Windows 11, 10, etc - Вадим Стеркин

😎 Шёл 2025 год, а Microsoft всё ещё мучилась с выбором изображения :)

Это #автоперевод в программе установки Windows 11 24H2 и Server 2025, причем её локализация уже отмечалась в канале ✌️

🔒 О парольных фразах

Недавно в очередной раз проходил у клиента тренинг по информационной безопасности. Разумеется, там есть раздел, посвящённый паролям.

👉 Две ключевые рекомендации тренинга - использовать менеджер паролей KeePass и парольные фразы. Их предлагается составлять на основе слов (Run#28The^Damn()Ball), либо из первых букв слов памятной для вас фразы (40kObVZhSuBan!).

Вообще, если используется KeePass, особой нужды в парольных фразах нет. Потому что можно просто сгенерировать пароль любой длины и сложности и вставлять его, в том числе автоматически, см. серию #autotype в канале.

ℹ️ Однако парольные фразы полезны в качестве особо важных паролей, которые приходится вводить руками достаточно часто, при этом не имея возможности или желания задействовать менеджер паролей.

К этой категории как раз относится учётная запись организации! KeePass не поможет вам при интерактивном входе на экране приветствия. А если у вас систему блокируют через 5 минут неактивности, пароль приходится вводить часто.

У клиента специальное подразделение занимается выявлением пользователей со слабыми паролями к учётной записи организации. Если удалось взломать пароль за определённое время, они шлют письмо с рекомендациями из тренинга и требованием сменить его, угрожая блокировкой аккаунта ❌

Пароль-то может соответствовать политикам, но быть слишком лёгким для взлома. Например, P@ssw0rd состоит из восьми символов, включает заглавные и строчные буквы, цифры и спецсимволы. А толку-то 🤷‍♂️

У меня пароль был подлиннее и посложнее, но письмо всё равно пришло! По оценке https://bitwarden.com/password-strength/ взлом аналогичного пароля занял бы 6 месяцев.

Если своей фантазии на парольную фразу не хватает, можно сгенерировать тем же KeePass. Из коробки он это не умеет, либо я не знаю простого способа. Но есть множество плагинов (кстати, их установка в огороженной среде клиента не предусмотрена).

🔢 Дома у меня к KeePass пристёгнут плагин Diceware. Там масса настроек, включая словари культовых фильмов вроде Звёздных войн. Можно контролировать количество и типы символов, которые добавятся в заданное место парольной фразы. Поэтому подобрать удобную фразу не составляет труда. Вот пример сгенерированных фраз из четырёх слов, с добавлением цифр и спецсимволов.

Jobs9-)Yeager5-*Peaceful1-#Sobbing
Form2-+Decker7-*Hone0-+Showed
Surprised5-@Lying6-_Jon4-)Previous

Пуристы скажут, что в паролях любые слова из словарей - неприемлемо. Но де-факто такая фраза перекрывает требования подавляющего большинства организаций. А оценка длительности взлома у того же BitWarden измеряется веками. На что-то подобное я свой пароль и заменил.

Нет, конечно. Это же надо к совершенно новой последовательности символов привыкать! 😎 Между тем, мое рабочее место - Windows 365, к которой я подключаюсь из защищённого контура. У меня везде ограниченные права в жёстко контролируемой среде. И, что весьма важно, для входа в учётную запись этой организации обязателен второй фактор.

У меня и так была парольная фраза, но слишком простая по их критериям. Я добавил в неё ещё две цифры и два спецсимвола. И вот уже год писем счастья не приходило ✌️

✨Твой комп собран для того, чтобы сиять✨

КРОК запустил второй сезон онлайн-челленджа КомпОт, в котором можно выиграть призы за фото своего ПК.

Кстати, сборка может быть любой: от самой эстетичной до максимально кринжовой!

Жюри и зрительское голосование определят владельцев самых крутых компов в 4 номинациях. Они получат:

🏆 сертификат на 100к в магазин с ПК и аксессуарами
🏆 стильный мерч

Чтобы оказаться среди них:

- чекай все подробности на сайте
- заливай ПК до 14 сентября
- следи за обновлениями в тг-канале hardware-инженеров КРОК

Победителей объявит жюри в прямом эфире на канале подкаста linkmeup 22 сентября. А подать заявку можно уже сейчас ➡️ https://clck.ru/3NdNhd

⚙️ Как решать проблему "Восстановление при загрузке" (Startup Repair)

Это одна из самых неприятных проблем в Windows. Система не может загрузиться, сама пытается это исправить, потом расписывается в бессилии. В указанном файле журнала ничего полезного нет. Недавно в чат поддержки пришёл человек именно с такой проблемой.

Точек восстановления, разумеется, не было. Бэкапа реестра тоже. Он протестировал железо - память, диски. Выполнил проверку системных файлов (SFC), компонентов (DISM) и файловой системы (chkdsk) с диска Стрельца. Хотя для этих задач хватает родной среды восстановления.

Проблему решали всем ИТ-отделом, как потом выяснилось 😎

////

Действительно, раз система не грузится, именно с восстановления загрузки и следует начинать. В чат полетела #классика блога Создание или восстановление загрузки в разметке GPT.  Ответ: "дело не в загрузчике. переписывал".

Годы дистанционной поддержки на форуме выработали у меня привычку не верить ТС на слово, а проводить свою диагностику. Я попросил отключить все диски кроме системного и в командной строке среды восстановления собрать информацию о дисках и разделах:

diskpart
lis vol
lis dis
sel dis 0
lis par
exit

Ничего выдающегося там не было - разметка GPT, стандартные четыре раздела. И это хорошая новость, кстати! Я попросил выполнить такие команды:

diskpart
sel dis 0
sel par 1
delete partition override
create partition efi size=100
format quick fs=fat32 label="System"
assign letter="S"
exit

bcdboot W:\Windows /s S: /v

И этого хватило для решения! Раздел EFI удаляется, на его месте создаётся новый и туда записываются файлы загрузки.

👉 Абсолютно стандартные действия. Но в этом и секрет :) Встроенные средства и выверенный набор штатных команд. Именно так вы обойдёте или выявите множество граблей!

Например, я разбирал в канале ситуацию, когда ТС проигнорировал такую же инструкцию. Он не удалил раздел EFI, а просто отформатировал. Из-за этого не смог создать конфигурацию загрузки. Кстати, даже в руководствах профильных сайтов, берущихся описывать решение, может не быть шага с удалением раздела EFI.

А ещё был случай, когда bcdboot не смогла скопировать файлы для загрузки с раздела ОС. Потому что их там не оказалось, как и половины Windows :)

////

📃 Статья базы знаний KB5049510 перечисляет проблемы, при которых в игру вступает автоматическое восстановление:

• Поврежденные данные конфигурации загрузки (BCD)
• Повреждённая загрузочная запись master (MBR) /не актуально для GPT/
• Несовместимые драйверы
• Отсутствующие или повреждённые системные файлы
• Ошибки реестра

В данном случае ТС разумно проверял системные файлы и целостность NTFS. И загрузка в разметке GPT создаётся элементарно. Но когда повреждены системные кусты реестра, перспективы восстановления весьма унылые 🤷‍♂️

Поэтому умения пересоздавать раздел EFI маловато. Ещё нужно держать включённой защиту системы и активировать бэкап реестра. Это значительно повышает шансы на успех. Дело о восстановлении реестра в помощь ✌️

📊 Итоги опроса об окончании поддержки Windows 10

Мои четыре основных наблюдения и резюме.

1️⃣ Доля владельцев Windows 11 на основном домашнем ПК составила лишь 48% (если отбросить пункт "моего варианта тут нет"). И это у профильного канала, где фокус смещён на актуальные программные продукты.

Это ожидаемо меньше чем 60% в Steam. Там хотя и домашние компьютеры, но всё-таки игровые. Однако всё равно меньше, чем 53% в Statcounter.

И, разумеется, чем дольше висел опрос, тем больше становилась доля Windows 10 ;)

2️⃣ Более 40% владельцев Windows 10 планируют с октября сидеть без обновлений. Меня эта цифра шокировала 😱

Это непозволительно много для аудитории канала, в котором я регулярно освещаю грамотные подходы к защите персональных вычислительных устройств.

Устранение уязвимостей ОС на конструктивном уровне - это база ☑️

3️⃣ Почти каждый пятый владелец Windows 10 сидит на LTSC. Примечательно, что после выхода Windows 11, т.е. с 2021 года, эволюционной разницы с другими изданиями нет. Новых фич никуда не доставляют, лишь те же исправления.

Однако теперь долгосрочный канал обслуживания обретает смысл за счёт увеличенного срока поддержки. Самый длинный у IoT Enterprise LTSC 2021 - аж до 2032 года 🌈

4️⃣ Пара читателей в личке указали на отсутствие пункта "Перейду на Linux". Я не добавил его сознательно. Доля была бы в пределах погрешности.

И потом, обещать - не значит жениться. Что характерно, оба не смогли внятно ответить на вопрос, что они с таким хорошим планом высиживают на Windows оставшиеся два месяца 🐧

////

Windows 11 уже четыре года. Даже несмотря на более жёсткие системные требования, устройства с неподдерживаемым ЦП и TPM 1.2 несложно обновить установкой поверх. Соответствующий твик реестра убрали из статьи базы знаний в 24H2, но он до сих пор рабочий.

Если Windows 10 милее, есть несколько вариантов продлить ей жизнь, продолжая получать исправления. Игнорировать их неразумно. Да, единственный легальный у домашних пользователей способ (ESU) требует учетную запись Microsoft. Но дальше работать в ней никто не заставляет ✌️

P.S. Ссылка на KB5063038 с описанием ESU для потребителей сломалась в день публикации поста и вела на общую страницу со сведениями об окончании поддержки Windows. Но она есть в веб-архиве.

🪢 О связи портала OSZone.net и моего блога outsidethebox.ms

Объявление о прекращении работы OSZone вызвало большой отклик. Конечно, среди читателей канала немало форумчан. Но в любом случае на материалах сайта и темах форума за 24 года выросло не одно поколение ИТ-специалистов. Огромное спасибо всем за предложения помощи и тёплые слова! ♥️

В течение месяца многие люди выкачивали сайт и форум. И я обязательно сделаю отдельный пост с подборкой их трудов!

////

Между тем, из чата и личных сообщений стало понятно, что ряд людей воспринял эту новость как закрытие моего блога outsidethebox.ms. Он продолжит существование. Но тут есть интересное двойное переплетение!

🔗 Моя деятельность в сети на протяжении многих лет плотно связана с ресурсом OSZone.net - сайтом и форумом на этом домене. OSZone - это общественный проект, в котором я принимал очень активное участие. Я помогал людям решать технические проблемы и развивал сообщество 🤝

На форуме у меня более 35 000 сообщений. Но многим участникам конференции было неочевидно, что её администратор Vadikan и я - один и тот же человек 😎 Хотя в профиле я указал своё имя лет 20 назад.

Я также опубликовал на сайте OSZone немало статей, но там они смешивались с материалами других авторов и не отождествлялись с моей персоной. В 2010 я создал блог outsidethebox.ms. И перенёс туда старые статьи из блога на LiveSpaces⌛️

В блоге сконцентрирован мой опыт и методы работы в Windows, отражено моё мнение. Многие статьи написаны по мотивам проблем в форуме OSZone. А в его темах я регулярно ссылался на статьи блога с инструкциями или решениями 📃

Это - общественная связь.

🌐 Но есть ещё и техническая! Все эти годы мой блог хостился на одном физическом сервере с OSZone. Даже IP-адрес у нас одинаковый.

До поры до времени это не имело значения для посетителей. Однако по мере повсеместного внедрения HTTPS возникла проблема. На OSZone переход на SSL не планировался. К тому моменту ресурс уже был на автопилоте, и некому было заниматься внедрением SSL для движка, который не обновлялся лет 15.

🔁 Мой блог, хоть и с задержкой, но перешёл на SSL, что повлекло за собой коллизию. Теперь далеко не все идущие на OSZone люди попадали по адресу:

• Если в браузере включено принудительное перенаправление с HTTP на HTTPS (что уже почти стало нормой), люди оказывались в моём блоге. Но не все!

• Некоторых защитное ПО вроде Касперского не пускало на OSZone. Потому что при переходе на домен oszone.net с того же IP отдавался сертификат другого сайта - outsidethebox.ms.

👉 Такое поведение накрепко связало меня с OSZone даже у тех, кто не знал про общественный аспект.

Иногда доходило до абсурда. Так, один форумчанин обвинял меня в краже домена OSzone и требовал принудительно отобрать у меня всё нажитое непосильным трудом :) А ещё блог попал в популярный список с нехорошими ресурсами, которые ограничили доступ россиянам после 2022 года. Потому что некто с форсированным HTTPS пошёл на OSZone, а попал ко мне. И побежал включать в списочек 🤦🏻‍♂️

В общем, когда появилась новость о закрытии OSZone, многие перешли по ссылке, попали ко мне в блог и подумали, что [ещё и] мой блог закрывается. Возможно, некоторые даже и не знали про форум.

////

🍀 Блог outsidethebox.ms, он же sterkin.ru, продолжит существование. В отличие от сайта OSZone, в блоге иногда продолжали выходить новые статьи (основной поток контента в этом канале). А опубликованные материалы я поддерживаю в актуальном состоянии. Про значимые изменения я рассказываю в канале с пометкой "#классика блога обновлена". Но мелких правок намного больше.

Однако в связи с остановкой сервера OSZone мне надо уходить на другой хостинг. Этот шаг давно назрел, но я всё никак не мог решиться на переезд. Теперь выбора нет.

В скором времени блог может оказаться недоступен именно в связи с переездом. На крайний случай все статьи есть в веб-архиве ✌️

Мониторинг PostgreSQL в Zabbix

🚀 О чём этот урок?

PostgreSQL — надёжная и мощная СУБД, но без грамотного мониторинга она может преподнести неприятные сюрпризы. На этом уроке мы разберём, как выстроить мониторинг PostgreSQL в Zabbix так, чтобы вовремя замечать проблемы и поддерживать стабильность работы кластера.

Погрузимся в архитектуру PostgreSQL, рассмотрим ключевые метрики и процессы, влияющие на производительность, а также разберём, как отслеживать реплики и контролировать состояние бэкапов.

🎯 Что вы получите:
— Чёткое понимание, как организовать мониторинг PostgreSQL через Zabbix
— Навык настройки метрик и алертов для стабильной работы кластера
— Практику по отслеживанию репликации и состоянию резервных копий
— Уверенность в том, что база «не упадёт внезапно»

👉 Регистрация и подробности о курсе Observability: мониторинг, логирование, трейсинг: https://otus.pw/UPnf/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🔓 О защищённости мессенджера Макс

Намедни трём разным людям отвечал на вопросы о Максе. Вопросы примерно одинаковые - опасно ли пользоваться, ворует ли он личные данные с телефона, обязательно ли устанавливать на отдельный телефон. Интересно, что все три ответа у меня - "нет" 😎

При этом о защите входа и общения эти люди не спрашивают. Потому что они об этом не знают ничего. Меня же наоборот эти вопросы интересуют в первую очередь!

🔢 Защита входа
Вы вводите номер телефона и получаете в SMS одноразовый код. Это наименее защищенная аутентификация - одноэтапная. Причём единственный этап вы контролируете слабо!

Перевыпустить SIM-карту и получить доступ ко всей вашей переписке могут злоумышленники или силовики. От первых худо-бедно можно защититься в зависимости от оператора - кодовым словом, кодом подтверждения в почту, запретом действий по доверенности. Либо самозапретом на заключение договора.

Именно с истории о перевыпуске SIM на примере Telegram начиналась #классика блога про 2FA. Однако в Telegram вы не только получаете одноразовый код в активные сеансы (SMS только у премиума), но и можете задать известный только вам пароль. Это - двухэтапная аутентификация (2SV). И стыдно ее не включать!

📞 Защита переписки и звонков
В приличных мессенджерах должно быть оконечное шифрование (еnd-to-end, E2E encryption). При его правильной реализации никто кроме собеседников не может прочесть переписку или прослушать звонок путем перехвата коммуникаций.

У Макса такого шифрования нет 🙄 А это значит, что спецслужбам может даже и не понадобится перевыпускать SIM-карту...

Впрочем, E2E-шифрования нет и в обычных чатах Telegram, где вы все сидите :) Оно есть только в секретных чатах. И звонках - четыре эмодзи вверху должны совпадать с собеседником. У WhatsApp все чаты и звонки защищены E2E.

(Адептов теорий заговора, выкрикивающих страшные слова АНБ и бэкдор, отправляю смотреть любимый ролик :)

С учётом вышесказанного я не вижу смысла обсуждать, крадет ли Макс фотки ваших пыльных счетчиков воды и милых котиков 😺

Но есть еще один момент!

🖇 Интеграция с Госуслугами (ГУ)
При входе в ГУ мне внезапно предложили получать одноразовые коды в Макс. Первая реакция была: ахаха, теперь будет проще пересылать коды мошенникам :)

Но если серьезно, у меня в ГУ включена #2FA. То есть одноразовые коды не приходят в SMS, а генерируются в приложении. Это оптимальный уровень защиты входа в учетную запись ГУ. Лучше защищена лишь аутентификация по квалифицированному сертификату - спасибо, автору канала @ep_uc за уточнение.

Мне же предлагается променять двухфакторную аутентификацию на менее надежную двухэтапную с помощью Макса 🤦‍♂️

(Да, я выше написал, что у Макса аутентификация одноэтапная. Но здесь речь про вход в ГУ, где вы сначала вводите пароль, а потом одноразовый код.)

Вообще-то я ожидал интеграции ГУ и Макса на уровне входа в мессенджер с помощью учетной записи Госуслуг. Это уже вполне стандартная фича у государственных и не только сервисов. А если еще дадут отключить текущий одноэтапный вариант, такой вход станет вполне безопасным! Но пока мы видим другие приоритеты 🤷‍♂️

////

Моя мини-лекция о недостаточной защите входа и общения в национальном мессенджере в сравнении с аналогами неизменно заканчивалась встречным вопросом: так и что в итоге, можно Максом пользоваться или нет?!

Обычных людей скучные тонкости этапов аутентификации и аспектов шифрования не интересуют. А нас - должны ✌️