Обновление MS16-072 ломает групповые политики

Отродясь такого не было и вот опять (с) Виктор Степаныч

Если кратко: Майкрософт закручивал гайки в процессе применения групповых политик, но изрядно перестарался. Если из фильтра безопасности групповой политики убрать Authenticated Users — она перестанет применяться. Как с этим бороться подробно описано на Хабре.

Проблема с первым поиском обновлений на Windows 7

Как многие могли заметить, свежеустановленная Windows 7 последнее время первый раз ну очень долго ищет обновления, а на маломощных процессорах типа Intel Atom это «удовольствие» может растянуться даже на сутки. В мониторинге производительности наблюдается интересная картина: ровно одно ядро процессора занято процессом svchost.exe, а активности по диску и сети не наблюдается. При этом вечный спутник процесса установки обновлений TrustedInstaller.exe может отсутствовать вовсе.

Проблема кроется в Windows Update Agent, который в большинстве случаев успевает поставиться, но далеко не последней версии, и от двух с половиной сотен обновлений у него начинает ехать крыша. Решение проблемы удалось найти на Microsoft Answers: необходимо вручную поставить два обновления: KB3050265 и KB3102810. Установку рекомендуется производить сразу после перезагрузки или с отключенной сетью, иначе wusa повиснет на этапе поиска обновления. После установки каждого обновления потребуется перезагрузка. В результате даже на хиленьком Атоме все обновления находятся за 20-30 минут.

Акция «Час Земли»

Завтра, 19 марта, по всему миру защитники животных, экологи и прочие гуманитарии и далёкие от техники люди собираются в очередной раз проводить достаточно опасную для энергосистем акцию «Час Земли».

К сожалению, люди стали забывать, что электричество — не игрушки и шутки с ним плохи. Ввиду того, что все привыкли к тому, что в розетке электричество есть всегда, никто и не задумывается о том, откуда оно берётся и что же такого страшного может случиться, если все вдруг разом выключат свет.

А случиться может вот что: при резком падении нагрузки электростанция может запросто выйти из строя и чинить её придётся очень долго, а вы в это время будете сидеть без электричества. Каково это? Освежите воспоминания о недавней энергоблокаде Крыма.

Поэтому я призываю вас ни в коем случае не участвовать в акции «Час Земли» и подобных ей флешмобах с одномоментным включением или выключением электроприборов, потому что шутки с электричеством добром не заканчиваются.

Самые любознательные из вас приглашаются ознакомиться с подробностями причин и последствий аварии на Ростовской АЭС, когда электростанция в доли секунды потеряла часть нагрузки: http://geektimes.ru/p/241330/

P.S. Разумеется, что кто-то из вас может возразить мне в духе «да ладно, упадёт там нагрузка на несчастные 3%, ничего страшного». И тем не менее, даже эти несчастные 3% могут принести много проблем энергетикам. Где тонко — там и рвется, слышали о таком? С учётом того, что с каждым годом всё больше и больше городов и учреждений присоединяются к данной акции, а СМИ преподносят это как благое начинание, не за горами тот день, когда 3% внезапно превратятся во все 10%. И вот тогда уже точно будет не до смеха.

Чиним связку КриптоПро CSP — Internet Explorer

В случае, сайт с ГОСТовским шифрованием (например, bus.gov.ru) перестал открываться в Internet Explorer с многозначительной ошибкой «Невозможно отобразить страницу», наверняка причина связана с установкой обновлений безопасности для ОС Windows.
Если проблема воспроизводится на ОС Windows 7 с установленным пакетом обновлений KB3042058 (https://technet.microsoft.com/library/security/3042058) и КриптоПро CSP версии 3.6 (R2 — R4), то необходимо выполнить следующие команды с правами администратора (например, в командной строке cmd.exe):

regsvr32 /u cpcng.dll
regsvr32 cpcng.dll

В качестве альтернативы можно попробовать переустановить КриптоПро CSP.

Подарок любителям локализованных продуктов Microsoft

Хотя я и не отношусь к любителям локализованных продуктов Microsoft из-за того, что по локализованным названиям параметров и текстам ошибок редко можно найти что-то внятное, но иногда приходится заниматься реверс-инжинирингом переводов как раз из-за любителей русификаций. Причем, как показывает статистика, именно у этих любителей чаще всего возникают разного рода проблемы, решений которых на русском языке не найти.

Знакомая ситуация? Встречайте языковой портал Microsoft: Термины и Сообщения об ошибках. Вводим фразу или сообщение об ошибке, получаем оригинал. Прям подарок судьбы.

Доработка энергосберегающей лампы для работы через диод

Довольно часто нам приходится сталкиваться с тяжким наследием в виде линии освещения подъезда, включенной через диод. Лампы накаливания при таком включении хоть и долго служат, но горят в полсилы и сильно мерцают. С экономией электроэнергии при таком подходе и вовсе непонятно, ведь КПД лампы при низком напряжении снижается.

Когда мерцающий полумрак в подъезде окончательно надоедает, возникает вопрос — как подключить энергосберегающую лампу через диод? Самое простое решение — убрать диод из цепи не всегда возможно выполнить и тогда потребуется простейшая доработка лампы. Нужно аккуратно располовинить цоколь и найти на плате фильтрующий конденсатор, включенный после диодного моста. Как правило, это будет конденсатор рабочим напряжением 350-400В и емкостью 2,2-8,6мкФ, чаще всего встречается 4,7мкФ. Нужно заменить этот конденсатор на новый, емкости большей ориентировочно в 10 раз. Т.к. конденсатор такой емкости в цоколе скорее всего не поместится, можно сделать навесной монтаж:

Навесной монтаж конденсатора

Навесной монтаж конденсатора

Доработанная таким способом лампа прослужила чуть больше 8 месяцев, что является неплохим результатом.

Как отключить историю поиска Google на мобильном устройстве

Последнее время меня стало раздражать, что на смартфоне Гугл в поисковой строке показывает последние запросы. И все бы ничего, но результаты явно «оптимизировались», в результате при поиске по непопулярным ключевым словам Гугл стал подмешивать мне результаты, которые к теме вообще не имеют отношения, при этом выделяя какие-то слова, которых в исходном запросе не было и синонимами они не являются.

Казалось все просто — зайди в настройки поиска и отключи ведение истории. Однако там была только ссылка на историю веб-поиска, которая у меня и так давно отключена. Оказалось, что все гораздо сложнее:

  1. Надо разлогиниться в Гугле
  2. На главной странице поиска (наверняка это будет google.ru) зайти в настройки поиска и отключить историю поиска
  3. Перейти на google.com и сделать аналогичные настройки, т.к. настройки для каждого домена хранятся отдельно
  4. Зайти на www.google.com/history/optout и отключить персонализацию поисковых запросов на основе файлов данных cookie

Кто там говорил, что Корпорация Добра славится своей простотой?

Решение проблем с L2TP между Android и TMG 2010

Проблема: установленное L2TP VPN-соединение с Android устройства на сервер TMG 2010 разрывается через несколько секунд.

Причина: служба RRAS считает, что Android устройство совместимо с NAP и пытается произвести аутентификацию, т.к. после установки PPP соединения Android устройство перезапускает согласование CCP. Через некоторое время TMG 2010 отвергает запрос проверки подлинности устройства и разрывает соединение.

Лечение: установить хотфикс из статьи kb2722729, перезагрузить сервер.

Wake-on-LAN

Удаленное включение компьютеров по сети — очень полезный функционал, который совершенно напрасно недооценивается большинством системных администраторов. Установка обновлений, дефрагментация, поиск вирусов и многие другие задачи можно выполнять в нерабочее время, при этом совершенно необязательно заставлять пользователей оставлять свои компьютеры включенными. Достаточно лишь активировать функционал Wake-on-LAN в BIOS, не забыв при этом обратить внимание на настройку энергосберегающих технологий в режиме ожидания, и настроить функцию управления питанием в ОС. В настоящее время Wake-on-LAN — это не только «магический пакет», а целый набор разнообразных технологий, работоспособность которых зависит от функционала сетевого адаптера. Подробное описание поддерживаемых технологий, а также о настройке параметров питания сетевых адаптеров можно прочитать на Технете.

Для включения управления питанием сетевых адаптеров, а также активации дополнительных способов пробуждения можно воспользоваться следующим модифицированным скриптом:

Option Explicit
Dim colNetworkAdapters
Dim objNetworkAdapter
Dim strDevInstanceName
Dim strNetworkAdapterID
'Query for all of the Win32_NetworkAdapters that are wired Ethernet (AdapterTypeId=0 corresponds to Ethernet 802.3)
Set colNetworkAdapters = GetObject("WinMgmts:{impersonationLevel=impersonate}//./root/Cimv2").ExecQuery("SELECT * FROM Win32_NetworkAdapter WHERE AdapterTypeId=0")
For Each objNetworkAdapter In colNetworkAdapters
   strNetworkAdapterID = UCase(objNetworkAdapter.PNPDeviceID)
   'Query for all of the MSPower_DeviceWakeEnable classes
   Dim colPowerWakeEnables
   Dim objPowerWakeEnable
   Set colPowerWakeEnables = GetObject("WinMgmts:{impersonationLevel=impersonate}//./root/wmi").ExecQuery("SELECT * FROM MSPower_DeviceWakeEnable")
   'Compare the PNP Device ID from the network adapter against the MSPower_DeviceEnabled instances
   For Each objPowerWakeEnable In colPowerWakeEnables
      'We have to compare the leftmost part as MSPower_DeviceEnabled.InstanceName contains an instance suffix
      strDevInstanceName = UCase(Left(objPowerWakeEnable.InstanceName, Len(strNetworkAdapterID)))
      'Match found, enable WOL
      If StrComp(strDevInstanceName, strNetworkAdapterID)=0 Then
         objPowerWakeEnable.Enable = True
         'Required to write the value back to the object
         objPowerWakeEnable.Put_
      End If
   Next
   'Query for all of the MSNdis_DeviceWakeOnMagicPacketOnly classes
   Dim colMagicPacketOnlys
   Dim objMagicPacketOnly
   Set colMagicPacketOnlys = GetObject("WinMgmts:{impersonationLevel=impersonate}//./root/wmi").ExecQuery("SELECT * FROM MSNdis_DeviceWakeOnMagicPacketOnly")
   'Compare the PNP Device ID from the network adapter against the MSNdis_DeviceWakeOnMagicPacketOnly instances
   For Each objMagicPacketOnly In colMagicPacketOnlys
      'We have to compare the leftmost part as MSNdis_DeviceWakeOnMagicPacketOnly.InstanceName contains an instance suffix
      strDevInstanceName = UCase(Left(objMagicPacketOnly.InstanceName, Len(strNetworkAdapterID)))
      'Match found, enable WOL for Magic Packets only
      If StrComp(strDevInstanceName, strNetworkAdapterID)=0 Then
         'Set to false if you wish to wake on magic packets AND wake patterns
         objMagicPacketOnly.EnableWakeOnMagicPacketOnly = False
         'Required to write the value back to the object
         objMagicPacketOnly.Put_
      End If
   Next
Next

Если в выделенной жирным строчке изменить False на True, то для пробуждения будут использоваться только магические пакеты. На мой взгляд, не стоит намеренно ограничивать себя в технологиях пробуждения, т.к., например, Агент администрирования Kaspersky Security Center позволяет пробуждать компьютеры с помощью битовых шаблонов.

Оригинальный скрипт.

Повышаем безопасность SSL/TLS в ОС Windows

В ОС Windows за организацию безопасных каналов SSL/TLS отвечает криптопровайдер SChannel, чтобы противостоять современным атакам на слабые шифры требуется его отконфигурировать. Проще всего это сделать с помощью программы IIS Crypto — она отключит небезопасные шифры и SSL 2.0, добавит современные шифры. Конфигурация применится ко всем службам, использующим SChannel (в т.ч. Exchange и TMG), а не только к IIS. Также требуется отключить небезопасное пересогласование сессий TLS путем добавления в ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL параметров типа DWORD AllowInsecureRenegoClients и AllowInsecureRenegoServers с нулевыми значениями.

Подробнее про атаки на SSL/TLS и закручивание гаек вручную можно прочитать в этой статье.

Провести глубокий анализ настроек SSL своего веб-сервера можно с помощью этого сервиса.