Windows – Page 11

Отключаем предупреждение системы безопасности windows при запуске с сетевого диска

March 6, 2018
by GR

При попытке открыть/запустить файла типа exe, msi, bat (и прочих исполняемых типов файлов) из локального или сетевого каталога в Windows может появляться предупреждение Открыть файл – предупреждение системы безопасности (Open file — Security Warning). Для продолжения выполнения программы пользователь должен вручную подтвердить запуск такого файла, нажав кнопку Запустить (Run). Такое поведение Windows предполагает определённый уровень защиты системы от запуска потенциально опасных исполняемых файлов, полученных из Интернета или других недоверенных источников.

В случае, если окно предупреждения появляется при запуске программы из сетевого каталога, следует в настройках обозревателя Internet Explorer добавить имя и/или ip адрес сервера), на котором хранится файл (в зависимости от способа обращения к серверу) в зону Местная интрасеть. Для этого

Перейдите в Панель управления -> Свойства обозревателя (Internet Option)
Вкладка Безопасность (Security)
Открыть Местная интрасеть (Local Intranet)->Узлы (Sites) ->Дополнительно (Advanced)

В открывшемся окне добавьте имя и /или ip-адрес сервера. Например, \\10.0.0.6, \\srvcontoso.com или \\127.0.0.1\ для локальной машины

То же самое можно сделать через GPO, для этого нужно включить политику Compute Configuration-> Administrative Templates->Windows Components->Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List (Список назначений зоны безопасности для веб-сайтов). Задав в ее настройках список доверенных серверов в формате

Имя сервера (в виде file://server_name, \\server_name, server_name или IP)
Номер зоны (1 – Для местной интрасети)

Как узнать какая программа грузит жесткий диск (HDD)

December 21, 2017
by GR

Что-бы узнать это, скачиваем программу FileMon ProcMon. Эта утилита включает в себя RegMon и FileMon. Когда увидите активность дисков, запустите ее. Фильтры нам не помогут, так как мы не знаем к каким файлам идет обращение. Поэтому выбираем в меню TOOLS -> File Summary. В таблице отсортируйте записано байт и прочитано байт так, что бы вверху были максимальные значения.

Вы увидите, какие файлы сильно изменились. Понаблюдайте за Файлом подкачки, часто ли к нему обращается система по сравнению с другими объектами, и Вы поймете, что никакого выигрыша в производительности системы при переносе Pagefile.sys на РАМ Диск Вы практически не заметите. Да если еще учесть, что соотношение запись/чтение примерно равно 1:40

Активность файлов можно посмотреть и в Системном мониторе. Когда все настроили, дайте Старт. Через минуту (по умолчанию) отчет будет создан. Выберите Диск -> Активные файлы и Вам будут представлены файлы, вызывающие наибольшую загрузку диска

Методы защиты от mimikatz в домене Windows

August 24, 2017
by GR

Конец июня 2017 года запомнился IT сообществу по массовому заражению множества крупнейших компаний и госучреждений России, Украины и других стран новым вирусом-шифровальщиком Petya (NotPetya). В большинстве случаев, после проникновения внутрь корпоративной сети, Petya молниеносно распространялся по всем компьютерам и серверам домена, парализуя до 70-100% всей Windows-инфраструктуры. И хотя, одним из методов распространения Пети между компьютерами сети было использование эксплоита EternalBlue (как и в случае с WannaCry), это был не основной канал распространения вымогателя. В отличии от WCry, который распространялся исключительно благодаря уязвимости в SMBv1, NotPetya были изначально заточен под корпоративные сети. После заражения системы, шифровальщик с помощью общедоступной утилиты Mimikatz, получал учетные данные (пароли, хэши) пользователей компьютера и использовал их для дальнейшего распространения по сети с помощью WMI и PsExec, вплоть до полного контроля над доменом. Соответственно, для защиты всех систем не достаточно было установить обновление MS17-010.
Continue reading “Методы защиты от mimikatz в домене Windows”

Windows: Чистим контекстное меню

July 10, 2017
by GR

Microsoft added new entries to the File Explorer context menu in Windows 10 that some users of the operating system may like, and others may call bloat.

If you right-click on files in the most recent release build of Windows 10, the Creators Update, you get up to three additional context menu items.

You may get “Edit with Paint 3D” to edit an image with the built-in Paint 3D application, a “Cast to Device” entry to cast the media file to another device, and the “Share” entry which opens the Share UI of Windows 10 when selected.

Windows 10 Insider systems feature an “Edit with Photos” entry on top of that. That’s three edit options for images on Windows 10 in the context menu without any option to disable these entries.

Note: I recommend that you create a backup of the Registry before you make any changes to it. This allows you to restore the state before any editing. You can use a program like Erunt or RegBak for that, or with a right-click on any key (those on the left side) that is linked to adding, changing, or deleting values or entries, and selecting export.

Remove Windows 10 Context Menu bloat

Edit with Paint 3D

Paint 3D was included in the Windows 10 Creators Update. It is a modernized version of the classic Paint application that comes with a new UI, as an application, and ships with new features such as 3D functionality.

There is only one situation where the “Edit with Paint 3D” entry in the context menu makes sense: when you use a different default image editor for editing, but use Paint 3D sometimes for editing jobs. Even then it is possible to use “open with” instead to open the image in Paint 3D.

One issue that you will encounter when it comes to the removal of the context menu entry is that it is mapped to different file extensions, and that you need to remove Registry keys for each file extension individually to remove Paint 3D completely from the context menu.

To remove Edit with Paint 3D, do the following

Tap on the Windows-key on the computer keyboard, type regedit.exe and tap on the Enter-key to open the Windows Registry Editor.
Confirm the UAC prompt.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.bmp\Shell
Right-click on 3D Edit, and select Delete.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.gif\Shell
Right-click on 3D Edit, and select Delete.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jpg\Shell
Right-click on 3D Edit, and select Delete.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jpeg\Shell
Right-click on 3D Edit, and select Delete.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.png\Shell
Right-click on 3D Edit, and select Delete.
If you notice the “Edit with Paint 3D” entry next to any other image type, repeat the process outlined above for it. All you need to do is go to HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\, click on the image file type, then on Shell to delete the 3D Edit value.

Edit with Photos

Edit with Photos is a new context menu option that is not part of the Creators Update version of Windows 10. It shows up in the latest Windows 10 Insider Builds that showcase features that will likely be part of the Fall Creators Update out later this year.

Read also: KB4015552, KB4015553 April Previews for Windows 7 and 8.1

If you don’t use the Photos application to edit images on Windows 10, you may want to remove the entry from the File Explorer context menu.

To remove Edit with Photos, do the following

Tap on the Windows-key on the computer keyboard, type regedit.exe and tap on the Enter-key to open the Windows Registry Editor.
Confirm the UAC prompt.
Go to HKEY_CLASSES_ROOT\AppX43hnxtbyyps62jhe9sqpdzxn1790zetc\Shell\ShellEdit
Right-click on ShellEdit, and select New > String value.
Name it ProgrammaticAccessOnly.

Cast to Device

If you don’t use the casting functionality of Windows 10, you have no need for the Cast to Device entry in the File Explorer context menu.

Basically, what it allows you to do is stream media files to devices that support Miracast or DLNA.

To remove Cast to Device, do the following

Tap on the Windows-key on the computer keyboard, type regedit.exe and tap on the Enter-key to open the Windows Registry Editor.
Confirm the UAC prompt.
Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
If there is no Blocked key under Shell Extensions, right-click on Shell Extensions and select New > Key. Name the key Blocked.
Right-click on Blocked, and select New > String Value.
Name it {7AD84985-87B4-4a16-BE58-8B72A5B390F7}
Double-click on the newly created String value, and change the Value data field to Play to menu.
The change takes effect when you log out and on, restart the PC, or restart the Windows Explorer process.

Tip: To restore the “Cast to Device” entry in the Windows 10 context menu, go to the Blocked key in the Registry, right-click on {7AD84985-87B4-4a16-BE58-8B72A5B390F7} and select delete from the menu that opens.

Share may not be active on all systems by default. It is on by default in recent Windows 10 Insider Builds. You may use it to share files using the built-in Windows 10 share functionality.

To remove Share, do the following

Tap on the Windows-key on the computer keyboard, type regedit.exe and tap on the Enter-key to open the Windows Registry Editor.
Confirm the UAC prompt.
Go to HKEY_Classes_ROOT\*\shellex\ContextMenuHandlers\
Right-click on Modern Sharing, and select Delete from the context menu.

1 2 3 … 8 9 10 11 12 13 14 … 22 23 24

Remove Windows 10 Context Menu bloat

Edit with Paint 3D

Edit with Photos

Cast to Device

Share

Posts navigation