Category Archives: Windows

Как отключить обновления Windows 10

В этой инструкции пошагово описаны способы отключить автоматические обновления Windows 10 (т.е. установку обновлений). В этом контексте вас также может заинтересовать Как отключить автоматическую перезагрузку Windows 10 при установке обновлений (с возможностью ручной их установки).

По умолчанию, Windows 10 автоматически проверяет наличие обновление, скачивает и устанавливает их, при этом отключить обновления стало сложнее, чем в предыдущих версиях операционной системы. Тем не менее, сделать это возможно: с помощью средств администрирования ОС или сторонних программ. В инструкции ниже — о том, как полностью отключить обновления системы, если же вам требуется отключить установку конкретного обновления KB и удалить его, необходимую информацию вы найдете в руководстве Как удалить обновления Windows 10. См. также: Как отключить автоматическое обновление драйверов в Windows 10.

Помимо полного отключения обновлений Windows 10 в инструкции показано, как отключить конкретное обновление, вызывающее проблемы, или, при необходимости — «большое обновление», такое как April Update 1803 или Fall Creators Update, не отключая при этом установку обновлений безопасности.

Как отключить автоматические обновления Windows 10, но разрешить ручную установку обновлений

С выходом Windows 10 версии 1709 Fall Creators Update и 1803 April Update многие способы отключения обновлений перестали работать: служба «Центр обновления Windows» включается сама по себе (обновление 2018: добавил способ обойти это и полностью отключить Центр обновления, далее в инструкции), блокировка в hosts не срабатывает, задания в планировщике заданий автоматически активируются со временем, параметры реестра работают не для всех редакций ОС.

Тем не менее, способ отключения обновлений (во всяком случае, их автоматического поиска, скачивания на компьютер и установки) существует.

В заданиях Windows 10 присутствует задание Schedule Scan (в разделе UpdateOrchestrator), которое, используя системную программу C:\Windows\System32\UsoClient.exe регулярно выполняет проверку наличия обновлений, и мы можем сделать так, чтобы оно не работало. При этом обновления определений вредоносных программ для защитника Windows продолжат устанавливаться автоматически.

Отключение задания Schedule Scan и автоматических обновлений

Для того, чтобы задание Schedule Scan перестало работать, а соответственно перестали автоматически проверяться и скачиваться обновления Windows 10, можно установить запрет на чтение и выполнение программы UsoClient.exe, без чего задание работать не будет.

Порядок действий будет следующим (для выполнения действий вы должны быть администратором в системе)

  1. Запустите командную строку от имени администратора. Для этого можно начать набирать «Командная строка» в поиске на панели задач, затем нажать правой кнопкой мыши по найденному результату и выбрать пункт «Запуск от имени администратора».
  2. В командной строке введите команду

    и нажмите Enter.

 

  • Закройте командную строку, перейдите в папку C:\Windows\System32\ и найдите там файл usoclient.exe, нажмите по нему правой кнопкой мыши и выберите пункт «Свойства».
  • На вкладке «Безопасность» нажмите кнопку «Изменить».

5. Поочередно выберите каждый пункт в списке «Группы или пользователи» и снимите для них все отметки в столбце «Разрешить» ниже.

 

  • Поочередно выберите каждый пункт в списке «Группы или пользователи» и снимите для них все отметки в столбце «Разрешить» ниже. Отключение разрешений для usoclient.exe
  • Нажмите Ок и подтвердите изменение разрешений.
  • Перезагрузите компьютер.

После этого обновления Windows 10 не будут устанавливаться (и обнаруживаться) автоматически. Однако, при желании вы можете проверить наличие обновлений и установить их вручную в «Параметры» — «Обновление и безопасность» — «Центр обновления Windows».

При желании, вы можете вернуть разрешения на использование файла usoclient.exe командной в командной строке, запущенной от имени администратора:

(однако, разрешения для TrustedInstaller не будут возвращены, равно как и не будет изменен владелец файла).

Примечания: Иногда, когда Windows 10 попробует обратиться к файлу usoclient.exe вы можете получить сообщение об ошибке «Отказано в доступе». Описанные выше шаги 3-6 можно выполнить и в командной строке, используя icacls, но рекомендую визуальный путь, поскольку список групп и пользователей с разрешениями может меняться по ходу обновлений ОС (а в командной строке нужно их указывать вручную).

Обновление март 2018: в комментариях предлагают ещё один способ, который может оказаться работоспособным, лично не проверил:

Есть ещё одна идея, которая автоматически отключает службу «Центр обновления Windows», в чём суть. Windows 10 включает сам «Центр обновления Windows», в Управление компьютером — Служебные программы — Просмотр событий — Журналы Windows — Система, отображается информация об этом, при этом указывается, что сам пользователь включил службу (ага, только выключил недавно). Гуд, событие есть, поехали дальше. Создаём батник, который останавливает службу и меняет тип запуска на «отключить»:

Гуд, батник создан.

Теперь создаём задачу в Управление компьютером — Служебные программы — Планировщик заданий.

  • Триггеры. Журнал: Система. Источник: Service Control Manager.
  • Код события: 7040. Действия. Запуск нашего батника.

Остальные настройки по вашему усмотрению.

Также, если в последнее время у вас стал принудительно устанавливаться помощник по обновлению до следующей версии Windows 10 и вам требуется это прекратить, обратите внимание на новую информацию в разделе «Отключение обновления до Windows 10 Fall Creators Update (1709) и April Update (1803)» далее в этой инструкции. И еще одно примечание: если никак не удается достичь желаемого (а в 10-ке это становится сложнее и сложнее), посмотрите комментарии к инструкции — там также есть полезные сведения и дополнительные подходы.

Отключение Центра обновления Windows 10 (обновлено, так чтобы он не включался автоматически)

Этот способ подходит не только для Windows 10 Профессиональная и Корпоративная, но и для домашней версии (если у вас Pro, рекомендую вариант с помощью редактора локальной групповой политики, который описан далее). Заключается он в отключении службы центра обновления. Однако, начиная с версии 1709 этот способ перестал работать в описываемом виде (служба включается со временем сама).

После отключения указанной службы, ОС не сможет автоматически загружать обновления и устанавливать их до тех пор, пока вы снова не включите ее. С недавних пор Центр обновления Windows 10 стал сам включаться, но это можно обойти и отключить его навсегда. Для отключения проделайте следующие шаги.

  1. Нажмите клавиши Win+R (Win — клавиша с эмблемой ОС), введите services.msc в окно «Выполнить» и нажмите Enter. Откроется окно «Службы».

 

  • Найдите в списке службу «Центр обновления Windows» (Windows Update), дважды кликните по ней.
  • Нажмите «Остановить». Также установите в поле «Тип запуска» значение «Отключена», примените настройки.

Если так и оставить, то через некоторое время Центр обновления снова включится. Чтобы этого не произошло, в этом же окне, после применения параметров, перейдите на вкладку «Вход в систему», выберите пункт «С учетной записью» и нажмите «Обзор».

В следующем окне нажмите «Дополнительно», затем — «Поиск» и в списке выберите пользователя без прав администратора, например, встроенного пользователя Гость.

В окне уберите пароль и подтверждение пароля для пользователя (у него нет пароля) и примените настройки.

Теперь автоматическое обновление системы происходить не будет: при необходимости, вы можете аналогичным образом вновь запустить службу Центра обновления и сменить пользователя, от которого производится запуск на «С системной учетной записью». Если что-то осталось не понятным, ниже — видео с этим способом.

Также на сайте доступна инструкция с дополнительными способами (хотя приведенного выше должно быть достаточно): Как отключить Центр обновления Windows 10.

Как отключить автоматические обновления Windows 10 в редакторе локальной групповой политики

Отключение обновлений с помощью редактора локальной групповой политики работает только для Windows 10 Pro и Enterprise, но при этом является самым надежным способом для выполнения указанной задачи. Действия по шагам:

  1. Запустите редактор локальной групповой политики (нажать Win+R, ввести gpedit.msc)
  2. Перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Центр обновления Windows». Найдите пункт «Настройка автоматического обновления» и дважды кликните по нему.

В окне настройки установите «Отключено» для того, чтобы Windows 10 никогда не проверяла и не устанавливала обновления.

Закройте редактор, после чего зайдите в параметры системы и выполните проверку наличия обновлений (это нужно, чтобы изменения вступили в силу, сообщают, что иногда срабатывает не сразу. При этом при ручной проверке обновления найдутся, но в будущем автоматически поиск и установка выполняться не будут).

То же действие можно сделать и с помощью редактора реестра (в Домашней работать не будет), для этого в разделе HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ WindowsUpdate\ AU создайте параметр DWORD с именем NoAutoUpdate и значением 1 (единица).

Использование лимитного подключения для предотвращения установки обновлений

Примечание: начиная с Windows 10 «Обновление для дизайнеров» в апреле 2017 года, задание лимитного подключения не будет блокировать все обновления, некоторые продолжат скачиваться и устанавливаться.

По умолчанию, Windows 10 не загружает обновления автоматически при использовании лимитного подключения. Таким образом, если вы для своей Wi-Fi укажите «Задать как лимитное подключение» (для локальной сети не получится), это отключить установку обновлений. Способ также работает для всех редакций Windows 10.

Чтобы сделать это, зайдите в Параметры — Сеть и Интернет — Wi-Fi и ниже списка беспроводных сетей нажмите «Дополнительные параметры».

Включите пункт «Задать как лимитное подключение», чтобы ОС относилось к этому подключению как к Интернету с оплатой за трафик.

Отключение установки конкретного обновления

В некоторых случаях может потребоваться отключить установку конкретного обновления, которое приводит к неправильной работе системы. Для этого можно использовать официальную утилиту Microsoft Show or Hide Updates (Показывать или скрывать обновления):

  1. Загрузите утилиту со страницы официального сайта.
  2. Запустите утилиту, нажмите кнопку Далее, а затем — Hide Updates (скрыть обновления).

Выберите обновления, установку которых необходимо отключить.

  1. Нажмите Далее и дождитесь завершения выполнения задачи.

После этого выбранное обновление не будет устанавливаться. Если же вы решите установить его, снова запустите утилиту и выберите пункт Show hidden updates (показать скрытые обновления), после чего уберите обновление из числа скрытых.

Отключение обновления до Windows 10 April Update (1803) и Fall Creators Update (1709)

Обновление март 2018: в последнее время обновление Windows 10 1709 Fall Creators Update стало устанавливаться на компьютеры автоматически вне зависимости от настроек. Существует следующий способ отключить это:

  1. В панели управления — программы и компоненты — просмотр установленных обновлений найдите и удалите обновления KB4023814 и KB4023057 если они там присутствуют.
  2. Создайте следующий reg файл и внесите изменения в реестр Windows 10.

Далее — «стандартные» способы отключить обновление, которые уже не работают для версии Fall Creators Update 1709, но должны быть работоспособными для April Update (Windows 10 1803), которое выйдет в скором времени (30 апреля 2018).

В скором времени на компьютеры пользователей начнет приходить очередное большое обновление — Windows 10 1803 April Update. Если вы не хотите его устанавливать, сделать это можно следующим образом:

  1. Зайдите в Параметры — Обновление и безопасность и нажмите «Дополнительные параметры» в разделе «Центр обновления Windows».

В дополнительных параметрах в разделе «Выберите, когда устанавливать обновления» установите «Current branch for business» (это отложит установку обновления на несколько месяцев по сравнению с датой выхода очередного обновления для простых пользователей).

  1. В разделе «Обновление компонентов включает в себя…» установите максимальное значение — 365, это отложит установку April Update или Fall Creators Update еще на один год.

Несмотря на то, что это не полное отключение установки обновления, вероятнее всего, срока в год с лишним будет вполне достаточно.

Есть еще один способ отложить установку обновлений компонентов Windows 10 — с помощью редактора локальной групповой политики (только в Pro и Enterprise): запустите gpedit.msc, перейдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Центр обновления Windows» — «Отложить обновления Windows».

Дважды нажмите по параметру «Выберите, когда следует получать обновления компонентов Windows 10», задайте «Включено», «Current Branch for Business» и 365 дней.

Программы для отключения обновлений Windows 10

Сразу после выхода Windows 10 появилось множество программ, позволяющих выключить те или иные функции системы (см. например статью про Отключение шпионства Windows 10). Есть таковые и для отключения автоматических обновлений.

Одна из них, работающая в настоящее время и не содержащая чего-либо нежелательного (проверял portable-версию, вам рекомендую тоже выполнять проверку на Virustotal) — бесплатная Win Updates Disabler, доступная для скачивания на сайте site2unblock.com.

После загрузки программы все что требуется сделать — отметить пункт «Disable Windows Updates» и нажать кнопку «Apply Now» (применить сейчас). Для работы требуются права администратора и, помимо прочего, программа умеет отключать защитник Windows и брандмауэр.

Второе ПО такого рода — Windows Update Blocker, правда этот вариант платный. Еще один интересный бесплатный вариант — Winaero Tweaker (см. Использование Winaero Tweaker для настройки оформления и поведения Windows 10).

Как отключить автоматическую установку обновлений Windows 10 — видео инструкция

В завершение — видео, в котором наглядно показаны описанные выше способы предотвратить установку и загрузку обновлений.

Надеюсь, вы смогли найти способы, подходящие в вашей ситуации. Если нет — спрашивайте в комментариях. На всякий случай отмечу, что отключение обновлений системы, особенно если это лицензионная ОС Windows 10 — не самая лучшая практика, делайте это только при явной необходимости.

 

Источник: https://remontka.pro/disable-updates-windows-10/

 

RDP-сервер из Winows 10 / Windows 7

Как и в прошлых клиентских версиях операционных систем Майкрософт, пользователи Pro и Enterprise Windows 10 (но не Home) редакций могут удаленно подключаться к своим компьютерам через службу удаленных рабочих столов (RDP). Однако есть ограничение на количество одновременных RDP сессии – возможна одновременная работа только одного удаленного пользователя. При попытке открыть вторую RDP сессию, сеанс первого пользователя предлагается завершить.

second-rdp-login

В английской версии предупреждение такое:

Дело в том, что в настольных редакциях операционных систем Microsoft есть следующие основные ограничения на использование службы удаленного рабочего стола:

  1. Поддержка RDP доступа имеется только в старших редакциях Windows (Professional и выше), а в домашних редакциях (Home) этот функционал отключен.
  2. Возможно только одно удаленного RDP подключения. При попытке открыть вторую RDP-сессию, пользователю предлагается завершить существующее подключение.
  3. В том случае, есть пользователь работает за консолью компьютера (локально), при удаленном подключении RDP, его сеанс будет отключен (заблокирован). Правильно и обратное утверждение: удаленный RDP сеанс принудительно завершается, если пользователь авторизуется на консоле системы

По сути, ограничение на количество одновременных rdp подключений является не техническим, а скорее лицензионным, запрещающее создавать на базе рабочей станции терминальный RDP сервер для работы нескольких пользователей. Хотя с технической точки зрения любая редакция Windows при наличии достаточного количества памяти может поддерживать одновременную работу нескольких десятков удаленных пользователей (в среднем на одну сессию пользователя без учета запускаемых приложений требуется 150-200 Мб памяти). Т.е. максимальное количество одновременных сессий в теории ограничивается только ресурсами компьютера.

Мы рассмотрим два способа отключить ограничение на количество одновременных RDP подключений к Windows 10:

  • RDP Wrapper Library.
  • Модификация файла termsrv.dll.

Важно. Изначально в самой первой версии статьи основным рабочим вариантом, позволяющим снять ограничение на количество одновременных RDP подключений пользователей был способ модификации и подмены файла termsrv.dll в папке %SystemRoot%\System32. Однако при установке нового билда Windows 10 или некоторых обновлений безопасности, этот файл обновляется. В результате приходится каждый раз редактировать этот файл Hex редактором, что довольно утомительно. Поэтому в качестве основного способа организации бесплатного терминального сервера на клиентской Windows 10 стоит считать утилиту RDP Wrapper Library.

Примечание. Модификации системы, описанные в этой статье, вероятно, будут считаться нарушением лицензионного соглашения на Windows со всеми вытекающими последствиями.

RDP Wrapper Library

Альтернативой модификации файла termsrv.dll  является использование  проекта RDP Wrapper Library. Эта программа работает в качестве прослойки между менеджером управления службами (SCM- Service Control Manager) и службой терминалов (Terminal Services) и позволяет включить не только поддержку нескольких одновременных RDP сессии, но и активировать поддержку RDP Host на домашних редакциях Windows 10. RDP Wrapper не вносит никаких изменений в файл termsrv.dll, просто подгружая termsrv с изменёнными параметрами.

Таким образом, это решение будет работать даже при обновлении версии файла termsrv.dll, что позволяет не опасаться обновлений Windows.

Важно. Перед установкой RDP Wrapper: важно, чтобы у вас использовалась оригинальная (непропатченная) версия файл termsrv.dll. В противном случае RDP Wrapper может работать не стабильно, или вообще не запускаться.

Скачать RDP Wrapper можно с репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя доступная версия RDP Wrapper Library v1.6.2 вышла относительно недавно – 28 декабря 2017 года). Судя по информации на странице разработчика, поддерживаются все версии Windows. Windows 10 поддержиывается вплость до версии Insider Preview build 10.0.17063.1000 от 13 декабря 2017 года.

Совет. Кстати говоря, доступны исходники RDP Wrapper Library, что позволяет при желании самому собрать исполняемые файлы.

Архив RDPWrap-v1.6.2.zip содержит несколько файлов:

  • RDPWinst.exe —программа установки/удаления RDP Wrapper Library
  • RDPConf.exe — утилита настройки RDP Wrapper
  • RDPCheck.exe — Local RDP Checker — утилита проверки RDP
  • install.bat, uninstall.bat, update.bat — пакетные файлы для установки, удаления и обновления RDP Wrapper

Чтобы установить утилиту, запускам файл install.bat с правами администратора.

После окончания установки запускаем RDPConfig.exe. И удостоверяемся, что в секции Diagnostics все элементы окрашены в зеленый цвет.

Примечание. В моем случае, т.к. на компьютере отсутствует доступ в интернет, программа не смогла получить с Github актуальную версию INI файла с настройками под мою версию Windows. Поэтому в статусе указано [not supported]. Скачайте файл rdpwrap.ini с ресурса разработки и поместите его в каталог установки. Перезапустите службу и убедитесь, что надпись [not supported] сменилась на [fully supported].

Из интересных особенностей новой версии RDP Wrapper:

  • опция Hide users on logon screen – позволяет скрыть список пользователей на экране приветствия.
  • При отключении опции Single session per user — будут разрешены несколько одновременных RDP сессий под одной учетной записью (устанавливается ключ реестра fSingleSessionPerUser = 0 в ветке HKLM\SYSTEM\ CurrentControlSet\Control\Terminal Server\fSingleSessionPerUser).

В том случае, если после обновления версии Windows, RDP Wrapper не работает, проверьте, что в секции Diagnostics присутствует надпись Listener state: Not listening.

Попробуйте обновить ini файл скриптом update.bat, либо вручную и переустановить службу

rdpwinst.exe -u
rdpwinst.exe -i

Пытаемся открыть вторую RDP сессию. Все получилось! Теперь наша Windows 10 позволяет одновременно подключаться по RDP сразу двум удаленным пользователям.

Утилита должна работать на всех поддерживаемых на данный момент редакциях Windows : Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10. Таким образом из любой клиентской версии Windows можно сделать сервер терминалов.

Модификация файла termsrv.dll

Убрать ограничение на количество RDP подключений можно с помощью модификации файла termsrv.dll (файл библиотеки, используемый службой Remote Desktop Services). Файл находится в каталоге C:\Windows\System32).

Перед модификацией файла termsrv.dll желательно создать его резервную копию (в случае необходимости можно будет вернуться к первоначальной версии файла):

copy c:\Windows\System32\termsrv.dll termsrv.dll_backup

Перед правкой файла termsrv.dll нужно стать его владельцем и предоставить группе администраторов полные права на него (все операции выполняются аналогично описанным в статье Убираем ограничение на количество RDP сессий в Windows 8). Затем остановите службу Remote Desktop service (TermService) из консоли services.msc или из командной строки:

Net stop TermService

Для редакции Windows 10 x64 RTM (версия файла termsrv.dll — 10.0.10240.16384): Откройте файл termsrv.dll с помощью любого HEX редактора (к примеру, Tiny Hexer)

Найдите строку:

И замените ее на:

Сохраните файл и запустите службу TermService.

Готовый пропатченный файл termsrv.dll для Windows 10 Pro x64 можно скачать здесь: termsrv_windows_10_x64_10240.zip

 

Источник: http://winitpro.ru/index.php/2015/09/02/neskolko-rdp-sessij-v-windows-10/

 

Оптимизация скорости Windows

Оптимизация скорости Windows

Все, кто работает с Windows сталкиваются с проблемой «торможения» Windows со временем. Создается впечатление «усталости операционной системы». Как результат, через некоторое время операционная система Windows раздражает своей не поворотливостью.

Особенно остро проблема возникает, когда на дисках много файлов. Это проявляется как на серверах, так и на компьютерах.

Некоторые админы «решают» проблему полной переустановкой Windows с периодичностью раз в 1-2 года. Но, такими действиями они лишь сбрасывают проблему к нулю, а не решают ПРИЧИНУ проблемы.

В процессе борьбы с торможениями я вывел ряд рецептов, которые приводят к уменьшению количества чтения/записей дисковых накопителей, а как результат к стабильно высокой скорости работы системы.

 

1. Если SSD-диск. Включаем функцию Trim.

Проверить включена ли функция trim можно в командной строке, выполнив:

Если 0 — то Trim включен, если 1 — выключен.

 

2. Отключаем дефрагментацию.

Запускаем команду:

В ней, нужно для всех дисков отключить план запуска дефрагментации.

Отключение дефрагментации диска

 

3. Отключаем индексацию содержимого файлов.

Нажимаем на диске правой клавишей и вызываем свойства. Там указываем, что не нужна индексация (убираем галочку индексации).

Отключение индексации диска

 

4. Отключение файла подкачки.

Убираем галочку автоматического определения файла подкачки. Устанавливаем значение «без файла подкачки».

Отключение файла подкачки Windows

 

5. Отключаем файл гибернации.

Для того, чтоб отключить гибернацию, входите под админ-правами в cmd и выполняете команду:

 

Использованная статья: http://remontka.pro/nastroika-ssd-windows

 

Автор: Рудюк Сергей https://k2r.biz https://corp2.net

https://3dvisio.org

Что делать, если провреждено хранилище компонентов Windows Server 2012

Бывает, что операционная система Windows Server 2012 ругается на повреждение хранилища компонентов. В этом случае, сервисы не ставятся и такая ситуация вводит администраторов в «ступор».

Что же делать, в этом случае?

Ответ найден на сайте Microsoft.

Для возможного решения проблемы рекомендую Вам выполнить следующее:

 

1. Удалите антивирусную программу.

  • После удаления антивирусной программы, перезапустите компьютер.
  • При следующем запуске включится встроенная защита от вирусов Windows Defender (Защитник Windows).
  • Проверьте работу Центра обновления Windows.

 

2. Проверьте наличие ошибок в хранилище системных файлов и обновлений.

 

  • Для этого нажмите «Win+X», выберите «Командная строка (администратор)»
  • В Командной строке введите следующую команду: Dism /Online /Cleanup-Image /CheckHealth

 

3.    Вне зависимости от результатов проверки выполните проверку данной папки и устранение потенциальных ошибок

  • Для этого, так же в Командной строке введите следующую команду: Dism /Online /Cleanup-Image /RestoreHealth

4.    Выполните проверку системных файлов на целостность

  • Для этого в Командной строке введите следующую команду: sfc /scannow

 

5.    Проверьте работу служб:

  • Также в командной строке введите поочередно следующие команды:

net stop wuauserv

net stop bits

net stop cryptsvc

ren %systemroot%\SoftwareDistribution sdold123

ren %systemroot%\System32\catroot2 cr2old123

net start cryptsvc

net start bits

net start wuauserv

 

P.S. Документация Windows молчит, что это может не помогать.

 

Запустите PowerShell от имени администратора, выполните:

Если это не момогло, скопируйте install.wim из дистрибутива на жесткий диск в C:\image и смонтируйте в C:\mount

Затем:

 

Не все так просто с Petya

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc.

Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Возможно, обновление от 17-го мая было неожиданным для атакующих. Но они снова загрузили уязвимость в обновление от 18-го мая, тем не менее большинство пользователей M.E.Doc уже обновились «вчерашним» патчем, и первая атака прошла не особо заметно.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.

Вирус Петя

Timestamp показывает, что троянский модуль был создан 15 мая.

Вирус Петя 2017

Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева.

Основной класс бэкдора — MeCom, который расположен в пространстве имен ZvitPublishedObjects.Server, как это указано на картинке 3.

Петя Вирус

Класс MeCom с троянским кодом в ILSpy .NET Decompiler.

Методы класса MeCom вызываются из метода IsNewUpdate в пространстве имен UpdaterUtils и ZvitPublishedObjects.Server. Сам метод IsNewUpdate вызывается периодически, чтобы проверять доступны ли новые обновления. Зараженный модуль от 15 мая работает немного иначе и содержит меньше функций, чем модуль от 22 июня.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.

Вирус Петя

Код, который собирает ЕДРПОУ.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних серверов как контрольных центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.

Вирус Петя-А

HTTP-запрос от трояснкого модуля, который содержит ЕДРПОУ в cookie.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.

Вирус Петя

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.

Вирус Петя

Код трояна, который расшифровывает список инструкций для выполнения на зараженной машине.

Таблица возможных команд:

Command назначение

0 – RunCmd Выполнить shell команду
1 – DumpData декодировать Base64 данные и сохранить их в файл
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Можно отметить, что именно команда номер 5, названная автором зловреда как «AutoPayload», полностью подходит под то, каким образом изначально распространялся DiskCoder.C на зеро-пациентах (первых зараженных машинах).

Вирус Петя

Метод AutoPayload, который использовался для выполнения шифровальщика DiskCoder.C.

Выводы

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными?

Отдельная благодарность моим коллегам Frédéric Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Вполне даже тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько компаний — кто-то как автор, кто-то как независимый аудитор.

Совершенно очевидно, что подобный диалог нужен, и ПО, которое используется настолько широко, должно проходить сертификацию как ПО национального значения.

Источник: https://geektimes.ru/post/290779/

3D визуализация и интерьер

3D визуализация и интерьер

Отключение сервиса ISS в Windows 8

В Windows 8 блокируется 80 порт. Как результат, блокируется возможность работы Apache по 80 порту.

Чтоб исправить данный недостаток в Windows 8 необходимо под правами администратора выполнить команду:

 

Сброс пароля локального Администратора Windows Server 2008 R2 (Еще способ)

Была как то у меня на обслуживании не большая организация, внедрял я там Windows Server 2008 R2, поднял терминальный сервер.
Притеры, пользователи, пароли, все как обычно. Ну, пароль Администратора у меня остался. Через некоторое время,
по не понятным причинам, они взяли системного администратора на полную ставку. Ну причины мне не особо интересны.
Сдал я сервер мальчику заочнику-первокурснику, и спокойненько ушел. Первая мысль была примерно такая: «Ломать тут нечего, сервер терминалов будет крутить, надет все в интернете, почтовый вряд ли тронет.»
Ну и ушел с почти спокойной душой. Прошло пол года, звонят, у нас вот так и так что то не так. (Ну как всегда у пользователей. «У нас что то не так, а что сказать не можем, приходите»). Спросил про мальчика админа, сказали уволили нафиг. Ну думаю бывает.
Собираюсь, приезжаю. Мальчик смог поломать сервер терминалов, саму Windows Server 2008 R2 тоже потрепал не плохо (Контроллер домена на 15 пользователей? Нафига вот? Да еще и не поднятый. Как он вообще эту роль НеДоподнял, не понимаю. :( ), почтовый сервер, и понаставить кучу нелицензионного ПО на клиентские места. (Ну фиг с ней с лицензией, а вот, то что это ПО просто бесполезное…)

Пробую залогинится на остатках сервера, пароль не принимает. Сменил. Ну оно и понятно. Звоню, диктует, не подходит (Мальчик как то ехидно посмивается.). Ну думаю фиг с тобой. Попробовал сбросить пароль способом уже ранее описанным тут.
Сбросил, зашел, требует перезагрузку. Перезагрузжаюсь, пароль не верный. Приехали. Пытаюсь снова сбросить, не сбрасывает. Типа пароль пустой и бла бла бла. Сегодня опишу еще один способ сброса пароля на Windows Server 2008 R2.

В отличии от предыдущей статьи, никакого стороннего ПО использовать не будем. Все что потребуется, пара рук, внимательность при прочтении этой статьи, и установочный диск от Windows Server 2008 R2. (к слову сказать, я всегда такой с собой тоскаю. Вообще в моей аптечке много всего, мало ли что :) )
Итак, вставляем диск в привод и грузимся с него.
С лева, в низу, будет «Ссылка» под названием «Восстановление системы» (англ. «Repair your computer«), вот ее и жмем.

OneВсе параметры оставляем по умолчанию, и ничего не меняем. Жмем «Далее»

TwoВыбираем как средство восстановления «Командная строка»

ThreeДалее все достаточно просто. Вводим несколько не замысловатых команд:

Получим ответ: Перемещено файлов: 1
Вводим:

Получи ответ: Скопировано файлов: 1

Four

Этими командами, мы подменили программу запуска «Специальных возможностей«, командной строкой. Вся соль в том, что на экране входа, «Специальные возможности» запускаются от имени системы. Вот это и будем использовать.

Теперь перезагружаем систему, до экрана входа. Да, того экрана который говорит что пароль не верный.

fiveИ жмем на кнопку «Специальные возможности«, после чего будет запущена командная строка.

sixМожете выполнить команду whoami, что бы удостоверится что на данный момент командная оболочка выполняется от имени системы:

seven1Далее все просто и весьма не замысловато. Теперь осталось просто сменить пароль нужного пользователя простой командой net. Сменим пароль для учетной записи Администратор:

nine Ну в принципе на этом вроде бы и все. Но! Обязательно, снова загрузитесь с диска, как в начале, и верните файлы на свои места. Если все оставить как есть, то в системе останется дыра размером с железнодорожный туннель. Представьте себе, если например инициировать автоматическую загрузку «центра специальных возможностей» (Да, кавычки тут по тому что это уже центр в кавычках :) ) с какими либо параметрами. И все команды исполняются от имени системы. Воспользовавшись этим, можно расширить дыру от масштабов «железнодорожного тоннеля», до космической черной дыры! Так что не откладывайте возвращение файлов на свои места.

Этот способ испытан мной только на системе Windows Server 2008 R2 и только на учетной записи локального администратора. Сбросить пароль администратора домена, так не выйдет.

 

Источник: http://melfis.ru/%D1%81%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82-2/

Как сменить ID в TeamViewer

После установки TeamViewer и первого подключения к сети, программа получает уникальный идентификационный номер (ID), благодаря которому вы можете осуществлять подключение к вашему компьютеру. Если, вы используете бесплатную версию в коммерческих целях, есть большая вероятность, что со временем, вам ограничат время удаленного соединения, до значения не превышающее пяти минут, после чего соединение будет оборвано. В этом случае единственным способом разблокировать ограничение является смена ID.

Teamviewer

ID привязывается и формируется по двум значением на вашем компьютере, это MAC адрес сетевой карты и VolumeID раздела жесткого диска. Соответственно для того чтобы сменить ID в TeamViewer, нужно изменить эти два значения.

В начале мы опишем как сменить MAC адрес. Есть два способа: простой и сложный.

Простой способ смены MAC адреса — это при использовании специально предназначенной для этого утилиты, например: MACChange.

Teamviewer2

Тут все просто, находим в списке сетевую карту с помощью которой осуществляется подключение, после чего нажимаем кнопку генерации нового MAC и жмем «Change».

Вторым и более сложным способом, является смена MAC адреса с помощью редактирования нужного ключа в реестре. Для этого откроем редактор реестра, выполнив команду: regedit.

В редакторе реестра переходим по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}.

regeditregedit2

Тут, каждый сетевой компонент обозначен четырьмя цифрами начиная с 0000, 0001 и так далее. Нужный мы можем найти просматривая его параметр DriverDesc, где мы и можем найти название своей сетевой карты, например: TP-LINK Wireless USB Adapter.

regedit3

После того как нужная сетевая карта найдена, добавляем или изменяем ключ: NetworkAddress, который и является MAC адресом. Тип данных для этого ключа необходимо установить REG_SZ.

regedit4

Итак, MAC адрес сетевой карты изменен, теперь нужно изменить VolumeID системного раздела жесткого диска (заметим, что в некоторых случаях TeamViewer привязывается к другим разделам диска или даже к присоединенным съемным носителям, поэтому есть вероятность, что придется менять VolumeID других разделов).

Для смены VilumeID, скачиваем программу VolumeID v2.0 и запускаем от имени Администратора.

VolumeID

Тут выбираем нужный нам раздел, вводим новый серийный номер (New serial number) и жмем кнопку «Change serial number».

После всех выполненных операций нужно перезагрузить компьютер. Запустив TeamViewer вам будет присвоен новый ID.


AHera 14.01.2015 3707

Источник: http://winupdate.ru/question/kak-smenit-id-v-teamviewer/

Предметная визуализация

Запуск «1С:Підприємство» 7.7 в Windows Server 2008 64bit в терминальном режиме

Автор: Рудюк С . А.
https://corp2.net

E-Mail: rs@corp2.net

Столнулся с проблемой запуска «1С:Підприємство» 7.7 последних релизов в Windows Server 2008, когда подключаешься Windows Terminal. Как оказалось, для того, чтоб корректно работала «1С:Підприємство» 7.7 нужно отключить dep.

Для того, чтоб отключить DEP, входите в командную строку под администратором и выполняете команду:
bcdedit.exe /set {current} nx AlwaysOff 

После перезагрузки компьютера — будет все запускаться.

Автор: Рудюк С . А. https://corp2.net

Предметная визуализация

Windows 8 и кнопка Пуск

Автор: Рудюк С . А.
https://corp2.net

E-Mail: rs@corp2.net

В Windows 8 убрали классическое меню с программами, которое возникало при нажатии на кнопке Пуск. В результате, пользователю предлагается выбрать программу в «плиточном» интерфейсе Metro. В результате, пользователям полноценных компьютеров таким инструментарием пользоваться не удобно и сильно медленно…

В результате, ряд компаний, стали предлагать программное обеспечение, которое вернет стандартный функционал кнопки Пуск.

Например:

Start Menu X — http://www.startmenux.com/ru/
Start 8 — http://www.stardock.com/products/start8/

Я лично, выбрал бесплатный вариант Start Menu X.

Автор: Рудюк С . А. https://corp2.net

Страница 1 из 212