⚙ В сборке #Windows10 18985 (20H1) вернули необязательные обновления. Для их просмотра в параметрах в разделе Windows Update сделали специальную страницу.

Фактически, речь о новых версиях драйверов. В блоге утверждается, что теперь отпадает необходимость искать драйверы в диспетчере устройств.

Очевидно, это означает, что достаточно проверить обновления в параметрах, чтобы получить обновления сразу для всех устройств 👌

Наверное, оно когда-то так и работало. Но думаю, что многие все равно выполняли поиск из диспетчера в случае проблем с устройством.

Старовведение также означает, что установку необязательных обновлений можно выполнять отдельно от обязательных. В теории это упрощает диагностику в случае проблем после установки.

На практике особой разницы нет - пример был в канале. Причем совсем недавно приключилась копия этой истории (привет, Хартля ;)

Так или иначе, стало больше контроля над установкой обновлений. И это надо приветствовать 👍

Отпуск закончился - я вернулся из абсолютного лета ☀️☀️☀️ в Москву, кхм. В отпуске много катал 🚴‍♂️ Без эксцессов, но бывает иначе.

В соцсетях на днях проскочила отличная история. Парень собрался покатать на MTB с отцом, но встретиться не успел. Ему прилетело SMS с Apple Watch⌚️отца о жестком падении, с позицией на карте.

Парень поехал на точку, но отца там уже не было, зато пришло другое SMS - местолоположение изменилось на больницу.

Отец упал с велосипеда, ударился головой (интересно, был ли он в шлеме) и потерял сознание. Часы сразу набрали 911 и передали геолокацию. В течение получаса он уже был в больнице. А велосипед отвезли на пожарную станцию (в США парамедики часто работают в рамках пожарной службы).

Зачёт!

🔓 Вчера на Хабре был печальный пост про кражу домена путем взлома учетной записи Яндекс, защищенной двухфакторной аутентификацией.

На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию технически.

У взлома было два этапа:
1. Перевыпуск SIM-карты
2. Сброс 2FA

Я перепроверил процесс сам. И выяснилось два момента:
1. При сбросе 2FA Яндекс не шлет SMS, а звонит. Это плохо, потому что мобильные операторы могут блокировать SMS на сутки после перевыпуска SIM, а звонок проходит.

2. Для сброса 2FA нужно знать ее ПИН-код (он же ПИН-код аккаунта Яндекс в приложении Яндекс.Ключ). Это хорошо, но тогда получается, что в рассматриваемом случае злоумышленники знали или подобрали ПИН-код жертвы (либо та не всю историю рассказала).

Между тем, Google и Microsoft позволяют исключить номер телефона из списка вторых факторов (ссылки ведут на страницы, где это можно сделать). В этом случае совершенно необходимо сохранить резервные коды в надежном месте, а не в Gmail и OneDrive соответственно ;) Равно как я не знаю и не вижу в документации компаний способов сбросить #2FA через SMS.

Выводы на тему привязки своих важнейших сервисов и активов к тем или иным почтовым службам делайте сами ✌️ Я, кстати, хоть и обещал не бежать с Яндекс.Ключ на Microsoft Authenticator после появления в последнем облачного бэкапа, делаю это потихоньку. (Впрочем, взлом Яндекс.Паспорт на бэкап Ключа не влияет, поскольку тот защищен отдельным паролем.)

Кстати, Microsoft Auth уведомляет вас в случае смены пароля учетной записи Microsoft, а также позволяет вернуть доступ. Да, пока вы спохватитесь злоумышленник сможет нанести ущерб, но это все равно весьма быстрый способ восстановить контроль над аккаунтом. А время - деньги!

🔄 В конце прошлой недели в блоге Microsoft IT Pro опубликовали интересный материал о роли машинного обучения (ML) в раскатывании новых версий #Windows10.

ML начали использовать в 1803 для оценки готовности ПК к обновлению по шести параметрам, а к 1903 их стало уже 35. Со стороны плоды этой работы можно косвенно оценить по количеству / описанию блоков апгрейда и скорости их появления. Список публикуется на специальной странице документации для каждой новой версии - здесь для 1903, остальные версии в меню страницы.

ℹ️ ️Пост в блоге, однако, раскрывает некоторые данные об успешности автоматической доставки новых версий в сравнении с ручным обновлением, когда оно не приходит через Windows Update.

В частности, приводятся такие цифры:
- откатов из-за проблем в процессе обновления - в два раза меньше
- аварийных сбоев режима ядра - в два раза меньше
- проблем с драйверами после обновления - в пять раз меньше

Понятно, что среди читателей этого канала хватает людей, которые не хотят сырых инсайдерских сборок, но готовы ставить "финальную версию" сразу после ее выпуска. Однако проблемная установка порождает затраты по времени - в чате и форуме я вижу достаточно примеров. Поэтому, если не на своей машине, то хотя бы на ПК близких людей это время можно сэкономить, дождавшись доставки в WU.

Я не случайно беру "финальную версию" в кавычки. Пусть теперь только один полугодовой канал доставки SAC, который совпадает с GA, Microsoft все равно ожидает, что в организациях настроен как минимум двухмесячный буфер. А за 2-3 месяца Microsoft и вендоры устраняют большинство массовых проблем, в том числе выявленных уже после GA на ПК домашних пользователей, бегущих впереди паровоза 😎

Наконец, Microsoft отдельно указывает в документации↑, что версию начинают проталкивать через WU на все ПК (status: ready for broad deployment). Так, 1903 получила этот статус 26 сентября, т.е. через 4 месяца после GA.
✌️

🔒 Продолжая тему 2FA, в блоге Azure AD Identity опубликовали хороший пост об уязвимостях процесса аутентификации.

Специалисты выделяют два глобальных направления атаки:

• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.

• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.

Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello

Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.

Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.

😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!

Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)

Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️

▶️ Вчера мне понадобилось массово задать пачке видео MKV атрибут Title на основе имени файла.

#PowerShell, похоже, не может без сторонних библиотек, но гугление также вывело на mkvpropedit из набора MKVToolNix.

dir *.mkv -Recurse | %{$a = $_.BaseName; mkvpropedit $_.FullName --edit info --set "title=$a"}

Использовать $_.BaseName (имя файла без расширения) внутри кавычек --set "title= " у меня не получилось, но обходной путь с переменной сработал.

Upd. Как я и предполагал, мне сразу доставили (Гусев и Поданс) про "title=$($_.BaseName)".

dir *.mkv -Recurse | %{mkvpropedit $_.FullName --edit info --set "title=$($_.BaseName)"}

Я знал про это и даже показывал в блоге, но забыл, а решать задачу надо было уже сейчас ✌️

👍 Поддержите в центре отзывов предложение добавить опцию ☁️ облачной переустановки поверх (aka апгрейд) в Параметры - Обновление - Восстановление .

Идею я озвучил в переписке с PM'ом среды восстановления, который представил фичу Cloud Reset в 20H1. Oн попросил развернуто написать в #feedbackhub. Поскольку там моя аргументация на английском языке, изложу ее на русском даже чуть подробнее.

1. Переустановки поверх полезнее, чем возврат к исходному состоянию, потому что сохраняет не только файлы, но еще настройки и программы.

2. Апгрейд решает практически все проблемы, которые я вижу в форуме (основное исключение - ошибки при апгрейде:). И я даже не предлагаю сброс, если система загружается. А когда сброс - единственная опция, я не разу не видел довольных тем, что потеряются настройки и программы.

3. 80% пользователей запускают сброс из Параметров и лишь 20% из среды восстановления. В первой категории минимум людей, которые действительно хотят зачистить ПК от своих данных. Большинство просто пытаются избавиться от проблем, но в параметрах нет апгрейда, а про Media Creation Tool (MCT) и уж тем более ISO они не знают.

4. В MCT уже есть все что нужно (Обновить компьютер сейчас). Надо просто интегрировать его функции в ОС.

ℹ️ Да, апгрейд исторически можно запустить только из-под ОС, т.е. в RE это не сработает. Но большинство людей это устроит, равно как принесет более полезный результат.

Если вы согласны с этими тезисами, поддержите отзыв (нужна инсайдерская MSA) ✌️

​​☁️ Новое в блоге: OneDrive: нюансы личного хранилища (Personal Vault)

В #OneDrive появилась нововведение - личное хранилище, обеспечивающее дополнительную #безопасность самым ценным файлам.

Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности Personal Vault в различных сценариях.

➡️ Читать в блоге: https://www.outsidethebox.ms/19696/

​​#Windows10 19H2 (1909) доступна для загрузки на MSDN, хотя она сейчас в RP. С 1903 была такая же история.

📑 Отличный #longread о различиях в культуре Microsoft под руководством трех CEO. Автор - James Whittaker, работавший в компании в различное время.

https://medium.com/@docjamesw/speaking-truth-to-power-reflections-on-a-career-at-microsoft-90f80a449e36

Цитаты для затравки:

- The Microsoft of the 90s, with Bill Gates calling the shots, was a technology-forward company, fast-paced, ambitious and unapologetically capitalistic. It was a beast, number one in nearly every genre that mattered, dreaded by its partners, feared by its competitors, and alternately loved and hated by its users.

- under Steve Ballmer ... inattention to anything resembling the imaginative or innovative caused it to hemorrhage talent, flatline its stock, bore its customers and miss (or at least be very late to) the next three technology megatrends — web, cloud, and mobile — on the trot.

- Satya’s expectations have been made clear to everyone. Mandatory training has seen to that. He exhorts Microsoft to be a “learn it all” culture instead of a “know it all” culture.

- It’s worth noting that cultural transformation didn’t happen in places, like Windows, where Nadella simply rearranged the made-men deck chairs. Instead of following his culture-change playbook, he simply swapped Windows’ made-men with Windows Phone’s made-men. The same people unable, over the course of a decade, to craft a winning strategy for mobile were suddenly tasked with crafting a winning strategy for the desktop.

#Windows10 1909 (19H2) доступна для загрузки в MCT https://www.outsidethebox.ms/17430/#MediaCreationTool

⚙ Хорошая подборка трюков #WSL
https://www.hanselman.com/blog/CoolWSLWindowsSubsystemForLinuxTipsAndTricksYouOrIDidntKnowWerePossible.aspx

Запуск проводника из-под Linux, запуск команд Linux из-под Windows, вот это все ✌️

🤦‍♂️‍ После выпуска 19H2 пошла ожидаемая волна вопросов о том, как во время установки создать локальную учетную запись в домашних изданиях #Windows10. Ее скрыли еще в 1903, оставив только учетную запись Microsoft (MSA).

⚠️ Обновлено. Актуальные способы создания локального аккаунта тут: https://t.iss.one/sterkin_ru/1673

Я хоть и пользуюсь MSA уже много лет, создаю локальный аккаунт при чистой установке (что для меня редкость, а без файла ответов - тем более :) Это позволяет контролировать имя папки профиля, которое при первом входе с MSA образуется из первых 5-6 букв почтового адреса.

В скобках замечу, что обратной стороной медали в 1803+ является необходимость создавать бессмысленные контрольные вопросы для восстановления пароля локального аккаунта. Обойти это можно, задавая пароль не при установке, а сразу после нее.

​​ℹ️ Мне тут подкинули любопытную статью базы знаний KB4339074.

Она гласит, что выпиливание, удаление и переустановка приложения Магазин в #Windows10 не поддерживается. Единственный поддерживаемый метод - переустановка Windows поверх.

Здесь есть несколько нюансов:

1. В Windows 8/8.1 широко известная команда #PowerShell для масового удаления магазинных приложений сам магазин не удаляла. В Windows 10 уже удаляет, и непонятно, зачем было менять это. Однако установщик пакетов сохраняется, что важно в контексте ↓

2. Microsoft выпускает Inbox Apps ISO с полным набором приложений, которые входят в состав ОС, включая магазин. Приложения ставятся двойным щелчком.

Раньше ISO раздавали в рамках инсайдерской программы, но уже больше года как он доступен только в VLSC.

3. В отсутствие официальных способов получения пакетов с серверов Microsoft появляются неофициальные. И хотя я в целом не рекомендую неподдерживаемые способы, проблема здесь именно с получением, а установка технически поддерживается.

#Классика блога про удаление магазинных приложений и установку удаленного или отсутствующего магазина регулярно обновляется, и все эти нюансы там расписаны.

Но любимую картинку на тему неподдерживаемых способов на память оставлю. Потому что она идеально подходит для товарищей с LTSC, зачем-то желающих установить магазин 😂

​​🔓 Любопытная и необычная уязвимость в #UAC

Уведомления контроля учетных записей показываются на защищенном рабочем столе в контексте учетной записи SYSTEM. Если удастся запустить из них какой-то процесс, он автоматически получает те же права.

В диалоге UAC есть возможность просмотра сертификата, которым подписан исполняемый файл. Однако кнопка копирования сертификата в файл предусмотрительно заблокирована (иначе открылся бы проводник).

Тем не менее, исследователь выяснил, что в сведениях о сертификате при совпадении ряда условий поле Issued By может отображать гиперссылку на сайт компании, выпустившей сертификат. И эту функцию в контексте UAC отключить забыли! 🤦‍ Что и демонстрируется на картинке на примере древнего сертификата, которым подписан какой-то исполняемый файл Microsoft. Это позволяет запустить браузер с правами системы.

Поскольку здесь налицо повышение привилегий (EoP), уязвимость исправили в ноябре 2019 года. Но Microsoft не считает уязвимостями большинство способов обхода UAC. А их великое множество, и зачастую виновны различные исполняемые файлы в Windows. Отдельные продуктовые группы постепенно устраняют такие методы обхода, но не так быстро, как это делается в случае с уязвимостями.

ℹ️ Причина в том, что в контексте безопасности контроль учетных записей не является границей защищенной зоны (EN|RU), т.е. при запросе приложения на повышение прав диалог несет информационную нагрузку, а решение остается за пользователем.

Бонус: статьи с меткой UAC в блоге https://www.outsidethebox.ms/tag/uac/

ℹ️ В блоге инсайдерской программы одновременно с объявлением о выпуске сборки 19033 (20H1) появилось уточнение о числовом обозначении версии грядущей ОС.

Это будет не 2003 (по аналогии с 1803, 1903), а 2004. Сделано это во избежание путаницы с Windows Server 2003 (очевидно, Windows 10 2004 их не смущает :)

Прокомментирую распространенные версии / названия:

• YYHN (20H1) - внутреннее обозначение года и его первой или второй половины, пришедшее на смену невнятному RSN (RS5).

• YYMM (2004) - внешнее обозначение года и месяца выпуска версии, а по факту - окончания работы над ней и вероятной отправки в кольцо RP. Эта цифра отображается в winver наряду с номером сборки.

• Windows 10 May 2019 Update - маркетинговое название выпущенной версии, причем месяц отражает общую доступность (GA). Впрочем, изыски типа Fall Creators Update давно закончились, и маркетингом тут уже не пахнет. Им точно стоило взять на вооружение собак ;)

Я ранее писал и повторю, что в канале буду придерживаться обозначений YYHN. Потому что меня напрягает не только 2003 и 2004, но и несоответствие между месяцем в YYMM с датой общей доступности ✌

​​🙈 Новое в блоге: 10 мифов Windows 10 LTSC, которые никогда не умрут

В наш чат @winsiders регулярно приходят товарищи, установившие #Windows10 LTSC (или еще LTSB) и оправдывающие свой выбор различными плюсами этой ОС.

Каждый такой приход превращается в утомительный ликбез, поэтому я наконец решил разобрать все эти якобы преимущества.

➡️ Читать в блоге: https://www.outsidethebox.ms/19882/

​​📷 В посте блога про LTSC я изначально упустил момент, что в Enterprise LTSC отсутствует компонент Windows Ink Workspace, хотя это мало кого беспокоит.

Однако есть любопытный нюанс, касающийся магазинного приложения для создания и обработки скриншотов Snip & Sketch, входящего в состав #Windows10 и выпиленного из LTSC.

Изначально оно было частью компонента Windows Ink Workspace и называлось Screen Sketch, т.е. набросок на экране. Потом его выделили в отдельное приложение UWP, добавив к названию Snip (снимок).

ℹ️ На самом деле функция Snip не является частью приложения, а интегрирована в Windows. Когда-то сочетание клавиш Win+Shift+S принадлежало OneNote - функция Screen Clipping создавала снимок фрагмента экрана. А теперь на него повесили системный снимок с возможностью выбора между всем экраном, прямоугольником и произвольной областью (картинка ниже).

При отсутствии приложения Snip & Sketch фрагмент просто помещается в буфер обмена. Если же приложение установлено, также появляется уведомление, нажатие на которое открывает Snip & Sketch. А в нем уже можно обрезать снимок, нарисовать на нем что-нибудь, сделать скриншот с задержкой и т.д.

Бонус. Из центра уведомлений можно открыть только последний снимок экрана, но если включена история буфера обмена (Win+V), снимки сохранятся в ней.

Напрямую из буфера в Snip & Sketch вставить нельзя (реализация не планируется, похоже). Но есть другая связь - в его настройках можно отключить обновление в буфере обмена изменяемой в приложении картинки. Это позволяет сохранить в буфере оригинальный снимок.

⚙️ Как скачать Windows 10 Enterprise с помощью Media Creation Tool (MCT)

На MSDN Microsoft публикует два ISO с WIM-образами #Windows10. В одном - потребительские издания (Home SL, Home, Pro, Education), в другом - издания для бизнеса (Pro, Pro for Workstations, Education, Enterprise).

Если доступа к MSDN или VLSC нет, а создать ISO нужно прямо сейчас, есть обходной путь даже без торрентов :)

При обычном запуске MCT скачивает потребительский набор с ESD-образами. Однако у него есть параметр командной строки /MediaEdition, позволяющий получить бизнес-набор изданий за исключением Pro for WS. И нет, Enterprise LTSC туда не входит :)

MediaCreationTool21H2.exe /Eula Accept /Retail /MediaArch x64 /MediaLangCode en-US /MediaEdition Enterprise

Запуск MCT с такими параметрами порождает запрос на ключ продукта. Для установки (но не активации) изданий Pro и выше, в т.ч. Enterprise, задокументированы ключи KMS. MCT их принимает, и этого достаточно для создания ISO.

Дальше уже можно экспортировать нужное издание в WIM, настраивать образ и т.д.

P.S. Этот пост случайно (и временно) попал в канал вчера, и его сразу же прокомментировали в чате в стиле "если речь об Enterprise, доступ к MSDN/VLSC должен быть". Это верно, но учетные данные могут быть у находящегося в отпуске руководителя, а задачу вам нужно решить уже вчера. Примерно такая история и послужила поводом к посту.

💍 Инсайдерская программа перетасовала кольца

Было
- Skip Ahead - следующая версия после грядущей (наиболее сырая, с ограниченным периодом перехода в кольцо).
- Fast - грядущая версия (менее стабильная).
- Slow - грядущая версия (более стабильная, с отставанием от Fast).
- Release Preview - превью грядущей версии незадолго до ее выпуска (самая стабильная).

Стало
- Fast - активная ветка разработки (RS_PRERELEASE) без привязки к версии. В ней могут появляться и исчезать фичи, которые планируются в грядующую версию, а также в следующие за ней.
- Slow - грядущая версия. В блоге не уточнили, к какому из старых колец это будет ближе - к быстрому или медленному. Наверное, истина где-то посередине.
- Release Preview - не затронута изменениями.

Изменения объяснили запутанной системой колец для ряда инсайдеров и жалобами тех, кто не успевал вовремя переключиться в Skip Ahead. (Я считаю, что таких людей в программе вообще быть не должно, равно как и метрик типа кто больше запостил и заплюсовал отзывов :)

Новая схема выглядит проще, но есть нюанс. Раньше, когда фичи появлялись в Fast или Skip Ahead, было понятно, в какую версию их целят. Да, их могли выпилить (например, похоронить идею с магазинным блокнотом). Но в ретроспективе, оглядываясь на историю инсайдерских версий и посты в канале, можно было понять, когда появилась та или иная фича.

Возможно, теперь для этого придется ориентироваться на анонсы медленного кольца, которые раньше подробностями не отличались, поскольку лавры доставались более ранним кольцам.

Если ясности не будет, придется долбить руководителей инсайдерской программы в Твиттере. Именно таким путем нам с Рафаэлем Риверой удалось недавно добиться, чтобы в блоге программы вместо правок постoв двух- или трехнедельной давности публиковали новые.