Quantcast
Channel: Архивы Microsoft Windows - Блог IT-KB

Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием

0
0

Появившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем. Получить информацию о выпущенных обновлениях и затрагиваемых проблемой с RDS системах можно из бюллетеней безопасности: CVE-2019-1181 - RDS Remote Code Execution Vulnerability CVE-2019-1182 - RDS Remote Code Execution Vulnerability Как и в случае с ранее описанным Майским бюллетенем безопасности CVE-2019-0708, в качестве дополнительных мер безопасности рекомендуется: Включить поддержку аутентификации на уровне сети Network Level Authentication (NLA) на тех системах, где это поддерживается (включение NLA не отменяет необходимости установки обновлений); Заблокировать доступ из внешних сетей по порту TCP 3389 до полного устранения уязвимости; Отключить службы удалённых рабочих столов Terminal Services/Remote Desktop Services на системах, где нет необходимости в использовании протокола RDP, либо на системах, где по каким-либо причинам невозможна установка выше обозначенных обновлений. Администраторы, распространяющие обновления через внутренний WSUS-сервер, перед развёртыванием обновлений на продуктивную группу компьютеров, как правило, выполняют цикл предварительного тестирования на выделенной группе компьютеров. И в случае предварительного тестирования Августовских обновлений стоит проявить особое внимание тем администраторам, которые имеют в своей инфраструктуре какие-либо задачи и приложения с применением Visual Basic. Например, если говорить применительно к модным Windows 10 1903 и Windows Server 1903, то согласно документа Version 1903 - Known issues and notifications, а также примечаний к обновлению KB4512508, после установки обновления: Приложения, использующие Visual Basic 6 (VB6); Макросы, использующие Visual Basic for Applications (VBA); Скрипты или приложения, использующие VBScript могут перестать работать с ошибкой "invalid procedure call error". Полный список затрагиваемых этой проблемой систем можно найти, например, здесь. В данной ситуации администраторам ещё на этапе тестирования обновлений, как минимум, следует проверить корректность работы старых logon-скриптов,

Сообщение Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием появились сначала на Блог IT-KB.


Изменение схемы распространения Servicing Stack Updates для Windows 10 2004-21H1 на WSUS и решение ошибки 0x800f0823 - CBS_E_NEW_SERVICING_STACK_REQUIRED

0
0

В операционной системе Windows 10 для успешного получения обновлений ОС механизм "Центр обновления Windows" должен и сам регулярно обновляться. Это происходит с помощью специальных обновлений SSU (Servicing Stack Updates). Актуальный список обновлений SSU для всех версий Windows можно найти на странице "ADV990001 - Security Update Guide - Microsoft - Latest Servicing Stack Updates". Начиная с марта 2021 года, Microsoft перестала выпускать отдельные обновления SSU для сборок Windows 10 2004 и старше. Теперь они интегрируются в последнее кумулятивное обновление LCU (Latest Cumulative Update). Информацию по этому поводу можно найти по ранее обозначенной ссылке в разделе FAQ: 4. Why are the 20H2 and 2004 rows no longer included in the table? The Windows 10 20H2 and Windows 10 2004 Security Stack Update is included in the Update Package as of the March 2021 release. If you have not yet updated to the current release, the previous Security Stack Update for these versions is KB4598481. This version needs to be installed before updating to the March 2021 update. Проблема: Если у вас одобрено лишь последнее кумулятивное обновление, а кто-то из клиентов не получал предыдущие кумулятивы (например, в случае если клиентский компьютер был длительное время выключен), он вообще не сможет получить новые обновления. В окне Центра обновлений будет показано, что новых обновлений не обнаружено и всё вроде бы "икебана". Однако, в файле журнала %WinDir%\Logs\CBS\CBS.log будут фиксироваться ошибки следующего вида: ... Error CBS Package "xxx" requires Servicing Stack v10.0.19041.980 but current Servicing Stack is v10.0.19041.860. [HRESULT = 0x800f0823 - CBS_E_NEW_SERVICING_STACK_REQUIRED] ... На ряду с этим, при попытке поставить последнее кумулятивное обновление вручную, будет выдана ошибка, сообщающая то, что оно не подходит для этой версии Windows и не может быть установлено. Решение: 1.    Установить на компьютер последний SSU для 2004-21H1 KB4598481 2.    Затем установить Майское кумулятивное обновление KB5003173 Обратите внимание на то, что два указанных обновления

Сообщение Изменение схемы распространения Servicing Stack Updates для Windows 10 2004-21H1 на WSUS и решение ошибки 0x800f0823 - CBS_E_NEW_SERVICING_STACK_REQUIRED появились сначала на Блог IT-KB.

Взломали канал в Telegram. Что делать?

0
0

К сожалению, приходится констатировать факт того, что вчера (21.03.2022) был взломан канал сообщества IT-KB: 🚷https://t.me/ITKBnews🚷! Большая просьба уведомить своих коллег по ИТ, чтобы пресечь распространение дезинформации. На текущий момент на старом канале хакерами выложена заведомо ложная информация о переводе денежных средств на сторонний номер. Прошу НИКОМУ и НИЧЕГО не переводить! В настоящее время создан НОВЫЙ актуальный Telegram канал ✅ https://t.me/ITKB_channel с действующим администратором ✅ https://t.me/Eugene_Leitan. Telegram канал https://t.me/ITKB_channel, созданный 21.03.2022, является источником знаний по тематикам: Windows, Linux, DevOps, Security, Cloud (Azure, AWS, Google), Network, programming (python, PowerShell), Project (Agile, Scrum, Kanban) с возможностью стать счастливчиком бесплатных билетов на различные онлайн мероприятия (например "Saint HighLoad 2021" или DevOpsConf 2021). Также доступны новый канал @ITKB_Archive - библиотека (книги, курсы, ИТ литература) и @ITKB_chatik - ламповый чатик сообщества IT-KB. 🛠Ведутся восстановительные работы по переносу записей со старого канала на новый https://t.me/ITKB_channel!🛠 Созданы обращения в техническую поддержку Telegram. Прошу подписываться только на новый канал ✅ https://t.me/ITKB_channel.

Сообщение Взломали канал в Telegram. Что делать? появились сначала на Блог IT-KB.

Введение в Windows Performance Monitor (Perfmon) для диагностики SQL Server

0
0

Данный материал является переводом оригинальной статьи "MSSQLTips : Joe Gavin : Introduction to Windows Performance Monitor for SQL Server". В данной вводной статье, мы узнаем о том, как можно использовать Windows Performance Monitor для изучения проблем с производительностью Microsoft SQL Server. Узнаем, что такое Performance Monitor и рассмотрим несколько примеров добавления счетчиков, сохранения повторно используемых шаблонов и составления отчетов по данным о производительности. Что такое Windows Performance Monitor? Windows Performance Monitor (далее "монитор производительности"), обычно называемый просто Perfmon, представляет собой программу Windows, используемую системными администраторами для мониторинга ряда системных областей, а также очень полезный инструмент для администраторов баз данных. Он существует со времен Microsoft Windows 3.51. Perfmon может отображать информацию в режиме реального времени или из файлов журнала для последующего просмотра.   Как монитор производительности может мне помочь? Perfmon может отслеживать стандартные счетчики производительности (ЦП, процессорное время, память, сеть, физический диск, чтение с диска и т.д.), которые устанавливаются вместе с операционной системой Windows, а также специальные счетчики, устанавливаемые с SQL Server.   Запуск монитора производительности Примечание. Все ниже описанные примеры выполнялись на Windows Server 2019 Standard с SQL Server 2019 Standard. Существует несколько способов запуска монитора производительности, в том числе: Start > Введите "Performance Monitor" в строке поиска Start > "Windows Administrative Tools" > "Performance Monitor" Щелкните ПКМ Start > "Run" > наберите "perfmon" в строке запуска Клавиша "Windows" + "R" > наберите "perfmon"в строке запуска Какой бы способ вы ни выбрали, вам будет представлен монитор производительности. Щелкните "Performance Monitor" в дереве навигации слева. Добавление счетчиков Perfmon Счетчик "% Processor Time" запущен по умолчанию. Нажмите на зеленый плюс на верхней панели кнопок, чтобы начать добавлять счетчики. В списке вы увидите большое количество объектов или категорий Perfmon. И под каждым Объектом находится почти невероятное количество Счетчиков. Ничего страшного, мы просто сосредоточимся на некоторых из них. Прокрутите вверх, чтобы щелкнуть раскрывающийся список

Сообщение Введение в Windows Performance Monitor (Perfmon) для диагностики SQL Server появились сначала на Блог IT-KB.

Счетчики Windows Performance Monitor (Perfmon) для диагностики SQL Server

0
0

Данный материал является переводом статей MSSQLTips "Joe Gavin : Windows Performance Monitor Counters for SQL Server" и "Joe Gavin : SQL Server Disk Related Performance Monitor Counters". В данной статье, мы узнаем о том, как получить данные о производительности и интерпретировать результаты некоторых часто используемых счетчиков Windows Performance Monitor (Perfmon), связанных с SQL Server. В прошлый раз мы смотрели, как создать и запустить Perfmon Data Collector Set для сбора информации о производительности в режиме реального времени. Теперь мы рассмотрим некоторые выходные данные, показатели и значения, на которые следует обращать внимание в контексте решения проблем в работе SQL Server. Объекты и Счетчики Perfmon В следующей таблице приведен список объектов Perfmon и счетчиков производительности, которые обычно используются для проверки производительности SQL Server, а также их описания и руководство по ожидаемым значениям. Perfmon Объект  Счетчик Описание Счетчика Рекомендации Memory Available MBytes Доступные мегабайты — это объем физической памяти в мегабайтах, доступный для немедленного выделения процессу или для использования системой. Должно оставаться довольно постоянным и, вероятно, не опускаться ниже 4096 МБ или около того. Может указывать, что "максимальная память сервера" оставлена по умолчанию, приложения, отличные от SQL Server, работают на сервере. Processor   % Processor Time   % процессорного времени — это процент истекшего времени, которое процессор (ЦП) тратит на выполнение потока, отличного от простоя. % процессорного времени будет сильно различаться на активном сервере. Всплески до 100% не редкость, но если оно превышает 70% или около того в течение какого-либо периода времени, ваши пользователи, вероятно, испытывают проблемы с производительностью. Причиной может быть отсутствие или промахи индексов в запрашиваемой таблице. Physical Disk Avg. Disk sec/Read Среднее время в секундах чтения данных с диска В идеале должен быть менее 15 миллисекунд. Оно не должно превышать 50 миллисекунд. Physical Disk Avg. Disk sec/Write Среднее время в секундах записи данных на диск В идеале должен быть менее 15

Сообщение Счетчики Windows Performance Monitor (Perfmon) для диагностики SQL Server появились сначала на Блог IT-KB.

Как получить читаемый лог WindowsUpdate.log на сервере с ОС Windows Server 2016 с ограниченным доступом в Интернет

0
0

При отладке работы клиента Windows Update в Windows Server 2016 одним из ключевых источников получения информации является лог, который ведёт системная служба "Windows Update". В отличие от предыдущих версий Windows Server, где этот лог имел простой текстовый формат и мог быть прочитан любым текстовым редактором, в Windows Server 2016, как и в Windows 10, прежний текстовый формат лога сменился на бинарный формат Event Trace Log (ETL) механизма Event Tracing for Windows (ETW). Соответственно, для извлечения информации из такого лога требуются дополнительные инструменты типа специализированного командлета PowerShell. А в случае, если диагностируемая серверная система имеет ограниченный доступ в Интернет, то с получением читаемого формата данных ETL у нас могут возникнуть проблемы. Рассмотрим такую проблемную ситуацию и способ её решения. Итак, при открытии лог-файла C:\Windows\WindowsUpdate.log, который исторически использовался администраторами в предыдущих версиях ОС Windows Server, мы увидим в этом файле сообщение, говорящее о смене формата лога и необходимости использовать PS-командлет Get-WindowsUpdateLog: Windows Update logs are now generated using ETW (Event Tracing for Windows). Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log. For more information, please visit http://go.microsoft.com/fwlink/?LinkId=518345 При вызове командлета Get-WindowsUpdateLog без указания дополнительных параметров из множества лог-файлов с расширением *.etl, хранящихся в каталоге C:\Windows\Logs\WindowsUpdate будет сформирован читаемый текстовый лог-файл WindowsUpdate.log на рабочий стол текущего пользователя, запустившего командлет. Однако, открыв этот файл, вместо читаемых событий мы можем увидеть нераспознанные записи с разными идентификаторами следующего вида: ... 1601.01.01 03:00:00.0000000 1352 1784 Unknown( 10): GUID=d1317ae8-ec05-3e09-4a50-d3b2ce02f784 (No Format Information found). 1601.01.01 03:00:00.0000000 1352 1784 Unknown( 10): GUID=d1317ae8-ec05-3e09-4a50-d3b2ce02f784 (No Format Information found). 1601.01.01 03:00:00.0000000 1352 1784 Unknown( 63): GUID=e26dfe10-35bf-3106-db9d-9a51a6a0981f (No Format Information found). 1601.01.01 03:00:00.0000000 1352 1784 Unknown( 30): GUID=018fc11d-8257-3169-8741-635574c6ffe0 (No Format Information found). ... Данная проблема связана с отсутствием доступа к Интернет-сервису, предоставляющему по HTTP-запросу актуальные версии символов отладки (Microsoft Internet Symbol Server), которые используются для интерпретации при обработке

Сообщение Как получить читаемый лог WindowsUpdate.log на сервере с ОС Windows Server 2016 с ограниченным доступом в Интернет появились сначала на Блог IT-KB.

Неправильное определение профиля Windows Firewall в Windows Server 2012 R2 : Public profile is Active

0
0

Как известно, в Windows Firewall существует три предопределённых профиля – Domain, Private и Public, к которым могут быть отнесены те или иные правила брандмауэра. Механизм автоматического выбора какого-либо из этих профилей в качестве активного текущего профиля системы для меня всегда был чем-то непознанным и магическим. Поэтому при настройке разрешающих правил брандмауэра я в большинстве случаев стараюсь придерживаться принципа привязки правила сразу ко всем трём профилям. То есть, чтобы правило работало вне зависимости от того, какой из профилей выберет себе система на тот или иной момент времени. И, вроде бы, можно жить и не обращать внимания на то, какой профиль в данный момент активен. Однако, иногда проблемы с неправильным определением профиля в Windows Firewall могут создавать дополнительные мелкие неприятности. Рассмотрим на примере частного случая ситуацию, которая на самом деле на моей памяти воспроизводилась плавающим образом несколько раз на разных серверах с Windows Server 2012 R2. Ко мне обратился коллега с просьбой помочь разобраться с навязчивыми алертами, периодически прилетающими с системы мониторинга SCOM о якобы неправильной настройке правил брандмауэра на файловом сервере: Alert: Server Service: File and Printer Sharing Ports Blocked Source: FS01 (SMB) Path: FS01.holding.com Description: Either Windows Firewall is disabled or the firewall inbound rules for TCP ports 445 or 139 are disabled. Проблема заключалась в том, что на самом деле стандартное системное правило "File and Printer Sharing (SMB-In)", разрешающее входящие подключения SMB, было активно, настроено и включено для всех трёх профилей Windows Firewall. Анализ скрипта, зашитого в соответствующее правило мониторинга в SCOM показал, что успешным считается результат проверки только при условии, что текущим активным профилем Windows Firewall является либо Domain, либо Private. Однако при этом на самом файловом сервере в качестве текущего профиля устанавливался профиль Public, хотя сервер присоединён к домену Active Directory и не имеет явных проблем с аутентификацией в этом домене. После некоторых экспериментов, стало понятно, что

Сообщение Неправильное определение профиля Windows Firewall в Windows Server 2012 R2 : Public profile is Active появились сначала на Блог IT-KB.

Управление сертификатами с помощью Диспетчера Сертификатов Windows и PowerShell

0
0

Данный материал является переводом оригинальной статьи "ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell". Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) - это один из основных инструментов, который позволяет выполнять эту работу. В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей "Your Guide to X509 Certificates". Понимание хранилищ сертификатов В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых "хранилищами сертификатов". Хранилища сертификатов – это "корзины", в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище. К сожалению, хранилища сертификатов - не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже. Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске. Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища - это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования. Windows хранит сертификаты в двух разных областях - в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями

Сообщение Управление сертификатами с помощью Диспетчера Сертификатов Windows и PowerShell появились сначала на Блог IT-KB.


KMS сервер активации Microsoft Windows и Office на базе Debian GNU/Linux 11 (Bullseye)

0
0

В данной заметке мы рассмотрим вариант развёртывания альтернативного KMS сервера, позволяющего активировать современные версии ОС Microsoft Windows/Windows Server и пакета Microsoft Office. Этот вариант будет реализован на базе ОС Debian GNU/Linux 11 (Bullseye) и исходных кодов открытого проекта vlmcsd. Для своей работы KMS сервер vlmcsd не требует наличия купленных KMS-ключей или какой-либо онлайн-активации в Microsoft. Вопрос "лицензионной чистоты" данного варианта в текущих реалиях оставим на обсуждение любителям философии и "кинутым" заказчикам известного вендора. При этом, следует понимать, что изложенный далее материал публикуется исключительно в образовательных целях и не позиционируется, как руководство к действию. Этот материал опирается на публично открытые программные продукты и не преследует цели нарушения норм действующего законодательства и правил лицензирования ПО. И вообще, мы за всё хорошее и против всего плохого. Поехали… Сборка пакета vlmcsd под Debian Предполагается, что под роль KMS у нас уже подготовлен выделенный сервер и на него установлена чистая ОС Debian 11. Произведём сборку deb-пакета из исходных кодов проекта vlmcsd. Устанавливаем служебные пакеты, требуемые для сборки deb-пакета vlmcsd из его исходных кодов: # apt install git build-essential debhelper -y Создаём каталог для сборки пакета и переходим в него: # mkdir ~/vlmcsd-build # cd ~/vlmcsd-build Клонируем с GitHub исходный код проекта и переходим в его подкаталог: # git clone https://github.com/Wind4/vlmcsd # cd ~/vlmcsd-build/vlmcsd Дополнительно подкачиваем в каталог с клонированными исходниками (файлы попадут в подкаталог /debian) готовые файлы дебианизации, которые нам потребуются для сборки пакета в Debian: # git submodule update --init debian Выполняем сборку deb-пакета: # dpkg-buildpackage -rfakeroot -D -us -uc Дожидаемся окончания сборки пакета, переходим на каталог уровнем выше и проверяем наличие пакета. # cd ~/vlmcsd-build # ls -la ~/vlmcsd-build Устанавливаем готовый deb-пакет в систему: # dpkg -i ./vlmcsd_1113_amd64.deb   Настройка службы vlmcsd В процессе установки будет запущена служба vlmcsd.service. Проверим её состояние: # systemctl status vlmcsd.service Как видим, служба запущена с использованием конфигурационного

Сообщение KMS сервер активации Microsoft Windows и Office на базе Debian GNU/Linux 11 (Bullseye) появились сначала на Блог IT-KB.

Ошибка Query Error "Internet Explorer - Access is denied"при открытии лога "Administrative Events"в Event Viewer на Windows Server 2022

0
0

В оснастке управления "Event Viewer" (eventvwr.msc) на Windows Server 2022 при попытке открытия специального представления "Administrative Events", отображающего все ошибки и предупреждения из активных event-логов, мы можем столкнуться с сообщением "One or more logs in the query have errors" с отсылкой на ошибку "Access is denied" для лога "Internet Explorer". Это сообщение может здорово надоедать, если часто приходится использовать в работе данное административное представление. Проблема связана с тем, что в конфигурации запроса представления "Administrative Events" есть отсылка на event-лог "Internet Explorer", но при попытке доступа к этому журналу мы получаем отказ. Проблема воспроизводится также и на Windows 11 и может быть исправлена путём корректировки настроек системного реестра Windows, отвечающих за доступ к event-логу "Internet Explorer" в ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer На Windows Server 2022 в конфигурации по умолчанию параметр "CustomSD" имеет следующее значение: O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW) Попробуем перевести в более понятный вид это SDDL-значение с помощью PowerShell: ConvertFrom-SddlString -Sddl "O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW)" Как видим, разрешающие права имеются для группы доменных администраторов и встроенной локальной учётной записи администратора сервера. Для группы доменных пользователей установлен явный запрет. Есть также разрешающее правило для группы Everyone, но в нашем случае оно не работает (возможно это как-то связано с ранее опубликованной проблемой безопасности и последующими обновлениями Windows). Если задачи администрирования сервером, в том числе и задачу чтения event-логов мы выполняем в контексте специальных доменных учётных записей, не имеющих прав администратора домена, то можно попробовать внести корректировку в данный набор прав в параметре "CustomSD". А именно, уберём права для группы администраторов домена "(A;;0x07;;;DA)", уберём права локальной учётной записи администратора "(A;;0x07;;;LA)", уберём права для группы Everyone "(A;;0x07;;;WD)" и добавим права для встроенной группы администраторов "(A;;0x07;;;BA)". Результирующее значение параметра "CustomSD" в этом случае получится следующим: O:BAG:SYD:(A;;0x07;;;BA)(D;;0x07;;;DU)S:(ML;;0x1;;;LW) Интересно то, что в Windows Server 2016, значение этого параметра в конфигурации по умолчанию … куда более "демократичное": O:BAG:SYD:(A;;0x07;;;WD)S:(ML;;0x1;;;LW) После изменения значения параметра "CustomSD", для вступления изменений

Сообщение Ошибка Query Error "Internet Explorer - Access is denied" при открытии лога "Administrative Events" в Event Viewer на Windows Server 2022 появились сначала на Блог IT-KB.





Latest Images