Хабрахабр

Как я начал бояться и разлюбил Windows 10

А что сделал ты, Microsoft?
Lego выпустила специальные тапочки, чтобы избавить пользователей от боли.

Дабы поделиться болью и лечением, я собрал самые частые обращения от людей за последние пару месяцев. На обновлении Windows 10 (сейчас у меня сборка 1803) каждый раз замирает сердце — что поломается на этот раз. В копилке: прекращение доступа на серверы, сбой работы приложений и откровенно странные глюки.

В марте 2018 года MS выпустили апдейт, закрывающий уязвимость CredSSP (бюллетень безопасности CVE-2018-0886). Набившая оскомину жалоба. Те организации, что не часто обновляют серверы и не поставили это обновление до начала мая, столкнулись с проблемой — клиентские обновленные компьютеры перестали подключаться к терминальным серверам.


Потому что нечего подключаться к необновленным серверам.

Скачать обновления можно прямо с сайта Microsoft (CVE-2018-0886). Разумное решение — обновить сервер. Версии Pro и выше легко настраиваются через локальные групповые политики. Если случилось страшное и доступ уже потерян, то придется настраивать клиентские компьютеры.

Чтобы система пустила на необновленный сервер, значение в политике нужно переключить в «Оставить уязвимость». Настройка поведения происходит в параметре Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Исправление уязвимости шифрующего оракула (бедный уязвимый оракул).


Настройка групповой политики.

Достаточно следующей команды: Поскольку в версиях Home нет оснастки управления групповыми политиками, приходится действовать через реестр.

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Что интересно, обновленный сервер с настройками по умолчанию пускает необновленных клиентов — по меньшей мере странная навязчивая забота о безопасности пользователей.

Из-за этого сотрудники из отпуска или командировки бывают оглушены ошибками входа в домен или доступа на сетевую папку. В свежих установках WIndows 10 протокол SMBv1 теперь отключен изначально, а в обновленных отключается через 15 дней, если так и не был использован.

Теперь включать и выключать SMBv1 можно для сервера и клиента в «Компонентах Windows».


Включение поддержки устаревшего протокола.

Вот только приложения с них могут не запускаться. После включения компонента удивительным образом начинают открываться сетевые папки. Или работать некорректно при попытке использования сети, будь то вызов ODBC для подключения к SQL или просто попытка обновить приложения.

На этот раз виноват оказался Windows Defender. Если отключить SMBv1 на сервере, то приложение начинает работать нормально. Он блокировал активность приложений, запущенных с сетевых ресурсов — и неважно, это сетевая папка или диск.

Или альтернатива — включить режим совместимости для приложения. Когда отключить устаревший протокол невозможно, можно «вырубить» встроенный антивирус.


Включение режима совместимости для приложения.

Но мне кажется, что достаточно было бы уведомления о потенциальной небезопасности, и не рубить с плеча. Конечно, использование серверов на WIndows 2003 и стареньких NAS — далеко не best practice. Я сам знаю, что мне делать со своими файлами!» Да и вообще, как пелось в песне: «Заткнись, ...!

После тестирования выяснили, что технология работает с 1С из рук вон плохо — то модальные окна спрячутся на задний план, то проблемы с печатью. Еще с выходом Windows 2008 публикация приложений через RemoteApp вызвала недюжинный интерес — ведь можно отказаться от Citrix MetaFrame (XenApp). С тех пор, если нет денег на полноценные средства доставки приложений, лучше использовать обычный RDP.

Часть предприятий, использующих RemoteApp, после обновления клиентских ОС столкнулась с существенным замедлением работы приложений. Правильность этого подхода в очередной раз подтвердилась. Конечно, софт по-прежнему работал, вот только интерфейс отрисовывался с задержкой, особенно при вызове контекстного меню.

Найти параметр «Использовать дополнительную графику RemoteFX для удаленного приложения RemoteApp» можно в разделе GPO: Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Среда удаленных сеансов. Помогло только отключение RemoteFX для RemoteApp через групповые политики.


Отключение RemoteFX для RemoteApp.

Приходилось или откатывать билд операционной системы на предыдущий, или заменять RDP-клиент на предыдущую версию. Для приложений, использующих возможности GPU, такой способ не подходил.

Для этого заменяют следующие файлы:

  • C:\windows\system32\mstsc.exe;
  • C:\windows\system32\mstscax.dll.

Также надо зарегистрировать библиотеку командой: Взять их можно с необновленной Windows.

regsvr32 C:\Windows\System32\mstscax.dll

Всем столкнувшимся с проблемой я рекомендую отказаться от использования RemoteApp.

Он стал доступен в «Проводнике» и превратился в OEM-раздел. Разделу восстановления в 400 Мб после недавнего обновления Windows была присвоена буква. А заодно система начала сообщать о закончившимся месте на этом новом диске.

При этом сам раздел содержит средство восстановления Windows, которое как раз помогает при сбоях загрузки.

Правда, оно может и все испортить при использовании подобия Raid-0 вида SSD+HDD средствами чипсета в некоторых моделях ноутбуков и ПК.


Раздел восстановления здорового человека.

К сожалению, раздел не простой, а системный, поэтому сделать это через «Управление дисками» не получится. Решение, казалось бы, довольно простое — убрать букву у раздела. Зато получится через консоль при помощи diskpart.exe:

  1. Запускаем в консоли diskpart.
  2. Получаем список разделов командой list volume.
  3. Переключаем фокус на странный раздел командой select volume 2, не забывая заменить 2 на номер нужного раздела.
  4. Удаляем букву командой remove letter=F. Букву, конечно, нужно заменить на нужную.
  5. Закрываем утилиту командой exit.


Удаление буквы диска курильщика.

Надолго ли. Теперь пользователь обретает спокойствие.

И это при том, что ОС не стесняется прерывать вашу работу для своих нужд, или встречать после обеда сообщениями вида «я уже почти все, ты пока еще немного погуляй». Кроме всех этих странных вещей происходит еще много интересного: слетают разрешения приложений для доступа к камере и микрофону, начинаются циклы бесконечной перезагрузки и проблемы с драйверами.

А то и вовсе о переходе на GNU\Linux, благо толстый клиент 1С будто бы более-менее работает. Регулярные всплески мелких и не очень проблем приводят к тому, что пользователи и техподдержка подумывают об откате на предыдущие версии Windows.

Если и вам пришлось хлебнуть горя с обновлениями Windows, не забудьте поделиться в комментариях. Правда, свежие релизы 1С тоже порой создают приключения, но это уже отдельная песня.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»