Windows 11, 10, etc - Вадим Стеркин

⚙️ Новое в блоге: Автоматизация этапа установки OOBE одной командой

Во время установки Windows всю пользовательскую настройку можно пройти одной командой. Тем самым:

1. Ускоряется установка Windows и настройка новых компьютеров
2. Снимается требование использовать учётную запись Microsoft

Ранее я показывал в канале решение - запуск sysprep с указанием на файл ответов, размещённый на флешке.

Alexandr Petnitsky немедленно спросил в чате, можно ли загрузить файл ответов из интернета, тем самым обходясь без флешки. В качестве примера он привёл очень короткую и легко запоминающуюся команду для активации Windows с помощью пиратского KMS-сервера :)

💡Нет проблем! На первом же экране OOBE (выбор региона) нажмите Shift+F10, щёлкните окно командной строки и введите команду:

powershell -c "irm https://bit.ly/oobe-demo | iex"

В минутном ролике показаны все этапы процесса, который занимает 4-5 минут. В блоге я объясняю, как это работает и как настроить решение под себя в два счёта!

➡️ https://www.outsidethebox.ms/22491/#internet

🔐 Наглядно о разнице между двухэтапной и двухфакторной аутентификацией

Когда-то я сформулировал разницу в блоге так:

Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.

В комментариях было много несогласных, считавших SMS таким же вторым фактором. Спустя пару лет я возвращался к теме в контексте рекомендаций NIST. Но не столь принципиально, кто и где проводит границу. Важны сценарии компрометации, а также доступные нам способы аутентификации - выбор-то не всегда есть!

👀 На прошлой неделе на Хабре появилась интересная новость: Почтовые ящики «Яндекса» взломали через платформу рассылки SMS. У автора новости была настроена двухэтапная аутентификация: пароль + SMS. Злоумышленники перехватили SMS с одноразовым кодом на платформе для рассылок и вошли в аккаунт.

Однако у жертвы изначально была возможность выбрать другой способ аутентификации - у Яндекса есть и двухфакторная (2FA)! И в обоих ее вариантах↓ одноразовый пароль генерируется непосредственно на смартфоне. С такой настройкой взлом сторонней платформы SMS ничем не грозит!

🔑 Любопытно, что изначально в своем велосипеде 2FA Яндекс полностью отказался от стандартов и постоянного пароля - его заменил одноразовый. Однако теперь в способах входа есть и комбинированный вариант: постоянный пароль + одноразовый пароль якобы из Ключа. Но на самом деле подойдет любой аутентификатор!

Другими словами, вдобавок к велосипеду Яндекс реализовал второй вариант 2FA по общепринятым стандартам (RFC 6238). И внезапно стандартный вариант - самый надежный :) Ложка дегтя - не предусмотрены резервные коды 2FA 🤦‍♂️ Зато теперь я избавился от приложения Ключ, которое держал только ради Яндекс ID.

🔁 По умолчанию для восстановления доступа к аккаунту Яндекса служит привязанный номер телефона. Именно посредством SMS автор новости смог сбросить пароль, заданный злоумышленниками. Тут ему повезло, потому что враги контролировали подтверждения по SMS и, наверное, могли поменять и номер телефона. В настройках безопасности можно сменить способ восстановления аккаунта с номера телефона на анкету и фотографию паспорта.

✔️ Советы
• По возможности выбирайте 2FA, нежели код в SMS
• Храните в надежном месте резервные коды 2FA
• Делайте бэкап секретных ключей 2FA

Читайте другие посты канала по теме #2FA ✌️

🤷‍♂️ Владельцы локализованных Windows должны страдать ©

Я время от времени доставляю пруфы к этому тезису в канале. Очередное доказательство прислал подписчик Дмитрий.

На фото управление дисками в программе установки русской Windows 11 24H2. Здесь перепутаны термины "раздел" и "диск"! Так можно и опытного человека с ума свести 🤦‍♂️

Вместо Раздел 0 диска 1 должно быть Диск 0 Раздел 1. Без выкрутасов, как в английской ОС. На худой конец - Раздел 1 диска 0, если уж дурная голова рукам покоя не дает.

Трудно сказать, человеческий это труд или #автоперевод под соусом ИИ. Больше похоже на второе. В любом случае создатели программы установки не тестировали локализацию. Иначе заметили бы не переведенные с английского кнопки над списком дисков ✌️

⚙️ О длительности установки Windows

Недавно я тестировал ручную установку Windows 11 24H2 и заметил, что она занимает уж слишком много времени. Сначала всё стандартно - применение образа к диску и первая перезагрузка уложились в 10 минут. Но затем этап OOBE тянулся неприлично долго. На глаз видно, что львиную долю времени занимает установка обновлений!

👉 На обновления ушло 27 минут, при том что все интерактивные окна я пролетел за 2-3 минуты.

В документации говорится "до 30 минут". В итоге из-за обновлений система устанавливается в 2-3 раза дольше, чем без них.

📃 Что здесь происходит
Логи установки достаточно подробные, и они нарисовали такую картину этапа OOBE.

1. Первым делом обновляется сам OOBE - пакетом OOBE ZDP (в моём случае - KB5046683). Там всего один файл, поэтому всё очень быстро, включая перезагрузку.

2. Затем ищутся последние обновления. Однако скачивается и устанавливается только накопительное обновление Windows - это было KB5044284. Остальные сразу после входа будут в статусе "скачать и установить", а позже установятся автоматически.

Разработчики прекрасно знают, что процесс этот небыстрый. Они даже встроили в него игру Surf, как в браузере 🏄

3. После перезагрузки выполняется ещё одна проверка обновлений, но к счастью ничего не находит :)

🕝 Почему так долго
Это обычная скорость установки обновлений. Однако в полностью установленной системе поиск, загрузка и часть установки до перезагрузки идут в фоне. Вы не сидите и не ждёте.

Причем в какой-то момент появляется кнопка для отмены - видимо, по таймеру. Однако отмена и откат могут занять больше времени, чем оставшаяся установка 🙄

⌛️ Как было раньше
Изменение задокументировали в 2021 году (спасибо, Alex D). Ранее установка обновлений шла по окончании этапа OOBE и могла продолжаться уже после входа в систему. По завершении предлагалось перезагрузить Windows.

🔒 С чем связаны изменения
С безопасностью. Так при первом интерактивном входе уже закрыты все известные уязвимости ОС. В скобках замечу, что раньше Microsoft обновляла все образы Windows ежемесячно. Сейчас это верно только для образов MSDN, а потребительские дистрибутивы стали обновлять примерно раз в полгода.

Любопытно, что компания хотела внедрить такой же подход для организаций в рамках технологии Autopilot. Но из-за негативных отзывов пошла на попятную через четыре дня после анонса.

🚀 Как ускорить процесс
Кардинально - заранее интегрировать динамические обновления в дистрибутив. Но есть и два более простых способа, связанные с установкой с локальной учётной записью!

🔹 При установке с файлом ответов накопительное обновление пропускается.

🔹 Обновления не установятся без Интернета - BypassNRO в помощь!

☑️ Резюме
К счастью, чистую установку приходится делать нечасто. И даже в этом случае для опытных пользователей есть несложные обходные пути. Но хотелось бы увидеть от Microsoft более элегантное решение, чем заставлять пользователей играть в Surf по полчаса в ожидании установки обновлений ✌️

😎 Как английский интерфейс, так у них язык - это Language, а как русский - почему-то сразу Неприличная лексика!

На картинке странный #автоперевод в настройках виджетов, откуда ссылка ведёт в языковой раздел параметров системы. Спасибо подписчику Nirai Charged Pulse.

Но даже без этого "доска мини-приложений" режет глаз и слух. В оригинале - "widget board". Почему бы не "панель виджетов"? 🤔 На мой вкус так благозвучнее! И слово "виджет" есть в самом большом русском орфографическом словаре!

Да, слово "board" не переводится как "панель", но "dashboard" в официальной терминологии - это "панель мониторинга". Чем подборка виджетов фактически и является, если избавиться от технического привкуса "мониторинга"✌️

🚀 Как закрепить произвольный файл в меню Пуск

Вопрос из чата. В графическом интерфейсе возможность закрепления в Пуск предусмотрена только для папок, исполняемых файлов и ярлыков к ним.

👉 Задача с любым файлом элементарно решается обходным путём. Нужен исполняемый файл, с помощью которого откроется ваш файл.

1. На рабочем столе щелкните правой кнопкой мыши - Создать - Ярлык
2. Впишите: explorer "полный путь к файлу тут"
3. Задайте ярлыку значок и закрепите его в меню Пуск

Файл откроется в сопоставленном с ним приложении. Вместо explorer можно указывать в кавычках полный путь к конкретному приложению, если оно поддерживает в качестве параметра командной строки путь к файлу.

💡 Из этой же серии #классика канала:
• Как добавить ярлык интернета в Пуск
• Закрепляемый ярлык на любой элемент Параметров
• Как создать ярлык на магазинное приложение на панели файлового менеджера
• Как открыть конкретный файл в приложении, отличном от приложения по умолчанию

⚙️ Приложения в образе Windows 11 24H2 - состав и удаление

С выходом каждой новой версии Windows я обновляю свой скрипт #PowerShell для удаления ненужных приложений из образа. Он вполне безвредный, поскольку не затрагивает магазин и его служебные приложения, центр безопасности, а также расширения для воспроизведения медиа.

Я смотрю в подключенном автономном образе, но список предустановленных пакетов вы можете увидеть и в работающей системе:

Get-AppxProvisionedPackage -Online | select DisplayName

Каждый год я сравниваю старый список с новым и смотрю, что изменилось. В этом году заметная смена состава!

Из служебных пакетов появились три расширения для медиа: AV1, AVCEncoder, MPEG2. А пакет Microsoft.VCLibs.140.00 больше не входит в образ. Дальше - приложения!

➖ Выбыли

🤷‍♂️ 549981C3F5F10 - Cortana, и я затрудняюсь сказать, какую функцию пакет выполнял в последнее время

ℹ️ Getstarted - никому не нужны эти ваши ролики для знакомства с Windows :)

⚰️ People - людей убили достаточно давно, теперь похоронили

📩 windowscommunicationsapps - старые почта и календарь

🗺 WindowsMaps - внезапно, но приложение есть в магазине

🎮 XboxGameOverlay - что-то про GameBar, причем остался XboxGamingOverlay

⏯️ ZuneVideo - Кино и ТВ, и теперь по умолчанию все медиафайлы воспроизводит современный медиаплеер, aka ZuneMusic

➕ Добавились

🔎 BingSearch - затруднюсь объяснить назначение, т.к. поиск в Пуск и панели задач работает и без него

👨‍👩‍👧‍👦 MicrosoftFamily - семейная безопасность (только в Home)

🤞 CrossDevice - это вдобавок к YourPhone, и, возможно, на этот пакет завязаны беспроводное управление файлами телефона и грядущая фича Resume

💬 MSTeams - ранее Teams доставляли после первого входа в систему, и приходилось предотвращать установку

📨 OutlookForWindows - новые почта и календарь, унылые

🧑‍💻 DevHome - в 23H2 прилеталo после первого входа, как и Outlook, причем предотвращать их установку было сложно

////

По традиции я не удаляю выпиленные пакеты из скрипта, а перемещаю их в конец - в качестве неактуальных. Я исследую только последнюю версию Windows 11, а кто-то может готовить образ Windows 10.

На картинке пакеты, которые остаются после работы скрипта. Разумеется, вы можете закомментировать любое приложение и тем самым сохранить его в образе. Равно как всё удаленное можно установить из магазина при необходимости ✌️

🔎 Как очистить историю поисковых запросов в меню Пуск

Недавно таким вопросом задался в чате dartraiden, проиллюстрировав ситуацию скриншотом. В течение пары недель этим же интересовались в форуме и снова в чате. Пора писать пост, и я публикую его под одним из девизов канала - срыв покровов!

Казалось бы, простой вопрос, но ответ не лежит на поверхности.

ℹ️ Для начала поиск в Пуске - это фактически отдельное приложение Поиск (Win+S). Именно в него вы переключаетесь, когда в Пуске ищете приложения или настройки либо выполняете поиск в интернете. Все недавние запросы видны сразу при открытии поиска любым способом.

В статье базы знаний KB4553482 есть раздел "Журнал поиска на этом устройстве" с инструкциями по очистке из Параметров. Также в интернетах можно найти совет сбросить приложение Client.CBS (Feature Experience Pack) из #PowerShell:

Get-AppPackage -Name MicrosoftWindows.Client.CBS | Reset-AppxPackage

Якобы все это удаляет историю поисковых запросов в меню Пуск. И это даже правда. Но есть нюанс © Эти действия очищают историю запросов приложения Поиск, хранящуюся локально 💻

Как следствие, это еще не конец нашей истории, а только середина!

☁️ В приложение Поиск возможен вход с учетной записью Microsoft (MSA). Из коробки это происходит автоматически при:
• использовании MSA в Windows вместо локального аккаунта
• первом входе с MSA в любое приложение Microsoft, что влечет за собой вход с этим аккаунтом во все приложения компании

👤 Визуально связь с облачным аккаунтом определяется по аватарке в правом верхнем углу поиска. И в этом случае все поиски в интернете сохраняются в облаке. Более того, там собраны все запросы в Bing, где бы вы их ни делали.

👉 При использовании MSA очистка локальной истории и сброс Client.CBS не помогут убрать из списка поиски в интернете. Потому что вся история Bing заново подтянется в локальное хранилище из облачного аккаунта! Историю поиска в интернете надо удалять в настройках конфиденциальности учетной записи Microsoft, а именно - в истории поиска!

Если внимательно присмотреться к истории запросов dartraiden, там явно не взрослый мужик, а школьники что-то ищут в интернете 😎 Как выяснилось, это "аккаунт, купленный за копейки для доступа к геймпассу". То есть им пользуется множество людей. Поэтому история будет активно пополняться чужими запросами в любом случае!

✅ Кардинальное решение - локально отключить все обращения к Bing политикой или твиком реестра, тут #классика блога в помощь! Это полностью разрывает связь с облаком - поиск перестает подкачивать историю запросов в Bing и веб-содержимое, обретая аскетичный вид. А поиски приложений и настроек можно очистить из Параметров.

The End ✌️

⚙️ Групповые политики Windows 11 24H2

🔷 ADMX Windows 11 24H2 - административные шаблоны.

🔷 XLSX Windows 11 24H2: скачать | просмотреть в браузере - все параметры реестра групповых политик. Незаменимая штука для домашних изданий. Если, конечно, политика в них срабатывает. На картинке часть новинок.

🔷 Веб: https://gpsearch.azurewebsites.net/ - поиск, удобно ссылаться на конкретную политику.

Для разнообразия озвучу свой топ-3 любопытных новинок:

• Load a specific theme - путь к файлу темы.
• Configure the behavior of the sudo command - настройка поведения sudo, о которой я рассказывал в предыдущем посте
• Turn off toast notifications - оптом отключает уведомления приложений.

🆕 Что нового в Windows 11 24H2 для ИТ-специалистов и разработчиков

Для начала всем интересующимся Windows рекомендую большие подборки Community (RU) и Winaero (EN).

ℹ️ Для ИТ-специалистов у Microsoft есть статья What's new in Windows 11, version 24H2 с ценным упоминанием о новой иконке диспетчера задач и эффекте Mica в его настройках :) Отмечу многочисленные изменения в SMB и LAPS, а также новинку - Personal Data Encryption (PDE). Это корпоративное шифрование пользовательских папок на уровне файлов под крылом Windows Hello и под управлением Intune.

Для разработчиков я нашел изменения в:
• API электропитания в той же статье для IТ Pro
• доступе к Wi-Fi и местоположению
• разработке драйверов

В остальном Microsoft делает упор на ИИ - NLP, OCR, живые субтитры, Recall.

////

Помимо списка ссылок расскажу про два заинтересовавших меня нововведения в 24H2.

🔁 Чекпойнты накопительных обновлений
Первый выпуск Windows 11 привнес ряд заметных улучшений в накопительные обновления. В 24H2 процесс эволюционировал. До сих пор при доставке обновлений дельта вычислялась относительно состояния компонентов в [условном] RTM.

Теперь некоторые накопительные обновления служат контрольными точками - чекпойнтами, и дельта вычисляется уже относительно них. Тем самым уменьшается размер ежемесячных обновлений и экономится место на диске, а установка проходит быстрее.

Сокращение размера обновлений будет наиболее заметным в сценарии, когда новая версия ОС доставляется постепенно в рамках накопительных обновлений и включается тумблером. Так было с Windows 11 23H2 и Windows 10 многократно. Теперь #тумблер будут выпускать наряду с чекпойнтом. Он и станет базой для следующих накопительных обновлений, нежели прошлогодний RTM.

Подробнее в блоге IT Pro 📃

▶️ Sudo для Windows
Тут пошли по стопам Linux. Если выполнить с обычными правами, например: fsutil fsinfo ntfsinfo C:, будет ошибка из-за недостатка прав. Придется перезапускать консоль с полными правами.

Включив sudo в настройках разработчика в Параметрах, можно в той же консоли добавить sudo к команде: sudo fsutil fsinfo ntfsinfo C:, одобрить запрос UAC и получить результат!

Подробнее о параметрах sudo для Windows в документации 📃

Запрос UAC придется одобрять каждый раз. В этом заметное отличие UX от Linux, где после ввода пароля его не просят для sudo на протяжении N минут (настраивается) 🐧

Кэш учетных данных есть в gsudo, которая также может повышать команды #PowerShell. Нативная утилита sudo этого не умеет, но у меня есть #классика блога: sudo и resudo в PowerShell ✌️

Когда использовал голосовой ввод (Win+H) для создания поста в канале, а кот никак не мог пристроиться на коленях 😂

И Марс, собственной персоной 🐱

🚀 Новое в Windows 11 24H2: ускоренное копирование файлов в ReFS

Установка клиентской Windows на том, отформатированный в файловую систему ReFS, все еще не поддерживается (разъяснение термина). Да и в серверных ОС вроде только у Windows Server 2025 ReFS booted images for confidential VMs. Однако Microsoft активно продвигает тома с ReFS для работы с данными - Dev Drive!

👉 Начиная с Windows 11 24H2 в клиентской ОС доступна серверная технология клонирования блоков. Причем она работает нативно и прозрачно для пользователя, как и в Windows Server 2025.

ℹ️ Описание технологии: Block cloning on ReFS. Я сознательно даю ссылку на английскую версию статьи, потому что #автоперевод - блокировка клонирования :)

Вкратце, копирование выполняется на уровне метаданных, нежели файловых операций чтения и записи. ReFS позволяет нескольким файлам использовать одни и те же логические кластеры. Поэтому в рамках копирования выполняется только сопоставление региона файла кластеру и увеличивается счетчик ссылок.

🔗 Внешне это чем-то похоже на жесткие ссылки NTFS. В ReFS они тоже есть начиная с версии 3.5 (Dev Drive в 24H2 форматируется в ReFS версии 3.14). Сходства - работа только в пределах одного тома, скорость создания файла и эффективное использование дискового пространства. Однако при использовании жестких ссылок изменения в одном файле отражаются во всех других. При клонировании блоков ReFS все копии независимы друг от друга.

⏺️ На видео файл размером свыше 10GB копируется в пределах тома ReFS моментально. При этом все его копии не занимают место на диске. В конце для сравнения копирование на том NTFS, сопряженное с операциями чтения и записи ✌️

⚙️ Установка Windows 11 с локальной учетной записью

👉 С учетом изменений в версии 24H2

Интернет и учетная запись Microsoft (MSA) теперь заложены в официальные системные требования Windows. В домашнее издание Windows 11 - с версии 21H2, а в профессиональное - с 22H2 (сборка 22557). Первую попытку форсировать это компания сделала еще в Windows 10 1903.

Я пользуюсь MSA, но всегда выполняю установку с локальным аккаунтом, чтобы контролировать имя профиля.

✅ Рабочие способы обойти ограничение

В любых изданиях:

🔹 Выполняйте установку, не подключаясь к сети. На первом экране OOBE нажмите Shift+F10, щелкните окно командной строки и введите oobe\bypassnro. Подробнее в отдельном посте.

🔹 Используйте файл ответов - #классика блога в помощь. См. также статью блога об автоматизации OOBE.

Только в изданиях Pro и выше:

🔸Выберите настройку ПК для работы или учёбы, затем в вариантах входа выберите присоединение к домену и задайте имя локальной учетной записи. Ничего связанного с доменом на самом деле не происходит. См. видео.

////

❌ Начиная с версии Windows 11 24H2 не работает вход в учетную запись Microsoft [email protected] с паролем 1. Ранее, если MSA не существует или заблокирована, открывался путь в локальную учетную запись. Теперь этот путь блокирует новый экран с предложением сбросить пароль.

📊 Ретроспектива к опросу о выключении компьютера

🔌 Сейчас 44% подписчиков канала выключают компьютер на ночь. Четверть выключающих не в курсе быстрого запуска, который активирован по умолчанию начиная с Windows 8. Если же ограничить выборку только теми читателями, кто выключает ПК или отправляет в различные режимы сна, то 6 человек из 10 предпочитают выключение сну.

🕓 Про быстрый запуск я писал и в канале 3.5 года назад - технология не имеет смысла на приличных конфигурациях. Там же был и предыдущий опрос о выключении компьютера, хотя и с другими вариантами ответов. Тогда 55% выключали ПК всегда или регулярно.

⌛️ Двигаясь назад по шкале времени, возвращаемся в 2012 год - выпиленную кнопку Пуск и статью блога Знаете ли вы все эти способы выключения компьютера? Результаты опроса утеряны, но в комментариях сохранился мой анализ первого дня голосования. Тогда 60% даже самых продвинутых читателей выключали компьютер - 38% владельцев мобильных ПК и 73% стационарных.

Сам я компьютер много лет не выключаю, но понимаю причины, по которым те или иные режимы сна не подходят. Здесь и проблемы с подсистемой электропитания, и перебои со светом, и включение ОС по ночам для установки обновлений.

Однако я остаюсь при мнении, что самая распространенная причина выключения - привычка 😎