Ответы пользователя по тегу Windows
  • Почему пользователь не входит в группу AD до двух перезаходов?

    athacker
    @athacker
    А разлогинить пользователя и подождать какое-то время, прежде чем зайти снова, пробовали? Я бы поставил на то, что к первому перелогину изменения ещё не отреплицировались, а пока пользователь выходит и заходит второй раз -- всё уже долетает.
    Ответ написан
  • Можно ли создать контейнеры для программ в которых они будут крутится не виртуализацией?

    athacker
    @athacker
    Есть бытовые песочницы, например, Sandboxie. Виртулизируют вызовы IPC, обращения к веткам реестра и к файловой системе (здесь под виртуализацией следует понимать просто перенаправление вызовов к соответствующим ресурсам на некие их заменители, которые лежат совсем не там, где программа думает). Вообще используется для запуска не-доверенных приложений, но возможно, для вашего кейса тоже подойдёт, попробуйте.

    Ну и скоро в Win10 появится своя встроенная песочница, так что можно будет там покрутить.

    А, ну и касаемо конкретно Яндекс-Диска. Насколько я помню, Я.Диск можно юзать через WebDAV. Винда умеет монтировать Web-DAV ресурсы как сетевые диски. Так что можно разные Я.Диски смонтировать в разные сетевые диски, и использовать одновременно.
    Ответ написан
  • Как понимать отображение загрузки ядер в диспетчере?

    athacker
    @athacker
    При этом, нет запущенных программ которые бы грузили сразу 12 потоков.

    Операционке всегда есть, чем заняться :-) Так что 12 потоков вполне могут быть заняты.

    "Время ядра" -- это показатель, какой процент времени за интервал измерения выполнялся код ядра (так называемый kernel mode). Т. е. всё как я юниксе: есть system time -- процессы ядра и то, что на этом уровне работает, драйвера какие-нибудь, например. И есть user time -- т. е. обычные приложения, работающие в user mode.
    Ответ написан
  • Как начать разработку агента — межсетевого экрана?

    athacker
    @athacker
    Звучит как бред :-)

    Зачем виндовому файрволу какой-то "агент", когда настройками файрвола можно через групповые политики рулить? И что за "команды" должны поступать от "системы защиты"?

    "Политика безопасности" -- это слегка не в компетенциях файрвола находится, поэтому как он может фиксировать её нарушения -- тайна сие есть, покрытая неизвестным мраком.

    В общем, стоит подойти к руководителю и уточнить, что это за ересь конкретно предлагается к разработке.
    Ответ написан
  • Как правильно настроить учётные записи в Windows 10?

    athacker
    @athacker
    Да, это правильный подход. Создать учётку локального администратора в процессе установки, потом зайти под ним и создать локального пользователя, а под ним уже делать все остальные действия (включая установку софта). Когда вы залогинены обычным юзером, то при необходимости воспользоваться админскими правами UAC у вас запросит повышение привилегий и админский пароль. Я так делаю уже очень давно, и в повседневной жизни (когда всё уже установлено/настроено) мне админские права на компе требуются дай бог раз в месяц. Так что работаю локальным юзером, а если что -- UAC спросит админский пароль.

    Работать же под учёткой админа, пусть даже и с контролем со стороны UAC -- всё равно чревато. Способы обхода UAC есть, и если вы залогинены админом, то обойдя UAC, злоумышленник получит полные админские права. Если же вы работаете под юзером, то даже отключив UAC, злоумышленник всё равно получит только права обычного пользователя.
    Ответ написан
  • Как убрать синий экран KERNEL_DATA_INPAGE_ERROR volmgrx.sys?

    athacker
    @athacker
    Всё может быть. В любом случае, проблема где-то с железом. А где конкретно -- вопрос тёмный. Тут только метод диагностических замен компонентов поможет. Если есть возможность взять БП помощнее на время -- попробуйте махнуть блок питания.
    Ответ написан
  • Как работать с Файрволом?

    athacker
    @athacker
    Виндовый файрвол как раз довольно примитивен, и запретить доступ для конкретной программы там достаточно просто. Другой вопрос -- что конкретно считать программой, и что конкретно -- "Сетью". Программа тянет за собой библиотеки, или может запускать дочерние процессы из соседних исполняемых файлов. И запретив доступ "программе" (т. е. конкретному исполняемому файлу) вы совсем не факт, что доступ реально оторвёте, т. к. для сетевых операций эта программа может запускать какую-то другую программу.

    А что такое "Сеть"? Интернет? На любом компе, где есть интернет, есть и локальная сеть (ну, кроме случаев, когда у вас модем напрямую в комп по USB воткнут). В локалку тоже хождение запрещать? А если у вас ещё какой-нибудь VPN поднимается? А если сетевых адаптеров более одного, как это часто бывает даже в домашних машинах (провод + WiFi)? Тогда как*

    Получается, дело в том, что это не такая уж простая и очевидная операция -- "разрешить или запретить программе доступ в Сеть", не так ли? Очень много параметров влияет.
    Ответ написан
  • Какой протокол и сервер-софт для VPN выбрать?

    athacker
    @athacker
    На винде набор нативно поддерживаемых VPN протоколов невелик. PPTP, L2TP+IPsec, SSTP. Собственно, всё. В андроиде (8-ом, во всяком случае) поддерживаются из коробки протоколы PPTP, L2TP+IPsec, плюс несколько вариантов чистого IPsec.

    PPTP с шифрованием на андроиде у меня не взлетел. Там шифрование реализуется совместным модулем компрессии и шифрования MPPC+MPPE (хотя по структуре протокола это два разных уровня должны быть). В целом оно работает, но на связке mpd5 и андроидом у меня не завелось. Плюс PPTP -- его легко настроить. Минус -- он не считается по современным меркам защищённым протоколом.
    Ответ написан
  • Почему забикс видит службы, которых у меня нет?

    athacker
    @athacker
    Этот сервис -- часть мутной программы WindowexeAllkiller. Которая, скоре всего, является малварью. Если она у вас установлена -- удалите её, и заббикс перестанет жаловаться. Если считаете, что не установлена -- значит, скорее всего, вы намотали на винты. Выводите систему в оффлайн и проверяйтесь.
    Ответ написан
  • Как переустановить hyper-v?

    athacker
    @athacker
    Найдите в Device manager все сетевые адаптеры, которые могут быть связаны с Hyper-V и поудаляйте их. Перезагрузите машину. В процессе перезагрузки отключите в BIOS виртуализацию (VT-x). После загрузки зайдите в "Программы и компоненты" и уберите галку с роли Hyper-V. Ребутнитесь ещё раз. Роль должна удалиться.

    Установка -- в обратном порядке. Включаем в BIOS виртуализацию снова, и после загрузки устанавливаем Hyper-V.
    Ответ написан
  • Как установить две изолированные windows 8.1?

    athacker
    @athacker
    Зашифруйте оба диска, каждый под своей виндой :-) Дёшево и сердито.
    Ответ написан
  • Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    athacker
    @athacker
    Все сертификаты рутовых УЦ -- самоподписанные. Сюрприз, да? :-) Если на пальцах, то доверие основывается на том, что "ну, это самоподписанный сертификат, но это же уважаемая контора...". Поэтому в ОС и в некоторых браузерах (Firefox, он своим хранилищем пользуется. Хром или IE -- пользуют системные, на винде, по крайней мере) есть хранилище корневых сертификатов удостоверяющих центров, которые (сертификаты) являются доверенными.

    Есть удостоверяющие центры, сертификаты которых подписаны другими удостоверяющими центрами. Но на самом верху цепочки доверия -- всё равно самоподписанные серты.

    Вам нужен свой PKI, это факт. Если нет желания/возможности делать УЦ на базе Microsoft Certification services, возьмите пакет easyrsa, подписывайте сертификаты им.

    По фэншую схема делается так -- создаётся корпоративный root CA (корневой удостоверяющий центр), с самоподписанным сертификатом, на каком-нибудь, например, ноутбуке старом. Потом генерируется ещё один ключ -- для подчинённого УЦ (sub-CA). Этот ключ подписывается сертом вашего root CA (с ноутбука), после чего ноутбук выключается и прячется в сейф. А вот уже с сертом sub-CA вы подписываете все серты для ваших серверов и сервисов. Ключи и CSR должны генерироваться только на тех хостах, где они и будут использоваться. Это если по фэншую. Но если вам просто важен замочек в строке адреса и отсутствие ругани, можно обойтись одним root CA, без sub-CA, а генерить ключи можно тем же самым easy-rsa, перенося потом ключ и серт на необходимые вам сервера с IIS.

    Сертификаты вашего root CA и sub-CA нужно будет установить в хранилища всех ваших десктопных компов, серверов и т. п. А также в хранилища браузеров, если у вас используются браузеры, которые не смотрят в системные хранилища. Это легко делается доменной политикой, но ввиду отсутствия у вас домена -- можно и скриптануть. Использовать certutil, например (если речь про винду, опять-таки).

    А IIS у вас там, Apache или nginx, или другие сервисы, которые умеют в TLS -- это дело десятое, от этого схема генерации и выдачи сертификатов не меняется.
    Ответ написан
  • Есть ли локальный прокси с ip redirect?

    athacker
    @athacker
    Любой юниксовый файрвол это умеет. iptables на Linux, IPFW или pf на FreeBSD. Выбирайте по вкусу. Встроенный виндовый -- не умеет. Возможно, умеют какие-нибудь Kerio Firewall или что-нибудь в этом духе.
    Ответ написан
  • Как настраивать роутинг при использовании vpn?

    athacker
    @athacker
    Вам придётся убрать галку "Use default gateway in remote network", и руками при подключении к VPN вписывать маршруты до нужных вам сетей, которые доступны через VPN. По-другому эти туннели на винде не умеют, к сожалению. Можно состряпать батник на это дело, или powershell, но прописывание маршрутов требует повышения привилегий, т. к. всё равно какая-то часть ручной работы сохранится. Если хотите автоматизировать пуш маршрутов -- переходите на OpenVPN или IPsec. Там есть возможность указать, какие конкретно сети доступны через VPN, а остальное, соответственно, будет ходить через клиентский шлюз по умолчанию, т. е. обычным порядком.
    Ответ написан
  • Кто пользуется VEEAM Backup?

    athacker
    @athacker
    Не очень понятно, зачем отдельно бэкапить сетевую папку, если вы бэкапите всю виртуалку целиком.
    Ответ написан
  • Можно ли в windows 10 сделать так, чтобы даже если закрыть ноутбук, он все-равно не впал в сонный режим?

    athacker
    @athacker
    В настройках электропитания есть настройка "Действия при закрытии крышки". Вот там уберите все действия, и он не будет засыпать.
    Ответ написан
  • Как реализовать своё облачное хранилище?

    athacker
    @athacker
    Use Seafile Luke! Можно развернуть on-prem, практически все перечисленные фичи у него есть. Насчёт корзины только не помню, но хранение версий и всё остальное точно есть.

    https://www.seafile.com

    Сайт у меня сейчас, правда, не открывается. Cпасибо Роскомнадзору, блокирующему сети Амазона.
    Ответ написан
  • Где в журнале событий хранится лог разблокировки компа?

    athacker
    @athacker
    Нужно включить аудит событий входа. Снятие блокировки -- это событие "Вход в систему" с определённым Event ID. Вот тут подробнее, с кодами: https://stackoverflow.com/questions/11385164/event...
    Ответ написан