Как сказали в одной из конференций – «Выбросьте ваш гуглофон и айда во двор кормить динозавров».
Динозавров кормить не будем, но посмотрим что именно мы имеем на текущий момент.

Поговорим про бегство от свободы?

Google Chrome

Шустрый браузер который рекламируется на все лады и продвигается везде где только можно.
- Сайты загружаются до того как вы заканчиваете набирать их названия…

Отлично!!! Для для меня уже подготовили список того что мне будет интересно. Весьма странно, я вроде никого об этом не просил, но мне уже все предоставили готовое.

Если учесть что для удобства, с помощью Google-аккаунта, синхронизируются не только закладки но и история, пароли и пр. то вырисовывается вполне веселая картинка Теперь ни для кого не секрет куда вы ходили, что открывали и что пароль к вашему аккаунту на каком нибудь ресурсе уже известен не только вам.

Историю поиска

Для тех кому не все равно, это те кто не согласен с тем что все что есть собирается и анализируется, есть возможность подчистить всю историю поиска.

Переходим по ссылке, чистим историю и ставим на паузу «Историю веб-поиска».

Традиционно, есть небольшой нюанс прям как в анекдоте про Петьку и Чапаева (приводить текст не буду).

Если вы выполнили вход то можно отключить историю веб-поиска, но в случае если вы не выполняли входа то история все равно пишется. Результаты для вас формируются на основе данных о предыдущих поисковых запросах, связанных с файлами cookie в вашем браузере. Не отчаивайтесь. Можно отключить и это.

Переходим на страницу google.com/history и регистрируемся с помощью имени пользователя вашего Гугл-аккаунта. На странице нажимаем на ссылку Отключить персонализацию результатов поиска на основе данных файлов cookie.

Для надежности требуется заодно удалить текущий файл cookie вместе с историей поиска из вашего браузера.

Google Locator

Полезная штука, но я так и не могу представить для чего ее изобрели.

Если вы используете Google Maps то крайне рекомендую зайти по ссылке и посмотреть что там есть. Я был крайне удивлен тем что тут посчитано время проведенное на работе и время проведенное дома (домашний адрес определили довольно точно, а вот с рабочим промахнулись почта на 2 километра гуглу должно быть стыдно). Тут замечательно зафиксированы точки где я чаще всего бываю и много другое.

Не нуждаюсь в том что бы кто то считал время моего прибывания в той или иной точке и рассчитывал мои маршруты.

Google Docs и Google Calendar

Вполне безобидные сервисы, но удалить из них данные стоит. Не оставлять же информацию…

Тут можно искать по тому что имеется, а это означает что все что вы оставили уже проиндексировано. Если вы используете Google Календарь со своего мобильного девайса или еще откуда нибудь то помните что вы оставляете за собою много полезной информации:

• Встречи. Неважно с кем, но так как правило указаны места и люди.
• Заметки о делах которые были выполнены.
• Многое другое.

Инструкция по удалению данных доступна по ссылке.

G-мыло

Тут вам и безразмерный ящик и удобный поиск и интеграция со всеми службами, в случае если вы используете Google + то в настройках можно найти и свою аватарку. Для удобства, любезно предоставлен функционал сбора почты с других аккаунтов.

Удаляться или нет решать вам.

Я давно перенес почту на свой почтовый домен.

Google Reader

Самый безобидный сервис. Удобный, но привязывающий к себе требованием наличия Гугл-аккаунта. Есть поиск и статистика. Естественно, при желании можно проанализировать вашу активность т.к. согласно новым правилам записывается не только ваш IP адрес, но и сведения об операционной системе и многое другое.

Все для людей

На мой взгляд проще и надежнее использовать RSS-ридер установленный на компьютере.

Google Maps

Полезный сервис, но если посмотреть внимательно то тут можно задать свое местоположение по умолчанию, можно задать свою компанию. Можно составить маршруты и метки. Как все это добро удалить пока не нашел, но вывод напрашивается сам собою – можно проследить все ваши маршруты и многое другое…

Предпочитаю Яндекс карты потому что они больше осведомлены о том что есть у меня в городе.

Google Plus

Утопическая социальная сеть. Думали что «взлетит» а на практике оказалось что полет был недолгий . Народ регился для » на посмотреть», но не найдя ничего полезного остыл и потерял интерес.

За это время в обиходе пользователей появились кнопки «+1″ которые фиксируются в истории и влияют на позиции при поиске.

Открываем ссылку http://www.google.com/s2/u/0/search/social?hl=ru и внимательно изучаем как Гугль отслеживает ваши связи.

Каюсь. Использую данную социалку для того что бы было. На удаление из нее пока что не созрел потому что она хороший источник трафика для блога.

Что осталось?

Остались множество веб сервисов, различной полезности, которые тырят данные впрок. Как они это будут использовать не совсем ясно, вполне возможно что это прикрывается безобидным анализом во благо.

PS Вы не задумывались сколько данных можно про вас получить если ваш аккаунт будет скомпрометирован? Злоумышленнику не надо собирать на вас материалы, ему достаточно любым методом получить данные вашей учетной записи и ему будет доступно гораздо больше чем дофига

Напомню что в прошлый раз был модуль Active Directory.

Модуль GroupPolicy доступен в следующих случаях:

• Windows Server 2008 R2 с установленной ролью контроллера домена.
• Рядовой сервер Windows Server 2008 R2 с установленной консолью GPMC.
• Windows 7 с установленным пакетом Remote Server Administration Tools (RSAT).

Казалось бы, нет ничего странного, модуль как модуль. Можно посмотреть какие в нем есть командлеты

или более правильная, по мнению курса Advanced Group Policy Troubleshooting, методика

можно даже вот так

Результат не изменится, помощь есть помощь…

Набор более чем стандартный, есть и Get и Set и Remove, все хорошо документировано, ничего сложного и нет.

Примечание: полный список команд приводить не буду так как он доступен по ссылке на TechNet

Командлеты используются для выполнения нижеперечисленных операций с доменными объектами групповой политики:

• Создание, удаление, резервное копирование и импорт.
• Создание, связывание, обновление и удаление связей объектов групповой политики с контейнерами Active Directory.
• Установка флагов наследования и разрешений в подразделениях и доменах Active Directory.
• Настройка реестровых параметров политики: обновление, извлечение, удаление.
• Создание и изменение Started GPO.

Постараюсь не размазывать а привести только самое интересное.

Для использования командлетов сначала импортируем модуль GroupPolicy.

Примечание: Пока что все что приводится запускает от имени бесправного доменного пользователя. Позже объясню для чего это нужно.

Попробуем запросить список доступных объектов групповых политик.

Предположим что вы знаете список имеющихся OU, но забыли название а лезть в оснастку ADUC вам жутко лень. Что делать?

Все просто, вводим команду

dsquery ou

или тоже самое, но на powershell

Получаем результат.

«OU=Domain Controllers,DC=lab,DC=com»
«OU=Members Servers,DC=lab,DC=com»
«OU=Managed Computers,DC=lab,DC=com»
«OU=TestOU,DC=lab,DC=com»

Структура ясна, теперь запрашиваем список объектов групповых политик для dc=lab,dc=com

Результат вполне ожидаемый.

Name : lab.com
ContainerType : Domain
Path : dc=lab,dc=com
GpoInheritanceBlocked : No
GpoLinks : {Default Domain Policy}
InheritedGpoLinks : {Default Domain Policy}

Теперь изучим политики привязанные к OU – Managed Computers.

В результате мы видим что в этому OU есть линк на политику «Desktop – Baseline Policy». Посмотрим что можно прочитать про найденную политику.

Результат не впечатляет

DisplayName      : Desktop - Baseline Policy
DomainName       : lab.com
Owner            : LAB\Domain Admins
Id               : 3aa02562-cf15-41a0-f8fb-416a2a421b4f
GpoStatus        : AllSettingsEnabled
Description      :
CreationTime     : 2/26/2011 12:15:42 AM
ModificationTime : 2/26/2011 12:15:42 AM
UserVersion      : AD Version: 0, SysVol Version: 0
ComputerVersion  : AD Version: 0, SysVol Version: 0
WmiFilter        :

Примечание: На практике User Version и Computer Version, если заданы хоть какие нибудь настройки, явно не равняются нулю

Предположим, у нас есть некий набор настроенных GPO. Выполним  сначала запрос полномочий

а после него создадим отчет по имеющимся настройкам

Получилось? Естественно. Ведь в правах скорее всего установлено что все прошедшие проверку могут читать.

Что остается сделать?

Наверное, резервную копию? Проверим получится или нет.

Прокатило…

Примечание: Помните про «бесправного пользователя»? В данный момент с его правами удалось сделать резервную копию GPO.

Попробуем выполнить резервную копию всех объектов которые можно прочитать.

Получилось для всех имеющихся политик?

Итог

Каков вывод?
Модуль GroupPolicy будет полезен администратору, например для автоматизации создания резервных копий объектов GPO и для аудита назначенных полномочий. Как показывает практика, остальные операции, как правило, выполняются из удобного графического интерфейса.

Если немного подумать, можно на базе модуля GroupPolicy написать скрипт для мониторинга изменений объектов. Например можно фиксировать следующие изменения:

• Изменения прав на объекты.
• Изменение версий. Атрибуты UserVersion и ComputerVersion.
• Создание новых объектов.
• …

Второй вариант немного неожиданный т.к. он основан на стандартном заблуждении многих админов заключенных в том что назначения стандартных разрешений для объектов GPO вполне достаточно.

Проблема сводится к тому что в большинстве случаев почти все объекты GPO можно прочитать, ошибка может привести к следующим последствиям.

Предположите на мгновения что некто сделал резервную копию GPO в котором у вас задаются пароли для локальных администраторов или настройки для сервисов…

Представили?

Дальнейшая судьба этих GPO скорее всего будет следующей:

• Резервная копия будет восстановлена в тестовом окружении.
• GPO назначено на OU.
• После применения политики будут слиты хэши от пользователей которых вы настроили (например назначили пароль локальному администратору через Group Policy Preference) или получены пароли учетных записей от которых стартуют сервисы (частенько это могут оказаться учетки с правами доменного администратора или учетные записи пользователей имеющих очень большие права ).

Вариантов масса. Могу предположить сценарий похищения политик которые отвечают за настройки серверов с целью их анализа и пр.
Конечно, если у вас все в порядке с правами доступа к объектам, то вам вышеназванные жутики вам не страшны, но если у вас все могут читать то стоит задуматься…

PS Это не методика взлома Групповых политик, это повод задуматься над тем что у вас есть сейчас.

Что же, раз настаивают, пришлось читать…

Первое что бросилось в глаза это дата последней правки. Ребята явно живут не только в облаках но и в недалеком будущем.

Очень понравилась секция «Какую информацию мы собираем».

Вроде все понятно. Собираем данные о телефонах, модель, версия ОСи, IMEI, данные об операторе и привязку к аккаунту.

В переводе это выглядит примерно так – у нас будет база данных по всем Android телефонам и при условии что мы собираем и данные пользователей то в случае «если чо…» можно найти любой телефон и его владельца.

Идем дальше. Что пишется про сборку журналов.

Переводим

Мы пишем все что можно выцепить с вашего телефона и знаем куда вы звонили, какие SMS-ки отправляли и «если чо» то можем и куками вашими воспользоваться.

Дальше следует сведения о местонахождении. Тут все просто.

Мы пишем все места где вы были и в случае «если чо» то хрен вы отвертитесь

Идем дальше.

Переводим

Все что есть на вашем телефоне теперь наше.

Везде где есть кнопка +1 от Google теперь можно собирать данные.

Вы оставили комментарий у кого то в блоге? Видимо зря т.к. об этом теперь известно Google.

Читать дальше уже нет сил так как логика сводится примерно к одной фразе – «Все что было ваше, теперь есть у нас, а вы дали на это согласие».

Вы используете GМыло или Гэ-календарь?

Замечательно. Его уже проиндексировали и передали третьей стороне. Радуйтесь потому что «ваше» соединение защищено средствами SSL.

Если вы используете Chrome то нам известно куда вы ходите.

Это как?

Если пользователь не хочет отдавать свои данные то мы обратимся в местные гос. учреждения?

Ну хоть в чем то все понятно Если нам что то надо поменять то мы меняем когда хотим.

Итог простой – если вы еще хотите пользоваться сервисами Google то можете поискать свои персональные данные, об этом в политике есть целый абзац. Хотя я бы не обольщался потому что все что было загружено уже давно проиндексировано А «если чо» мы найдем вас через ваших друзей…

ЗЫ Жду бана от Google.

Это средство есть и оно совершенно бесплатное, правда оно не гарантирует 100% защиту, но его использование сильно увеличивает стойкость системы. Средство доступно всем пользователям Windows (за исключением Windows Home) и называется оно «Политика Ограниченного Использования программ» (Software Restriction Policies) и встроено оно в следующие системы Microsoft:

• Windows XP Professional, Windows XP Media Center.
• Windows Vista Business, Windows Vista Enterprise & Ultimate.
• Windows 7 Professional, Windows 7 Enterprise & Ultimate.
• Windows Server 2003 и выше(все редакции).

Примечание: К сожалению, для пользователей использующих линейку операционных систем «Домашняя *» (Windows Home) оно не доступно. С одной стороны правильно, а с другой Микрософт мог бы дать этот крайне полезный инструмент…

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.

Настройка

Откройте оснастку «Локальная политика безопасности» одним из методов:

1. «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies)
2. «Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности» -> «Политики ограниченного использования программ» (Software Restriction Policies)

Политика включена. Теперь требуется произвести несколько настроек. Выберите пункт «Применение» и задайте правила как указано ниже. Это включит проверку всех программ и обеспечит защиту пользователей и администраторов на данном компьютере. Если же вы не хотите стеснять администратора в действиях то во втором пункте выберите «Всех пользователей, кроме локальных администраторов».

Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать.

Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.

Примечание: Удаление расширения LNK крайне спорное решение, но для упрощения реализации поставленной задачи поступить стоит именно так.

Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».

При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию) вам нужно добавить правило пути.

Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам.

Примечание: Если Вы устанавливали программное обеспечение на другой диск, например D:\Program Files и пр. что бы ПО могло запускаться необходимо добавить правило «пути».

Дальнейшие действия просты и заключаются они в создании ярлыков на reg-файлы.

- Зачем? Вроде все уже настроено…
- Что бы упростить обновление системы и установку новых программ.

Создайте два файла и сохраните из на диске. Я предпочитаю C:\Program Files\Tools
SRP_Disable.reg – Отключение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

SRP_Enable.reg – Включение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Проверка

Для проверки действия политики создайте в корне диска C: две папки C:\TEMP и C:\Distr. Положите в них любой исполняемый файл, я скачал утилиту autoruns, перезагрузите ваш компьютер. Зайдите в систему и попробуйте запустить утилиту из папки C:\TEMP

А теперь из папки C:\Distr

Как видите, нужный результат достигнут.

Остается решить самый важный вопрос. при работе с reg-файлами, которые мы создали выше, есть шанс забыть включить политику обратно (администратор просто забыл или забил нужное подчеркнуть). Для этого необходимо выполнить последнее мероприятие.

Подстраховка

В меню пуск, в строке поиска вводим cmd, на найденном ярлыке говорим «запустить от имени администратора». Дальше вводим

gpedit

В открывшемся редакторе групповой политики выбираем – «Конфигурация компьютера» – «Конфигурация Windows» – «Сценарии».

Добавляем наш reg-файл в автозагрузку так как показано на рисунке.

Теперь, в случае даже если администратор забудет реестром обратно включить политику SRP, то после перезагрузки политика вернется в её исходное состояние – Запрещено.

Насколько это получилось, судить вам. Комментарии и пожелания приветствуются. По мере необходимости и готовности материал будет дополняться и корректироваться.

Условия и задача

Подопытная ОСь – Windows Ent 7 (другого под рукой не оказалось) установленная в VirtualBox. Все настройки и скриншоты будут приведены для нее, но они ничем не отличаются от «Домашних» редакций Windows 7. Таким образом все написанное ниже равнозначно для всех редакций Windows 7. Там где будет описание настроек для других ОСей будут приведены соответствующие примечания.

Задача – минимальными усилиями обеспечить защиту установленной системы.

Обновления

После установки операционной системы обязательно устанавливаем все имеющиеся обновления. Это защитит обеспечит исправление ошибок и закроет существующие уязвимости.

Антивирус

Рекомендаций относительно выбора антивируса давать не буду, скажу только что предпочитаю MSE (microsoft security essentials) т.к. он бесплатен, нетребователен к ресурсам.

Обсуждать достоинства и недостатки антивирусов не будем т.к. это выходит за рамки данной публикации.

Учетные записи

Создаем дополнительную учетную запись для повседневной работы. Это необходимо для того что бы избежать потенциальных проблем при работе под учетной записью с повышенными привилегиями.

Пуск -> Мой компьютер -> правой кнопкой мыши нажимаем управление.

 В открывшемся окне ищем

Создаем пользователя, в моем случае это user2. Это будет ваша учетная запись для повседневных задач. При необходимости установки программного обеспечения  и пр. используйте функционал «Запустить от имени». Нажмите клавишу Shift и в контекстном меню выберите пункт «Запуск от имени другого пользователя».

Немаловажный шаг в защите ваших паролей будет в отключении шифрования LMHash.

Отключение выполняется либо через локальную политику безопасности или через реестр. Реестровый вариант – откройте редактор реестра – «Пуск» -> «выполнить» -> regedit.exe. Найдите ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

и создайте параметр «NoLMHash» типа DWORD со значением 1.

Примечание: В Windows 7 SP1 этот параметр уже установлен. В более ранних системах он либо отсутствует, либо равен 0. 

Следующим действием будет создание сложных паролей (цифры + буквы + спецсимволы, длиной хотя бы 10 символов, но в идеале 15-16) для всех имеющихся учетных записей, включая и отключенную запись пользователя «Администратор». Учетной записью Администратор, при необходимости, можно воспользоваться в Безопасном режиме.

Примечание: Если вы не планируете использовать «домашнюю группу» то отключите так же учетную запись HomeGroupUser$.

Службы

В оснастке «Управление компьютером» ищем вкладку «Службы».

И отключаем неиспользуемые и ненужные службы.

• Автономные файлы – на домашних ПК не используется.
• Браузер компьютеров – если у вас нет рабочей группы отключите. Я бы отключил даже если и есть
• Сервер – не нужен на машинах, ресурсы которых не выделяются для совместного использования в сети.
• Прослушиватель домашней группы – зависит от службы «Сервер» и остановится при ее отключении.
• Удаленный реестр – однозначно отключить т.к. удаленный доступ к нему дома не нужен.

Общие папки

Если вы не отключили службу «Сервер» то нужно запретить доступ к административным ресурсам т.е. имя диска со значком $ и ресурс ADMIN$. Эти ресурсы существуют по умолчанию (доступ к ним возможен только из под административной учетной записи ), причем, если удалить эти ресурсы через «Управление компьютером» -> «Общие папки», то после перезагрузки они появляются заново, полностью отключить их можно только с помощью внесения изменений в реестр.
Открываем regedit.exe и ищем ветку

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

изменением (или добавляем) следующий параметр:

AutoShareWks (его тип - REG_DWORD) значение 0

Примечание: Если удалить этот параметр или поставить 1 то после перезагрузки ресурсы будут созданы заново.

Отключение автозапуска

В статье базы знаний Микрософт подробно описана методика отключения автозапуска для всех вариантов операционных систем. Настойчиво рекомендую ознакомится и выключить функцию автозапуска.

Примечание: Методика отключения предоставлена в виде обновления, каждого для своей ОСи.

Отключение DCOM

Не лишним будет выключить поддержку DCOM. Стоит отметить что отключение DCOM может влиять на работу встроенных компонентов и приложений сторонних производителей. Я не рекомендую отключать DCOM до того, как будут найдены приложения, которые могут пострадать. В части случаев отключение DCOM может привести к полной неработоспособности системы.

1. Запустите редактор реестра.
2. Найдите следующий раздел реестра:

   HKEY_LOCAL_MACHINE\Software\Microsoft\OLE

3. Измените значение строкового параметра «EnableDCOM» на N.

Локальные политики

Переходим к самому интересному этапу настройки системы – настройка локальных политик безопасности.

«Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности»

Устанавливаем следующие значения:

Политика учетных записей.

• Политика паролей – Минимальная длина пароля – 10 символов
• Политика блокировки учетных записей – Пороговое значение блокировки – 5 попыток на 10 минут.

Как выяснилось, бывают. Вот небольшая история об этом.

Висящий в Микрософте инцидент, я описывал его ранее, наконец то закрыли. Хочется сказать несколько слов по существу проблемы. Инженер из МС сообщил что в DFS клиенте в операционной системе Windows 7 (соответственно и в Windows 2008 R2) есть баг который вроде как известен (с нас часы за инцидент не сняли), но пока его исправлять не планируется.

Теперь по существу.

Постараюсь максимально подробно описать проблему. Мало ли кто столкнется…

Исходные условия

Использование DFS-N серверов на базе Windows 2008 R2.

На DFS-линке должна быть включена опция INSITE.

Использование клиентов на Windows 7 (редакция значения не имеет). Как выяснилось в процессе экспериментов то баг есть в следующих ОСях:

• Windows 2008 Sp2 x64
• Windows 7 (все платформы и все редакции)
• Windows 2008 R2

Примечание: Windows Vista не тестировали т.к. у нас ее попросту нет…

Проблема

BSOD описанный в моей старой статье наступал при попытке FEP 2010 обновится с UNC-папки на которой лежат обновления. Естественно, ДО этого все обновлялось прекрасно, потому что DFS-N серверы у нас были на Windows 2008. При их замене началось…

Первым «откликнулся» почтовый кластер. Мне как то стало нехорошо, потом еще хуже когда в синий экран выпал один из высоко нагруженных SQL серверов…

Дальше, по очереди, начали вылетать еще с пол-сотни серверов расположенные на этой площадке. После замены DFS-N-ов на «посинение» 40% серверного парка ушло примерно 40-50 минут. К моменту, когда разобрались в косвенной причине начали вылетать клиенты

Не буду об ужасах…

Проблему локализовали, методом исключения нашли причину и открыли кейс. От МС была получена ценная рекомендация отключить IP v6 согласно статье (http://support.microsoft.com/kb/929852).

Объяснение простое – при включенном ipv6 DFS-N сервер может выдавать пустые таргеты, а клиент узрев что таргеты пустые самоубивается не выдержав такого наплевательского отношения

Итог

Экспериментировать не рекомендую, но если кто то воспроизведет проблему и поделится впечатлениями, думаю что всем будет интересно

Если у вас DFS-N серверы на Windows 2008 R2 и на линках включена опция INSITE, то либо отключите ее, либо отключите поддержку IP v6 потому что данную багу до выхода Windows 8 скорее всего не исправят.

С одной стороны он, при наличии таких новинок как Refresh Your PC и Reset Your PC, теряет необходимость. С другой его наличие не помешает потому что он нужен крайне редко, но коли понадобится и его не будет в наличии то будет весьма грустно.

На просторах интернета нашлась методика,  которой я хочу поделится.

Шаг первый.

При загрузке системы нажимаем F8, выбираем меню «Troubleshoot», из него выбираем загрузку командной строки. Дальше вводим команду:

bcdedit /enum /v

Результат ее работы будет примерно следующий.

Из двух имеющихся пунктов выбираем второй «Windows Boot Loader», запоминаем параметр identifier. Вводим команду.

bcdedit /copy {3a6f7954-4795-11e1-b9ce-bf5c0f45c13f} /d "Safe Mode"

Перезагружаемся.

Шаг второй.

Для проверки нажимаем F8. Загрузочное меню несколько изменилось.

Нажимаем на меню выбора операционной системы.

В меню выбора появилась добавленная нами «Safe Mode» конфигурация.

Перезагружаемся в обычном режиме.

Шаг третий.

Для того что бы созданная нами конфигурация загрузки действительно была «безопасной» потребуется всего одно действие.

Запускаем утилиту msconfig.

На вкладке «Boot» ставим галку на пункте «Safe boot». Нажимаем «OK».

Итог

Для того что бы убедится в работоспособности «Безопасного режима» перезагрузите компьютер, выберите конфигурацию «Safe Mode» и после загрузки на экране вы увидите привычную взгляду картинку.

Меню видоизменилось, приобрело цвет и мега заметные кнопки, куда то потерялся «Безопасный режим»  но об этом немного позже.

Общее впечатление от того что тестировалось – хорошо, но крайне  кособоко  Теперь по порядку о том что было проверено.

При загрузке нажимаем F8 и видим картинку

Следом которой появляется новое меню.

Первый и третий пункт вопросов не вызвали, при нажатии на Turn off your PC мой PC выключился , а при нажатии Continue продолжил загрузку.

Жмем Troubleshoot.

Доступно три пункта:

• Refresh your PC – «мягкая» переустановка системы без потери пользовательских данных. Ничего нового, старый добрый Repair Install.
• Reset your PC – Восстановление системы с удалением всего что было т.е. чистая установка.
• Advenced options – самый интересный пункт.

Нажимаем третий пункт и смотрим что нам показывает система.

Тут все просто. Для того что бы восстановить систему из контрольной точки жмем System Restore. Если требуется восстановить систему из созданного ранее имиджа то нажимаем System Image Recovery.

Не обошлось и без режима автоматического восстановления, нажимаем Automatic repair и ждем завершения процесса.

Последнее что поразило – наличие пункта Command prompt. Судя по всему хотели написать «Безопасный режим с поддержкой командной строки», но безопасный режим по умолчанию отключен и в результате нажатия мы имеем самый настоящий Core вариант….

Нафига?

Итог

Оставили только самое нужное, но сразу возник вопрос о том нафига нужна командная строка..?

Безопасный режим убрали. Правильно. Нефиг пугать пользователей. Правда когда он понадобится его скорее всего уже будет не достать.

Примечание: При выполнении каждого действия на экране выбора пользователей видны доступные аккаунты и снизу приписка-вопрос – «Dont see your account?». При нажатии на эту «штуку» появляется сообщение о том что на этом экране выводятся только админы которые могут выполнять….

Я бы поспорил по этому пункту, но думаю что в бэте это удалят. Хотя… Список логинов админов есть, попытка подбора пароля не фиксируется, не факт что подберешь, но шанс есть всегда

Установка быстрая, легкая и почти не отличается от установки предыдущей версии операционной системы.

Первое что бросилось в глаза, это новое окно приветствия.

Минимализм ужасающий, фон зеленый, возможности его изменить нет. Складывается впечатление что Микрософт бросается из крайности в крайность

Metro Interface

Metro Interface - заимствованный из Windows Phone, в большей степени рассчитан на планшеты и компьютеры с тач-скрином. На десктопе он жутко неудобен, на обычном ноутбуке с тачпадом он ничего кроме раздражения не вызывает.

Имеющиеся приложения в интерфейсе Metro, заточены под планшеты и большинство из них вряд ли окажется полезным для пользователей стационаров.

Проводник

Перейдем к привычному рабочему столу и проводнику. Стартового меню тут нет, непривычно… Проводник выглядит по новому, но вполне похож на проводник от Windows 7. Из нового – появилась лента вверху окна проводника. Она довольно функциональна, спасибо пакету MS Office 2007 где впервые появилась эта идея, но довольно громоздка и на ноутбуке 15-ти дюймового ноутбука занимает много места.

Изменились диалоги операций с файлами (скопировать, удалить и пр.), теперь они вроде как адекватно оценивают время. Польза от такого рисунка сомнительна, но выглядит оно покрасивше

Очень понравилась возможность монтирования ISO прямо из контекстного меню проводника.

Полазив по дискам и не найдя ничего нового переходим к диспетчеру задач. Он изменился, и приобрел простой вид

Но нажав на кнопку «More Details» он преображается.

Походив по вкладкам видишь то же самое что было, но в более удобном виде. Пока что не понял что означает App History, думаю разберусь.

Панель управления

Знакомая и привычная панель управления преобразовалась,

стиль «мини» вроде как нормален, но пробежавшись по пунктам слева и найдя «More Settings» мы сталкиваемся с тем что уже видели… Остатки сил не хватило реализовать?

Итог

Полазив по менюшкам и потыкав на все что можно невольно удивляешься тому что нового то, не особо много…
Революционного ничего не найдено, разве только управление теневым копированием, но это не делает продукт революционным. Интерфейс Metro удобен на планшетниках, но никак не на десктопах.

Ни для кого не секрет что интернет разделился на два лагеря, даже нет, на три:

• Пользователи Windows. Преобладают и никуда не денутся.
• Пользователи Linux. Малочисленны, но временами очень громкие.
• Приверженцы продуктов компании Apple. Сильно смахивают на секту.

Многочисленные мифы и легенды которые годами складывались вокруг Windows, в основном стандартными заблуждениями и стараниями фанатов Линукса, создали некий стереотип.

Примечание: В большинстве случаев, народ почему то ведется на то что втирают им «мега специалисты» по линуксу Я не утверждаю что линукс это плохо и не говорю что по нему нет хороших специалистов. Мне крайне непонятны истерические выходки некоторых его представителей которые с пеной у рта и необоснованными репликами пытаются что то доказать… Хотите пользоваться – вперед никто не против…

Миф первый – Windows является рассадником вирусов.

Не спешите потирать руки и кричать – «Я это знал!». Вынужден вас огорчить потому что это далеко не так потому что пользователи самостоятельно открывают дорогу всякой нечисти когда нарушают все рекомендованные правила безопасности.

1. Создайте вторую учетную запись для выполнения административных задач.
2. Использовать сложные пароли.
3. Не устанавливать программное обеспечение из непроверенных источников. Непроверенные источники драйверы и программное обеспечение НЕ с сайта производителя. Яркий пример это недавний скандал с nmap.
4. Регулярно обновлять не только ОС но и все ПО что установлено. Например старые версии Java или Flash очень часто являются причиной проблем при серфинге.

Как правило, пользователи по умолчанию используют учетную запись обладающую излишними привилегиями (поставил, заработало). В части случаев это происходит от неосведомленности (МС нигде даже не намекает на то что неплохо было бы использовать вторую учетку, естественно обычный пользователь об этом не знает), но в части от того что это удобно и доводом является то что пользователю надо «админить» или «настраивать».

Примечание: подобные удобства весьма сомнительны, а последствия, чаще всего, вполне предсказуемые.

Вредная привычка, работать с лишними привилегиями, имеет очень глубокие корни. В ранних операционных системах Windows 95, Windows 98 и Windows ME, не существовало различия между ролями и каждый пользователь был администратором.

Стоит сказать что в системах Windows NT, Windows 2000 и Windows XP из за неправильно написанного софта (программеры не старались учитывать разделение ролей и написанный софт требовал дополнительных привилегий) было трудно работать в качестве пользователя, не имеющего прав администратора. Поэтому многие работали с учетной записью администратора.

О плюсах работы под администратором сказать ничего не могу, без необходимости это не только потенциально опасно (однако работали, работаем и будем работать) , но и неправильно по своей сути. Минусы таковы:

• Стоимостью ошибки может быть потеря данных и нервов.
• При попадании в систему зловредного кода он сразу получает максимальный контроль. Для домашнего пользователя это ужасно, но для предприятия на котором нерадивый администратор шарахается по интернету под учетной записью включенной в группу Domain Admins последствия могут быть катастрофическими.

Типовые сценарии, которые встречаются чуть ли не ежедневно, просты:

1. После установки системы как правило отключается брандмауэр (если включить то что то может заработать), обязательно отключается UAC (заставляет собака, сотню раз вводить пароль). В ряде случаев видел как отключают или удаляют службу автоматического обновления (правильно, нет обновок – нет проблем). Дальше идет установка софта. В момент запуска кряка антивирус взвизгивает о том что увидел троян или что то еще. Антивирус тут же отключается, запускается кряк. Результат может быть самый непредсказуемый…

2. На днях слышал реплику о том что Windows не надо ломать…

Естественно не нужно, достаточно под учеткой администратора системы, с неустановленными обновлениями и старыми версиями плагинов походить по сайтам и нахватать какой нибудь гадости

Итог.

Миф о том что операционная система Windows небезопасна является сборником вредных привычем.

1. Создайте отдельную учетную запись для повседневных задач.
2. Не вносите изменения в конфигурацию системы если не имеете четкого понимания о том чего хотите достичь.
3. Своевременно устанавливайте обновления не только для операционной системы, но и для всего программного обеспечения установленного в системе.

Миф второй – Windows глючит.

Второй миф, о глючности Windows опять же, основан на распространенной ошибке - поставил систему она должна работать. Это не так. Вы, покупая машину знаете что нужно изучить правила дорожного движения, выбрать автомобиль, пройти ТО.

Для компьютера, процедура технического обслуживания так же обязательна как и для вашего автомобиля. От проведенных работ зависит скорость работы вашего компьютера.

Удалите неиспользуемые программы.

Часто производители устанавливают на компьютере программы которые пользователь не заказывал и скорее всего не будет использовать. Это пробные версии программ. Программы установленные пользователем, но не используемые им тоже следует удалить т.к. это сохранит не только дисковое пространство, но и оперативную память (очень часто По по управлению принтерами пихает в автозагрузку какого нибудь агента и пр.).

Ограничение количества программ, запускаемых при загрузке системы

Некоторые программы, разработаны с учетом автоматического запуска при загрузке системы. Подобная функциональность полезна для программ, используемых регулярно. Программы используемые редко следует отключить из автозапуска.

Производите очистку и дефрагментацию диска.

Необходимо регулярно производить очистку и дефрагментацию диска. Если не вдаваться в детали, то для нормального функционирования системы необходима периодическая уборка мусора. Без этого система отягощенная горами мусора начинает нещадно тормозить.

Примечание: Дефрагментация это приведение диска, вернее оптимизация структуры файлов, в порядок. После дефрагментации ускоряется чтение и запись файлов, и как следствие работа программ

Миф третий – обновления вредны.

Я бы не стал так категорично утверждать что они «вредны», они полезны и выпускаются для устранения найденных уязвимостей и ошибок.

Очень часто я слышу восклицание о том что после установки очередных обновлений все поломалось, но ближайшем рассмотрении проблемы оказывается что очередное обновление безопасности негативно сказалось на работе ПО третьих сторон. Как правило, эта проблема решается установкой обновления для соответствующего продукта, но на практике это очередной пово поорать…

Примечание: Миф вредоносности обновлений произрастает из незапамятных времен борьбы Микрософта с пиратами путем выпуска обновлений которые блокировали самые популярные ключи или приводили в чувство счетчики активации. Поэтому родился миф о том что обновления вредны и после них все ломается.

Вспомните про то что было с Conficker-ом. Информация о проблеме была озвучена аж в октябре 2008 года, были выпущены нужные обновления, но это не помешало их проигнорировать и в дальнейшем вызвало эпидемию отголоски которой слышны и сегодня. По прошествии полугода, если судить по поисковым запросам народ еще искал методики борьбы с этой напастью.  О методике поиска неустановленных хотфиксов я писал в отдельной заметке.

Можно привести еще один пример – недавний патч 2570791. Пик поисковой активности по проблеме отмены перевода времени уже прошел, но я ежедневно вижу запросы типа «патч для отмены перевода времени» или «2570791 для windows XP без сервис пака».

Каков вывод?

Никогда не стоит пренебрегать установкой обновлений. Устанавливайте хотя бы обновления имеющие статус «Critical» вреда это не принесет

Вроде как ничего не забыл.