Заметки сисадмина

Microsoft отключает предварительный просмотр файлов, загруженных из интернета

2025-12-05 · Posted in Windows – 11, Windows Server 2012, Windows Server 2016/2019, Windows Server 2022

Разработчики отключили в «Проводнике» (File Explorer, ранее Windows Explorer) предварительный просмотр для файлов, скачанных из интернета. Теперь превью автоматически блокируется, чтобы предотвратить кражу учетных данных через вредоносные документы.

Изменение уже вступило в силу для пользователей, установивших октябрьские обновления для Windows 11 и Windows Server.

Как объясняют в компании, функция предварительного просмотра по умолчанию отключается только для файлов из сетевых папок, классифицированных Windows как внешние (зона Интернета), и файлов, имеющих отметку Mark of the Web (MotW), которая указывает, что файл был загружен через браузер, получен как вложение в письме и так далее.

При попытке просмотреть такой файл панель превью покажет предупреждение: «Файл, который вы пытаетесь просмотреть, может навредить компьютеру. Если вы доверяете файлу и источнику, от которого его получили, откройте его, чтобы увидеть содержимое».

Эта защитная мера призвана блокировать для потенциальных атакующих возможность эксплуатировать уязвимости, позволяющие извлечь NTLM-хеши, когда пользователи просматривают файлы с HTML-тегами (вроде <link>, <src> и других), ссылающимися на внешние пути на серверах злоумышленников.

Такой вектор атаки не требует от пользователя практически никаких действий, кроме выбора файла для предпросмотра, и исключает необходимость обманом вынуждать жертву открывать или запускать файл в системе.

«Начиная с обновлений для Windows, выпущенных 14 октября 2025 года и позже, “Проводник” автоматически отключает функцию превью для файлов, загруженных из интернета, — сообщает Microsoft. — Это изменение призвано повысить безопасность, предотвращая использование уязвимости, которая может привести к утечке NTLM-хешей при предпросмотре потенциально небезопасных файлов».

В случае необходимости можно вручную снять блокировку для отдельного файла. Для этого понадобится кликнуть правой кнопкой мыши по файлу в «Проводнике», выбрать «Свойства» и нажать кнопку «Разблокировать» внизу вкладки «Общие».

Также блокировку можно отключить для всей сетевой папки сразу, добавив ее адрес в доверенные зоны через «Свойства обозревателя» (Internet Options) в панели управления Windows (вкладка «Безопасность»).

Свойства браузера → Безопасность → Местная интрасеть → Сайты → галочка Автоматически определять принадлежность к интрасети → Дополнительно → \\сервер_или_его-ip Добавить
Панель управления → Свойства обозревателя → Безопасность → Другой → Запуск программ и небезопасных файлов → Включить.

No Comments »

Освобождаем место на диске, удаляем компоненты Windows Update и ременные файлы

2025-12-04 · Posted in PowerShell, Windows – 11, Windows Server 2022

Недавно столкнулся с ситуацией: на одном из серверов системный диск практически «забился» под завязку, а штатные чистилки мусора не помогали – свободного места оставалось критически мало. Оказалось, что куча старых файлов обновлений, временных логов и упаковок пакетов Windows Update съели не меньше 20 ГБ!

Чтобы оперативно и централизованно освободить место на C:, я использовал PowerShell-скрипт для сброса компонентов Windows Update и удаления временных файлов.

# 1. Остановим службы обновлений
Write-Host "Останавливаю службы Windows Update..." -ForegroundColor Cyan
Stop-Service -Name wuauserv -Force
Stop-Service -Name bits -Force
Stop-Service -Name cryptsvc -Force

# 2. Переименуем папки SoftwareDistribution и Catroot2 (чтобы сбросить кеш)
$sd = "C:\Windows\SoftwareDistribution"
$cr2 = "C:\Windows\System32\catroot2"
$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
Write-Host "Переименовываю SoftwareDistribution и Catroot2..." -ForegroundColor Cyan
Rename-Item -Path $sd -NewName "SoftwareDistribution_$timestamp" -Force
Rename-Item -Path $cr2 -NewName "catroot2_$timestamp" -Force

# 3. Запустим службы обратно
Write-Host "Запускаю службы Windows Update..." -ForegroundColor Cyan
Start-Service -Name wuauserv
Start-Service -Name bits
Start-Service -Name cryptsvc

# 4. Удаляем временные файлы пользователя и систему temp
Write-Host "Удаляю временные файлы..." -ForegroundColor Cyan
Get-ChildItem "C:\Windows\Temp" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue
Get-ChildItem "$env:TEMP" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue

# 5. Очищаем папку Prefetch (если нужно)
Write-Host "Очищаю Prefetch (опционально)..." -ForegroundColor Cyan
Get-ChildItem "C:\Windows\Prefetch" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue

# 6. Запускаем анализ и дефрагментацию (для HDD/SDD команда отличается)
Write-Host "Запускаю оптимизацию диска (для HDD)..." -ForegroundColor Cyan
Optimize-Volume -DriveLetter C -ReTrim -Verbose

Write-Host "Готово! Освобождено место и сброшен кеш Windows Update." -ForegroundColor Green

# 1. Остановим службы обновлений

Write-Host "Останавливаю службы Windows Update..." -ForegroundColor Cyan

Stop-Service -Name wuauserv -Force

Stop-Service -Name bits -Force

Stop-Service -Name cryptsvc -Force

# 2. Переименуем папки SoftwareDistribution и Catroot2 (чтобы сбросить кеш)

$sd = "C:\Windows\SoftwareDistribution"

$cr2 = "C:\Windows\System32\catroot2"

$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"

Write-Host "Переименовываю SoftwareDistribution и Catroot2..." -ForegroundColor Cyan

Rename-Item -Path $sd -NewName "SoftwareDistribution_$timestamp" -Force

Rename-Item -Path $cr2 -NewName "catroot2_$timestamp" -Force

# 3. Запустим службы обратно

Write-Host "Запускаю службы Windows Update..." -ForegroundColor Cyan

Start-Service -Name wuauserv

Start-Service -Name bits

Start-Service -Name cryptsvc

# 4. Удаляем временные файлы пользователя и систему temp

Write-Host "Удаляю временные файлы..." -ForegroundColor Cyan

Get-ChildItem "C:\Windows\Temp" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue

Get-ChildItem "$env:TEMP" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue

# 5. Очищаем папку Prefetch (если нужно)

Write-Host "Очищаю Prefetch (опционально)..." -ForegroundColor Cyan

Get-ChildItem "C:\Windows\Prefetch" -Recurse -Force | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue

# 6. Запускаем анализ и дефрагментацию (для HDD/SDD команда отличается)

Write-Host "Запускаю оптимизацию диска (для HDD)..." -ForegroundColor Cyan

Optimize-Volume -DriveLetter C -ReTrim -Verbose

Write-Host "Готово! Освобождено место и сброшен кеш Windows Update." -ForegroundColor Green

Что делает скрипт:

1. Останавливает службы wuauserv, bits и cryptsvc, чтобы освободить доступ к файлам обновлений.
2. Переименовывает папки SoftwareDistribution и catroot2 – таким образом Windows создаёт новые «чистые» папки при следующем запуске службы обновлений.
3. Перезапускает службы, чтобы система могла продолжить получать обновления.
4. Удаляет старые временные файлы из C:\Windows\Temp и из переменной %TEMP% текущего пользователя.
5. (Опционально) Очищает папку Prefetch – пригодится, если вы хотите сбросить предзагрузку приложений (иногда помогает ускорить старт служб).
6. Запускает командлет Optimize-Volume с параметром –ReTrim (важно для SSD, если нужно, или дефрагментацию для HDD), что в итоге дополнительно освобождает свободное пространство и приводит метаданные диска в порядок.

Лайфхак:

– Если вы работаете со множеством серверов, оберните этот скрипт в экспорт модуля или сохраните в виде .ps1, а затем запускайте его через Scheduled Task по расписанию раз в неделю/месяц.
– Можно добавить проверку свободного места перед выполнением очистки, чтобы скрипт запускался, только когда доступно меньше, скажем, 10 ГБ:

  $freeGB = [math]::Round((Get-PSDrive -Name C).Free / 1GB, 2)
  if ($freeGB -lt 10) {
      # выполняем очистку
  } else {
      Write-Host "Достаточно места — пропускаю действия."
  }

$freeGB = [math]::Round((Get-PSDrive -Name C).Free / 1GB, 2)

if ($freeGB -lt 10) {

# выполняем очистку

} else {

Write-Host "Достаточно места — пропускаю действия."

}

Не забывайте тестировать на тестовых окружениях перед тем, как развертывать на продакшне.

No Comments »

Медленный вход в систему проверка GPO

2025-11-26 · Posted in Active Directory, PowerShell

Пользователи массово жаловались на медленный вход в систему. Крутилось приветствие по 3-5 минут. Оказалось, виновата политика групповых дисков, которая грузилась слишком долго.

Решение оказалось простым, нужно быстро найти проблемные политики. Вот удобный скрипт на PowerShell для проверки времени обработки GPO при входе пользователя:

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
Where-Object { $_.Id -eq 4016 } |
Select-Object TimeCreated, @{n='Время загрузки GPO (сек)';e={$_.Properties[0].Value}}, @{n='Название GPO';e={$_.Properties[1].Value}} |
Sort-Object 'Время загрузки GPO (сек)' -Descending | Select-Object -First 10

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |

Where-Object { $_.Id -eq 4016 } |

Select-Object TimeCreated, @{n='Время загрузки GPO (сек)';e={$_.Properties[0].Value}}, @{n='Название GPO';e={$_.Properties[1].Value}} |

Sort-Object 'Время загрузки GPO (сек)' -Descending | Select-Object -First 10

Этот скрипт покажет 10 самых «тяжёлых» групповых политик по времени загрузки. В моём случае лидером стала политика с забытым сетевым диском на уже не существующий файловый сервер.

No Comments »

Не работает печать и в очереди, вечно зависшие задания

2025-11-24 · Posted in PowerShell, Windows – 10, Windows – 11

Была нестандартная проблема на одном из клиентских Windows 11. Пользователь жаловался: не работает печать, а в очереди, вечно зависшие задания. Перезапуск spooler’а не помогал.

Разбор показал – виноват битый драйвер, но перед этим пришлось как следует почистить очередь печати и файлы, чтобы дать системе “вдохнуть”. Накидал скрипт, который меня спас:

Полная зачистка очереди печати и временных файлов spooler:

Stop-Service -Name spooler -Force
Remove-Item -Path "C:\Windows\System32\spool\PRINTERS\*" -Force
Start-Service -Name spooler

Stop-Service -Name spooler -Force

Remove-Item -Path "C:\Windows\System32\spool\PRINTERS\*" -Force

Start-Service -Name spooler

Если директория не очищается, проверь права или вручную удали зависшие .spl и .shd файлы. После этого очередь ожила, и новые задания пошли без залипаний.

А чтобы в следующий раз не искать виновника вручную, добавил логирование проблем с драйверами через Get-EventLog:

Get-EventLog -LogName System -Source "Print" -EntryType Error -Newest 20

1	Get-EventLog -LogName System -Source "Print" -EntryType Error -Newest 20

Очень удобно, сразу видно, какой драйвер шалит.

No Comments »

Как отслеживать подключения к RDP

2025-11-07 · Posted in PowerShell, RDS

Сегодня хочу поделиться полезным трюком, как отслеживать подключения к RDP – кто, когда и откуда логинился на сервер. Это особенно актуально, если вы не используете полноценный SIEM, но хотите держать руку на пульсе.

Используем журнал событий и PowerShell:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |
Where-Object { $_.Properties[8].Value -eq '10' } |
Select-Object TimeCreated,
              @{Name='User';Expression={$_.Properties[5].Value}},
              @{Name='IP';Expression={$_.Properties[18].Value}} |
Sort-Object TimeCreated -Descending | Out-GridView

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |

Where-Object { $_.Properties[8].Value -eq '10' } |

Select-Object TimeCreated,

@{Name='User';Expression={$_.Properties[5].Value}},

@{Name='IP';Expression={$_.Properties[18].Value}} |

Sort-Object TimeCreated -Descending | Out-GridView

Что делает скрипт:
– Ищет события успешного входа (4624),
– Фильтрует по типу логина 10 (удалённый интерактивный – это RDP),
– Показывает дату, пользователя и IP-адрес источника.

Очень удобно запускать на сервере и быстро проверять, кто заходил и когда. Можно адаптировать для логгера или отправки уведомлений.

No Comments »