🔒 Гадание по картинке: доступ из-под Linux к зашифрованному тому BitLocker

Обычно я гадаю по логам, но на сей раз участник чата Michael отправил только картинку с описанием:

UEFI, TPM2. Windows 10 21h2. При попытке читать раздел C: с Linuxа спрашивает пароль. Раздел определяется как "BitLocker". При этом винда утверждает, что битлокер для C: отключен (насколько я понял, т.к. там только надпись: "turn BitLocker on"). Что делать-то?

Я ничего не знал про поддержку BitLocker в Linux, но товарищ dartraiden сразу подтвердил ее наличие. Тогда происходящее вполне объяснимо, если поверить Linux.

А вот что там "винда утверждает" - вопрос. Поэтому я запросил состояние BitLocker:
manage-bde -status c:

Michael с ответом не спешил, но вполне можно разобраться даже по имеющейся скудной информации. Важно сочетание трех фактов:
🔹 Linux требует пароль от BitLocker.
🔹 При запуске Windows этот пароль не запрашивается. Иначе бы автор вопроса знал его наизусть, а по факту...
🔹 Он вообще ничего не знает про это шифрование.

Отсюда мои предположения:

🔸 Включилось автоматическое шифрование устройства, раз человек не в курсе. TPM 2.0 сочетается с ПИН- кодом и аппаратным ключом, но не с паролем при запуске.

🔸 При таком раскладе Michael может предложить Linux только 48-значный пароль восстановления. Иногда его ошибочно называют ключом восстановления (это - другое).

🔸 Не покидая Linux, извлечь этот пароль он может из облачных настроек учетной записи Microsoft (MSA), если уже входил с ней в Windows. В любом случае в Windows можно посмотреть это командой
manage-bde -protectors -get c:

Всё это мы обсудили даже без автора вопроса :) А когда он наконец вернулся, оказалось, что шифрование таки есть:

Volume C: []
[OS Volume]

Size: 138.17 GB
BitLocker Version: 2.0
1️⃣ Conversion Status: Encryption in Progress
Percentage Encrypted: 90.5%
Encryption Method: XTS-AES 128
2️⃣ Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
3️⃣ Key Protectors: None Found

Процитирую свою статью об автоматическом шифровании:

Во время чистой установки по окончании этапа OOBE шифрование раздела с ОС и прочих несъемных дисков инициализируется с незащищенным ключом и приостанавливается. Когда первый вход выполняет администратор с MSA, шифрование активируется и защищается TPM. Одновременно 48-значный пароль восстановления сохраняется в облачных настройках MSA.

Я почти угадал! 🎉

По пунктам:
1. Диск еще не полностью зашифрован, а значит система была установлена совсем недавно. О незавершенном шифровании догадаться по картинке было невозможно.
2. Защита отключена. Michael еще не входил с MSA. Еще бы - потом выяснилось, что у него LTSC N 🌈
3. Предохранителей нет. После входа с MSA в списке предохранителей появляются TPM и Recovery Password.

🐧 С Linux же получается зачетная нестыковка, которая вызвана именно автоматическим шифрованием Windows. Зашифрованный диск не защищен, потому что не имеет предохранителей. Однако для доступа к диску Linux требует один из них - пароль. Пользователь же о нем понятия не имеет :)

Оставался лишь вопрос, примет ли Linux 48-значный пароль восстановления. И дальнейший тест это подтвердил! Обе ОС работают штатно.

////

С осени подобных случаев будет множество. Причину я буду разбирать отдельно. Не переключайте каналы ✌️

🤷‍♂️ О трудностях перевода

В чате как-то всплыл вопрос об откате к предыдущей версии, и мы обратили внимание на странный заголовок сообщения на скриншоте: "Не заблокируйте". Звучит как одиннадцатая заповедь :) В оригинале "Don't get locked out".

К сожалению, за долгие годы у продуктовых групп Microsoft, по крайней мере Windows, не сложилось ясного понимания, что эти сообщения надо писать как можно проще. Потому что они переводятся на десятки языков!

В последние годы ситуация лишь усугубилась тем, что в мировой разработке ПО взят курс на менее формальный и как бы более человеческий стиль обращения к пользователям. Вот эти все "Ой, что-то пошло не так" 🙄

Однако цветастые выражения лишь затрудняют перевод, который выполняется с помощью инструментов, автоматизирующих процесс в той или иной степени. Допустим, здесь не #автоперевод. Но и человеку для таких "креативов" нелегко придумать ёмкий эквивалент. В чате предложили хороший вариант: "Не потеряйте доступ к ПК". Но есть нюанс ©

🤔 Локализатор зачастую не видит интерфейс и даже не всегда знает полный контекст. Нередко от продуктовой группы приходят только текстовые строки с кратким пояснением, где они отображаются (процедура отката). В данном случае переводчик мог бы и догадаться, если он был человеком и имел все строки из этого окна нежели только его заголовок.

Наконец, сообщение нередко еще и надо вписать в рамки по количеству символов (что переводчику не всегда очевидно, кстати). В этом примере места хватает. Но все равно здесь английский фразовый глагол, а они зачастую куда компактнее русского перевода.

Так что, увидев следующий кривой перевод, подумайте, стоит ли обвинять в нем локализаторов. Возможно, собака зарыта поглубже - в оригинале ✌️

🏃‍♂️ Запуск программ от имени администратора из диалога Run (Выполнить)

Вопрос из форума. Срыва покровов тут нет, но всегда найдутся те, кто не в курсе новинок 6- и 15-летней давности :)

👉 Ctrl + Shift + Enter!

Разумеется, запрос UAC появится. Это #классика канала, см. здесь контекст и дополнительное ускорение. Жаль, что в адресную строку проводника это не прикрутили. Ведь там текущий путь передается в консоль.

ТС однако ответ не устроил, ибо не работает в 1607 🤦‍♂️ Что ж, можно и поглубже копнуть. Есть классика времен в Windows 7 - запуск из планировщика, причем без запроса UAC! Поскольку ссылка не у всех откроется где надо, скопирую суть сюда.

🕑 В планировщике создаётся задание:
schtasks /Create /RL Highest /TN Run /SC ONCE /ST 14:00 /TR "cmd.exe /c start %WINDIR%\SysWOW64\rundll32.exe shell32.dll,#61"

И запускается:
schtasks /run /tn Run

Для этой команды можно сделать ярлык, закрепить на панели задач и/или повесить на него сочетание клавиш.

▶️ Вне диалога "Выполнить" для отдельных приложений запуск с полными правами можно форсировать так:

🔹 В свойствах EXE на вкладке "Совместимость" или в свойствах ярлыка - "Дополнительно" поставить флажок "Запускать от имени администратора".

🔹 Задействовать в #PowerShell командлет Start-Process и его глагол RunAs:
powershell -ex bypass -command Start-Process notepad -Verb RunAs

Разумеется, для этой цели есть и другие встроенные способы (да хоть VBS с тем же глаголом), а также куча сторонних утилит.

#Классика блога в тему:
🔸 Как выполнять задачи с полными правами обычным пользователем без ввода пароля администратора
🔸 Как выполнять команды и скрипты от имени системы средствами Windows
🔸 Как выполнять скрипты с правами TrustedInstaller без сторонних утилит

▶️ Модуль PowerShell для winget

Сегодня в рубрике "Возвращаясь к напечатанному" модуль #PowerShell для менеджера пакетов winget. Разбирая нюансы автоматического обновления приложений осенью 2022 года, я сетовал на неудобство командной строки. Потому что парсинг текста заведомо проигрывает управлению объектами в PowerShell.

Полгода спустя вышла альфа-версия официального модуля, и он продолжает развиваться. К сожалению, это не полноценный модуль, а обертка над утилитой winget 🤷‍♂️ Командлетов пока маловато, и до полного набора возможностей еще далеко. Но уж чем богаты...

📄 Основы

Рекомендуется использовать PowerShell Core нежели входящий в ОС PowerShell 5.1.

# установить модуль winget
Install-Module -Name Microsoft.WinGet.Client

# найти пакет в репозиториях по частичному имени
Find-WinGetPackage -Name 'Bitvise SSH'

Заметьте, что вопреки общепринятой практике здесь не требуется указывать подстановочный символ *. Наоборот с ним ничего не найдется. Одинарные кавычки необходимы при наличии пробелов в имени.

# найти пакет только в репо магазина
Find-WinGetPackage -Name treesize -Source msstore

# обновить все пакеты IrfanView (приложения, плагины)
Get-WinGetPackage -Name irfanview | Update-WinGetPackage

☑️ Работа со списком пакетов

# список всех установленных пакетов
$p = Get-WinGetPackage
# список пакетов с доступными обновлениями
$p | where IsUpdateAvailable
# список пакетов с доступными обновлениями из магазина
$p | where IsUpdateAvailable | where Source -eq msstore
# список пакетов в виде интерактивной таблицы
$p | Out-GridView
# список пакетов в CSV
$p | ConvertTo-CSV | Out-File -Path C:\temp\winget.csv

🔁 Выборочное обновление пакетов

# обновить все пакеты при наличии новой версии, кроме указанных
$p | where IsUpdateAvailable | where Name -notmatch 'calibre|zoom' 
| Update-WinGetPackage

Это альтернатива команде pin, которую я недавно разбирал в канале.

# Обновить все, кроме терминала, если он запущен
$u = Get-WinGetPackage | where IsUpdateAvailable
if (Get-Process -ProcessName WindowsTerminal) {
    $u | where id -notmatch 'WindowsTerminal' | 
  ForEach-Object {Update-WinGetPackage -id $_.Id}
    }
    else {
         $u | ForEach-Object {Update-WinGetPackage -id $_.Id}
    }

Результат этого скрипта на картинке↓ Кстати, начиная с версии 1.20 установленный из магазина Terminal не должен обновляться, если запущен. Было много жалоб - например, убиваются удаленные сессии.

В общем, с этим модулем можно работать в каких-то сценариях. Разумеется, хотелось бы большего охвата нативных функций - например, команды show. Надеюсь, в будущем мы это увидим ✌️

💡 О каких фишках Windows и ПО Microsoft вы жалеете, что не узнали пораньше?

Я достаточно давно ковыряюсь в Windows, слежу за темой, поэтому меня трудно удивить. Бывает, нахожу новые фичи, о которых успел забыть! Иногда даже обнаруживаю их упоминания в своем блоге :)

Поэтому свой топ-3 я составил не без труда.

🥇 В MS Office двойной щелчок по значку "Формат по образцу" позволяет применять его многократно. Да, я достаточно долго тыкал в кнопку каждый раз 🤷‍♂️

🥈 В диалоговом окне "Открыть" в поле "Имя файла" можно вставлять скопированный файл по Ctrl+V, и туда вставится его путь! Зачастую в файловом менеджере папка с файлом уже открыта или до него проще добраться, чем из диалогового окна. Я регулярно заливаю файлы в интернет таким способом, видео ⬇️ С файлами из интернета тоже работает!

🥉 Ctrl+Z может работать даже там, где не указано явно. Например, в проводнике возвращает на место удаленный файл. Надо пробовать!

А это топ-3 реакций коллег по работе на мои советы.

1️⃣ История буфера обмена в Windows - Win+V. Да, он в подметки не годится продвинутыми менеджерам вроде Charu или Ditto. Но даже это в разы лучше чем ничего.

2️⃣ Вертикальные вкладки браузера - например, в Edge. Когда у вас несколько вложенных сессий RDP, их панели вверху экрана либо постоянно перекрывают вкладки браузера, либо выезжают в ненужный момент. Перемещение вкладок вбок отлично решает эту проблему.

3️⃣ Скрипты #PowerShell. Даже простой однострочник может творить чудеса. Дзен наступает, когда скрипт выполняет за 10 секунд работу, на которую раньше уходило полчаса. Иногда достаточно просто показать человеку путь на конкретном примере.

📢 В обсуждении поделитесь топом своих открытий! Не удивлюсь, если о каких-то вы узнали из моих публикаций ;)

⏯ Как открыть конкретный файл в приложении, отличном от приложения по умолчанию

В чате Елена задала любопытный и на редкость четко сформулированный вопрос:

Необходимо всегда открывать конкретный файл в приложении, отличном от приложения по умолчанию для данного типа файлов. Все, что нашла - изменить приложение по умолчанию для данного типа файлов. Мне же нужно, чтобы только один единственный файл из всех файлов одного типа открывался в другом приложении.

И пояснила:

Например: все видеофайлы открываются в приложении VLC Media Player. Один файл нужно открывать всегда в приложении КИНО и ТВ. Все остальные в приложении VLC.

Первый ответ был: "это невозможно". Второй: "можно через батник". Это уже теплее, но есть нюанс © Даже три!

1. Пользователь батниками не владеет, т.е. писать его придется вам.
2. "Кино и ТВ" - это UWP-приложение. Их вы вряд ли запустите из командной строки без гугла.
3. Конкретно это приложение не принимает путь к файлу в качестве параметра командной строки ❌

Однако задача легко решается в соответствии с девизом блога!

1️⃣ Первым делом я посоветовал Елене одну из любимых фич Windows: перетаскивание - файла на плеер. Оказалась, она сама дошла до этого, но все-таки хотела бы назначить конкретное приложение.

2️⃣ Тогда я предложил другой вариант. Надо изменить расширение файла на такое, которое не связано с VLC. Или ассоциировано с ним, но у вас не в ходу. Тут главная хитрость в том, чтобы выбирать тип файла, для которого уже зарегистрировано приложение Кино и ТВ. Например: 3gp, asf, m2t. А дальше - "Открыть с помощью", и в списке будет нужный плеер.

Если же указать случайное расширение abc, Windows предложит↓ на выбор блокнот и... классический Windows Media Player! Идея в том что в непонятной ситуации первый справится с текстовыми файлами, а второй - с медиа. Может, когда-нибудь заменят его тут на современный WMP, бывший Zune Music 😎

Оставшиеся два варианта в диалоге "Открыть с помощью" бесполезны. Поиск в магазине просто открывает магазин. Обзор на компьютере рассчитан на классические исполняемые файлы. У Кино и ТВ есть exe, но для него предусмотрена работа только в контейнере.

⚙️ Впрочем, вариант с abc заработает, если клонировать HKCR\.3gp в HKCR\.abc. Это зарегистрирует тип файла в реестре и свяжет его с теми же приложениями. Наряду с 3gp сгодится любое расширение, с которым уже связано Кино и ТВ.

Строго говоря, я предложил обходной путь нежели решение в лоб. Однако Елену результат очень обрадовал. Ведь она сама все легко сделала без плясок с батниками и реестром 🎉 Однако меня мучило любопытство, зачем это нужно.

Интерфейсы у плееров разные. Под кино и ТВ фитнесом занимаюсь, удобно. А VLC для учебы.

И тут нет ничего смешного. Так совпало, что в этот же день у меня из системы выпилили старый почтовый клиент UWP, а вместо него установился новый Outlook for Windows. Не то чтобы старый клиент был хорош, но новый совсем никуда не годен 🤦‍♂️

Взамен я настроил дома Outlook из состава Microsoft Office. Впервые в жизни (!) и скрепя сердце. Потому что он... для работы! Впрочем, для нескольких писем в неделю сойдет ✌️

📢 Об отзывах к документации Microsoft

Эпичную ошибку в статье базы знаний Microsoft исправили спустя пару недель после или даже вследствие моего поста. Читатель, рассказавший мне об ошибке, ранее сообщил о ней в Microsoft через форму обратной связи под статьей. Свой пост я опубликовал лишь через месяц после нашего разговора, и за это время никаких изменений в статье не было.

👉 Я в принципе не верю в эффективность форм отзывов под статьями - у них нет механизма отслеживания и публичной ответственности.

📃 Далее речь пойдет о статьях документации https://learn.microsoft.com/

TL;DR
Фидбэк в репозиторий команды документации больше не принимается. Вместо него новая форма обратной связи.

Long version
В документации исторически была упрощенная форма для отзывов. Но с покупкой GitHub компания решила переосмыслить подход к обратной связи. В некоторых разделах документации для продуктов с открытым исходным кодом появилась возможность открыть тикет по содержимому статьи. На сегодня пример можно посмотреть внизу этой страницы.

Такой тикет создается в репозитории продуктовой группы (ПГ). В репо команды документации можно было открывать тикеты на статьи, у которых не было прямой связи с ПГ. О подноготной этого процесса я узнал случайно.

Вадимс Поданс весной 2020 года занёс тикет, который спустя 9 месяцев бездействия закрыли, предложив создать новый, если проблема еще актуальна. Тезка отложил кирпич 🧱 мне в личке, а я - в Твиттере, пнув команду документации. И в итоге документ даже исправили.

🙉 Исходя из ответов доктим в Твиттере, порядок работы у них был такой:
1/ На каждую проблему в своем репо GitHub они создавали тикет во внутренней системе и пытались достучаться до ПГ.
2/ Если ПГ было наплевать, тикет висел мертвым грузом не только внутри, но и снаружи. А это плохой пиар!
3/ Поэтому таким нехитрым способом решили сократить количество открытых тикетов в GitHub.

Но проблему появления новых тикетов это не устраняло. В итоге придумали кардинальное решение. Отказались от тикетов в репо доктим, а взамен сделали расширенную форму обратной связи 👏

О планах сообщили ограниченному кругу лиц еще в декабре 2022 года. Сейчас под некоторыми статьями висит объявление, что в 2024 году постепенно заменят виджет GitHub на новую форму. Там в зависимости от выбора 👍Yes или👎No меняется список категорий (пример внизу этой страницы). Для локализованной документации есть пункт "Качество перевода".

Замечу, что вверху страниц есть кнопка 👍Feedback, которая открывает упрощенную форму. Однако она переобувается в расширенную форму, если хотя бы раз открыть таковую внизу этой же страницы 🤡

ℹ️ Об изменении подробнее рассказывают специальная страница. Для нескольких ПГ (втч .NET, PowerShell), желающих получать отзывы на документацию в свой репозиторий, все остается по-прежнему. Но у прочих разделов документации новая форма будет основным способом отправки фидбэка.

В некоторых разделах сохраняется возможность быстрого редактирования в браузере и отправки "запроса на вытягивание" ;) Но так можно исправить только опечатки либо явные ошибки, когда точно знаешь истину.

В общем, хорошая и актуальная документация - это очень сложно✌️

📋 Advanced Paste - вставка текста без форматирования

Сегодня в рубрике "Знаете ли вы" утилита Advanced Paste из комплекта PowerToys. Я уже упоминал о ней в канале 3.5 года назад, когда выпуск утилиты еще планировался. В посте был костыль на PowerShell и прочие способы вставки без форматирования. Сейчас у меня двойной повод вернуться к этой теме.

С одной стороны, утилита недавно обзавелась функциями вставки в формате JSON и Markdown. Я пишу посты канала в Markdown, поэтому фича мне ко двору! Также внедрили кастомную обработку буфера обмена с ИИ, но нужна подписка OpenAI.

С другой стороны, на работе я мигрирую в сильно огороженную среду. И я не смогу туда протащить сторонний менеджер буфера обмена (Ditto), с помощью которого вставлял текст без форматирования. Однако в список разрешенного программного обеспечения входит PowerToys, и это просто праздник в тех спартанских условиях 🎉

В утилите дефолтное сочетание клавиш для вставки без форматирования Win+Ctrl+Alt+V, но можно переназначить как угодно.

👍 - о, что-то новенькое!
👌- я все это знаю

✔️ Как сверить контрольную сумму дистрибутива Windows с первоисточником

Технически контрольная сумма нужна, чтобы убедиться в целостности скачанного ISO. Но сначала его нужно найти. Для чего как раз идеально подходит контрольная сумма 😎

Контрольные суммы ISO есть в каждой торрент-раздаче - это для доверчивых. Более придирчивые смотрят в https://msdn.rg-adguard.net/. В идеале же надо сверять с первоисточником - Microsoft.

Когда-то контрольные суммы были в свободном доступе на сайте MSDN. Но их спрятали за подпиской в 2017 году одновременно с переездом на домен VisualStudio. Однако в какой-то момент публичный доступ вернули. Требуется лишь вход с учетной записью Microsoft. Спасибо ԤИОНЕР за наводку!

⏺ Процесс показан на видео. Пример ссылки:
https://my.visualstudio.com/Downloads?q=Windows%2011

Выбрать утилиту для сверки вам поможет #классика блога: Как проверить контрольную сумму дистрибутива Windows ✌️

⚙️ Автоматизация этапа установки OOBE

Сегодня одним выстрелом убиваем двух зайцев:
1. Ускоряем и упрощаем настройку новых компьютеров
2. На любых ПК обходим требование ученой записи Microsoft

Прочитав об экранах OOBE в Windows 11 24H2, товарищ Shirixae принес в личку свои трудности с процессом установки 🤯

По работе ему регулярно приезжают новые ноутбуки, которые нужно настраивать и отдавать пользователям. Учетные записи Microsoft (MSA) им не нужны, поэтому требуется создавать локальный аккаунт. Первый шаг - всегда BypassNRO и перезагрузка. Дальше все экраны этапа OOBE, пусть у локального аккаунта их и поменьше чем у MSA

При этом чистая установка исключена по условиям задачи - ноутбуки должны быть в оригинальной комплектации, включая ОС. Продвинутых средств развертывания типа автопилота нет. Получается скучная и не интеллектуальная работа.

👉 Решение: запуск sysprep с указанием на файл ответов и перезагрузкой в OOBE!

Утилита sysprep входит в состав Windows и служит для подготовки образа к развертыванию. Она фигурировала в статье про создание настроенного образа системы. Там выполнялась операция обобщения образа, но здесь она не нужна.

📃 Задача решается в два шага:

1. Скопируйте в корень флешки файл ответов с именем UnattendOOBE.xml, например.

2. На первом же экране OOBE (выбор региона) нажмите Shift+F10, щелкните окно командной строки и введите команду:

"C:\Windows\System32\Sysprep\sysprep.exe" /reboot /oobe /unattend:D:\UnattendOOBE.xml

Здесь C - буква тома с Windows, D - буква флешки. Во время установки определиться с буквами дисков можно с помощью diskpart - lis vol или блокнота.

Система перезагрузится и выполнит установку уже с учетом ваших параметров в файле ответов ✅

Чтобы не вводить длинную команду вручную каждый раз, рядом с файлом ответов создайте oobe.cmd с таким содержимым:

powershell -command "(Get-Volume).DriveLetter | Foreach-Object {if (Test-Path "${PSItem}:\UnattendOOBE.xml") {&"$pwd\Sysprep\sysprep.exe /reboot /oobe /unattend:$(${PSItem}):\UnattendOOBE.xml"}}"

Тогда достаточно выполнить в консоли: D:\oobe.cmd.

Строго говоря, для этой задачи из моего файла ответов нужен только проход oobeSystem. Но удалять раздел windowsPE необязательно, он уже ни на что не повлияет.

👤 Если раскомментировать в моем файле ответов пароль учетной записи Admin и однократный автологон, этап OOBE автоматизируется полностью. Именно так можно создавать локальную учетную запись, обходя требование аккаунта Microsoft. Причем в связи с новыми препонами в 24H2 ценность файла ответов лишь возросла.

Просто и эффективно! ✌️

⚙️ Новое в блоге: Автоустановка приложений с winget по окончании установки Windows

WinGet — замечательное средство автоматической установки приложений. Не надо тратить время на скачивание актуальных инсталляторов и забивать себе голову тонкостями ключей тихой установки. Просто запускаешь скрипт с подборкой своих программ и готово! 🚀

Но есть нюанс © Установщик пакетов не входит в поставку Windows! Это не вполне очевидно, потому что winget «сразу» работает в начисто установленной ОС. Однако он не включен в WIM-образ, а скачивается уже по окончании установки системы с помощью магазина Windows. И временной интервал загрузки варьируется.

Поэтому нельзя просто взять и прицепить скрипт установки приложений к установке Windows 🤷‍♂️

Сегодня я расскажу, как автоматизировать процесс загрузки и регистрации winget, когда его нет в Windows.

➡️ Читайте в блоге: https://www.outsidethebox.ms/22436/