Как я начал бояться и разлюбил Windows 10
Lego выпустила специальные тапочки, чтобы избавить пользователей от боли. А что сделал ты, Microsoft?
На обновлении Windows 10 (сейчас у меня сборка 1803) каждый раз замирает сердце — что поломается на этот раз. Дабы поделиться болью и лечением, я собрал самые частые обращения от людей за последние пару месяцев. В копилке: прекращение доступа на серверы, сбой работы приложений и откровенно странные глюки.
Набившая оскомину жалоба. В марте 2018 года MS выпустили апдейт, закрывающий уязвимость CredSSP (бюллетень безопасности CVE-2018–0886). Те организации, что не часто обновляют серверы и не поставили это обновление до начала мая, столкнулись с проблемой — клиентские обновленные компьютеры перестали подключаться к терминальным серверам.
Потому что нечего подключаться к необновленным серверам.
Разумное решение — обновить сервер. Скачать обновления можно прямо с сайта Microsoft (CVE-2018–0886). Если случилось страшное и доступ уже потерян, то придется настраивать клиентские компьютеры. Версии Pro и выше легко настраиваются через локальные групповые политики.
Настройка поведения происходит в параметре Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Исправление уязвимости шифрующего оракула (бедный уязвимый оракул). Чтобы система пустила на необновленный сервер, значение в политике нужно переключить в «Оставить уязвимость».
Настройка групповой политики.
Поскольку в версиях Home нет оснастки управления групповыми политиками, приходится действовать через реестр. Достаточно следующей команды:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Что интересно, обновленный сервер с настройками по умолчанию пускает необновленных клиентов — по меньшей мере странная навязчивая забота о безопасности пользователей.
В свежих установках WIndows 10 протокол SMBv1 теперь отключен изначально, а в обновленных отключается через 15 дней, если так и не был использован. Из-за этого сотрудники из отпуска или командировки бывают оглушены ошибками входа в домен или доступа на сетевую папку.
Теперь включать и выключать SMBv1 можно для сервера и клиента в «Компонентах Windows».
Включение поддержки устаревшего протокола.
После включения компонента удивительным образом начинают открываться сетевые папки. Вот только приложения с них могут не запускаться. Или работать некорректно при попытке использования сети, будь то вызов ODBC для подключения к SQL или просто попытка обновить приложения.
Если отключить SMBv1 на сервере, то приложение начинает работать нормально. На этот раз виноват оказался Windows Defender. Он блокировал активность приложений, запущенных с сетевых ресурсов — и неважно, это сетевая папка или диск.
Когда отключить устаревший протокол невозможно, можно «вырубить» встроенный антивирус. Или альтернатива — включить режим совместимости для приложения.
Включение режима совместимости для приложения.
Конечно, использование серверов на WIndows 2003 и стареньких NAS — далеко не best practice. Но мне кажется, что достаточно было бы уведомления о потенциальной небезопасности, и не рубить с плеча. Да и вообще, как пелось в песне: «Заткнись, …! Я сам знаю, что мне делать со своими файлами!»
Еще с выходом Windows 2008 публикация приложений через RemoteApp вызвала недюжинный интерес — ведь можно отказаться от Citrix MetaFrame (XenApp). После тестирования выяснили, что технология работает с 1С из рук вон плохо — то модальные окна спрячутся на задний план, то проблемы с печатью. С тех пор, если нет денег на полноценные средства доставки приложений, лучше использовать обычный RDP.
Правильность этого подхода в очередной раз подтвердилась. Часть предприятий, использующих RemoteApp, после обновления клиентских ОС столкнулась с существенным замедлением работы приложений. Конечно, софт по-прежнему работал, вот только интерфейс отрисовывался с задержкой, особенно при вызове контекстного меню.
Помогло только отключение RemoteFX для RemoteApp через групповые политики. Найти параметр «Использовать дополнительную графику RemoteFX для удаленного приложения RemoteApp» можно в разделе GPO: Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Среда удаленных сеансов.
Отключение RemoteFX для RemoteApp.
Для приложений, использующих возможности GPU, такой способ не подходил. Приходилось или откатывать билд операционной системы на предыдущий, или заменять RDP-клиент на предыдущую версию.
Для этого заменяют следующие файлы:
- C:\windows\system32\mstsc.exe;
- C:\windows\system32\mstscax.dll.
Взять их можно с необновленной Windows. Также надо зарегистрировать библиотеку командой:
regsvr32 C:\Windows\System32\mstscax.dll
Всем столкнувшимся с проблемой я рекомендую отказаться от использования RemoteApp.
Разделу восстановления в 400 Мб после недавнего обновления Windows была присвоена буква. Он стал доступен в «Проводнике» и превратился в OEM-раздел. А заодно система начала сообщать о закончившимся месте на этом новом диске.
При этом сам раздел содержит средство восстановления Windows, которое как раз помогает при сбоях загрузки.
Правда, оно может и все испортить при использовании подобия Raid-0 вида SSD+HDD средствами чипсета в некоторых моделях ноутбуков и ПК.
Раздел восстановления здорового человека.
Решение, казалось бы, довольно простое — убрать букву у раздела. К сожалению, раздел не простой, а системный, поэтому сделать это через «Управление дисками» не получится. Зато получится через консоль при помощи diskpart.exe:
- Запускаем в консоли diskpart.
- Получаем список разделов командой list volume.
- Переключаем фокус на странный раздел командой select volume 2, не забывая заменить 2 на номер нужного раздела.
- Удаляем букву командой remove letter=F. Букву, конечно, нужно заменить на нужную.
- Закрываем утилиту командой exit.
Удаление буквы диска курильщика.
Теперь пользователь обретает спокойствие. Надолго ли.
Кроме всех этих странных вещей происходит еще много интересного: слетают разрешения приложений для доступа к камере и микрофону, начинаются циклы бесконечной перезагрузки и проблемы с драйверами. И это при том, что ОС не стесняется прерывать вашу работу для своих нужд, или встречать после обеда сообщениями вида «я уже почти все, ты пока еще немного погуляй».
Регулярные всплески мелких и не очень проблем приводят к тому, что пользователи и техподдержка подумывают об откате на предыдущие версии Windows. А то и вовсе о переходе на GNU\Linux, благо толстый клиент 1С будто бы более-менее работает.
Правда, свежие релизы 1С тоже порой создают приключения, но это уже отдельная песня. Если и вам пришлось хлебнуть горя с обновлениями Windows, не забудьте поделиться в комментариях.