Windows Высокая загрузка процессора / high CPU usage

Чтобы выявить драйвер, который вызывает высокую загрузку CPU, можно воспользоваться бесплатной утилитой Microsoft — kernrate.exe (Kernrate Viewer). Утилита входит в состав WDK (Windows Device Kit). После установки WDK, найти утилиту можно в каталоге …\Tools\Other\amd64.

Запустите утилиту kernrate.exe без аргументов и подождите некоторое время, пока идет сбор данных (10-15 минут), после чего прервите работу утилиты сочетанием клавиш Ctrl-C: Посмотрите на список модулей в секции Result for Kernel Mode.

kernrate.exe

Как вы видите, в нашем примере высокую нагрузку на CPU вызывает модуль b57nd60x. С помощью Google или утилиты sigcheck (смотри пример) можно определить, что проблему вызывает драйвер сетевой карты Broadcom NetXtream Gigabit Ethernet NDIS6.0 Driver.

Как отключить сжатую память в Windows 10

Если вы хотите проверить стабильность работы Windows 10 без использования функции «сжатой памяти», можно временно отключать эту функцию. Для этого, откройте консоль PowerShell с правами администратора. Проверим, включена ли сейчас опция «Сжатой памяти»:

Get-mmagent

Строка MemoryCompression : True указывает на то, что сжатая память включена.

Отключим сжатую память:

Disable-MMAgent –mc

И перезагрузим компьютер

Restart-Computer

Disable-MMAgen - MemoryCompression - отключить сжатую память в Windows 10

После загрузки проверьте, как ведет себя система. Если производительность улучшилась, можно оставить ОС в режиме с отключенным режимом сжатой памяти.

Чтобы включить MemoryCompression, выполните команду:

Enable-MMAgent -mc

Отключаем предупреждение системы безопасности windows при запуске с сетевого диска

При попытке открыть/запустить файла типа exe, msi, bat (и прочих исполняемых типов файлов) из локального или сетевого каталога в Windows может появляться предупреждение Открыть файл – предупреждение системы безопасности (Open file — Security Warning). Для продолжения выполнения программы пользователь должен вручную подтвердить запуск такого файла, нажав кнопку Запустить (Run). Такое поведение Windows предполагает определённый уровень защиты системы от запуска потенциально опасных исполняемых файлов, полученных из Интернета или других недоверенных источников.

В случае, если окно предупреждения появляется при запуске программы из сетевого каталога, следует в настройках обозревателя Internet Explorer добавить имя и/или ip адрес сервера), на котором хранится файл (в зависимости от способа обращения к серверу) в зону Местная интрасеть. Для этого

Перейдите в Панель управления -> Свойства обозревателя (Internet Option)
Вкладка Безопасность (Security)
Открыть Местная интрасеть (Local Intranet)->Узлы (Sites) ->Дополнительно (Advanced)

В открывшемся окне добавьте имя и /или ip-адрес сервера. Например, \\10.0.0.6, \\srvcontoso.com или \\127.0.0.1\ для локальной машины

То же самое можно сделать через GPO, для этого нужно включить политику Compute Configuration-> Administrative Templates->Windows Components->Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List (Список назначений зоны безопасности для веб-сайтов). Задав в ее настройках список доверенных серверов в формате

Имя сервера (в виде file://server_name, \\server_name, server_name или IP)
Номер зоны (1 – Для местной интрасети)

Как узнать какая программа грузит жесткий диск (HDD)

Что-бы узнать это, скачиваем программу FileMon ProcMon. Эта утилита включает в себя RegMon и FileMon. Когда увидите активность дисков, запустите ее. Фильтры нам не помогут, так как мы не знаем к каким файлам идет обращение. Поэтому выбираем в меню TOOLS -> File Summary. В таблице отсортируйте записано байт и прочитано байт так, что бы вверху были максимальные значения.

Вы увидите, какие файлы сильно изменились. Понаблюдайте за Файлом подкачки, часто ли к нему обращается система по сравнению с другими объектами, и Вы поймете, что никакого выигрыша в производительности системы при переносе Pagefile.sys на РАМ Диск Вы практически не заметите. Да если еще учесть, что соотношение запись/чтение примерно равно 1:40

Активность файлов можно посмотреть и в Системном мониторе. Когда все настроили, дайте Старт. Через минуту (по умолчанию) отчет будет создан. Выберите Диск -> Активные файлы и Вам будут представлены файлы, вызывающие наибольшую загрузку диска

Методы защиты от mimikatz в домене Windows

Конец июня 2017 года запомнился IT сообществу по массовому заражению множества крупнейших компаний и госучреждений России, Украины и других стран новым вирусом-шифровальщиком Petya (NotPetya). В большинстве случаев, после проникновения внутрь корпоративной сети, Petya молниеносно распространялся по всем компьютерам и серверам домена, парализуя до 70-100% всей Windows-инфраструктуры. И хотя, одним из методов распространения Пети между компьютерами сети было использование эксплоита EternalBlue (как и в случае с WannaCry), это был не основной канал распространения вымогателя. В отличии от WCry, который распространялся исключительно благодаря уязвимости в SMBv1, NotPetya были изначально заточен под корпоративные сети. После заражения системы, шифровальщик с помощью общедоступной утилиты Mimikatz, получал учетные данные (пароли, хэши) пользователей компьютера и использовал их для дальнейшего распространения по сети с помощью WMI и PsExec, вплоть до полного контроля над доменом. Соответственно, для защиты всех систем не достаточно было установить обновление MS17-010.
Continue reading “Методы защиты от mimikatz в домене Windows”

Posts navigation

1 2 3 4 5 6 14 15 16
Scroll to top