Давайте так — закон, это конечно хорошо — но что, в конторе одни железные серваки и нигде нельзя поднять виртуалки? Как-то слабо верится.
Да даже банально на Win10Ent Hyper-V есть, где можно поднять сервак DC.
Смысл менять пароль локального админа? Он легко достается mimikatzom.
Для Win2012R2 сервера AD достаточно персоналки c 4GB оперативы за 300 долларов.
Что мешает проапдейтить Win2003 до 2012R2?
Что у вас за сервера вообще?
У нас 250 пользователей, 500 девайсов, и всего 2 виртуалки DC c 4GB оперативы спокойно справляются.
Владелец бизнеса рискует потерять ВСЕ в один день — спасут только бэкапы, которые после выполнения задания будут вынесены из здания.
И что? Не вижу проблем поставить пару новых виртуалок и перенести роли AD на них, потом понизить старые сервера из контроллеров домена до роли простых серверов и повысить уровень домена.
Или продолжать и дальше сидеть на пороховой бочке, когда в любой момент может повториться та же ситуация с похожим вирусом.
Что для конторы ценеее — один новый сервак или информация? Если не было бэкапов — то это почти смерть конторе будет, когда ляжет ВСЯ проделанная работа.
Mimikatz достает пароли ВСЕХ учеток, залогиненных в системе — и доменные естественно тоже.
Только что тестировал на WIndows 10 1703 Enterprise — легко и непринужденно достала пароль доменного админа на простой машине.
Но включение этого админа в группу Protected Users в AD уровня 2012R2 решает проблему вроде бы и пароль в открытом виде Mmikatz уже не смогла достать.
Или наоборот — то, что на нем ТОЛЬКО заставка говорит, что там что-то секретное должно работать и это временно выключили, чтобы не разглашать информацию.
Кроме современных вирусов еще могут ходить и старые, а если атака будет целенаправленной — то именно нужные вирусы и будут использованы — для старых систем — старые варианты.
Но не прокатывает такой способ - не хочет качать symbols из интернета.
Вывод получаю в виде
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found)
Да, я один сервак так вылечил и он стал получать обновления с WSUSa нашего :)
Но вообще творится что-то странное — железные компы на 10-ах массово не хотят ставить обновления, самая распространенная проблема — процесс загрузки обновлений стоит на 0% и все, никакого эффекта.
Некоторые компы и виртуалки просто не могут отправить отчет — в всусе видно, что они подключались недавно, а отчеты — месяц-два назад, или вообще никогда.
Пока борьба шаманская — 8, 8.1 — стоп сервиса, удаление папки SoftwareDistribution, потом wuauclt /resetAuthorization и wuauclt /detectnow
С Win10 — всего вообще непонятно как лечить. Еще отчеты еще как-то лечатся таким же способом, то скачивание обновлений стопорится на 0%.
Вроде как помогает стоп сервисов bits wuauserv appidsvc cryptsvc
Коллеги, что скажите про совет увеличить размер файла XML в запросе?
The current number of round trips allowed by WSUS is 200 per client session.
The default maximum size of XML data that WSUS allows during each request is currently 200 KB.
To reduce the number of round trips to be within the 200 round trips limit per client session, you can adjust the adjust the maximum size of XML data downloaded per request from the 200 KB limit to an unlimited size.
To adjust the maximum size of XML allowed per request, you will need to adjust a setting within the WSUS SUSDB database.
You can adjust this setting by running the following SQL script on the WSUS server:
==========
USE SUSDB
GO
UPDATE tbConfigurationC SET MaxXMLPerRequest = 0
==========
У нас был плохой опыт использования дедупликации на ZFS в SDS NexentaStor — хранилище было заполнено от силы на 50%, но в какой-то момент времени производительность катастрофически упала, до десятков кБайт/сек.
Миграция в течение нескольких часов одной виртуалки, потом еще нескольких, ребут жесткий хранилища со включенными виртуалками под ESXi — ожила хранилка, отключение дедупликации, миграция части виртуалок на другой СХД, потом обратно — старые остались дедуплицированными, а новые уже нет.
Общее решение — пересоздание массива с нуля только.
Существует
C cайта MSDN
Windows XP Professional x64 Edition (English)
Released: 3/30/2005
SHA1: 8e914f652dff0aa8fd16f41b583817c7e107bba5
File name: en_windows_xp_professional_x64.iso
Попробовал такой варинт
psexec \\computer powershell.exe get-windowsupdatelog
Получил бесполезный лог 2017/06/01 13:26:03.8240088 4212 16064 Unknown( 38): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240098 4212 16064 Unknown( 31): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240101 4212 16064 Unknown( 23): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240156 4212 16064 Unknown( 36): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240213 4212 16064 Unknown( 42): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240313 4212 16064 Unknown( 14): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).
Это я видел. Думал есть попроще варианты.
Кроме как запускать сессию Powershell от админа домена, потом коннектиться на комп юзера, запускать там get-windowsupdatelog, возможно сразу с записью лога на какую шару.
Коллеги, как вы решаете задачу просмотра лога WindowsUpdate на Windows 10?
Его просто так теперь посмотреть нельзя, только через выполнение Powershell команды.
Может есть какое централизованное решение?
Да даже банально на Win10Ent Hyper-V есть, где можно поднять сервак DC.
Для Win2012R2 сервера AD достаточно персоналки c 4GB оперативы за 300 долларов.
Что мешает проапдейтить Win2003 до 2012R2?
Что у вас за сервера вообще?
У нас 250 пользователей, 500 девайсов, и всего 2 виртуалки DC c 4GB оперативы спокойно справляются.
Владелец бизнеса рискует потерять ВСЕ в один день — спасут только бэкапы, которые после выполнения задания будут вынесены из здания.
Или продолжать и дальше сидеть на пороховой бочке, когда в любой момент может повториться та же ситуация с похожим вирусом.
Что для конторы ценеее — один новый сервак или информация? Если не было бэкапов — то это почти смерть конторе будет, когда ляжет ВСЯ проделанная работа.
Включение админов домена в группу Protected users.
https://technet.microsoft.com/en-us/library/dn466518.aspx
Включение через GPO Credential Guard
https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard
Для чего? У вас уже вирус в сети ходит? Смените пароль и выполните первые 2 пункта.
Только что тестировал на WIndows 10 1703 Enterprise — легко и непринужденно достала пароль доменного админа на простой машине.
Но включение этого админа в группу Protected Users в AD уровня 2012R2 решает проблему вроде бы и пароль в открытом виде Mmikatz уже не смогла достать.
Запустить powershell от имени администратора домена и выполнить такую команду
Get-WindowsUpdateLog -ETLPath \\\C$\windows\Logs\WindowsUpdate -SymbolServer https://msdl.microsoft.com/download/symbols -LogPath C:\LOGS\windowsupdate_.log
Но не прокатывает такой способ - не хочет качать symbols из интернета.
Вывод получаю в виде
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found)
https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc
Закинул на удаленный комп, подключился к сессии powershell на нем и можно работать.
Правда остается проблема со штатным скриптом Get-WindowsUpdateLog на Windows 10 в таком режиме — выдает, что не знает таких GUID.
Но вообще творится что-то странное — железные компы на 10-ах массово не хотят ставить обновления, самая распространенная проблема — процесс загрузки обновлений стоит на 0% и все, никакого эффекта.
Некоторые компы и виртуалки просто не могут отправить отчет — в всусе видно, что они подключались недавно, а отчеты — месяц-два назад, или вообще никогда.
Пока борьба шаманская — 8, 8.1 — стоп сервиса, удаление папки SoftwareDistribution, потом wuauclt /resetAuthorization и wuauclt /detectnow
С Win10 — всего вообще непонятно как лечить. Еще отчеты еще как-то лечатся таким же способом, то скачивание обновлений стопорится на 0%.
Вроде как помогает стоп сервисов bits wuauserv appidsvc cryptsvc
удаление "%ALLUSERSPROFILE%\Microsoft\Network\Downloader\*.*"
удаление SoftwareDistribution
зачистка "%SYSTEMROOT%\system32\Catroot2"
Потом старт сервисов. Но и то не всегда лечится.
The current number of round trips allowed by WSUS is 200 per client session.
The default maximum size of XML data that WSUS allows during each request is currently 200 KB.
To reduce the number of round trips to be within the 200 round trips limit per client session, you can adjust the adjust the maximum size of XML data downloaded per request from the 200 KB limit to an unlimited size.
To adjust the maximum size of XML allowed per request, you will need to adjust a setting within the WSUS SUSDB database.
You can adjust this setting by running the following SQL script on the WSUS server:
==========
USE SUSDB
GO
UPDATE tbConfigurationC SET MaxXMLPerRequest = 0
==========
Миграция в течение нескольких часов одной виртуалки, потом еще нескольких, ребут жесткий хранилища со включенными виртуалками под ESXi — ожила хранилка, отключение дедупликации, миграция части виртуалок на другой СХД, потом обратно — старые остались дедуплицированными, а новые уже нет.
Общее решение — пересоздание массива с нуля только.
C cайта MSDN
Windows XP Professional x64 Edition (English)
Released: 3/30/2005
SHA1: 8e914f652dff0aa8fd16f41b583817c7e107bba5
File name: en_windows_xp_professional_x64.iso
psexec \\computer powershell.exe get-windowsupdatelog
Получил бесполезный лог
2017/06/01 13:26:03.8240088 4212 16064 Unknown( 38): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240098 4212 16064 Unknown( 31): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240101 4212 16064 Unknown( 23): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240156 4212 16064 Unknown( 36): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240213 4212 16064 Unknown( 42): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240313 4212 16064 Unknown( 14): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).
Кроме как запускать сессию Powershell от админа домена, потом коннектиться на комп юзера, запускать там get-windowsupdatelog, возможно сразу с записью лога на какую шару.
Его просто так теперь посмотреть нельзя, только через выполнение Powershell команды.
Может есть какое централизованное решение?