Настройка аудита в windows для полноценного soc мониторинга

Программу необходимо запускать от имени Администратора и желательно из под учётной записи Администратора. Для запуска программы перейдём в каталог программы, выполнив WIN + R команду:

Sysprep

После запуска программы мы увидим следующее диалоговое окно:

Переход в окно приветствия системы (OOBE) означает что после завершения сброса при следующем запуске появится настройка первого запуска, где мы будем указывать имя пользователя, давать имя своему компьютеру и т.д, а галочка напротив параметра Подготовка к использованию поможет нам сбросить активацию Windows.

При развертывании Windows распространенной практикой является настройка параметров первого запуска компьютеров, на которых выполняется развертывание. Эту процедуру также называют OOBE.

Параметры завершения работы дают нам выбор:

• Завершение установки — выбираем в том случае, когда мы собираемся заменить материнскую плату или процессор. А сам сброс мы выподняем ДО (!) замены оборудования
• Перезагрузка — данный пункт нам нужен в случае сброса лицензии или устранения каких-то ошибок на текущей конфигурации компьютера (без замены комплектующих) для чистой установки всех необходимых драйверов.
• Выход — соответственно завершает сеанс пользователя по завершению.

После выбора всех параметров запускаем очистку sysprep OK

Возможности штатной утилиты Windows Sysprep и работа с ней

Утилита Sysprep, основным предназначением которой является подготовка эталонного образа Windows к развёртыванию, на борту операционной системы от Microsoft появилась давно, ещё в версии Windows NT 4.0, увидевшей свет в 1996 году. Такая возможность в состав Windows была включена по большей части для корпоративного сектора. Использование утилиты Sysprep значительно упрощает установку и настройку операционной системы в масштабах работы компаний. Об этой возможности утилиты Sysprep, о прочих областях её применения, а также непосредственно о работе с ней будем говорить детально в этой статье.

Оглавление

1. Принцип работы утилиты Sysprep и области её применения
2. Работа с утилитой Sysprep
3. Первый запуск Windows после очистки привязки к оборудованию

Принцип работы утилиты Sysprep и области её применения

Утилита Sysprep избавляет систему Windows от привязки к конкретным аппаратным составляющим компьютера. Убираются данные о комплектующих и драйверах, при этом не затрагиваются пользовательские настройки системы, учётные записи, их данные. Всё настроенное в операционной системе ранее – установленный софт, ярлыки на рабочем столе, системные настройки персонализации, сети, проводника, установленные и закреплённые на стартовом экране Metro-приложения в версиях Windows 8.1 и 10 и прочие параметры – останется нетронутым.

Единожды подготовленный эталонный образ Windows – установленная и настроенная в нужном ключе операционная система (с определённым установленным софтом, с проведёнными системными настройками, с заданными правами или ограничениями) в дальнейшем очищается от привязки к текущему оборудованию с помощью утилиты Sysprep, резервируется посредством программ-бэкаперов, а затем вместо процесса обычной установки развёртывается (по сути, восстанавливается из резервной копии) на производственных компьютерах компаний. Дальнейшая работа по настройке компьютеров будет заключаться лишь в установке драйверов на каждое отдельное устройство и активации Windows. Ну и разве что в ряде случаев может потребоваться ещё доустановка определённого софта и настройка Windows уже конкретно под специфику выполнения задач определёнными сотрудниками.

Эталонный образ Windows, очищенный от привязки к оборудованию, можно использовать не только в корпоративной среде, но и домашних условиях, если в доме имеется несколько компьютерных устройств, и все они работают с каким-то определённым набором программного обеспечения. Но даже в ситуации с использованием разного софта на компьютерах домашней группы восстановление операционной системы из универсальной резервной копии будет выигрывать у процесса обычной установки Windows некоторой экономией времени.

Процесс развёртывания эталонного образа Windows состоит из нескольких этапов. Подготовленная операционная система очищается утилитой Sysprep от привязки к оборудованию и выключается. Затем в режиме работы программы-бэкапера со съёмного загрузочного носителя создаётся резервная копия и сохраняется на подключаемый к исходному компьютеру накопитель данных – на дополнительный внутренний HDD, внешний USB-HDD, флешку или SD-карту, сетевой диск и т.п. Некоторые программы-бэкаперы, как, например, популярная Acronis True Image, предлагают возможность резервного копирования в своё облачное хранилище. В числе прочих программ-бэкаперов, которые работают с загрузочными носителями и могут быть использованы для развёртывания образа Windows – рассмотренная ранее на сайте AOMEI Backupper Standard, Paragon Backup & Recovery, EaseUS Todo Backup и т.п. После создания резервной копии накопитель данных подключается к целевому компьютеру, где также в режиме работы программы-бэкапера Windows восстанавливается из этой резервной копии. После запуска такой восстановленной Windows что и останется, так это пройти несколько настроечных окон, они будут рассмотрены чуть ниже.

Утилита Sysprep ещё используется для сброса активации системы, а также в случае замены на компьютере материнской платы, реже процессора, если наблюдаются проблемы, связанные с привязкой Windows к оборудованию. Что касается сброса активации системы с помощью утилиты Sysprep, то такая возможность ограничена лишь тремя разами. Это своего рода защита от злоупотребления пробным 30-дневным периодом активации системы, который имеет место быть в отдельных дистрибутивах Windows версии 8.1 и ниже.

Работа с утилитой Sysprep

Для оперативного запуска утилиты Sysprep воспользуемся командой «Выполнить». Жмём клавиши Win+R, вписываем:

Sysprep

Жмём «ОК».

В окне проводника увидим системную папку утилиты. Нам нужен исполнительный файл «sysprep.exe». Запускаем его.

В запустившемся окошке утилиты не трогаем предустановленное действие «Переход в окно приветствия системы (OOBE)».

В случае сброса активации Windows активируем пункт «Подготовка к использованию».

Если утилита используется для решения задач с исходным компьютером типа сброса активации или возникновения проблем после замены процессора, в другой настройке окошка «Параметры завершения работы» можно оставить по умолчанию выставленную перезагрузку.

Если утилиту Sysprep запускаем перед процессом замены материнской платы, естественно, для этих действий компьютер необходимо выключить. Соответственно, нужно выбрать «Завершение работы». Определившись со всеми настройками, жмём «ОК»

и дожидаемся завершения работы утилиты.

Когда создан эталонный образ Windows, и далее планируется загрузка со съёмного носителя программы-бэкапера, параметр выключения выбирается по ситуации. Главное – при перезагрузке не пропустить момент входа в BIOS для выставления приоритета загрузки. Ведь эталонный образ Windows на момент создания резервной копии должен остаться без привязки к оборудованию исходного компьютера. Привязка же к оборудованию компьютера произойдёт при следующем запуске системы.

Первый запуск Windows после очистки привязки к оборудованию

Первый запуск Windows после очистки привязки к оборудованию начнётся с установки заново драйверов. После чего нужно пройти несколько настроечных окон системы. В зависимости от версии Windows они будут отличаться, но суть будет той же. Рассмотрим процесс на примере Windows 7.

В первом окне выбираем региональные параметры и язык.

Затем создаём новую учётную запись. Она никак не повлияет на уже существующие в системе учётные записи и их данные. Новая учётная запись может быть временной и подлежать впоследствии удалению.

Если новая учётная запись не будет использоваться, можно пропустить поля ввода пароля.

Далее в версии Windows 7 последуют окна:

• Лицензионного соглашения;

• Настроек обновлений Windows;

• Часового пояса;

• Настроек сети.

Наконец, выйдем на экран блокировки Windows, где можем войти в любую из старых учётных записей.

Смотрите также:

• Поиск по содержимому в Windows По умолчанию поиск в Windows (в данном примере в Windows 7) ищет файлы по имени. Содержимое учитывает только в проиндексированных расположениях. Чтобы поиск искал по содержимому всех документов, нужно изменить…
• Русификация Windows 8 для англоязычных редакций На нашем сайте уже раннее рассматривался вариант установки изначально русифицированной редакции Windows 8.1. Англоязычные редакции, к примеру, ознакомительная версия Windows 8.1 Корпоративная на сайте Центра пробного ПО от компании Microsoft, дистрибутив…
• Как изменить расширение файла в Windows Иногда в Windows 7 нужно изменить расширение вручную, например, превратить файл “txt” в “bat”. Первое, что приходит на ум, — переименовать (F2). Но оказывается, что расширение «.bat» ты вроде бы…

Sysprep ошибка

Произошла неустранимая ошибка при выполнении sysprep

Такая ошибка появляется в том случае, если срабатывает ограничение на количество запусков. По умолчанию в Sysprep заложено ограничение на 3 запуска. Но выход есть, обратимся к реестру WIN + R

regedit

Идём по ветке:

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SoftwareProtectionPlatform

И меняем значения параметра SkipRearm на 1 или 0. После этого проблема должна уйти.

Ещё бывает, что собьётся другая настройка, но это реже случается. Переходим по ветке в реестре:

HKLM/SYSTEM/Setup/Status/SysprepStatus

И у параметра GeneralizationState выставляем значение 7. И, если есть, у параметра CleanupState выставляем значение 2

Если уже и это не помогло, то запускаем Командную строку от имени Администратора и выполняем последовательно следующие две команды:

msdtc -uninstall msdtc -install

Тем самым мы перезапустим службу координатора распределенных транзакций MSDTC. И после этого для верности перезапустите машину. После этого ошибка должна уйти 100%

Sysprep не удалось проверить установку Windows

Иногда возникает ошибка проверки установки Windows. Для решения этой ошибки мы переходим в каталог:

C:WindowsSystem32SysprepPanther

И открываем на редактирование файл setupact.log. Этот файл представляет собой журнал программы sysprep. И смотрим что за ошибку мы поймали.

Отключение BitLocker

Error SYSPRP BitLocker-Sysprep: BitLocker is on for the OS volume. Turn BitLocker off to run Sysprep. (0x80310039) Error [0x0f0082] SYSPRP ActionPlatform::LaunchModule: Failure occurred while executing ‘ValidateBitLockerState’ from C:WindowsSystem32BdeSysprep.dll If you run manage-bde -status command it will show the following: Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [System]
В этом случае для устранения ошибки нам нужно отключить BitLocker (это понятно из самой ошибки, если просто прочитать её). Чаше всего проблема возникает на ноутбуках с Windows 10, которые используют шифрование InstantGo. Чтобы отключить BitLocker запускаем Командную строку от имени Администратора и выполняем следующую команду:

manage-bde -off X:

Где X — это буква вашего системного диска.

Не удается удалить современные приложения у текущего пользователя

Error SYSPRP Package Application_2.2.5.666_x64__xxxx was installed for a user, but not provisioned for all users. This package will not function properly in the sysprep image. Error SYSPRP Failed to remove apps for the current user: 0x80073cf2.
Такая ошибка появляется, когда вы устанавливали приложение из Windows Store или криво его удалили Удалим через PowerShell командой:

Get-AppxPackage –Name Application | Remove-AppxPackage Remove-AppxProvisionedPackage -Online -PackageName Application_2.2.5.666_x64__xxxx

Как принудительно запустить sysprep?

Запускается программа по следующему алгоритму:

1. Нажать на клавиши Win +R. Откроется окно команды «Выполнить».

   

2. Ввести название утилиты и подтвердить.

   

3. Откроется папка с утилитой. Кликнуть 2 раза по sysprep.exe.

   

4. Появится утилита с настройками.

   

Как выполнить чистую установку Windows 10

Запустить программу можно через командную строку. Для этого:

1. Вызвать меню «Выполнить», нажав Win + R.

   

2. Ввести надпись «cmd» и подтвердить.

   

3. В консоли ввести команду: «%windir%System32SysprepSysprep.exe». Нажать «Enter».
4. Откроется окно утилиты.

   

3. Анализ setupact.log

Если открыть лог файл setupact.log по пути C:WindowsSystem32SysprepPanther, то можно увидеть сообщение:

Ошибка пакета SYSPRP XYZ_4.1.5.432_x64_83sdd78i870d был установлен для пользователя, но не подготовлен для всех пользователей. Этот пакет не будет правильно работать в образе Sysprep»

Видно, что проблема из-за приложения XYZ_4.1.5.432_x64_83sdd78i870d, который может быть поврежден. По этому, мы этот пакет приложения удалим.

Запустите PowerShell от имени администратора и введите для удаления пакета ниже две команды меняя свои значения:

Get-AppxPackage –Name *
XYZ* | Remove-AppxPackage Remove-AppxProvisionedPackage -Online -PackageName XYZ_4.1.5.432_x64_83sdd78i870d

Мегаплан

Мегаплан

• работает в облаке или на вашем сервере,
• легкий контроль за сроками: вовремя обнаружить проблему, понять причину, позвать на помощь, передвинуть дедлайн,
• полная история коммуникаций с клиентами и партнерами, этапы сделок и планы дел (звонков, встреч, переписки),
• оценка качества работы, учет времени, быстрая передача дел,
• удаленная работа из любой точки.

• Бизнес-менеджер (от 3200 руб./мес.),
• CRM: клиенты и продажи (от 2450 руб./мес.),
• Совместная работа (от 1450 руб./мес.),
• Проект-менеджер (от 1750 руб./мес.).

• интеграция с 1С,
• смс-пакет на 1000 сообщений,
• интеграция с Октелл,
• телефония VoxImplant,
• согласование документов в Мегаплане и т.д.

Проблема: один из пользователей потребляет 90% и более CPU

Опишу реальный случай с которым вы обязательно столкнетесь, если у вас в компании используются терминальные столы. И так есть RDS ферма построенная на базе Windows Server 2012 R2 до Windows Server 2019. На каждом из RDSH хостов могут одновременно работать свыше 30 пользователей. В среднем они суммарно не потребляют более 30% процессорных мощностей, но когда приходит период отчетности некоторые пользователи начинают нагружать сервера куда интенсивнее. Очень часто можно встретить, что пользователь работающий с Excel, 1С и похожими программами начинает потреблять 80-90% процессорных мощностей, в результате чего начинают страдать остальные пользователи этого RDSH хоста.

Ранее для решения это проблемы в Windows Server 2008 R2 был замечательный компонент диспетчер системных ресурсов (Windows System Resource Manager), но Microsoft его посчитала устаревшим и выпилила из состава компонентов, аж с Windows Server 2012 R2 и выше. Но не думайте, что доблестные разработчики не подумали чем вам восполнить этот пробел, они придумали и включили в состав Windows Server компонент «Динамическое планирование долевого распределения» или как в оригинале «Dynamic Fair Share Scheduling (DFSS)».

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов» 

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 SP1
• Windows 8.1
• Windows 8
• Windows 7 SP1

Скачайте с сайта Microsoft соответствующую версию, выполните установку и перезагрузку хоста. Также обязательным требованием является наличие Microsoft .NET Framework 4.5 или выше.

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

Включаем политику и нажимаем «Применить» (Apply). При этом устанавливать галочку напротив поля «Регистрация начала или остановки вызова блоков сценариев» (Log script block invocation start / stop events) не нужно. Данная функция увеличивает количество регистрируемых событий, которые не несут полезной информации.

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

• журнал «Установка» (Setup) — не менее 10 МБ,
• журнал «Система» (System) — не менее 50 МБ,
• журнал «Приложение» (Application) — не менее 50 МБ,
• журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Рисунок 17. Настройка хранения журналов аудита

Задание приоритетов при распределении ресурсов

После того, как вы закончили создание вашей политики, нажмите на OK. Теперь вы вернетесь в диалоговое окно New Resource Allocation Policy. Как вы можете увидеть из рисунка 4 политика, которую мы создали, теперь появится в списке ресурсов.

Рисунок 4: Наша новая политика появилась в списке ресурсов

Если вы посмотрите на новую политику, то вы обратите внимание на иконки стрелок вверх и вниз. Вы можете использовать эти стрелки для изменения приоритетов политик

В том случае, если у вас задана лишь одна политика, вы не можете задавать приоритеты. Но если бы у нас было несколько политик, то вы могли бы использовать эти иконки для задания порядка применения политик.

Брайн Позей (Brien Posey)

Режим разрыва клавиатуры

В режиме разрыва клавиатуры сканер просто набирает клавиши, которые соответствуют символам штрих-кода. Не требуется никаких драйверов, чтобы сканер заработал в 1С.

Во всех типовых конфигурациях по кнопке F7 открывается окно ввода штрих-кода. Поэтому достаточно сканеру запрограммировать префикс F7 и все, он будет поддерживаться 1С.

Если конфигурация дорабатывалась и в некоторых участках забыли прописать типовую поддержку F7, проще дописать эту поддержку. Но в качестве альтернативы можно использовать драйвер Атол старых версий, где выбрать в качестве порта «Разрыв клавиатуры».

Новые версии драйверов Атол платные, а бесплатные делают 10-секундную задержку перед обработкой штрих-кода.

Способ прост для подключения, но неудобен в работе.

• Нужно следить, чтобы была включена правильная раскладка клавиатуры.
• При использовании префикса курсор должен стоять внутри таблицы, иначе F7 не срабатывает.
• Буквы при наборе в RDP часто теряются, и сканер считывает усеченные штрих-коды.

Поэтому лучше все же, если используется разрыв клавиатуры, не использовать драйвер Атол (это лишние потери времени и символов), а просто запрограммировать префикс F7.

В моем случае был интересный глюк – буквы на некоторых штрих-кодах преобразовывались в верхний регистр. Я долго мучался, но мне подсказали, что нужно включить режим посимвольной передачи штрих-кода, а не пакетный, который стоял по умолчанию.

Предоставление учетных данных с помощью команды Manage As

При добавлении удаленных серверов в диспетчер серверов некоторые из добавленных серверов могут требовать учетные данные другой учетной записи пользователя для доступа к ним или управления ими. Чтобы указать учетные данные для управляемого сервера, отличные от используемых для входа на компьютер, на котором работает диспетчер серверов, воспользуйтесь командой Manage As после добавления сервера в диспетчер серверов, которую можно вызвать, щелкнув правой кнопкой мыши запись для управляемого сервера в плитке Серверы домашней страницы роли или группы. Если щелкнуть команду Manage As, откроется диалоговое окно Безопасность Windows, в котором можно ввести имя пользователя, имеющего права доступа на управляемом сервере, в одном из следующих форматов.

• User name

• Имя пользователя@example.domain.com

• Домен Имя пользователя

Диалоговое окно Безопасность Windows, которое открывается командой Manage As, не может принимать учетные данные смарт-карты; предоставление учетных данных смарт-карты через диспетчер серверов не поддерживается. Учетные данные, предоставленные для управляемого сервера с помощью команды Manage As, кэшируются и сохраняются до тех пор, пока вы управляете сервером с помощью того же компьютера, на котором в текущий момент работает диспетчер серверов, или до тех пор, пока вы их не переопределите, указав пустые или другие учетные данные для этого сервера. При экспорте параметров диспетчера серверов на другие компьютеры или настройке перемещаемого профиля домена, чтобы разрешить использование параметров диспетчера серверов на других компьютерах, учетные данные Manage As для серверов в вашем пуле серверов не сохраняются в перемещаемом профиле. Пользователи диспетчера серверов должны добавлять их на каждом компьютере, с которого им необходимо осуществлять управление.

После добавления серверов для управления с помощью следующих процедур, приводимых в этом разделе, но перед использованием команды Manage As для указания альтернативных учетных данных, необходимых для управления добавленным сервером, для этого сервера могут отображаться следующие ошибки состояния управляемости:

• Ошибка разрешения целевого компьютера Kerberos

• Ошибка проверки подлинности Kerberos

• В сети: отказано в доступе

Примечание

роли и компоненты, не поддерживающие команду » управление как «, включают службы удаленных рабочих столов (RDS) и сервер управления IP-адресами (IPAM). Если вы не можете управлять удаленным сервером RDS или IPAM с помощью учетных данных, используемых на компьютере, на котором работает диспетчер серверов, попробуйте добавить учетную запись, которая обычно используется для управления этими удаленными серверами, в группу администраторов на компьютере с диспетчером серверов. Затем войдите на компьютер, на котором работает диспетчер серверов, с учетной записью, которая используется для управления удаленным сервером, на котором работает RDS или IPAM.

▍Слабости RDP

Брутфорс-атаки

1. Простейшие атаки, которые заключаются в подборе элементарных паролей без использования каких-либо инструментов автоматизации.
2. Атаки по словарю, во время которых запускается перебор всевозможных паролей для предполагаемого имени пользователя.
3. Гибридные атаки, которые включают использование словарей, но каждый пароль проверяется не только в словарной форме, но и после ряда простых модификаций.
4. Password spraying, во время которых для известного пароля перебираются миллионы имен пользователей, пока не найдется совпадение.
5. Credential stuffing, при которых для перебора злоумышленники используют список скомпрометированных учетных данных пользователей.

Дополнительная информация

Хотя RemoteFX перенаправление USB для Windows 7 SP1 было реализовано для клиентских СКУ с одним сеансом, RemoteFX перенаправление USB для Windows Server 2012 R2 поддерживает перенаправление от нескольких клиентов и обеспечивает изоляцию сеанса для перенаправленных устройств. Таким образом, пользователи будут видеть только USB-устройства, которые принадлежат им. Когда перенаправление USB-устройств включено в RDS или MultiPoint, usb-устройства назначены определенному сеансу, в который они были перенаправлены. Доступ к этим устройствам может получить только код в режиме пользователя, работающий в том же сеансе.

По умолчанию диспетчер I/O отказывает в доступе, когда служба, запущенная в сеансе 0, пытается открыть одно из этих устройств, если служба не делает это, передав флаг FILE_FLAG_SESSION_AWARE CreateFile. Теория заключается в том, что, когда разработчики обновили свои службы, чтобы использовать этот флаг для открытия устройств, они также добавили новые функции, чтобы убедиться, что их службы ограничивают доступ к этим устройствам к любым другим приложениям из других сеансов, которые также могут использовать службу (например, если служба является сервером COM).

Дополнительные замечания

Ездить каждый раз к пользователям сканеров не получалось. Поэтому я научил одного сотрудника на месте распечатывать нужные страницы из руководства и сканировать нужные мне последовательности команд.

Есть специальная программа ScanMaster, которая может назначать префикс и делать другие настройки для разных моделей сканеров. Но она работает только со сканерами, подключенными через COM, а не в разрыв клавиатуры.

Для проверки, работает или нет сканер, можно использовать все же драйвер Атол, программа «Драйвер устройств ввода». Нажать «Настройка свойств» — «Поиск оборудования», и далее просканировать любой штрих-код. Если сканер подключен нормально, будет отображен штрих-код.

Вызов Диспетчера задач в Виндовс 8

Одной из самых распространенных проблем, с которыми приходиться встречаться пользователям является так называемое зависание программ. В этот момент может наблюдаться резкое падение производительности системы вплоть до того что компьютер перестаёт реагировать на команды пользователя. В таких случаях лучше всего будет принудительно завершить зависший процесс. Для этого в Windows 8 предусмотрен замечательный инструмент – «Диспетчер задач».

Если вы не можете воспользоваться мышью, то для поиска зависшего процесса в Диспетчере задач можно использовать клавиши со стрелками, а для его быстрого завершения кнопку Delete.

Способ 1: Сочетания клавиш

Самый известный способ запустить «Диспетчер задач» — это нажать сочетание клавиш Ctrl + Alt + Del. Открывается окно блокировки, в котором пользователь может выбрать нужную команду. Из данного окна вы можете не только запустить «Диспетчер задач», вам также доступны опции блокировки, смены пароля и пользователя, а также выход из системы.

Вы сможете более быстро вызвать «Диспетчер», если будете использовать сочетание Ctrl + Shift + Esc. Таким образом вы запустите инструмент не открывая экран блокировки.

Способ 2: Используем панель задач

Еще один способ быстро запустить «Диспетчер задач» — нажать правой кнопкой мыши на «Панели управления» и в выпадающем меню выбрать соответствующий пункт. Данный способ так же быстр и удобен, поэтому именно ему отдают предпочтение большинство пользователей.

Также вы можете нажать правую кнопку мыши в левом нижнем углу. В таком случае, помимо Диспетчера задач, вам станут доступны дополнительные инструменты: «Диспетчер устройств», «Программы и компоненты», «Командная строка», «Панель управления» и многое другое.

Способ 3: Командная строка

Также открыть «Диспетчер задач» можно через командную строку, вызвать которую можно с помощью сочетаний клавиш Win + R. В открывшемся окне введите taskmgr или taskmgr.exe. Этот метод не так удобен, как предыдущие, но тоже может пригодится.

Итак, мы рассмотрели 3 наиболее популярных способа запустить на Виндовс 8 и 8.1 «Диспетчер задач». Каждый пользователь сам для себя выберет наиболее удобный метод, но знание парочки дополнительных способов лишним не будет.

Нововведения в службах сертификации Active Directory

Я полагаю, что не стоит объяснять, для чего необходима служба сертификации Active Directory, которая позволяет создавать центр сертификации для выдачи цифровых сертификатов, привязывающих объект идентификации пользователя, службы или устройства к соответствующему частному ключу. В службах сертификации Active Directory операционной системы Windows Server 2008 R2 изменений не много. В новой версии службы сертификации появились веб-служба регистрации сертификатов и веб-служба политик регистрации сертификатов, разрешающих основанную на политике регистрацию сертификатов, используя протокол HTTP. Так как развертывание такой службы значительно повышает угрозу атак, целесообразно использовать данную службу для принятия только обновленных запросов, подписанных существующими сертификатами. Те администраторы, которые работали со службой сертификации, знают, что в Windows Server 2008 не было возможности выдавать сертификаты членам разных лесов и, соответственно, каждый лес должен был иметь свою инфраструктуру PKI. Теперь, в службах сертификации Windows Server 2008 R2 при помощи дополнительной поддержке ссылок LDAP вы можете выдавать сертификаты в лесах, между которыми есть доверительные соглашения. И последнее, что было изменено в данной серверной роли – была улучшена поддержка центров массовой сертификации.

Как отключать CPU Fair Share

Существуют ситуации, при которых требуется выключить DFSS, приведу пример. Citrix Xenapp также имеет свои собственные политики для разделения процессорного времени между пользователями, и неудивительно, что они не могут сосуществовать с политиками Microsoft. Управление процессорами Citrix не вступит в силу, если DFSS все еще включен. На самом деле, вы получите следующую ошибку на сервере:

Для отключения CPU Fair Share в Windows Server 2019, вам нужно сначала включить политику «Отключить планирование ЦП со справедливым разделением (Turn off Fair Share CPU Scheduling)». Сделать, это можно через групповые политики или же через локальный редактор политик (gpedit.msc).

После нужно выполнить обновление групповой политики, когда первое действие выполнено вы можете изменить значение ключа EnableCpuQuota на «0». По идее все должно работать, но иногда бывают случаи, что приходилось произвести перезагрузку сервера.

Так же отключить DFSS можно и через PowerShell, для этого введите команду изменяющую значение реестра:

$RegKey =»HKLM:\SYSTEMCurrentControlSetControlSession ManagerQuota System» Set-ItemProperty -path $RegKey -name «EnableCpuQuota» -value 0

Windows To Go

• Во избежание случайного нарушения конфиденциальности данных внутренние жесткие диски главного компьютера при загрузке в рабочее пространство WTG по умолчанию работают автономно. Аналогично, если диск подключается к компьютеру с загруженной ОС, диск WTG не отображается в проводнике.
• Для обеспечения безопасности при шифровании диска WTG с помощью BitLocker вместо доверенного платформенного модуля используется загрузочный пароль системы начальной загрузки, поскольку доверенный платформенный модуль привязан к конкретному компьютеру, в то время как диски Windows To Go перемещаются между компьютерами.
• Чтобы гарантировать, что рабочее пространство Windows To Go может легко перемещаться между компьютерами, режим гибернации отключен по умолчанию. Однако режим гибернации можно включить в параметрах групповой политики.
• Среда восстановления Windows недоступна. В тех редких случаях, когда требуется восстановление диска WTG, следует переустановить его из образа, создав новый образ Windows.
• Обновление и сброс рабочего пространства Windows To Go не поддерживается. Сброс к стандарту производителя не применяется для компьютера при выполнении рабочего пространства WTG, поэтому возможность была отключена.
• Магазин отключен по умолчанию. Приложения, лицензированные через Магазин, привязаны к оборудованию для лицензирования. Так как WTG разработан для перемещения по разным компьютерам, доступ к Магазину отменен. Вы можете разрешить использование Магазина, если ваши рабочие пространства Windows To Go не будут перемещаться по нескольким компьютерам.

сертифицированных

• IronKey Workspace W300
• Kingston DataTraveler Workspace для WTG
• Spyrus Portable Workplace
• Spyrus Secure Portable Workplace
• Super Talent Express RC4 для WTG и Super Talent Express RC8 для WTG
• Western Digital My Passport Enterprise

• Компьютер должен отвечать минимальным требованиям для использования с операционными системами Windows 7 или Windows 8.
• Компьютер, выбранный в качестве хоста для WTG должен поддерживать загрузку с USB.
• Использование WTG на компьютере, работающем под управлением Windows RT(Windows 8 ARM), не поддерживается.
• Выполнение рабочего пространства Windows To Go с компьютера Mac не поддерживается.

1. с помощью мастера Windows To Go Creator Wizard;
2. с помощью скрипта (PowerShell + утилиты работы с образами DISM или ImageX);
3. с помощью инструмента User Self-Provisioning в System Center 2012 Configuration Manager SP1.

• Использовать файл install.wim, расположенный на диске с дистрибутивом ОС в папке /sources. В этом случае мы получим «чистую» ОС. Однако в последних версиях Windows образ с файлами ОС имеет формат ESD, поэтому может потребоваться конвертация ESD в формат WIM.
• Создать wim-образ подготовленной заранее ОС, используя средства автоматической установки WAIK от Microsoft. Безусловно, плюсом данного способа является тот факт, что при подготовке ОС можно сделать необходимые настройки и установить стандартный набор ПО.
• Так же, используя ПО сторонних производителей wim-файл можно создать, конвертировав файл виртуального жесткого диска vhd.

Особый порт для подключения

По умолчанию, для подключения к терминальному серверу по RDP используется порт 3389. Если необходимо, чтобы сервер слушал на другом порту, открываем реестр, и переходим в ветку:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

Находим ключ PortNumber и задаем ему значение в десятично представлении, равное нужному номеру порта:

Также можно применить команду:

reg add «HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp» /v PortNumber /t REG_DWORD /d 3388 /f

* где 3388 — номер порта, на котором будет принимать запросы терминальный сервер.

Before you begin, или что нужно знать о PrintBrm

• Ухожена. Имеет GUI-воплощение, которое именуется Перенос принтеров (Print Migration) и может быть запущено из оснастки Управление печатью. GUI-вариант менее функционален и имеет проблемы с переносом портов.
• Внимательна. По умолчанию обрабатывает ACL принтеров принт-сервера. Другими словами, если вы разрешили печатать на принтере \printserverprinter1 только сотрудникам, входящим в AD-группу Бухгалтерия, то это ограничение будет учтено импорте/экспорте. Или не будет, если поставить ключ -NOACL. При этом ACL самого сервера печати не обрабатывается независимо от ключа.
• Капризна. На момент импорта параметров из файла на целевом сервере должен быть хотя бы один расшаренный принтер, иначе получите ошибку.
• Нежна. Теряется, видя пробелы в пути файла. При виде кавычек, обрамляющих такой путь, огорчается и выдает ошибку 0x8007007b.
• Скромна. Если при попытке экспорта настроек указанный файл уже существует, перезаписать его не может, спросить стесняется и также завершается с ошибкой.
• Таинственна. Всегда возвращает exit-код, равный 0. Получается, идеальная программа.
• Склонна к раздумьям. Может подзависнуть на стадии 100% минут на 5, а иногда и больше. Но потом одумывается и завершает работу (если, конечно, у вас хватит терпения не нажать Ctrl+C).
• Внезапна и противоречива. Может устраивать вот такие сюрпризы.
• Умна. Может переназначать исходные драйверы на другие. Например, с помощью XML-файла можно указать, что все драйверы HP Universal Printing PCL 5 в сохраненном файле на целевом сервере надо переназначить на HP Universal Printing PCL 6. На практике не использовал, но для кого-то может пригодиться.
• Своенравна. Использовать ее для переноса настроек между доменами без доверия у меня не получилось, даже с ключом -NOACL. Либо не умеет в принципе, либо моя магия недостаточно сильна.
• Познакомиться поближе можно тут и здесь, а для тех отважных, кто не стесняется спросить напрямую, есть ключ /?