Как я начал бояться и разлюбил Windows 10

в 9:00, , рубрики: Windows 10, безопасность вопреки всему, Блог компании Сервер Молл, обновления системы, Серверное администрирование, системное администрирование

Как я начал бояться и разлюбил Windows 10 - 1
Lego выпустила специальные тапочки, чтобы избавить пользователей от боли. А что сделал ты, Microsoft?

На обновлении Windows 10 (сейчас у меня сборка 1803) каждый раз замирает сердце — что поломается на этот раз. Дабы поделиться болью и лечением, я собрал самые частые обращения от людей за последние пару месяцев. В копилке: прекращение доступа на серверы, сбой работы приложений и откровенно странные глюки.

Не пускает на сервер

Набившая оскомину жалоба. В марте 2018 года MS выпустили апдейт, закрывающий уязвимость CredSSP (бюллетень безопасности CVE-2018-0886). Те организации, что не часто обновляют серверы и не поставили это обновление до начала мая, столкнулись с проблемой — клиентские обновленные компьютеры перестали подключаться к терминальным серверам.

Как я начал бояться и разлюбил Windows 10 - 2
Потому что нечего подключаться к необновленным серверам.

Разумное решение — обновить сервер. Скачать обновления можно прямо с сайта Microsoft (CVE-2018-0886). Если случилось страшное и доступ уже потерян, то придется настраивать клиентские компьютеры. Версии Pro и выше легко настраиваются через локальные групповые политики.

Настройка поведения происходит в параметре Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Исправление уязвимости шифрующего оракула (бедный уязвимый оракул). Чтобы система пустила на необновленный сервер, значение в политике нужно переключить в «Оставить уязвимость».

Как я начал бояться и разлюбил Windows 10 - 3
Настройка групповой политики.

Поскольку в версиях Home нет оснастки управления групповыми политиками, приходится действовать через реестр. Достаточно следующей команды:

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Что интересно, обновленный сервер с настройками по умолчанию пускает необновленных клиентов — по меньшей мере странная навязчивая забота о безопасности пользователей.

Не пускает в общую папку. Консультанту поплохело

В свежих установках WIndows 10 протокол SMBv1 теперь отключен изначально, а в обновленных отключается через 15 дней, если так и не был использован. Из-за этого сотрудники из отпуска или командировки бывают оглушены ошибками входа в домен или доступа на сетевую папку.

Теперь включать и выключать SMBv1 можно для сервера и клиента в «Компонентах Windows».

Как я начал бояться и разлюбил Windows 10 - 4
Включение поддержки устаревшего протокола.

После включения компонента удивительным образом начинают открываться сетевые папки. Вот только приложения с них могут не запускаться. Или работать некорректно при попытке использования сети, будь то вызов ODBC для подключения к SQL или просто попытка обновить приложения.

Если отключить SMBv1 на сервере, то приложение начинает работать нормально. На этот раз виноват оказался Windows Defender. Он блокировал активность приложений, запущенных с сетевых ресурсов — и неважно, это сетевая папка или диск.

Когда отключить устаревший протокол невозможно, можно «вырубить» встроенный антивирус. Или альтернатива — включить режим совместимости для приложения.

Как я начал бояться и разлюбил Windows 10 - 5
Включение режима совместимости для приложения.

Конечно, использование серверов на WIndows 2003 и стареньких NAS — далеко не best practice. Но мне кажется, что достаточно было бы уведомления о потенциальной небезопасности, и не рубить с плеча. Да и вообще, как пелось в песне: «Заткнись, ...! Я сам знаю, что мне делать со своими файлами!»

Тормозит 1C — пока откроется контекстное меню, можно выпить чаю

Еще с выходом Windows 2008 публикация приложений через RemoteApp вызвала недюжинный интерес — ведь можно отказаться от Citrix MetaFrame (XenApp). После тестирования выяснили, что технология работает с 1С из рук вон плохо — то модальные окна спрячутся на задний план, то проблемы с печатью. С тех пор, если нет денег на полноценные средства доставки приложений, лучше использовать обычный RDP.

Правильность этого подхода в очередной раз подтвердилась. Часть предприятий, использующих RemoteApp, после обновления клиентских ОС столкнулась с существенным замедлением работы приложений. Конечно, софт по-прежнему работал, вот только интерфейс отрисовывался с задержкой, особенно при вызове контекстного меню.

Помогло только отключение RemoteFX для RemoteApp через групповые политики. Найти параметр «Использовать дополнительную графику RemoteFX для удаленного приложения RemoteApp» можно в разделе GPO: Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Среда удаленных сеансов.

Как я начал бояться и разлюбил Windows 10 - 6
Отключение RemoteFX для RemoteApp.

Для приложений, использующих возможности GPU, такой способ не подходил. Приходилось или откатывать билд операционной системы на предыдущий, или заменять RDP-клиент на предыдущую версию.

Для этого заменяют следующие файлы:

  • C:windowssystem32mstsc.exe;
  • C:windowssystem32mstscax.dll.

Взять их можно с необновленной Windows. Также надо зарегистрировать библиотеку командой:

regsvr32 C:WindowsSystem32mstscax.dll

Всем столкнувшимся с проблемой я рекомендую отказаться от использования RemoteApp.

Кончилось место на странном диске

Разделу восстановления в 400 Мб после недавнего обновления Windows была присвоена буква. Он стал доступен в «Проводнике» и превратился в OEM-раздел. А заодно система начала сообщать о закончившимся месте на этом новом диске.

При этом сам раздел содержит средство восстановления Windows, которое как раз помогает при сбоях загрузки.

Правда, оно может и все испортить при использовании подобия Raid-0 вида SSD+HDD средствами чипсета в некоторых моделях ноутбуков и ПК.

Как я начал бояться и разлюбил Windows 10 - 7
Раздел восстановления здорового человека.

Решение, казалось бы, довольно простое — убрать букву у раздела. К сожалению, раздел не простой, а системный, поэтому сделать это через «Управление дисками» не получится. Зато получится через консоль при помощи diskpart.exe:

  1. Запускаем в консоли diskpart.
  2. Получаем список разделов командой list volume.
  3. Переключаем фокус на странный раздел командой select volume 2, не забывая заменить 2 на номер нужного раздела.
  4. Удаляем букву командой remove letter=F. Букву, конечно, нужно заменить на нужную.
  5. Закрываем утилиту командой exit.

Как я начал бояться и разлюбил Windows 10 - 8
Удаление буквы диска курильщика.

Теперь пользователь обретает спокойствие. Надолго ли.

Операционная система обновлений

Кроме всех этих странных вещей происходит еще много интересного: слетают разрешения приложений для доступа к камере и микрофону, начинаются циклы бесконечной перезагрузки и проблемы с драйверами. И это при том, что ОС не стесняется прерывать вашу работу для своих нужд, или встречать после обеда сообщениями вида «я уже почти все, ты пока еще немного погуляй».

Регулярные всплески мелких и не очень проблем приводят к тому, что пользователи и техподдержка подумывают об откате на предыдущие версии Windows. А то и вовсе о переходе на GNULinux, благо толстый клиент 1С будто бы более-менее работает.

Правда, свежие релизы 1С тоже порой создают приключения, но это уже отдельная песня. Если и вам пришлось хлебнуть горя с обновлениями Windows, не забудьте поделиться в комментариях.

Автор: Tri-Edge

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js