Ответы пользователя по тегу Windows
  • Как узнать к какой программе принадлежит процесс, запускаемый из папки TEMP?

    @younghacker
    Попробуйте утилиты sysinternals, нужно поймать процесс который пишет в эту папку.
    Как вариант если у вас виндовс не HomeEdidtion можно запретить запуск приложений из папки TEMP (software execution policy или Applocker) и смотреть какой процесс заявит об ошибке. Посмотрите в логи.
    Ответ написан
    Комментировать
  • Как настроить сетевое окружение между сервером vpn и компьютерами из разных сетей?

    @younghacker
    Какой vpn используете?
    Ответ написан
    Комментировать
  • По какой причине могут не работать жесты на тачпаде?

    @younghacker
    А поддерживает ли тачпад этот самый мульти-тач :)
    В смысле железо и драйверы.
    Ответ написан
    Комментировать
  • Как через планировщик заданий в windows сделать так, что бы windows перестала загружаться?

    @younghacker
    Нужно придумать откуда получать действительно время. CMOS и NTP источники можно сбросить или изменить. Но можно написать скрипт который читает время работы жёсткого диска SMART INFO и сравнивает с заданным и делает какие-то действия. Поставить или активировать пароль на диске, зашифровать какую-то системную область и т д.
    А можно иначе.
    Раздел на диске изначально шифруется DriveCrypt. При загрузке отрабатывает какой-то скрипт который монтирует раздел в папку directory junction. Пароль получается из системного времени и времени работы диска, придумать как его формировать чтобы он выдавал правильный пароль в укзанном диапазоне времени.
    В Linux процесс загрузки контролируется проще чем в Windows.

    Может выдавать какой-то токен из интернета. Нет обновления токена - через 24 часа компьютер превращается в тыкву. Может быть есть USB токены получающие код из интернета вещей или SMS.

    Но это не защитит от замены диска. Работник поменяет диск и поставит систему и поедет дальше

    Также я бы пробовал искать сервисы которые удалённо контролируют компьютер встраиваясь в биос.
    Не дают заменить диск, не дают сбросить пароль.
    Например Computrace встроен в BIOS Dell даже в ноуты 10-летней давности.
    Мне не приходилось его использовать, но я так понимаю с его помощью можно блокировать украденные компьютеры.

    Можно написать свой UEFI модуль и в нём проверить на месте ли диск и сколько там часов натикало и если всё в порядке - грузиться. Иначе впасть в ступор.

    Ну или в ноутбук вставить таймер который "перережет" нужный провод :)
    Ответ написан
    Комментировать
  • Как поймать вредителя или почему ломается curl?

    @younghacker
    Я бы собирал диагностику сети.
    Перед curl или после того как он вернул ошибку запускаете несколько программ которые записывают информацию в лог.
    1) пинг себя, гейтвея, гуглднс и целевого хоста по IP. (в зависимости от сетей размещения источника и цели)
    2) трейсроут до целевого хоста без лукапа имён
    3) переменные окружения (кто я) списки процессов и так далее.
    4) телнет (tcping) в порт целевого хоста и постороннего хоста для сравнения. Чтобы проверить не блокирует ли вас антивирус или целевой хост.
    5) помотреть логи целевого сервера. Увеличить информативность логов.
    6) воткнуть хост в роутер (linuxbox) на нём собрать трафик по интересующему порту (tcpdump в файл)
    7) поставить на хосте виновнике https://www.winpcap.org/ и писать трафик в файл затем посмотреть в wireshark что происходит.
    8) утилиты Марка Русиновича sysinternals для анализа что там происходит с сеткой, процессы, соединения порты, ошибки работы с файлами реестром и так далее.
    9) попробовать отправить файл при помощи PowerShell или любой другой утилиты вместо пайтона и curl

    Стабильность возврата ошибки по идее даёт возможность найти виновника. Но "войти по RDP" имеет много отличий от запуска от имени системы или таймера. Поэтому у Вас по RDP это работает.
    Ответ написан
  • Фаервол против телеметрии Windows 10?

    @younghacker
    Я бы не стал доверять и внешнему файрволу. Временно это может помочь пока потоки недостатки потоков телеметрии не возмутят MS. Система может складывать и обрабатывать телеметрию локально. А как только появится возможность - отправит её альтернативным способом. Что мешает мне отправить данные через дропбокс?
    Поэтому: Не хотите телеметрию - не ставьте систему с телеметрией.
    Ответ написан
    Комментировать
  • Как спарсить числа из разных файлов?

    @younghacker
    Мам дарагая... Вы это смогли скомпилировать?

    Если все файлы такие же то перебираем файлы в папке и в файлах ищем строку по регулярному выражению.

    В линуксе код вынуть можно например так:
    Перейти в нужный каталог и запустить это
    grep -i 'keyMaterial' * | sed -e 's/<keyMaterial>\(.\+\)<\/keyMaterial>/\1/gI'


    Я бы к выражению ещё добавил название точки доступа.

    Для винды можно это сделать на powershell ну и конечно накодить в С++ (использовать например библиотеку XML парсера)
    Ответ написан
    Комментировать
  • Как локально сохранить структуру папок сетевого или внешнего жесткого диска?

    @younghacker
    Windows - tree
    Linux - tree
    MAC - думаю что тоже самое
    Удобно? Смотря что Вы понимаете под словом удобство.

    Для линукса который внутри WD я писал скрипт на баше и на питоне который выводит содержимое каталогов в идентичном виде как команда DIR. Это было нужно моему другу для плагина для FAR Manager для работы этим файлом в offline режиме. Прямо ходить по файлу как по живым папкам диска. Возможно Вам нужно что-то похожее. Если нужно могу спросить.
    Ответ написан
    Комментировать
  • Windows xp + openvpn client не блокирует интернет, как исправить?

    @younghacker
    Вы не написали где установлен OpenVPN и как устроена сеть.
    Для windows
    route print
    или
    ip route
    линукс/мак
    Смотритe куда настроен default gate или 0.0.0.0/0 на той машине где установлен OpenVPN.
    Ответ написан
    Комментировать
  • Почему не могу подключится к удаленному серверу?

    @younghacker
    Как подключается программа клиент? По имени или по IP ?
    Что говорит ping сервера по адресу из обоеих сетей?
    Если не пингуется то что говорит route
    Ну и что думает firewаll на сервере с базой по повду входящих соединений по нужному протоколу на нужный порт из обеих сетей.
    tcpdump вам в помощь!
    Да! А что думает ip route | sort на стороне linux сервера?
    Ответ написан
    Комментировать
  • Как объединить две локальные сети в одну через OpenVPN?

    @younghacker
    Важно чтобы на сервере был статический адрес. Либо нужно будет прикручивать какой-то домен и настраивать DynDNS.
    На машине которая будет сервером программы ENERGO запустите OpenVPN в режиме сервера.
    Затем откройте на модеме/роутере за которым находится этот сервер portforwarding для UDP порта скажем 12129 и пробросьте его на внутренний IP адрес сервера на порт который слушает OpenVPN сервер. Другие порты прокидывать не нужно. DMZ тоже не стоит активировать чтобы не подставлять вашу XP.

    На всех клиентах которым нужно соединяться с программой ENERGO запустите OpenVPN в режиме клиента. Внеший IP используйте тот за которым стоит OpenVPN сервер.

    OpenVPN для Windows инсталируется просто.
    Не нужно ставить OpenVPN GUI. После установки откройте mmc останстку "службы" и найдите там OpenVPN service. Установите автоматический запуск.
    После того как положите конфиги сервера и клиентов в их каталоги запустите сервис OpenVPN. Затем проверьте что появились необходимые интерфейсы и маршруты.
    ipconfig
    route print
    После этого каждый клиент сможет достучаться до сервера.
    Ваша серверная программа ENERGO должна слушать все интерфейсы в том числе TUN который создаст VPN сервер. Перезапустите её если она не слушает.
    Cтяните бесплатную утилиту sysinternals TCPView чтобы посмотреть процессы и открытые ими порты.

    Если Вы будете поднимать сервер и клиен на конечных машинах тоесть именно на них будет запущен сервер ENERGO и клиенты то с маршрутизацией вам не нужно заморачиваться. Достаточно убедиться чтобы приватная сеть выделяемая для OpenVPN не конфликтовала с вашими другими сетями. Например 172.16.23.0/26 это сеть на 62 адреса в диапазоне который далёк от обоих ваших диапазонов. Сервер в этом случае будет находиться на адресе 172.16.23.1.
    В серверном конфиге для этого нужно использовать такую строку:
    server 172.16.23.0 255.255.255.192
    В остальном всё просто.
    Если будут вопросы — спрашивайте.

    PS.
    Если в офисе клиентов будет больше 3-5 тогда я бы рекомендовал ставить с их стороны VPN роутер, например как рекомендовал Gring76. В таких случаях я предпочитаю прошивать Mikrotik или TPLink в OpenWRT. (в Микротике ущербная реализация OpenVPN)

    PPS. Если будут тормоза (непонятно сколько трафика гоняет программа) смотрите в сторону Remote Desktop Services. Тоесть поднять терминальный сервер у себя в офисе, или у ближайшего отзывчивого хостера на VDS где установлена Windows.
    Ответ написан
    Комментировать
  • Есть ли возможность настроить Openvpn-клиента yf Windows без сертификатов?

    @younghacker
    1. Отключать сертификаты плохая идея.
    2. Подключение без прокси напрямую работает?
    3. Время и дата между клиентом и сервером синхронизированы?
    4. Кто контролирует прокси? Никаких sslstrip не делает?
    5. Было бы хорошо нарисовать схему подключения.
    6. log verbosity включите на максимум


    Сказанное ниже к делу скорее всего не относится. Чисто как замечание.
    Не знаю как ситуация выглядит сейчас но раньше у микротика с OpenVPN были ограничения. Не поддерживался UDP и по-моему нельзя использовать ta ключи. С тех пор я использую только перешитые Mikrotik.
    Ответ написан
    Комментировать
  • Как зарезать права учётной записи гостя, чтобы он мог запускать только браузер?

    @younghacker
    Вам верно написали про политики ограничения запуска программ (Software Restriction Policy или SRP / App Locker). Попробую немного прояснить суть решения проблемы.

    Главное что нужно сделать это при помощи NTFS ACL заблокировать пользователям возможность запускать программы отовсюду куда они могут записать файлы и при помощи SRP ограничить операционке права запускать программы только каталогами каталогами в которые пользователи не могут писать. В общем случае должно быть разрешено запускать программы только из Program Files и Windows, но запрещено запускать из systemdrive:\Windows\tmp и systemdrive:\Windows\blablabla\spooler

    Для этого нужно понимать, что такое права NTFS их наследование. Все диски в системе на которых есть программы которые можно запускать программы — сделать NTFS. Лучше всего всегда чтобы запускаемые программы были только в Program Files при этом пользователи этих программ никогда не должны иметь прав записи в системные каталоги.

    Любые манипуляции с NTFS и ACL должен проводить человек который понимает что делает!

    Затем:
    1. изменить права на диски таким образом чтобы гость, да и вообще пользователи не могли создавать каталоги и файлы. Единственное обязательное разрешение папки с профилями пользователей и временные папки Windows включая "принтерный спулер". Главный запрет папка с Program Files (незачем туда писать ни пользователям ни пользователям удалённого рабочего стола ни инсталяторам. Всёравно ставить программы и обновления будем от учётки админа)
    2. снять к права пользователей c папки Program Files. Не запретить, а именно снять! (запретом можно случайно сломать доступ и админам) Пользователям можно оставить только Читать каталоги и подкаталоги но не файлы! Traverse folders
    3. после этого включите политику ограничения программ или App Locker и проверьте что пути откуда допускается запуск программ не допускают пользователям записывать данные. Для пущего запрета можете добавить блокировку запуска из некоторых каталогов в Program Files но очень осторожно! Можно повредить систему так что потом и системы и у админа будут проблемы.
    4. проверьте и добавьте ограничение запуска из временных папкок Windows и spooler Windows. Они обычно находятся в папке Windows, а на неё включено разрешение запуска программ (иначе система не стартанёт).
    5. после этого разрешите в Program Files пользователям запускать программы только из папки Google Chrome хотя я рекомендую Mozilla Firefox
    6. также рекомендую снять право пользователей запускать Internet Explorer (некоторые программы Microsoft умеют обходить SRP)

    Теперь при установке программ от учётной записи администратора нужно будет отключать SRP и ставить программу или обновление, затем включать SPR.

    Несколько замечаний.
    SRP и/или AppLocker есть не во всех дистрибутивах Windows. Понятно, что MS это машина по зарабатыванию денег. Но SRP напрямую затрагивает основу основ компьютерной безопасности операционных систем Windows и для меня выглядит не совсем логичным добавить UAC но не дать возможность защищать систему при помощи SRP на самой дешёвой OEM Windows системе. До появления SRP я пользовался замечательной программой TrustNoExe. Она бесплатна ставится в виде сервиса имеет белые и чёрные списки. На новых дистрибутивах Windows я её не испытывал, но она могла бы закрыть брешь в безопасности Windows где есть NTFS но нет SRP.

    SRP это не панацея. К сожалению программы умеющие исполнять скрипты например Word, Excel и т д можно использовать для инжекции постороннего исполняемого кода, а значит можно пытаться поднять привилегии используя известные и не очень уязвимости.

    Дополнительные рекомендации:
    При установке всяких программ типа Google Chrome, Mozilla Firefox, Skype, FoxItReader и т д (их количество будет продолжать расти). следить чтобы они не наставили своих сервисов. С появлением UAC в Windows, всем есть дело и все явно (есть птичка отказаться) или подло (нет выбора) ставят такие сервисы. Если программа ставит такой сервис — удалить его sc delete имя_сервиса. Назначение этих сервисов — скрытая установка своих программ. Отвратительные побочные явления — внезапная поломка системы после неудачного обвноления (включая обновления Windows) У нас был случай когда на клиентских серверах Win2008 после автоматического обновления тотально (у большого числа клиентов) перестал работать терминальный сервер, в результате чего пришлось удалять часть обновлений и ставить другие. После этогого все автообновления были отключены и заблокированы. Нехотите таких сюрпризов — пресекайте все попытки программ установить свои сервисы. Есть программы которые после своей установки хамским образом меняют NTFS acl таким образом что разрешают писать всем в каталог этой программы в Program Files — это сведёт к нулю все ваши старания ограничить запуск программ. Избавляйтесь от таких программ используйте нормальные которые не пишут в Program Files.

    Кроме этого такой подход позволит вам отказаться от антивирусов если не будете бездумно ставить всякий неизвестный и даже известный софт.
    Ответ написан
    8 комментариев
  • Как в Bash обратиться к AD?

    @younghacker
    Живой пример для mydomain.com (домен выдуман):
    ldapsearch -xLLL -D "uid=nss,ou=People,dc=mydomain,dc=com" -w `</etc/1sEcretNfOlder/ldap.secret` -H  ldap://ldap-master.mydomain.com/ -Z -b "dc=mydomain,dc=com" "*" "+" | sed -e ':a;N;$!ba;s/\n //g'


    Тут лежит пароль к LDAP /etc/1sEcretNfOlder/ldap.secret
    Атрибуты на файл с паролем нужно поставить так чтобы кроме пользователя от которого запущен скрипт никто не прочитал его. Да и паролю дать право только читать LDAP.

    sed удаляет переводы строки перед строками начинающимися с пробела чтобы потом из файла можно было в скрипте парсить нужные данные. В моих версиях ldapsearch эта проблема не решается ключами.
    Ответ написан
    Комментировать
  • Гипервизор на локальной машине?

    @younghacker
    athacker
    Я думаю, речь идёт о возможности быстро развернуть некий образ на любой машине. А ставить дистрибутив линукса слишком долгая процедура.

    По существу вопроса:
    Дистрибутивов таких не знаю, но я бы попробовал сделать его при помощи kickstart-а. И разместил бы его на флешке. Таким способом я создаю виртуальные машины. Разбивает ся диск, прописываются настройки сети, ставятся нужные репозитории и т д. Получается довольно быстро и удобно.
    Можно также подтянуть из сети или загрузить с флешки и образы виртуалки и настроить VNC на весь экран.
    Ответ написан
    Комментировать
  • Зашифрует ли шифровальщик файлы на диске без буквы?

    @younghacker
    Вам верно ответили, куда имеет доступ залогиненный пользователь, туда имеют доступ и все процессы запущенные с его привилегиями. А будет ли он искать все устройства или нет, зависит от реализации.

    Спасут информацию и кошельки только резервные копии на удалённое устройство откуда пользователь не может ничего удалить или изменить. Речь идёт о таком бэкапе куда пользователь используя своё окружение и привилегии не может получить доступ.
    Например бэкап на почту. Отправить можете, а вот отозвать письмо — нет. Разумеется доступ к такому бэкапу нужно хранить надёжно и случайно не "спалить" трояну. "Отправляльщик" должен это делать без аутентификации или отправлять на другой ящик иначе пароль может утечь, а шифровальщий сделать своё дело.

    Либо "бэкап устройство" должно само приходить на компьютер и забирать бэкапы не предоставляя возможности зайти к себе. Разве что только по пятницам и только в режиме ReadOnly. Например для проверки бэкапов.

    Для этих целей не подходит диск подключённый по USB. Или ограниченно подходит если выполнены мероприятия описанные дальше.

    Но всё же нужно помнить о организационных мероприятиях, так как понятие пользователь отличается от понятия администратор. Не нужно работать от эккаунта администратора. Для этого есть эккаунт пользователя. Ему выделить песочницу "Мои документы" и туда он пусть пишет и читает. При грамотно расставленых правах и политиках ограничения запуска, а главное адекватном поведении пользователя у трояна почти нет шансов во-первых запуститься, во-вторых даже запустившись он будет "кувыркаться" в рамках отведённой песочницы.
    Бэкапер при этом выполняясь с другими более высокими привилегиями будет изолирован от шифровальщика и сможет создавать копии в защищённое место.
    Ответ написан
    Комментировать
  • Как защитить рабочую станцию от сброса пароля администратора в windows?

    @younghacker
    Если есть физический доступ к компьютеру, что вы не делайте найдётся умелец.

    Поставьте бездисовые linux терминалы, а пользователей загоните в терминальный сервер и делу конец.
    Ответ написан
  • Какой хостинг подойдёт для OnlyOffice (вопрос от новичка, требования к хостингу в описании)?

    @younghacker
    Если Вы будете брать именно хостинг то одни только SPLA лицензии RDP на 5 человек потянут на ~20 евро в месяц. В таком случае предложение 75$ в год более чем выгодное.
    Ответ написан
    Комментировать
  • Как сделать синхронизацию Windows - Хостинг через FTP?

    @younghacker
    Утилиты для работы с ftp можно взять здесь.
    www.ncftp.com/ncftp
    Конкретно взять утилиту
    NcFTPPut - command-line utility program
    Она не требует инсталяции и работает из командной строки.

    Командный файл примерно такой:
    @echo off
    ncftpput.exe -u %ftpuser% -p %ftppass% %ftpaddr% %1 %2 >> %3
    set result=%ERRORLEVEL%
    if %result% == 0 (
      @echo ftpput reported ok >> %3
    ) else (
      @echo ftpput reported error = %result% >> %3
    )
    exit /b

    получает 3 параметра
    1) путь куда класть на ftp сервере
    2) полный путь и имя файла который класть на сервер
    3) полный путь и имя файла куда выводить результаты (log)
    из предыдущего командного файла или в окружении нужно установить три переменные
    set ftpuser - имя пользователя ftp
    set ftppass - пароль пользователя ftp
    set ftpaddr - адрес ftp сервера
    И не забыть в path добавить путь к ncftpput или вызвать с полным путём.
    Ответ написан
    Комментировать