Rubrika: Windows 10

Posted in: Windows 10, Windows 11, Windows server

Instalace certifikátu do user private store

Written by administrator

Dnes se dostaneme k problematice certifikátů. Někdy se hodí pro nějakou službu mít přístup jen pro uživatele, kteří drží nějaký certifikát. Můžeme mít scénář, kdy cloudová služba vyžaduje certifikát, který je vystaven pro organizaci, aby umožnila zadat přihlašovací údaje uživateli. Pro instalaci pfx certifikátu pro nějakou skupinu uživatelů, můžeme mít jiný důvod (nejčastěji půjde o SSL certifikát), proto se pojďme podívat, jak na to.

V první řadě musíme mít instalovanou správnou certifikační autoritu, pokud jde o externí službu, využijeme pfx soubor k instalaci důvěryhodné certifikační autority pomocí GPO v rámci dané politiky následovně:

  1. Konfigurace počítače
  2. Nastavení systému Windows
  3. Nastavení zabezpečení
  4. Zásady veřejných klíčů
  5. Pomocí kontextového menu vyvoláme průvodce importem certifikátu a použijeme požadovaný pfx soubor

Nyní již můžeme přistoupit k řešení importu vlastního certifikátu uživateli. Bohužel v GPO nemáme k dispozici certmgr.msc konzolu, nebo obdobu správy certifikátů pomocí IE. K privátnímu uložišti certifikátů uživatele se nelze pomocí GPO nijak dostat, což je správně, musíme si trochu pomoci nástrojem certutil, který použijeme následujícím skriptem:

certutil -f -user -p "CertificatePassword" -importpfx %LOGONSERVER%\netlogon\certificates\vendorcertificate.pfx"

Výše uvedený skript platí, když je daný certifikát uložený na DC, pokud jej ukládáme na libovolný jiný server, využíváme konkrétní UNC cestu k certifikátu. Skript uložíme jako soubor formátu cmd, nebo bat. Nyní se vrátíme do GPO editoru politiky a zajistíme instalaci certifikátu uživateli. Nejlepší cestou, je využít plánovanou úlohu, protože se jedná o GPO preferenci, což nám umožní lépe cíli na konkrétní uživatele, kteří mají certifikát mít instalovaný. Plánovanou úlohu vytvoříme v editoru politiky následovně:

  1. Konfigurace uživatele
  2. Předvolby
  3. Ovládací panely
  4. Naplánované úlohy
  5. kontextovým menu vytvoříme novou plánovanou úlohu pro Windows 7 a novější

Naplánovaná úloha se bude spouštět při přihlášení uživatele a bude spouštět náš skript, který jsme si popsali výše. Posledním úkolem je v upřesnění využít cílení úlohy, pokud je to potřeba.

Je důležité si uvědomit, že uživateli se certifikát touto cestou zapíše až při druhém přihlášení na daném PC, první přihlášení aktualizuje politiky a vytvoří plánovanou úlohu spolu se zapsáním certifikační autority. Až druhé přihlášení aktivuje plánovanou úlohu a zapíše certifikát.

Posted in: Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Úvodní informace o Hyper-V v klientských Windows

Written by administrator

Windows Server 2012 Hyper-V Component Architecture Poster

Poster Companion Reference – Hyper-V and Failover Clustering

Poster Companion Reference – Hyper-V Networking

Poster Companion Reference – Hyper-V Replica

Poster Companion Reference – Hyper-V Storage

Poster Companion Reference – Hyper-V Virtual Machine Mobility

Je virtualizační nástroj zabudovaný v systémech Windows 8 a 8.1, 10 a samozřejmě i v systému Windows server 2008 a novějších. Tento virtualizační nástroj je dostupný uživatelům edic Professional a vyšších (na Windows server je ve všech edicích). Je integrován v systémech x64. Hyper-V dokáže užívat virtuální disky s kapacitou až 64 TB a velikost uložiště i RAM je možné ponechat dynamickou (RAM pro spouštění je možná až 2 GB u Windows 8). Velkou výhodou je spouštění záloh Windows 7, Windows 8 a 8.1 jako virtuální PC. Ve Windows 10 umožňuje i připojit místo virtuálního disku fyzický USB disk, nebo samostatný druhý disk. Nelze užít jinou partišnu disku, který obsahuje i systémový part.
Plně nahrazuje MS Virtual PC a patří k nejvýkonnějším nástrojům dnešní doby.
Jak instalovat na svém PC?
Program jako takový je předinstalován, je nutné jen dokončit instalaci. není nutné nikde nic stahovat ani užívat instalační DVD.
ovládací panely => programy => zapnout nebo vypnout funkce systému Windows => zaškrtnout Hyper-V
Po dokončení akce restartovat PC na výzvu OS.

Posted in: Windows 10, Windows 8 a 8.1

Obnova systému ze složky Windows.old – Windows 7 a systémy na BIOS (ne UEFI)

Written by administrator

Na systému Windows 10 a Windows 11 tento postup již není potřeba, systémy mají integrovaný nástroj pro návrat k předchozí verzi systému Windows.

Krok 1: Určení, zda existuje složka Windows.old a zda je dostatek volného místa na pevném disku systému Windows
1.Klepněte na tlačítko Start a potom klepněte na příkaz počítač.
2.V nabídce Zobrazit klepněte na tlačítko Podrobnosti.
3.Ve sloupci Volné místo Všimněte si, kolik místa je k dispozici pro Místní Disk (C:) oblasti jednotky pevného disku .
4.V oblasti pevných disků poklepejte na položku Místní Disk (C:)a zjistěte, zda existuje složka Windows.old.
5.Klepněte pravým tlačítkem myši na složku Windows.old .
6.Zjistěte, zda je složka Windows.old menší než velikost volného místa je k dispozici pro Místní Disk (C:)
7.Vložte instalační disk systému Windows 7 do jednotky DVD a restartujte počítač.
8.Po zobrazení výzvy ke spuštění z disku, stisknutí klávesy.
9.V okně Instalace systému Windows vyberte jazyk, čas, měnu, klávesnici nebo jinou metodu zadávání a klepněte na tlačítko Další.
10.V okně Instalace systému Windows klepněte na položku Opravit tento počítač.
11. V okně Možnosti obnovení systému klepněte na verzi operačního systému Windows 7, který chcete opravit a klepněte na tlačítko Další.
12. V okně Možnosti obnovení systému klepněte na tlačítko Příkazový řádek.
Otevře se okno příkazového řádku a zobrazí se příkazový řádek. Příkazový řádek je bude možné zadávat příkazy, které jsou popsány v následujících krocích.
Zadejte následující příkazy a po každém příkazu stiskněte klávesu ENTER:
C:
MD Win7
Move Windows Win7\Windows
Move „Program Files“ „Win7\Program Files“
Move Users Win7\Users
Attrib –h –s –r ProgramData
Move ProgramData Win7\ProgramData
RD „Documents and Settings“
– Pokud následující příkazy mohou nahlásit chybu. Pokud k tomu dojde, jděte na další řádek
move /y c:\Windows.old\Windows c:\
move /y „c:\Windows.old\Program Files“ c:\
move /y c:\Windows.old\ProgramData c:\
move /y c:\Windows.old\Users c:\
move /y „c:\Windows.old\Documents and Settings“ c:\
– Jednotka D: u dalšího příkazu je jednotka instalačního disku. Ten vy můžete mít pod jiným označením, nejčastěji X:. Pokud vám systém bude hlásit, že příkaz nezná, zadejte ho bez adresáře a cesty D:\boot\, tedy prostě jen bootsect/nt52 c:
D:\boot\bootsect/nt52 c:
– následující příkazy vám oba mohou nahlásit chybu. Pokud se tomu stane u Windows 7, 8 a 8.1, nic se neděje.
Attrib –h –s –r boot.ini.saved
Copy boot.ini.saved boot.ini
exit
restartujte PC

V počítači klikněte pravým tlačítkem na disk C: a zvolte položku vlastnosti. dále zvolte vyčištění disku => vyčistit i systémové soubory => zaškrtnout všechna pole a potvrdit ok.
Pomocnou složku Win7 odstraňte pomocí programu Unlocker.

Posted in: Vývoj počítačů, Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Databáze uniklých hesel ke stažení

Written by administrator

Pokud si jako správce Active Directory nebo jiné autentizačního systému potřebujete provést audit, zda uživatelé využívají veřejně známá hesla, nebo si vyrobit filtr proti těmto heslům, potřebujete nejdříve mít nějakou databázi těchto hesel.

Jednou z variant je stažení databáze z Have i been pwned (NTLM a SHA-1), nebo existuje volně přístupné místo pro stahování těchto textových databází: https://weakpass.com/wordlist

Posted in: Windows 10, Windows 11, Windows 8 a 8.1

Monitoring napájení Windows

Written by administrator

Moderní Windows mají k dispozici relativně solidní monitoring spotřeby energie, jednou možností je správce úloh

Další možností je nastavení baterie (Windows 10 a 11)

Pokud je potřeba opravdu podrobný monitoring při řešení nějakého problému, je možné využít následující příkazy, které fungují v cmd i PowerShellu. Podmínkou pro provedení příkazů je, že cmd, nebo PowerShell, běží s oprávněními správce.

powercfg -energy
C:/Windows/system32/energy-report.html

Nativní nástroj powecfg slouží ke konfiguraci napájení, správně napájecích profilů a dalším nastavením (např. povolení hibernace) z příkazové řádky. Příklad části reportu, který je generovaný po 60 s detailního logování, je uveden níže.

Pro smazání logu, pokud jej již nebudeme potřebovat použijeme v PowerShellu následující příkaz:

Remove-Item -Path C:/Windows/system32/energy-report.html
Posted in: Windows 10, Windows 11, Windows 8 a 8.1

Bezpečná DNS ve webových prohlížečích

Written by administrator

Pro bezpečný pohyb na internetu pomáhají bezpečné DNS servery, mezi které řadíme např. službu Family DNS od společnosti CloudFlare. Tyto služby nabízí krom blokací URL, které jsou známé šířením Malware, také rodičům a firmám možnost blokace přístupu na weby pro dospělé. Všechny tyto služby jsou v pohodě nastavitelné v routeru na domácí Wi-Fi, nebo ve Windows ve vlastnostech síťového připojení.

Problémem je, že na noteboocích poměrně často měníme sítě, ke kterým jsme připojeni a nastavení DNS je vázáno vždy na profil konkrétní sítě, zejména se to projevuje u Wi-Fi sítí. Výhodou je těchto nastavení a druhou je, že platí pro všechny aplikace, které využívají konektivitu. Většina dnešních webových prohlížečů nabízí nastavení DNS platné pro aplikaci, které je nezávislé na nastavení v OS.

Microsoft Edge, Google Chrome i Firefox umí využít technologie DOH (DNS přes https), což umožňuje výše zmíněné nastavení nezávislé na síťovém profilu, které je zabezpečené mezi prohlížečem a DNS serverem (nesouvisí s technologií DNSSEC). Pro službu Family DNS od CloudFlare platí následující adresy:

Blokace malware: https://security.cloudflare-dns.com/dns-query

Blokace malware a obsahu pro dospělé: https://family.cloudflare-dns.com/dns-query

Příklad konfigurace pro MS Edge (podporovaná verze):

konfigurace DOH v MS Edge

Postup nastavení pro Firefox je k dispozici zde: DNS over HTTPS ve Firefoxu | Nápověda aplikace Firefox (mozilla.org)

Nevýhodou této možnosti je, že platí pouze pro daný webový prohlížeč, takže pokud ji chci plnohodnotně využívat, musím ji nastavit ve všech webových prohlížečích. Další nevýhodu je, že konfiguraci nelze uplatnit pro další aplikace, které rovněž využívají přístup k internetu a nemají ve svém nastavení podporu DOH.

Posted in: Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Nativní analýza síťového provozu

Written by administrator

Počínaje Windows 7 (a server 2008R2) je součástí systému možnost zachycení veškerého síťového provozu do standardního logovacího souboru etl, který je možné dále analyzovat různými nástroji, buď nativně pomocí PowerShellu, nebo je možné využít externí nástroje. Důležité ovšem je, že sebrání stopy síťového provozu je možné kdykoliv pomocí CMD nebo PowerShellu bez nutnosti mít na daném PC aplikace jako je Wireshark. Jediná nevýhoda tohoto postupu je, že k analýze dochzí až zpětně a jsme limitováni velikostí uložiště, na které zapisujeme log, naopak výhodou je, že záznam může být přímo ukládán na síťový disk nebo USB klíčenku.

Níže uvedu příklad PowerShellového kódu, který můžete uložit jako skript, nebo jen vložit do PowerShell konzole k sebrání vzorku síťového provozu. Pro provedení kódu je nutné míst PowerShell spustěný jako správce.

Write-Host "Příklad cesty k uložení logu: c:\temp\nettrace-boot.etl"
$cesta = Read-Host -Prompt "Zadej cestu k ložení logu"
Invoke-Expression "netsh trace start persistent=yes capture=yes tracefile=$cesta"
Read-Host "Stiskni enter pro ukončení logování"
Invoke-Expression "netsh trace stop"

Pro zjednodušení analýzy provozu doporučuji využít MS Network Monitor, ale je možné využít cokoliv jiného. Dále se bude popis využívat zmíně Network Monitor.

  1. Otevřeme záskaný záznam síťového provozu
  1. V menu Tools otevřeme položku Option
  2. Zvolíme katru Parser Profiles
  3. Vybereme možnost Windows a klikenem na Set As Active

Nyní již můžeme podrobně analyzovat veškerý zachycený síťový provoz.

Posted in: Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Zranitelnost Follina (CVE-2022-30190)

Written by administrator

Jde o zranitelnost online části nástroje pro automatické řešení problémů v systému Windows, konkrétně pak v jeho protokolu. Problém je, že do komunikace lze celkem bezproblému vstoupit a přesvědšit nástroj, aby komunikoval se serverem útočníka, nikoliv serverem Microsoftu.

Na edici Home doporučím řešení pomocí registru, na edici Pro a vyšší pak pomocí omezení nástroje zkrz GPO (nebo lokální politiky). Níže příkládám originální článek Windows blogu. Aktualizace 06-2022 pro Windows 10, 11, Windows server 2016, 2019 a 2022 tuto zranitelnost opravuje, prostarší systémy dále doporučuji využít postup posaný níže.

Posted in: Windows 10, Windows 11

Vytvoření zástupce na aplikaci z MS Store na ploše

Written by administrator

Dnes to bude o malé fintě, která pomůže konzervativnímu uživateli zpříjemnit využívání aplikací z MS store. Tou nejběžnější cestou, kterou na plochu přidáváme zástupce na běžné programy není možné na plochu dostat aplikaci, která je určena pro distribuci výhradně pomocí MS Store, myslím tím aplikace ve formátech MSIX, APPX a APPXBOUNDLE.

  1. Otevřete příkazovou řádku
  2. Zadejte příkaz: explorer shell:AppsFolder
  3. Klikněte na požadovanou aplikaci pravým tlačítkem myši a zvolte: Vytvořit zástupce
  4. V chybovém dialogu klikněte na Ano

To je celé, bohužel zástupce nemá obvyklou podubu cesty v sobě, proto není možní tyto zástupce připravit pro více uživatelů na jednom PC i když budou mít všichni danou aplikaci nainstalovanou.

Back to Top