WindowsITPro - winitpro.ru

🔥 AI уже в DevOps — пора научиться использовать его по делу

AI пишет Terraform и YAML по описанию, чинит пайплайны, анализирует логи и даже пишет документацию

На курсе «AI в DevOps» вы научитесь делать это безопасно и осмысленно:
🔹 автоматизировать CI/CD через GitLab API и n8n
🔹 собирать IaC с локальной LLM
🔹 настраивать авто-триаж алертов и отчёты по MTTR
🔹 подключать AI-бота с кастомным RAG для автодокументации

Курс ведут:
💎 Виктор Ведмич, Senior Solution Architect, 10+ лет в DevOps и CI/CD
💎 София Филиппова, AI Engineer в Innova, эксперт по LLM-интеграциям
💎 Александр Качмашев, инженер Точка Банка, спикер DevOpsConf и DUMP

📅 Старт 20 октября
 👥 Всего 20 мест: с ревью и поддержкой от экспертов
 💡 55 акад. часов, из них 49 — практика

AI становится рабочим инструментом инженеров
Разберём, как это сделать правильно → ЗДЕСЬ 📌

📚В экосистеме Windows есть несколько встроенных решений для организации контроля и ограничения запуска приложений на компьютерах пользователей

🔹 Политики ограниченного использования программ (Software Restriction Policies, SRP ) – устаревший инструмент для контроля запуска приложений по правилам пути, хэша или сертификату. SRP находятся в статусе Deprecated начиная с Windows 10 1803 и Windows Server 2019
🔹 Политики AppLocker – продвинутый инструмент управления запуском приложений, позволяющий создавать гибкие политики на основе издателя, пути и хэша файла (в том числе поддерживает режим аудита). Изначально AppLocker можно было применять только к Enterprise редакциям Windows. Но в связи c отказом от SRP☝️, начиная с Windows 10 2004 и Windows 11, политики AppLocker можно применять и для Pro редакций.
🔹 WDAC (Windows Defender Application Control) - современное решение для сложного контроля целостности и выполнения приложений, включая поддержку аппаратных и программных проверок. Обеспечивает высокий уровень безопасности за счет строгих политик и защиты ядра системы (чего не умеет AppLocker).

Самым мощным и надежным инструментом ограничения запуска программ является WDAC. Но WDAC довольно сложен в развертывании и обновлении, а также требует более строгого тестирования изменений.

✅ Поэтому для большинства организаций Applocker остаётся более практичным, простым и удобным средством контроля приложений. В статье подробно описано, как создать и применить политики AppLocker для ограничения запуска приложений в Windows через групповые политики.

Политики AppLocker для ограничения запуска программ в Windows

⚠️ Поддержка Windows 10 заканчивается менее чем через месяц, 14 октября 2025 года. После этой даты Microsoft перестанет выпускать обновления безопасности, исправлять ошибки и оказывать техническую поддержку для этой ОС. Пользователям рекомендуется обновить ОС на своих устройствах до Windows 11, использовать LTSC редакции с увеличенным сроком поддержки или подключиться к программе расширенных обновлений безопасности (Extended Security Updates, ESU) для Windows 10 .

⚙️ Есть два типа подписки на программу Extended Security Updates: для обычных розничных пользователей (Consumer ESU Program) и для корпоративных заказчиков (Commercial ESU Program).

👤Розничные пользователи могут получить доступ к программе расширенных обновлений безопасности для Windows 10:

🔹 Бесплатно, если у вас настроено резервное копирование компьютера через Windows Backup в OneDrive (подписка Microsoft 365 не требуется)
🔹 За баллы Microsoft Rewards – участники программы лояльности Microsoft Rewards могут обменять 1000 очков на подписку ESU
🔹 Приобрести подписку ESU через Microsoft Store — стоимость 30$

Частная подписка ESU привязана к аккаунту Microsoft, позволяет продлить срок получения обновлений безопасности только на 1 год (но максимально до 13 октября 2026 года), не продляется, может быть использована на 10 компьютерах, привязанных к одному аккаунту.

👥 Корпоративные заказчики могут получить подписку ESU и продлить срок получения обновлений безопасности для Windows 10 на три года (стоимость каждый следующий год удваивается)
1️⃣ год (до 2026) – 61$ за устройство
2️⃣ год (до 2027) – 122$
3️⃣ год (до 2028) — 255$

✅ В статье рассмотрены основные аспекты программы ESU для Windows 10.

Как получать обновления Windows 10 после окончания поддержки (End-Of-Life)?

📚 Несмотря на то, что в Windows 11 24H2 и Windows Server 2025 устаревший протокол аутентификации NTLMv1 отключен, он частично еще может использоваться для некоторых legacy протоколов. Например, MS-CHAPv2 в сценариях Wi-Fi, Ethernet и VPN аутентификации в доменной среде.

✅ Для обнаружения событий использования протоколов NTLM был добавлен расширенный аудит, который записывает соответствующие события в отдельный журнал Event Viewer (Applications and Services Logs -> Microsoft -> Windows -> NTLM -> Operational). С августа 2025 события использования NTLMv1 просто записываются с warning-ами в журнал, а с октября 2026 любые попытки использовать NTLM1 будут блокироваться. С помощью параметра реестра BlockNtlmv1SSO = 1 уже сейчас можно полностью запретить использовать в том числе производные от NTLMv1 протоколы.

✅ Кроме того, теперь можно запретить использовать NTLMv2 на клиенте для подключения к сетевым папкам:

Set-SMbClientConfiguration -BlockNTLM $true 

Или запретить его для подключения определенных папок:

New-SmbMapping -RemotePath \\fssrv1\public -BlockNTLM $true 

🚫 С помощью параметров GPO Block NTLM (LM, NTLM, NTLMv2) можно полностью отключить использовать NTLM для аутентификации по SMB, или добавить список исключений (Block NTLM Server Exception List).

Блокировка NTLM подключений в Windows 11 и Windows Server 2025