешений (даже под администратором) 🙈.Приходится задавать нужный часовой пояс с помощью утилиты tzutil или через PowerShell:
✅
tzutil /s "Russian Standard Time"
✅
Get-TimeZone -ListAvailable|? DisplayName -like "*Moscow*"|Set-TimeZone
Или нужно запустить аплет timedate.cpl в режиме Run As Administrator.
Как изменить часовой пояс в Windows (все способы)
💪 Рекомендую качественный контент знакомого ИТ-сообщества с 14-летним стажем:
⌨️ ITKB_channel — бесплатное обучение по Windows, Linux, DevOps, Security, Network, программирование
📚 ITKB_Archive — библиотека (книги, курсы, ИТ литература)
⌨️ ITKB_channel — бесплатное обучение по Windows, Linux, DevOps, Security, Network, программирование
📚 ITKB_Archive — библиотека (книги, курсы, ИТ литература)
📚 Для автоматизации некоторых действий администратору часто приходится писать скрипты и запускать их по расписанию или при наступлении определенного события через планировщик задач Windows (Task Scheduler). Задача эта несложная, но есть некоторые нюансы.
✅ В статье рассмотрено, как правильно настроить запуск PowerShell скрипта по расписанию с помощью планировщика задач Windows.
Запуск PowerShell скриптов по расписанию из Task Scheduler
✅ В статье рассмотрено, как правильно настроить запуск PowerShell скрипта по расписанию с помощью планировщика задач Windows.
Запуск PowerShell скриптов по расписанию из Task Scheduler
⚙️Иногда сталкиваюсь с тем, что виртуальная машина на хосте VMWare ESXi зависает и не отвечает на команды перезагрузки/выключения из веб-интерфейса клиента vSphere.
✅ Чтобы целиком не перезагружать весть хост, можно вручную остановить процесс подвисшей ВМ из консоли ESXi.
Вывести список зарегистрированных ВМ:
Мягко (предпочтительно) завершить процесс зависшей ВМ по ее WorldID:
Либо использовать опцию hard или force чтобы пристрелить процесс принудительно.
✅Также можно использовать консольную утилиту
Перезапуск зависшей виртуальной машины в VMware ESXi
✅ Чтобы целиком не перезагружать весть хост, можно вручную остановить процесс подвисшей ВМ из консоли ESXi.
Вывести список зарегистрированных ВМ:
$ esxcli vm process list
Мягко (предпочтительно) завершить процесс зависшей ВМ по ее WorldID:
$ esxcli vm process kill --type=soft -w=12345678
Либо использовать опцию hard или force чтобы пристрелить процесс принудительно.
✅Также можно использовать консольную утилиту
esxtop, в которой можно вывести список процессов ВМ, и остановить нужный процесс.Перезапуск зависшей виртуальной машины в VMware ESXi
👻 Если вы хотите, чтобы ваши пользователи работали в Windows-окружении, которое сбрасывается при завершении сеанса, можно настроить для них специальный тип профиля, который называется
Использование read-only (mandatory) профилей пользователей в Windows
📚 Такой тип профилей обычно используют на общедоступных компьютерах, киосках и в образовательных учреждениях, когда нужно очищать все сделанное пользователем за время сеанса.
⚙️ Если вам нужно полностью защитить Windows от любых изменений на файловой системе, можно использовать другую технологию с фильтрами записи на диск Unified Write Filter (UWF).
mandatory (обязательный). Mandatory профиль настраивается администратором и назначается определенным пользователям. Любые изменения, которые внесли пользователи за время работы в таком сеансе будут сброшены при завершении сессии 🗑.Использование read-only (mandatory) профилей пользователей в Windows
📚 Такой тип профилей обычно используют на общедоступных компьютерах, киосках и в образовательных учреждениях, когда нужно очищать все сделанное пользователем за время сеанса.
⚙️ Если вам нужно полностью защитить Windows от любых изменений на файловой системе, можно использовать другую технологию с фильтрами записи на диск Unified Write Filter (UWF).
💬 В рамках одного из проектов понадобилось организовать рассылку оповещений пользователям в мессенджер WhatsApp из скрипта. Для такой задачи можно использовать консольный клиент Mudslide. Mudslide – это JavaScript модуль на фреймворке Node.js и библиотеке Baileys, позволяет подключаться к API WhatsApp Web.
📜 Модуль можно установить с помощью пакетного менеджера NPM:
Или скачать готовый скомпилированный файл со страницы проекта (есть версии для Windows и Linux).
🔐 Для авторизации в аккаунте понадобится смартфон с установленным приложением WhatsApp:
или
Отсканируйте QR код в приложении и можете отправить текстовое сообщение в WhatsApp на указанный номер:
Можно отправить картинку, координаты или прикрепить файл:
Отправка сообщений в WhatsApp из командной строки Windows/Linux
📜 Модуль можно установить с помощью пакетного менеджера NPM:
npm install -g mudslide
Или скачать готовый скомпилированный файл со страницы проекта (есть версии для Windows и Linux).
🔐 Для авторизации в аккаунте понадобится смартфон с установленным приложением WhatsApp:
npx mudslide login
или
mudslide.exe login
Отсканируйте QR код в приложении и можете отправить текстовое сообщение в WhatsApp на указанный номер:
mudslide.exe send 79123456789 "Hello"
Можно отправить картинку, координаты или прикрепить файл:
mudslide send-image 79123456789 imagepath.jpg
mudslide send-location me 55.752121 37.617664
mudslide send-file me C:\temp\scan.pdf
Отправка сообщений в WhatsApp из командной строки Windows/Linux
📰 Одним из новых элементов интерфейса Windows 11 стали виджеты или мини-приложения, которые открываются из панели задач. Некоторый пользователи жалуются, что основной процесс
🔹 Можно скрыть виджеты в панели задач Windows 11 через реестр:
🔹 Или через GPO: Computer Configuration -> Administrative Templates -> Windows Components -> Widgets -> Allow Widgets
🚫 Но фактически они все еще будут работать в фоне. Помогает только удаление UWP приложения. Из профиля текущего пользователя:
Если на компьютере несколько пользователей, можно удалить приложение из каждого с помощью командлетов
✅ Отключить виджеты (мини-приложения) в панели задач Windows 11
widgets.exe и дочерние процессы msedgewebwebview2.exe вызывают повышенную нагрузку на CPU и сильно расходуют RAM даже при простое. 🔹 Можно скрыть виджеты в панели задач Windows 11 через реестр:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "TaskbarDa" /t REG_DWORD /d "0" /f
🔹 Или через GPO: Computer Configuration -> Administrative Templates -> Windows Components -> Widgets -> Allow Widgets
🚫 Но фактически они все еще будут работать в фоне. Помогает только удаление UWP приложения. Из профиля текущего пользователя:
winget uninstall "windows web experience pack"
Если на компьютере несколько пользователей, можно удалить приложение из каждого с помощью командлетов
Remove-AppxPackage и Remove-AppxProvisionedPackage ✅ Отключить виджеты (мини-приложения) в панели задач Windows 11
🏴☠️Неизменно популярный способ загрузки ISO образов Windows с торрент-трекеров всегда несет риски получения под капотом пиратской г-сборки с интегрированным туда трояном, майнером или другой пакостью. Поэтому, для любого полученного альтернативными путями “оригинального” ISO образа Windows нужно как минимум проверять его контрольную сумму.
✅ Можно использовать встроенный PowerShell командлет:
Контрольные суммы оригинальных всех ISO образов Microsoft можно найти
🔹 В разделе загрузок на официальном сайте https://my.visualstudio.com/downloads ( вход под учетной записью Microsoft, активная подписка не обязательна)
🔹На стороннем ресурсе https://msdn.rg-adguard.net/ - здесь можно искать непосредственно по полученному выше хэшу
Проверка контрольной (хеш) суммы файла в Windows
✅ Можно использовать встроенный PowerShell командлет:
Get-FileHash .\en-us_windows_10_enterprise_ltsc_2021_x64_dvd_d289cf96.iso -Algorithm SHA256
Контрольные суммы оригинальных всех ISO образов Microsoft можно найти
🔹 В разделе загрузок на официальном сайте https://my.visualstudio.com/downloads ( вход под учетной записью Microsoft, активная подписка не обязательна)
🔹На стороннем ресурсе https://msdn.rg-adguard.net/ - здесь можно искать непосредственно по полученному выше хэшу
Проверка контрольной (хеш) суммы файла в Windows
📁 Протокол доступа к общим файлам SMB 1.0 (Server Message Block) по умолчанию отключен в последних версиях Windows 11 и 10, а также в Windows Server 2019/2022. Эта версия протокола является небезопасной со множеством легко эксплуатируемых уязвимосией, и не рекомендуется использовать ее на устройствах в локальной сети. Подавляющее большинство современных ОС и прошивок оборудования поддерживают более безопасные версии протокола SMB (2.x и 3.x).
🏛 SMB v1 может быть необходим, только если в вашей сети остались устаревшие устройства с Windows XP/2003, старые версии NAS, сетевые сканеры с поддержкой только старой SMBv1, устройства со старыми версиями samba, и т.д.
🕵🏻♀️ С помощью политик аудита Windows можно обнаружить в сети устройства, которые используют версию SMBv1 для подключения к файловому серверу.
✅ Настоятельно рекомендуется обновить на таких устройствах ОС или прошивку, до версии поддерживающий, более безопасные протоколы SMBv2 или SMBv3. Если это невозможно, можно включить на отдельном сервере или клиенте поддержку SMB1, но в этом случае желательно хотя бы с помощью файервола запретить доступ к такому устройству со всех IP адресов, кроме минимального списка доверенных.
Как включить или отключить протокол SMB 1.0 в Windows 10/11 и Windows Server?
🏛 SMB v1 может быть необходим, только если в вашей сети остались устаревшие устройства с Windows XP/2003, старые версии NAS, сетевые сканеры с поддержкой только старой SMBv1, устройства со старыми версиями samba, и т.д.
🕵🏻♀️ С помощью политик аудита Windows можно обнаружить в сети устройства, которые используют версию SMBv1 для подключения к файловому серверу.
✅ Настоятельно рекомендуется обновить на таких устройствах ОС или прошивку, до версии поддерживающий, более безопасные протоколы SMBv2 или SMBv3. Если это невозможно, можно включить на отдельном сервере или клиенте поддержку SMB1, но в этом случае желательно хотя бы с помощью файервола запретить доступ к такому устройству со всех IP адресов, кроме минимального списка доверенных.
Как включить или отключить протокол SMB 1.0 в Windows 10/11 и Windows Server?
❓Обращали внимание, что в свойствах файлов скачанных из Интернета есть предупреждение о том, что
📚 Дело в том, что файлы, которые скачиваются с помощью браузера и сохраняются на NTFS том, получают особый идентификатор, хранящийся в альтернативном потоке NTFS (Alternate Data Streams). Все популярные браузеры поддерживают этот механизм и проставляют для полученных из интерната файлов метку Zone.Identifier.
Ее значение можно посмотреть с помощью блокнота:
или с помощью PowerShell.
Мы получим такой идентификатор зоны передачи:
🔹 Причем в метке могут присутствовать и другие данные. В моем случае это ссылки на сайт, с которого я скачал MP3 файл. Проводник и большинство других приложений работают только со стандартным потоком и не отображают данные из альтернативных потоков NTFS. В альтернативный поток данных можно спрятать что угодно, причем размер данных в альтернативном потоке может превышать размер основного файла!
🔹 Параметр ZoneId может принимать пять значений от 0 до 4. Когда пользователь загружает файл, браузер автоматически определяет зону безопасности и ставит ему соответствующую этой зоне метку. Зона безопасности 3 используется для сайтов в Интернете.
Чтобы очистить метку альтернативного потока данных, нужно нажать кнопку Разблокировать в свойствах файла или очистить ее с помощью PowerShell:
Как Windows определяет, что файл был скачан из Интернета
файл был получен с другого компьютера. Причём такое предупреждение выводится не только для исполняемых файлов и скриптов, но и простых текстовых документов, картинок, аудио и других, казалось бы нейтральных, типов файлов. Ни переименование, ни перемещение файла на очищает эту метку. 📚 Дело в том, что файлы, которые скачиваются с помощью браузера и сохраняются на NTFS том, получают особый идентификатор, хранящийся в альтернативном потоке NTFS (Alternate Data Streams). Все популярные браузеры поддерживают этот механизм и проставляют для полученных из интерната файлов метку Zone.Identifier.
Ее значение можно посмотреть с помощью блокнота:
notepad.exe a-ha-lifelines.mp3:zone.identifier
или с помощью PowerShell.
Get-Content -Path a-ha-lifelines.mp3 -Stream Zone.Identifier
Мы получим такой идентификатор зоны передачи:
[ZoneTransfer]
ZoneId=3
🔹 Причем в метке могут присутствовать и другие данные. В моем случае это ссылки на сайт, с которого я скачал MP3 файл. Проводник и большинство других приложений работают только со стандартным потоком и не отображают данные из альтернативных потоков NTFS. В альтернативный поток данных можно спрятать что угодно, причем размер данных в альтернативном потоке может превышать размер основного файла!
🔹 Параметр ZoneId может принимать пять значений от 0 до 4. Когда пользователь загружает файл, браузер автоматически определяет зону безопасности и ставит ему соответствующую этой зоне метку. Зона безопасности 3 используется для сайтов в Интернете.
Чтобы очистить метку альтернативного потока данных, нужно нажать кнопку Разблокировать в свойствах файла или очистить ее с помощью PowerShell:
Unblock-File a-ha-lifelines.mp3
Как Windows определяет, что файл был скачан из Интернета
모 Во всех версиях Windows можно объединить несколько сетевых интерфейсов в интерфейс типа мост (bridge). Такой сетевой мост используется для прозрачного объединение нескольких подсетей в одну общую сеть на канальном (L2) уровне модели OSI.
📚 Исторически в Windows, сетевой интерфейс bridge можно было создать только из графического интерфейса управления сетевыми адаптерами (
🔹 Вывести доступные сетевые адаптеры для объединения в мост:
🔹 Чтобы создать мост из двух интерфейсов, укажите их имена в команде:
🔹Добавить дополнительный адаптер в мост:
Как создать сетевой мост из нескольких интерфейсов с помощью встроенных средств Windows
📚 Исторически в Windows, сетевой интерфейс bridge можно было создать только из графического интерфейса управления сетевыми адаптерами (
ncpa.cpl). Однако в сентябрьском обновлении 2023 года для Windows 11 22H2 была добавлена опция создания сетевого моста из командной строки с помощью утилиты netsh.🔹 Вывести доступные сетевые адаптеры для объединения в мост:
netsh bridge show adapter
🔹 Чтобы создать мост из двух интерфейсов, укажите их имена в команде:
netsh bridge create Ethernet1 WiFi
🔹Добавить дополнительный адаптер в мост:
netsh bridge add <Adapter_Name> to <bridge_guid>
Как создать сетевой мост из нескольких интерфейсов с помощью встроенных средств Windows
👥 В наземной Active Directory, в отличии от облачной службы каталогов Entra ID (ex. Azure AD), нельзя создавать динамические группы безопасности, в которые автоматически включаются пользователи (компьютеры), соответствующие некоторому критерию. Например, все пользователи в определенном OU, все пользователи у которых в атрибуте Department указано
</> Для реализации динамических групп в on-prem ADDS можно использовать PowerShell автоматизацию. С помощью несложного скрипта можно настроить правила выборки пользователей для добавления или исключения из определённой группы безопасности. Затем с помощью планировщика задач на контроллере домена можно с нужной периодичностью запускать ваш скрипт, которые будет автоматически добавлять или исключать пользователей из целевой группы в зависимости от текущих значений их атрибутов.
💪 Как реализовать динамические группы пользователей в Active Directory с помощью PowerShell
Маркетинг, все сотрудники филиала и т.д.</> Для реализации динамических групп в on-prem ADDS можно использовать PowerShell автоматизацию. С помощью несложного скрипта можно настроить правила выборки пользователей для добавления или исключения из определённой группы безопасности. Затем с помощью планировщика задач на контроллере домена можно с нужной периодичностью запускать ваш скрипт, которые будет автоматически добавлять или исключать пользователей из целевой группы в зависимости от текущих значений их атрибутов.
💪 Как реализовать динамические группы пользователей в Active Directory с помощью PowerShell
🔒Некоммерческий Центр сертификации Let's Encrypt позволяет получить Domain Validation TLS сертификаты со сроком действия 90 дней. Это самый популярный CA для получения бесплатных доверенных сертификатов для веб сайтов и сервисов.
🛠 Для получения и перевыпуска Let’s Encrypt сертификатов в Windows можно использовать open-source клиента WACS (Windows ACME Simple). Это консольная утилита, которая позволяет получать сертификаты как в интерактивном, так и в автоматическом режиме с помощью аргументов командной строки.
🔃Утилита
✅ В статье рассмотрено, как получить Let’s Encrypt и привязать его к сайту IIS на Windows Server, а также как использовать полученный TLS для защиты подключений к службе шлюза Remote Desktop Gateway.
Получение и установка TLS сертификатов Let's Encrypt в Windows
🛠 Для получения и перевыпуска Let’s Encrypt сертификатов в Windows можно использовать open-source клиента WACS (Windows ACME Simple). Это консольная утилита, которая позволяет получать сертификаты как в интерактивном, так и в автоматическом режиме с помощью аргументов командной строки.
🔃Утилита
WACS позволяет автоматизировать процедуру проверки прав на домен, выпуск, установку и обновления сертификата, когда срок его действия подходит к концу. ✅ В статье рассмотрено, как получить Let’s Encrypt и привязать его к сайту IIS на Windows Server, а также как использовать полученный TLS для защиты подключений к службе шлюза Remote Desktop Gateway.
Получение и установка TLS сертификатов Let's Encrypt в Windows